Zum Inhalt springen Barrierefreiheit auf wien.gv.at
Förderhandbuch
7. Datenschutz

7.2 Datenverarbeitung in der Förderabwicklung

Für den Bereich der Förderabwicklung sind insbesondere drei Definitionen relevant:

Verarbeitung (Art 4 Z 2 DSGVO): Der Begriff der "Verarbeitung" personenbezogener Daten ist weit zu verstehen und meint jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung der Daten. Diese Aufzählung ist weitgehend, aber dennoch nicht abschließend. Jede Handlung oder jeder Vorgang, der eine Einwirkung auf personenbezogene Daten nach sich zieht oder eine „Handhabe“ von personenbezogenen Daten darstellt, fällt unter den Begriff der "Verarbeitung". Wichtig zu erwähnen ist, dass auch das bloße Empfangen und Speichern von personenbezogenen Daten unter diesen Begriff fällt, auch wenn nichts anderes als das Aufbewahren der Daten geplant ist.

Kurzgefasst: Eine Datenverarbeitung ist jeglicher Umgang mit personenbezogenen Daten.

Verantwortlicher (Art 4 Z 7 DSGVO): Dabei handelt es sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im gegenständlichen Kontext der Förderabwicklung ist "Verantwortlicher" die Förderdienststelle.

Ein Verantwortlicher entscheidet daher über das „Warum“ (Zweck) und das „Wie“ (Mittel) der Verarbeitung. Er selbst muss die Verarbeitungen aber faktisch nicht ausführen.

Im Magistrat ist jede Dienststelle eigenständig verantwortlich gemäß Art 4 Z 7 DSGVO. Die notwendige Entscheidungsbefugnis über Zweck(e) und Mittel von Datenverarbeitungen kommt jeweils der Dienststellenleitung zu.

Betroffener (Art 4 Z 1 DSGVO): Dabei handelt es sich um jene Person, auf die sich im Zeitraum von Geburt bis zu ihrem Tod die "personenbezogenen Daten" beziehen und sie identifizieren oder identifizierbar – also bestimmbar – machen. Die betroffene Person ist das zentrale Schutzobjekt der DSGVO. Im Kontext der Förderabwicklung ist Betroffener in erster Linie die/der Förderwerber*in/Fördernehmer*in oder das jeweils handlungs- oder vertretungsbefugte Organ. Anders ausgedrückt: Informationen über eine Person machen diese zur betroffenen Person.

Im Anwendungsbereich des Grundrechts auf Datenschutz sind auch juristische Personen als betroffene Personen anzusehen, insoweit ihre personenbezogenen Daten betroffen sind.

Zu bedenken ist, dass auch mit den Fördernehmer*innen in Beziehung stehende Personen (Haushaltsangehörige) betroffene Personen sind.

Nach dem Grundkonzept des Datenschutzrechts besteht ein generelles Verbot der Verarbeitung von personenbezogenen Daten, das aber unter einem Erlaubnisvorbehalt steht. Anders gewendet: Solange keine Erlaubnis in der DSGVO erfüllt ist, sind keinerlei Verarbeitungen personenbezogener Daten gestattet.

7.2.1 Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten

Die Erlaubnistatbestände für „normale“ (d.h. nicht besonders schützenswerte) personenbezogene Daten sind in Art 6 Abs. 1 DSGVO abschließend aufgezählt. Sie stellen die „Erlaubnis“, die das grundsätzliche Verarbeitungsverbot durchbricht, dar. Für besonders schützenswerte personenbezogene Daten gelten strengere Anforderungen.

Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn mindestens eine der Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. (vgl. lit. a leg. cit.) Die Einholung einer Einwilligung könnte bei Vorliegen einer anderen Rechtfertigung zur Datenverarbeitung (insbesondere bei Vorliegen einer gesetzlichen Grundlage) unter Umständen gegen den Grundsatz von Treu und Glauben verstoßen, wodurch die Datenverarbeitung rechtswidrig werden kann. Es ist daher immer vorher zu prüfen, ob ein anderer Rechtfertigungsgrund vorliegt. Eine Einwilligung ist daher nur dann einzuholen, wenn keine andere Erlaubnis zur Datenverarbeitung vorliegt.

