Ist eine Datenschutzeinwilligung im Arbeitsverhältnis in Österreich überhaupt wirksam?

Die Frage der Wirksamkeit von Datenschutzeinwilligungen im Arbeitsverhältnis ist in Österreich und der EU umstritten: Der Europäische Datenschutzausschuss (EDSA) hat in seiner Leitlinie 05/2020 klargestellt, dass im Beschäftigungskontext eine Einwilligung aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer selten als freiwillig gelten kann. Die österreichische Datenschutzbehörde (DSB) folgt dieser Leitlinie. Eine Einwilligung im Arbeitsverhältnis ist dennoch wirksam, wenn sie folgende Voraussetzungen erfüllt: (1) Echte Wahlfreiheit: Der Mitarbeiter muss frei entscheiden können, ohne negative Konsequenzen bei Ablehnung zu befürchten. (2) Klarer Vorteil für den Mitarbeiter: z.B. Nutzung des Firmenfahrzeugs auch privat gegen GPS-Tracking. (3) Keine Kopplung an Vertragsbedingungen: Die Einwilligung darf nicht als Voraussetzung für den Arbeitsvertrag gestellt werden. (4) Jederzeit widerrufbar: Ohne Nachteile für das Arbeitsverhältnis. Praktisches Ergebnis: Für Standard-HR-Prozesse (Gehaltsabrechnung, ASVG-Meldung, Dienstzeugnis) niemals Einwilligung verwenden — dort gilt Art. 6 Abs. 1 lit. b/c DSGVO. Einwilligungen nur für echte Freiwilligkeitsszenarien (Mitarbeiterfotos, biometrische Zugangssysteme mit Alternativen, Mitarbeitervorteilsprogramme).

Kann ein Mitarbeiter eine erteilte Einwilligung in Österreich widerrufen?

Ja, jede Datenschutzeinwilligung kann nach Art. 7 Abs. 3 DSGVO jederzeit und ohne Angabe von Gründen widerrufen werden. Der Widerruf hat folgende Konsequenzen: Sofortige Wirkung: Ab Eingang des Widerrufs beim Verantwortlichen (Arbeitgeber) dürfen die auf Einwilligung gestützten Daten nicht mehr verarbeitet werden. Keine rückwirkende Wirkung: Vor dem Widerruf rechtmäßig durchgeführte Verarbeitungen bleiben rechtmäßig — der Widerruf wirkt nur für die Zukunft (Art. 7 Abs. 3 Satz 3 DSGVO). Löschpflicht: Nach Widerruf sind die Daten zu löschen, soweit keine andere Rechtsgrundlage die Weiterverarbeitung erlaubt (z.B. steuerrechtliche Aufbewahrungspflicht nach §132 BAO für 7 Jahre). Keine Nachteile: Der Widerruf darf nicht zu Nachteilen für das Arbeitsverhältnis führen (Art. 7 Abs. 3 Satz 1 DSGVO — Widerruf darf nicht mit schlechteren Konditionen verbunden sein). Wenn dem Mitarbeiter nach Widerruf tatsächlich Nachteile entstehen (Kündigung, Gehaltskürzung), ist dies eine DSGVO-Verletzung, die er bei der Datenschutzbehörde (DSB, dsb.gv.at) und beim Arbeits- und Sozialgericht (ASG Wien) geltend machen kann. Widerrufsprozess: Der Arbeitgeber muss einen einfachen Widerrufsmechanismus bereitstellen — E-Mail, schriftliche Erklärung oder Online-Formular. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung.

Braucht ein österreichisches Unternehmen einen Datenschutzbeauftragten?

