3. Oktober 2025 | DSGVO Information

Rechtsgrundlage oder Rechtsbruch? Warum interne Richtlinien nicht reichen

❓ Darf ich eigentlich die Gespräche meiner Abteilungsrunde aufnehmen, nur damit ich nichts vergesse?
❓ Oder die Kontaktdaten eines Bewerbers auf Vorrat speichern, falls er später interessant wird?
❓ Und reicht eine interne Richtlinie, um solche Dinge abzusichern?

Die kurze Antwort: Nein, nein und nochmals nein.

Die DSGVO hat ein klares Lieblingswort: Rechtsgrundlage. Ohne sie ist jede Datenverarbeitung verboten und das stellt ein enormes Risiko dar. Und zwar nicht nur rechtlich, sondern auch finanziell und reputationsmäßig.

📜 Ohne Rechtsgrundlage geht nichts!

Die DSGVO ist da ziemlich streng. Jede einzelne Verarbeitung personenbezogener Daten – Aufnahme, Speicherung, Weitergabe – braucht eine saubere rechtliche Basis. Und nein, „gesunder Menschenverstand“ oder eine interne Richtlinie zählen hier leider nicht. 😉

Hier die sechs offiziellen Joker, auf die Sie sich berufen können:

  1. 👉 Einwilligung (lit. a)
    Wenn die betroffene Person ausdrücklich „Ja“ sagt: freiwillig, informiert und eindeutig. (Ein „Ja“ zwischen Tür und Angel ist zu wenig!)
  2. 👉 Vertragserfüllung (lit. b)
    Sie dürfen alles verarbeiten, was notwendig ist, um einen Vertrag zu erfüllen z. B. Adresse für die Lieferung oder Kontodaten für die Bezahlung.
  3. 👉 Gesetzliche Pflicht (lit. c)
    Manchmal gibt’s keine Wahl. Etwa wenn Sie Daten auf Basis der Buchhaltungsvorschriften, des Geldwäschegesetzes oder des Arbeitsrechts speichern müssen.
  4. 👉 Schutz lebenswichtiger Interessen (lit. d)
    Notfall! Wenn’s um Leben oder Gesundheit geht, darf auch ohne Einwilligung gehandelt werden z. B. medizinische Daten für einen Rettungseinsatz weiterzugeben
  5. 👉 Öffentliche Aufgabe (lit. e)
    Behörden und Einrichtungen dürfen Daten verarbeiten, wenn es für die Wahrnehmung ihrer Aufgaben im öffentlichen Interesse notwendig ist.
  6. 👉 Berechtigtes Interesse (lit. f)
    Der DSGVO-Klassiker. Hier wird abgewogen: Ihr Interesse vs. das Interesse der betroffenen Person. Beispiel: IT-Sicherheitsprotokolle oder Kameraüberwachung in klar definierten Grenzen. Aber Achtung! Transparenz und Abwägung sind Pflicht.

Zusätzlich, wenn es um sensible Daten (z. B. Gesundheitsdaten) geht, kommt Art. 9 DSGVO ins Spiel: Dort ist die Verarbeitung grundsätzlich verboten, außer spezielle Ausnahmen greifen (z. B. ausdrückliche Einwilligung, gesetzliche Vorschrift, Behandlungsvertrag).

Wichtig: Interne Richtlinien, Dienstvereinbarungen oder Hausordnungen reichen nicht als Rechtsgrundlage aus, erst recht nicht rückwirkend.

❌ Negativbeispiel aus der Praxis: Universität vor Gericht

Wie ernst das Thema ist, zeigt ein aktuelles Urteil des Bundesverwaltungsgerichts Österreich (BVwG, 02.05.2025, W137 2301309-1/12E).

Eine österreichische Universität ließ in den Departmentsitzungen im Juli und November 2023 heimlich Tonaufnahmen mitlaufen. Offiziell, um später Protokolle schreiben zu können.

Das Dilemma:

  • Keine Information an die Teilnehmenden.
  • Keine Einwilligung.
  • Keine gesetzliche Grundlage.
  • Erst nachträglich wurde vom Rektorat eine interne Richtlinie erstellt, quasi ein „Wir holen uns die Rechtsgrundlage im Nachhinein“.

Das Gericht fand dafür deutliche Worte:

  • Interne Richtlinien sind keine Rechtsgrundlage im Sinne der DSGVO.
  • Öffentlich-rechtliche Einrichtungen wie Universitäten können sich nicht auf „berechtigtes Interesse“ berufen, wenn es um öffentliche Aufgaben geht.
  • Ergebnis: Die Aufnahmen verletzten das Recht auf Geheimhaltung.

Für die Wiederholung im November 2023 kassierte die Uni sogar eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO. Eine Geldstrafe gab es nicht, aber die Botschaft war klar: Tonaufnahme ≠ Kavaliersdelikt.

🛡️ Lehren für die Praxis

Damit Ihnen so etwas nicht passiert, sollten Sie drei Dinge beherzigen:

  1. Rechtsgrundlage zuerst prüfen!
    Vor jeder Datenverarbeitung: Gibt es Einwilligung, Vertrag, Gesetz, Interesse etc.?
  2. Alles dokumentieren.
    Halten Sie im Verarbeitungsverzeichnis fest, auf welcher Basis Sie Daten verarbeiten. Transparenz schützt im Ernstfall.
  3. Prozesse realistisch gestalten.
    Was Sie nicht rechtfertigen können, dürfen Sie nicht tun. Punkt. 😉

MeineBerater-Tipp

Die Uni hat’s vorgemacht und zwar wie man’s nicht machen sollte. Interne „Regelungen“ retten Sie nicht, wenn es hart auf hart kommt. Prüfen Sie also jetzt Ihre internen Abläufe:

  • Werden in Meetings Daten (z. B. Tonaufnahmen, Video, Teilnehmerlisten) erhoben?
  • Gibt es wirklich eine saubere Rechtsgrundlage?
  • Wissen Ihre Mitarbeitenden, wann sie Einwilligungen brauchen und wann nicht?

👉 Wenn Sie hier ins Grübeln kommen, wird’s Zeit zu handeln. Wir unterstützen Sie dabei, Ihre Prozesse wasserdicht zu machen – rechtssicher, praxisnah und das Ganze gut gewürzt mit einer großen Prise Humor. Schreiben Sie uns an office@meineberater.at. Wir sind immer für Sie da. 😊

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.