  • Die Verarbeitung ist für die Erfüllung eines Vertrags , dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. (vgl. lit. b)

  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Diese rechtliche Verpflichtung muss in einer gesonderten gesetzlichen Grundlage festgelegt werden. (vgl. lit. c)

  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. (vgl. lit. d)

  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. (vgl. lit. e) Die Festlegung der im öffentlichen Interesse liegenden Aufgabe bzw. einer solchen, die mit „öffentlicher Gewalt“ (d.h. mit der Staatsgewalt bzw. Hoheitsgewalt) vollzogen wird, muss durch eine gesonderte gesetzliche Grundlage erfolgen.

  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (...). (vgl. lit. f)

Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen (lit. b):

In der Abwicklung von Förderungen im Rahmen der Privatwirtschaftsverwaltung spielt dieser Erlaubnistatbestand in der Praxis die größte Rolle. Danach ist die Datenverarbeitung zulässig, wenn sie für einen der beiden Fälle erforderlich ist:

  1. für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder

  2. zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.

Ad 1. Vertragserfüllung:

Förderungen im Rahmen der Privatwirtschaftsverwaltung werden – wie bereits ausgeführt – durch Abschluss eines Fördervertrages gewährt. Für die Erfüllung des Fördervertrages (z.B. Auszahlung der Förderung, Verwendungskontrolle) ist es naturgemäß erforderlich, bestimmte personenbezogene Daten der Fördernehmer*innen zu wissen und diese auch zu verarbeiten, insbesondere Name/Bezeichnung, Kontaktdaten wie z.B. Adresse, Telefonnummer, E-Mail-Adresse, Rechtsform, Kontoverbindung, für die Förderabwicklung relevante finanzielle Angaben (z.B. Jahresabschluss, Einnahmen-Ausgaben-Aufstellung).

Ad 2. Durchführung vorvertraglicher Maßnahmen:

Da vor dem rechtsgültigen Abschluss eines Fördervertrages auch vorbereitende Maßnahmen abzuwickeln sind – z.B. Einbringung des Förderansuchens/Förderantrages, Prüfung der Förderwürdigkeit durch die Förderdienststelle, Überprüfung auf unerwünschte Doppel- bzw. Mehrfachförderungen, Einholung der Genehmigung des nach der WStV zuständigen Organs – und zudem auch nicht alle "vorvertraglichen Maßnahmen" tatsächlich mit dem Abschluss eines Fördervertrages enden (beispielsweise weil die Förderung im konkreten Fall nicht gewährt wird) ist auch dieser Fall in der Praxis von Bedeutung, da die Förderdienststelle bereits in diesem Stadium bestimmte personenbezogene Daten der Förderwerber*innen wissen und verarbeiten muss. Die Durchführung der vorvertraglichen Maßnahmen – also konkret die Einbringung eines Förderansuchens/Förderantrages – muss von der/dem jeweiligen Förderwerber*in ausgegangen sein.

Eine "Einwilligung" der betroffenen Person zur Datenverarbeitung gemäß lit. a leg. cit. ist im Rahmen der Förderabwicklung in den meisten Fällen aufgrund des Erlaubnistatbestandes der "Vertragserfüllung" gemäß lit. b leg. cit. daher nicht erforderlich und auch nicht zweckmäßig, da die Einwilligung jederzeit widerrufen werden kann (Art 7 Abs. 3 DSGVO). Wichtig in diesem Zusammenhang ist jedoch, dass im Rahmen des Vorvertrages bzw. im Rahmen der Vertragserfüllung wirklich nur jene Daten erhoben und verarbeitet werden, die zur Förderabwicklung auch tatsächlich erforderlich sind. Soweit darüber hinaus Datenverarbeitungen erfolgen, müssen diese einen eigenständigen Rechtfertigungsgrund ausweisen.

Hinzuweisen ist nochmals, dass der Fördervertrag nur zur Verarbeitung personenbezogener Daten einer betroffenen Person, die Vertragspartei ist, berechtigt. Nicht umfasst ist daher die Verarbeitung personenbezogener Daten dritter Personen. Beispiel: die Verarbeitung personenbezogener Daten von Haushaltsangehörigen von Förderwerber*innen kann im Regelfall nicht auf Basis dieser Datenverarbeitungserlaubnis erfolgen, insoweit die Haushaltsangehörigen nicht auch Vertragsparteien sind.