Ein österreichisches Unternehmen (als Arbeitgeber) muss nach Art. 37 DSGVO in folgenden Fällen einen Datenschutzbeauftragten (DSB-Beauftragter, Data Protection Officer — DPO) bestellen: (1) Öffentliche Stelle: Alle Behörden, Schulen, Universitäten und öffentliche Einrichtungen müssen immer einen DPO bestellen (Art. 37 Abs. 1 lit. a DSGVO). (2) Umfangreiche, regelmäßige Überwachung: Wenn Kerntätigkeit des Unternehmens die umfangreiche, regelmäßige und systematische Überwachung von Personen ist (z.B. Google, Facebook) — Art. 37 Abs. 1 lit. b DSGVO. (3) Umfangreiche Verarbeitung sensibler Daten: Wenn Kerntätigkeit die umfangreiche Verarbeitung von Art.-9-DSGVO-Daten (Gesundheitsdaten, biometrische Daten) ist (z.B. Krankenhäuser, Versicherungen) — Art. 37 Abs. 1 lit. c DSGVO. Für die meisten KMU in Österreich (Handwerksbetriebe, Handelsbetriebe, Dienstleistungsunternehmen) ist kein DPO Pflicht — wird jedoch von der Wirtschaftskammer Österreich (WKO) empfohlen. Unternehmen mit mehr als 250 Mitarbeitern oder mit regelmäßiger Verarbeitung sensibler Mitarbeiterdaten sollten einen internen oder externen DPO bestellen. Kosten: Externer DPO-Service ab ca. €200/Monat von spezialisierten Datenschutzkanzleien.

Welche Mitarbeiterdaten darf ein Arbeitgeber in Österreich ohne Einwilligung verarbeiten?

Ein Arbeitgeber in Österreich darf folgende Mitarbeiterdaten ohne gesonderte Einwilligung verarbeiten — sie stützen sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder lit. c (rechtliche Verpflichtung): Identifikationsdaten (Name, Geburtsdatum, Wohnadresse, SVNR nach §31 ASVG): Erforderlich für die ASVG-Anmeldung (ELDA-Portal) und die Abwicklung des Dienstverhältnisses. Bankverbindung (IBAN): Für die Gehaltsüberweisung. Lohnsteuerrelevante Daten (Steuernummer, EStG-Voranmeldung): Nach §76 EStG 1988 gesetzlich verpflichtend. Krankheit und Krankenstandsdaten (Dauer, nicht Diagnose): Für Entgeltfortzahlung nach AngG §8 und ASVG-Krankengeld-Meldungen. ASVG-Beitragsgruppe und Entgelt: Für die monatliche Beitragsabrechnung bei der ÖGK. Qualifikationen und Berufserfahrung: Für die KV-Einreihung und Stellenbeschreibung. Was NICHT ohne Einwilligung verarbeitet werden darf (Art. 9 DSGVO): Diagnosen und Gesundheitsdaten über den Krankenstand hinaus; biometrische Daten (Fingerabdruck, Foto für Personenidentifizierung); Gewerkschaftszugehörigkeit; sexuelle Orientierung; politische Meinungen; religiöse Überzeugungen. Für diese Daten ist eine ausdrückliche Einwilligung oder eine andere Art.-9-Abs.-2-DSGVO-Ausnahme erforderlich.

Was sind die Rechte eines Mitarbeiters gegenüber dem Arbeitgeber in Datenschutzfragen?

Mitarbeiter in Österreich haben gegenüber ihrem Arbeitgeber als Verantwortlichen (Controller) folgende Datenschutzrechte nach DSGVO: Auskunftsrecht (Art. 15 DSGVO): Der Mitarbeiter hat jederzeit das Recht, Auskunft über alle über ihn gespeicherten Daten, deren Herkunft, Zweck, Empfänger und Speicherdauer zu erhalten. Der Arbeitgeber muss innerhalb von 30 Tagen antworten (Art. 12 Abs. 3 DSGVO). Recht auf Berichtigung (Art. 16): Falsche Daten müssen berichtigt werden. Recht auf Löschung (Art. 17 — Recht auf Vergessenwerden): Nach Beendigung des Dienstverhältnisses und Ablauf aller gesetzlichen Aufbewahrungsfristen. Recht auf Einschränkung (Art. 18): Bei strittigen Daten kann der Mitarbeiter die Verarbeitung einschränken. Recht auf Datenübertragbarkeit (Art. 20): Bei einwilligungsbasierter oder vertragsbasierter Verarbeitung: Herausgabe der Daten in maschinenlesbarem Format (CSV, XML). Widerspruchsrecht (Art. 21): Bei Datenverarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Beschwerde bei der Datenschutzbehörde (Art. 77): Bei Verletzung der Datenschutzrechte kann der Mitarbeiter Beschwerde bei der österreichischen Datenschutzbehörde (DSB, Wickenburggasse 8, 1080 Wien, dsb@dsb.gv.at, 0043 1 52 152-0) einbringen. Sanktionen: DSB kann Bußgelder bis €20 Millionen verhängen.

Wie lange darf ein Arbeitgeber in Österreich Mitarbeiterdaten nach dem Ausscheiden aufbewahren?

Die Aufbewahrungsfristen für Mitarbeiterdaten in Österreich ergeben sich aus verschiedenen Rechtsgrundlagen: Steuerrecht (BAO §212 und §131): Lohnunterlagen (Gehaltsabrechnungen, Jahreslohnzettel, Dienstvertrag) müssen 7 Jahre aufbewahrt werden (Aufbewahrungsfrist nach §212 BAO — Bundesabgabenordnung, BGBl Nr. 194/1961). Sozialversicherungsrecht (ASVG §41a): Beitragsabrechnungsunterlagen für die ÖGK-Prüfung 7 Jahre. Arbeitsrecht (Zeitaufzeichnungen nach AZG): Arbeitszeitaufzeichnungen nach §26 AZG mindestens 5 Jahre. Pensionsversicherung (PVA §116 ASVG): Angaben für die Pensionskontomitteilung 7 Jahre. Zivilrecht (ABGB §1489): Für Schadensersatzansprüche (DNHG) gilt eine 3-jährige Verjährungsfrist — Unterlagen sollten 3 Jahre nach Ausscheiden aufbewahrt werden. Grundsatz der Speicherbegrenzung (DSGVO Art. 5 Abs. 1 lit. e): Nach Ablauf aller gesetzlichen Aufbewahrungsfristen sind Mitarbeiterdaten zu löschen. Empfehlung Praxis: Mitarbeiterdaten generell 7 Jahre nach Ausscheiden aufbewahren (deckt alle steuerrechtlichen und sozialversicherungsrechtlichen Fristen ab). Danach sicher löschen (DSGVO-konformes Löschen nach Verarbeitungsverzeichnis, Art. 30 DSGVO).

Was ist die österreichische Datenschutzbehörde und welche Befugnisse hat sie?

Die österreichische Datenschutzbehörde (DSB) ist die nach Art. 51 DSGVO und §18 DSG eingerichtete unabhängige Aufsichtsbehörde für Datenschutz in Österreich. Sitz: Wickenburggasse 8, 1080 Wien. Website: dsb.gv.at. E-Mail: dsb@dsb.gv.at. Leiterin: Dr. Andrea Jelinek (2024). Die DSB hat folgende Befugnisse: Untersuchungsbefugnisse: Anordnung von Auskunftsersuchen, Durchführung von Datenschutzprüfungen, Zugang zu Räumlichkeiten und Systemen (Art. 58 Abs. 1 DSGVO). Korrekturabefugnisse: Verwarnung, Verweis, Anordnung zur Berichtigung, Einschränkung oder Löschung von Daten, Verhängung eines vorübergehenden oder dauerhaften Verarbeitungsverbots (Art. 58 Abs. 2 DSGVO). Sanktionsbefugnisse: Verhängung von Geldstrafen bis zu €20.000.000 oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Österreichische DSB-Bußgeldpraxis 2023/2024: Bußgelder von €500 (kleine Verstöße bei KMU) bis €200.000 (schwerwiegende Verstöße bei größeren Unternehmen). Beschwerderecht (Art. 77 DSGVO): Jeder Betroffene kann bei der DSB Beschwerde einlegen, wenn er der Meinung ist, dass seine Datenschutzrechte verletzt wurden. Die DSB entscheidet innerhalb von 3 Monaten; bei Beschwerde über die DSB-Entscheidung ist Klage beim Bundesverwaltungsgericht (BVwG) möglich.

Datenschutzeinwilligung Mitarbeiter Österreich

DSGVO Art. 7 (EU Nr. 2016/679); DSG §4 (BGBl I Nr. 24/2018)

EINWILLIGUNGSERKLÄRUNG ZUR DATENVERARBEITUNG

gemäß DSGVO Art. 7 (EU Nr. 2016/679) und Datenschutzgesetz (DSG) §4 (BGBl I Nr. 24/2018)

1. VERANTWORTLICHER

Unternehmen: [Unternehmen Name] Firmenbuchnummer: [Firmenbuch Nr] Adresse: [Unternehmen Adresse] Kontakt für Datenschutzanfragen: [Datenschutz Kontakt]