Weiters müssen die vorvertraglichen Maßnahmen, die auch Rechtsgrundlage zur Datenverarbeitung sind, von der betroffenen Person angebahnt worden sein.

Erfüllung einer rechtlichen Verpflichtung (lit. c):

Dieser Erlaubnistatbestand setzt eine rechtliche/gesetzliche und keine bloß vertragliche Verpflichtung des Verantwortlichen voraus, Daten zu verarbeiten. Derartige rechtliche Verpflichtungen begründet beispielsweise das Finanzmarkt-Geldwäschegesetz, oder das Arbeits-, Sozial- oder Steuerrecht (z.B. 132 Abs. 1 Bundesabgabenordnung).

Im öffentlichen Interesse liegende übertragene Aufgabe (lit. e):

Auch dieser Erlaubnistatbestand bedarf einer Ausgestaltung durch eine konkrete gesetzliche Grundlage. Die Unterscheidung zur rechtlichen Verpflichtung fällt im Einzelfall oft schwer.

Im Bereich des überwiegend in der Privatwirtschaftsverwaltung angesiedelten Förderwesens kommt diese Erlaubnis zur Datenverarbeitung eher selten zur Anwendung. Beispiel: Die Berechtigung zur Datenverarbeitung nach § 3 Wiener Fördertransparenzgesetz erfüllt die Erlaubnis der im öffentlichen Interesse liegenden übertragenen Aufgabe (insb. im Sinne der vorgesehenen Anfragebeantwortung).

Wahrung berechtigter Interessen (lit. f):

Dieser Erlaubnistatbestand des berechtigten Interesses stellt einen Auffangtatbestand für die Rechtmäßigkeit der Datenverarbeitung dar, welcher Fälle abdecken soll, in denen die Verarbeitung nicht auf einen der sonstigen Erlaubnistatbestände der lit. a bis e gestützt werden kann. Die Verarbeitung ist dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die schutzwürdigen Interessen der betroffenen Person nicht überwiegen.

Diese Abwägung der Interessen hat der Verantwortliche vorzunehmen. Berechtigte Interessen können im Zusammenhang mit bestehenden Dienst- und Kundenverhältnissen stehen, welche aber nicht der Vertragserfüllung direkt dienen, z.B. konzerninterne Datenübermittlungen. So ist z.B. die Übermittlung personenbezogener Daten der Fördernehmer*innen an die Transparenzdatenbank und die Abfrage dieser Daten bereits aufgrund der berechtigten Interessen der Fördergeber*innen an einer rechtmäßigen Förderabwicklung und der Verhinderung von Fördermissbrauch zulässig.

Zu beachten ist bei der Interessenabwägung, dass immer dann, wenn die betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person überwiegen können. Auch die Absehbarkeit der Datenverwendung muss bei der Interessenabwägung berücksichtigt werden („Branchenüblichkeit“).

Die Interessenabwägung sollte aufgrund der Rechenschaftsverpflichtung (Art 5 Abs. 2 DSGVO) jedenfalls schriftlich und nachvollziehbar für jeden Einzelfall dokumentiert erfolgen. Dabei sollte folgende Struktur eingehalten werden:

  1. Darlegung des berechtigten Interesses (des Verantwortlichen oder von Dritten) zur Datenverarbeitung;

  2. Begründung, dass die geplante Datenverarbeitung zur Erreichung des berechtigten Interesses (unbedingt) notwendig ist;

  3. Darstellung der infrage kommenden Grundrechte, Grundfreiheiten bzw. der berechtigten Interessen der von der geplanten Datenverarbeitung betroffenen Person(en) sowie Abwägung, ob das für die Datenverarbeitung angenommene berechtigte Interesse überwiegt.

7.2.2 Verarbeitung von personenbezogenen Daten über strafrechtlich relevante Daten

Für strafrechtlich relevante Daten hat der österreichische Gesetzgeber auf Grundlage des Art 10 DSGVO in § 4 Abs. 3 DSG eine nationale Regelung geschaffen, wonach Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten oder bestehende Verurteilungen, zulässigerweise nur dann verarbeitet werden können, wenn

  1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung solcher Daten besteht oder

  2. sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art 6 Abs. 1 lit. f DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet.