2. BETROFFENE PERSON (MITARBEITER)

Name: [Mitarbeiter Name] Geburtsdatum: [Mitarbeiter Geburtsdatum] Funktion: [Mitarbeiter Funktion]

3. DATENVERARBEITUNG

3.1

Art der verarbeiteten personenbezogenen Daten: [Daten Art]

3.2

Spezifischer Verarbeitungszweck (Art. 5 Abs. 1 lit. b DSGVO — Zweckbindung): [Verarbeitungs Zweck]

3.3

Empfänger der Daten: [Empfänger]

3.4

Voraussichtliche Speicherdauer (Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung): [Speicherdauer]

3.5

Übermittlung in Drittländer außerhalb der EU: [Drittland Übermittlung]

4. BETROFFENENRECHTE (ART. 13–22 DSGVO)

Als betroffene Person stehen Ihnen folgende Rechte zu: • Auskunftsrecht (Art. 15 DSGVO): Recht auf Auskunft über alle über Sie gespeicherten Daten • Recht auf Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger Daten • Recht auf Löschung (Art. 17 DSGVO): Löschung nach Ablauf des Zwecks • Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung bei strittigen Daten • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe in maschinenlesbarem Format • Widerspruchsrecht (Art. 21 DSGVO): Widerspruch bei Verarbeitung auf Basis berechtigter Interessen • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Jederzeit widerrufbar durch E-Mail an: [Datenschutz Kontakt] • Beschwerderecht (Art. 77 DSGVO): Beschwerde bei der Datenschutzbehörde (DSB), Wickenburggasse 8, 1080 Wien, [email protected]

5. FREIWILLIGKEITSBESTÄTIGUNG

Ich bestätige, dass ich diese Einwilligung freiwillig erteile. Mir ist bewusst, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen und ohne negative Konsequenzen für mein Dienstverhältnis widerrufen kann. Die Verweigerung oder der Widerruf dieser Einwilligung hat keinerlei nachteilige Auswirkungen auf mein Arbeitsverhältnis mit [Unternehmen Name]. Der Widerruf ist wirksam ab Eingang bei: [Datenschutz Kontakt]

6. EINWILLIGUNG

Hiermit willige ich, [Mitarbeiter Name], nach vollständiger Information über die oben beschriebene Datenverarbeitung in die Verarbeitung meiner personenbezogenen Daten gemäß DSGVO Art. 7 und DSG §4 ein.

[Einwilligungs Ort], am [Einwilligungs Datum]

________________________________ Unterschrift des Mitarbeiters [Mitarbeiter Name]

________________________________ Bestätigung Empfang durch Arbeitgeber [Unternehmen Name]

Mitarbeiter (Einwilligender)

________________

Signature

Arbeitgeber (Verantwortlicher)

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Datenschutzeinwilligung Mitarbeiter Österreich?

Die Datenschutzeinwilligung Mitarbeiter ist ein nach DSGVO Art. 7 (EU Nr. 2016/679); DSG §4 (BGBl I Nr. 165/1999 idF BGBl I Nr. 24/2018) geregeltes Rechtsdokument in Österreich. Er verfügt die Verteilung des Nachlasses an die im Testament benannten Begünstigten nach dem Tod.

Im Arbeitsverhältnis ist die Einwilligung nach DSGVO Art. 7 jedoch eine problematische Rechtsgrundlage, da das Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer die Freiwilligkeit der Einwilligung in Frage stellt. Der Österreichische Datenschutzrat und die Datenschutzbehörde (DSB) haben in ihrer Praxis anerkannt, dass im Arbeitsverhältnis Einwilligungen nur in klar abgegrenzten Situationen als freiwillig gelten können — etwa wenn der Arbeitnehmer einen tatsächlichen Vorteil erhält oder die Verweigerung keine negativen Konsequenzen hat (Datenschutzbehörde, DSB-D123.270/0005-DSB/2019). Für die meisten arbeitsrechtlichen Datenverarbeitungen ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) die sachgerechtere Rechtsgrundlage.

Dennoch gibt es im österreichischen Arbeitsverhältnis Situationen, in denen eine Mitarbeiter-Einwilligung nach DSGVO Art. 7 erforderlich ist: bei der Nutzung von Mitarbeiterfotos für Marketingzwecke (Recht am eigenen Bild nach §78 UrhG — Urheberrechtsgesetz, BGBl Nr. 111/1936); bei der Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten nach Art. 9 DSGVO, z.B. Fingerabdruckscan für Zugangssysteme); bei der freiwilligen Teilnahme an anonymisierten Mitarbeiterbefragungen; bei der Weitergabe von Kontaktdaten an Betriebsräte oder externe Partner.

Das Datenschutzgesetz (DSG) §4 Abs. 2 legt fest, dass die Einwilligung eines Arbeitnehmers für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit) immer schriftlich erfolgen muss. Die Datenschutzbehörde (DSB, drv.gv.at) ist die zuständige Aufsichtsbehörde nach Art. 51 DSGVO und kann bei Verstößen Geldstrafen bis €20.000.000 oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) verhängen.

Der Europäische Datenschutzausschuss (EDSA/EDPB) hat in seiner Leitlinie 05/2020 zur Einwilligung klargestellt, dass im Beschäftigungskontext eine Einwilligung regelmäßig nicht freiwillig und damit unwirksam ist. Die österreichische Datenschutzbehörde folgt dieser Leitlinie — eine wirksame Mitarbeiter-Einwilligung setzt voraus: echte Wahlfreiheit, kein Nachteil bei Verweigerung, klare Abtrennbarkeit von anderen Einwilligungen (Koppelungsverbot nach Art. 7 Abs. 4 DSGVO).

Die österreichische Datenschutzbehörde (DSB, dsb.gv.at) hat in zahlreichen Bescheiden klargestellt, dass Einwilligungen von Arbeitnehmern nach Art. 7 DSGVO im Beschäftigungskontext einer erhöhten Beweislastpflicht unterliegen. Der Verantwortliche (Arbeitgeber) muss nachweisen, dass die Einwilligung freiwillig, informiert, ausdrücklich und jederzeit widerrufbar erfolgt ist. Das Schriftformgebot für Arbeitnehmer-Einwilligungen nach SS 4 Abs. 1 DSG erleichtert diese Nachweisführung erheblich. EWR-Dimension: Die DSGVO gilt in allen 27 EU-Mitgliedstaaten sowie in Norwegen, Island und Liechtenstein. Für österreichische Arbeitgeber bedeutet das: Datenübermittlungen innerhalb des EWR sind ohne spezielle Genehmigung zulässig (Art. 44 DSGVO). Für Übermittlungen in Drittstaaten (z.B. USA, Indien, China) gelten hingegen die strengen Anforderungen der Art. 44-49 DSGVO.

Wann brauchen Sie Datenschutzeinwilligung Mitarbeiter Österreich?

Die Datenschutzeinwilligung für Mitarbeiter in Österreich nach DSGVO Art. 7 und DSG §4 wird in folgenden Situationen benötigt:

Mitarbeiterfotos und -videos für Öffentlichkeitsarbeit: Wenn der Arbeitgeber Fotos oder Videos des Mitarbeiters für die Unternehmenswebsite, Social-Media-Kanäle, Broschüren oder Marketingmaterialien verwenden möchte, bedarf dies einer ausdrücklichen schriftlichen Einwilligung nach §78 UrhG (Recht am eigenen Bild) in Verbindung mit DSGVO Art. 6 Abs. 1 lit. a und Art. 7. Der Arbeitnehmer kann diese Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO).

Biometrische Daten für Zugangssysteme: Wenn der Arbeitgeber biometrische Daten (Fingerabdruck, Gesichtserkennung, Venenscan) für Zugangskontrollsysteme verarbeitet, handelt es sich um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Eine ausdrückliche schriftliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO und DSG §4 Abs. 2 ist erforderlich, wenn keine andere Rechtsgrundlage (Betriebsvereinbarung nach §96 Abs. 1 Z 3 ArbVG) vorliegt.

Freiwillige Mitarbeiterumfragen und Feedback-Programme: Bei anonymisierten oder pseudonymisierten Mitarbeiterumfragen kann die Einwilligung als Rechtsgrundlage dienen, wenn die Teilnahme wirklich freiwillig ist und keine negativen Folgen bei Nicht-Teilnahme entstehen.

Verarbeitung von Gesundheitsdaten: Bei der Erfassung von Gesundheitsdaten des Arbeitnehmers, die über die ASVG-Pflichten (§4 ASVG) und die Entgeltfortzahlung (AngG §8) hinausgehen — z.B. freiwillige betriebliche Gesundheitsförderung, Gesundheitschecks — ist eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich.