In der Praxis der Förderabwicklung ist diese Bestimmung dann von Relevanz, wenn von den Förderwerber*innen bzw. vom jeweiligen vertretungsbefugten Organ die Vorlage eines Strafregisterauszuges (insbesondere z.B. im Hinblick auf bestehende Verurteilungen aufgrund strafbarer Handlungen gegen fremdes Vermögen iSd §§ 125 bis 168d StGB) verlangt wird. Die Verarbeitung ist dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die schutzwürdigen Interessen der betroffenen Person nicht überwiegen. Bei der notwendigen Interessenabwägung wäre das zuvor dargestellte Prüfschema zu verwenden.

Die Vermeidung von Fördermissbrauch und damit einhergehend die rechtmäßige Verwendung öffentlicher Mittel wird im Rahmen einer Interessenabwägung wohl meist zum Ergebnis führen, dass die Wahrung der berechtigten Interessen des Verantwortlichen überwiegt. Dabei ist aber jedenfalls zusätzlich zu beachten, dass die Art und Weise der Datenverarbeitung die Wahrung der Interessen der betroffenen Person nach der DSGVO und dem DSG gewährleistet (insbesondere Anspruch auf Geheimhaltung, strenge Zweckbindung etc.).

Aufgrund der Rechenschaftspflicht (Art 5 Abs. 2 sowie Art 24 DSGVO), ist es erforderlich, auch diese Interessenabwägung in jedem einzelnen Fall zu dokumentieren.

7.2.3 Verarbeitung von personenbezogenen Daten besonderer Kategorien

Art 9 DSGVO regelt die Datenverarbeitung hinsichtlich personenbezogener Daten besonderer Kategorien (zuvor als „besonders schützenswert“ umschrieben). Dabei handelt es sich um Daten, deren Verarbeitung für die betroffene Person mit besonders hohen Risiken verbunden ist: Daten, aus denen die rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Für diese Daten sieht Art 9 DSGVO ebenso wie für „normale Daten“ ein generelles Verarbeitungsverbot mit bestimmten taxativ aufgezählten Ausnahmeregelungen vor (vgl. Art 9 Abs. 2 lit. a bis j DSGVO).

Für die Verarbeitung personenbezogener Daten besonderer Kategorien sind die in der Praxis der Förderabwicklung besonders relevanten Erlaubnistatbestände der "Vertragserfüllung" sowie die Stützung auf "berechtigte Interessen" als Rechtsgrundlage für die Datenverarbeitung nicht vorgesehen und daher nicht möglich. Eine Datenverarbeitung in diesem Bereich könnte beispielsweise auf eine gesetzliche Grundlage, die die Anforderungen des Art 9 Abs. 2 DSGVO erfüllt, gestützt werden. Widrigenfalls kommt eine ausdrückliche Einwilligung der betroffenen Person in Betracht.

Die „Einwilligung“ der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art 4 Z 11 DSGVO, vgl. auch zu den erforderlichen Bedingungen einer Einwilligung Art 7 DSGVO). Aber auch hier ist zu beachten, dass die Daten für die jeweilige Förderabwicklung von Relevanz sein müssen und die Einwilligung jederzeit widerrufen werden kann. Datenverarbeitungen auf Basis einer Einwilligung müssen im Falle des Widerrufs eingestellt werden, d.h. die diesbezüglichen personenbezogenen Daten gelöscht werden.

7.2.4 Informationsaustausch zwischen Fördergeber*innen

§ 3 des Wiener Fördertransparenzgesetzes enthält eine ausdrückliche datenschutzrechtliche Ermächtigung für den Informationsaustausch zwischen verschiedenen Fördergeber*innen, soweit dies für die Förderabwicklung und den Abschluss des Fördervertrages und für Kontrollzwecke erforderlich ist – beispielsweise zur Prüfung von Fördervoraussetzungen oder zur Vermeidung von unerwünschten Doppel- oder Mehrfachförderungen.