Weitergabe von Mitarbeiterdaten an externe Partner: Wenn personenbezogene Daten des Mitarbeiters an Dritte (z.B. externe Schulungsanbieter, Mitarbeitervorteilsprogramme, betriebliche Sozialeinrichtungen) weitergegeben werden sollen, ist eine Einwilligung erforderlich, soweit keine andere DSGVO-Rechtsgrundlage (Art. 6 Abs. 1 lit. b oder c) einschlägig ist.

Bei Nutzung von Mitarbeiterfotos auf Unternehmenswebsite und Social Media: Die Veroefffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite (SS 78 UrhG) und auf sozialen Netzwerken bedarf der ausdrücklichen Einwilligung des Mitarbeiters. Diese Einwilligung muss separat für jeden Verwendungskontext eingeholt werden. Bei der Einführung biometrischer Zugangssysteme: Biometrische Daten sind nach Art. 9 DSGVO besondere Kategorie personenbezogener Daten. Für ihre Verarbeitung ist eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich. Ohne Rechtsgrundlage ist der Einsatz biometrischer Systeme verboten und mit Bussgeld bis zu 4 Mio. Euro oder 2% des globalen Jahresumsatzes bedroht (Art. 83 Abs. 4 DSGVO). Bei Videoüberwachung am Arbeitsplatz: Videoüberwachung am Arbeitsplatz (SS 12 DSG) ist in Österreich nur unter strengen Voraussetzungen zulässig: Betriebsvereinbarung (SS 96 Abs. 1 Z 3 ArbVG) oder bei Fehlen eines Betriebsrats die ausdrückliche Einwilligung jedes einzelnen Mitarbeiters.

Was gehört in Ihr Datenschutzeinwilligung Mitarbeiter Österreich?

Die Datenschutzeinwilligung für Mitarbeiter in Österreich nach DSGVO Art. 7 und DSG §4 enthält folgende wesentliche Elemente. Auf forms-legal.com steht eine vollständig konforme Vorlage bereit, die alle Anforderungen der DSGVO und des DSG erfüllt.

Identifikation des Verantwortlichen (Controller): Vollständiger Name des Arbeitgebers (Firma, Firmenbuchnummer nach FBG), Adresse und Kontaktdaten des Datenschutzbeauftragten (DSB — data protection officer, sofern nach Art. 37 DSGVO bestellt — für Unternehmen mit regelmäßig mehr als 250 Mitarbeitern oder mit umfangreicher Verarbeitung sensibler Daten).

Beschreibung der verarbeiteten Daten: Genaue Angabe, welche personenbezogenen Daten verarbeitet werden (Art, Umfang, Kategorie). Bei Gesundheitsdaten oder biometrischen Daten (Art. 9 DSGVO): besondere Kennzeichnung als besondere Kategorie. Angabe der Datenherkunft (direkt vom Arbeitnehmer erhoben vs. aus anderen Quellen).

Zweck der Verarbeitung: Klare, spezifische Beschreibung des Verarbeitungszwecks nach dem Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b DSGVO). Keine pauschale Einwilligung für alle möglichen Zwecke — jeder Zweck muss einzeln beschrieben werden. Getrennte Einwilligungen für verschiedene Zwecke (Koppelungsverbot nach Art. 7 Abs. 4 DSGVO).

Empfänger der Daten: Angabe aller Kategorien von Empfängern (intern: andere Abteilungen; extern: Drittanbieter, Auftragsverarbeiter nach Art. 28 DSGVO). Bei Übermittlung in Drittländer außerhalb der EU: Angabe der Garantien (Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO, Angemessenheitsbeschluss nach Art. 45 DSGVO).

Rechte des Arbeitnehmers (Betroffenenrechte, Art. 13–22 DSGVO): Ausdrücklicher Hinweis auf: Recht auf Auskunft (Art. 15 DSGVO); Recht auf Berichtigung (Art. 16); Recht auf Löschung (Art. 17 — „Recht auf Vergessenwerden"); Recht auf Einschränkung (Art. 18); Recht auf Datenübertragbarkeit (Art. 20); Widerspruchsrecht (Art. 21); jederzeitiger Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) ohne Nachteile.

Freiwilligkeitsbestätigung: Ausdrückliche Bestätigung, dass die Einwilligung freiwillig erteilt wird und kein Nachteil bei Verweigerung entsteht — erforderlich nach DSGVO Art. 7 und der DSB-Praxis. Hinweis auf das Beschwerderecht bei der Datenschutzbehörde (DSB, Wickenburggasse 8, 1080 Wien, [email protected]) nach Art. 77 DSGVO.

Beschreibung des Verarbeitungszwecks (Art. 5 Abs. 1 lit. b DSGVO - Zweckbindung): Die Einwilligung muss für jeden konkreten Verarbeitungszweck separat eingeholt werden. Globale oder unspezifische Einwilligungen sind nach Art. 7 DSGVO unwirksam. Jeder Zweck ist klar und verständlich zu beschreiben: Wofür werden die Daten verwendet? Welche Entscheidungen werden auf Basis dieser Daten getroffen? Wie lange werden die Daten gespeichert? Angabe der Empfänger (Art. 13 Abs. 1 lit. e DSGVO): Die Einwilligung muss alle Empfänger der Daten benennen: interne Abteilungen (Personalverrechnungsstelle, Buchhaltung), externe Dienstleister (Steuerberater, Lohnabrechnungssoftware-Anbieter, OeGK), Konzerngesellschaften, staatliche Stellen (Finanzamt über FinanzOnline). Widerrufshinweis und -mechanismus (Art. 7 Abs. 3 DSGVO): Die Einwilligung muss einen ausdrücklichen Hinweis auf das jederzeitige Widerrufsrecht enthalten, einschliesslich eines konkreten Widerrufsmechanismus. Der Widerruf darf dem Mitarbeiter nicht zum Nachteil gereichen. Nach Widerruf muss die Verarbeitung innerhalb von 1 Monat eingestellt werden.

Verfahrensverzeichnis (Art. 30 DSGVO): Jede Verarbeitungstaetigkeit, für die eine Einwilligung eingeholt wird, muss im Verfahrensverzeichnis des Verantwortlichen erfasst werden. Das Verfahrensverzeichnis muss enthalten: Zweck der Verarbeitung, Kategorien der betroffenen Personen, Kategorien der Empfänger, Speicherdauer, technische und organisatorische Massnahmen (TOMs). Zugang zur DSB-Mustervorlagen: Die österreichische Datenschutzbehörde (DSB) stellt auf dsb.gv.at Mustervorlagen für Datenschutzerklärungen, Einwilligungsformulare und Verfahrensverzeichnisse zur Verfügung. Diese Muster geben Orientierung, sind aber an den konkreten Betrieb anzupassen.

So füllen Sie Ihr Datenschutzeinwilligung Mitarbeiter Österreich aus

Die Datenschutzeinwilligung für Mitarbeiter in Österreich füllen Sie Schritt für Schritt aus:

Schritt 1: Prüfen ob Einwilligung die richtige Rechtsgrundlage ist. Bevor Sie eine Einwilligungserklärung erstellen, prüfen Sie, ob für die geplante Datenverarbeitung nicht eine andere DSGVO-Rechtsgrundlage besser geeignet ist: Art. 6 Abs. 1 lit. b (Vertragserfüllung — für Gehaltsabrechnung, ASVG-Meldung) oder lit. c (rechtliche Verpflichtung — Steuerrecht, ASVG §§33, 41a). Einwilligungen sollten nur für freiwillige Zusatzdienste verwendet werden, nicht für obligatorische HR-Prozesse.

Schritt 2: Verantwortlichen und DSB-Beauftragten eintragen. Vollständiger Name des Unternehmens (Firmenbuch), Adresse und — sofern vorhanden — den Datenschutzbeauftragten (Art. 37 DSGVO) mit Kontaktdaten. Für Unternehmen mit >250 Mitarbeitern oder mit systematischer Verarbeitung sensibler Daten ist ein DSB-Beauftragter nach Art. 37 Abs. 1 lit. b/c DSGVO zu bestellen.

Schritt 3: Verarbeitungszweck präzise formulieren. Vermeiden Sie vage Formulierungen wie „für interne Zwecke" oder „zur Verwaltung des Dienstverhältnisses". Beschreiben Sie jeden Zweck spezifisch: „Verwendung des Mitarbeiterfotos auf der Unternehmenswebsite www.firma.at unter der Rubrik 'Unser Team'". Je konkreter der Zweck, desto besser ist die Einwilligung rechtssicher.

Schritt 4: Daten und Empfänger auflisten. Liste aller Datenkategorien: Vor- und Nachname, Foto, Funktion, E-Mail. Alle Empfänger: intern (Marketingabteilung), extern (Werbeagentur als Auftragsverarbeiter nach Art. 28 DSGVO). Bei Drittlandübermittlung (USA, Indien): Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO nennen.

Schritt 5: Betroffenenrechte vollständig informieren. Fügen Sie einen vollständigen Abschnitt über Betroffenenrechte nach Art. 13 DSGVO ein — besonders: Recht auf Widerruf der Einwilligung jederzeit ohne Nachteile (Art. 7 Abs. 3 DSGVO); Recht auf Beschwerde bei der österreichischen Datenschutzbehörde (DSB, Wickenburggasse 8, 1080 Wien).

Schritt 6: Freiwilligkeit und Widerrufsmöglichkeit deutlich machen. Fügen Sie eine explizite Bestätigung des Arbeitnehmers ein, dass er die Einwilligung freiwillig erteilt und über das Widerrufsrecht informiert wurde. Dokumentieren Sie den Zeitpunkt der Einholung der Einwilligung (Datum, Uhrzeit) und archivieren Sie das Dokument sicher (DSGVO Art. 7 Abs. 1 — Nachweispflicht des Verantwortlichen).

Schritt 7: Einwilligung archivieren und Widerrufsprozess einrichten. Bewahren Sie die Einwilligung bis 3 Jahre nach dem Ausscheiden des Mitarbeiters auf (Verjährung nach §1489 ABGB). Richten Sie einen einfachen Widerrufsprozess ein (E-Mail an [email protected]), den der Mitarbeiter jederzeit nutzen kann.

Schritt 6: Widerrufsprotokoll einrichten. Richten Sie ein internes Register ein, das alle erteilten und widerrufenen Einwilligungen erfasst. Das Verzeichnis der Verarbeitungstätigkeiten (VVT nach Art. 30 DSGVO) muss alle Einwilligungen mit Datum, Inhalt und Status (aktiv/widerrufen) enthalten. Bei Betrieben mit über 250 Mitarbeitern ist das VVT gesetzlich verpflichtend. Schritt 7: Datenschutzfolgenabschätzung (DSFA) prüfen. Bei Verarbeitung von Gesundheitsdaten, biometrischen Daten oder GPS-Tracking-Daten ist nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, bevor die Verarbeitung beginnt. Das Ergebnis ist schriftlich zu dokumentieren und mindestens 3 Jahre aufzubewahren.

Rechtliche Anforderungen für Datenschutzeinwilligung Mitarbeiter Österreich

Die Datenschutzeinwilligung für Mitarbeiter in Österreich unterliegt folgenden zwingenden Rechtsvorschriften:

DSGVO Art. 4 Z 11 — Definition der Einwilligung: Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Im Beschäftigungskontext zweifelt der EDSA (Europäischer Datenschutzausschuss, Leitlinie 05/2020) systematisch an der Freiwilligkeit. Eine Einwilligung gilt als unwirksam, wenn der Arbeitnehmer bei Verweigerung Nachteile befürchten muss.

DSGVO Art. 7 — Bedingungen für die Einwilligung: Der Verantwortliche muss nachweisen können, dass die Einwilligung erteilt wurde (Dokumentationspflicht, Art. 7 Abs. 1); die Einwilligung muss von anderen Sachverhalten klar abgetrennt sein (Art. 7 Abs. 2 — Koppelungsverbot); der Betroffene muss über das Widerrufsrecht informiert werden (Art. 7 Abs. 3); Koppelungsverbot nach Art. 7 Abs. 4 — Dienstleistungserbringung darf nicht von einer nicht erforderlichen Einwilligung abhängig gemacht werden.

DSGVO Art. 9 — Besondere Datenkategorien: Für die Verarbeitung von Gesundheitsdaten, biometrischen Daten (Fingerabdruck, Irisscan), Daten zur Gewerkschaftszugehörigkeit oder über strafrechtliche Verurteilungen bedarf es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. DSG §4 Abs. 2 schreibt für solche Einwilligungen die Schriftform vor.

DSG §4 — Österreichische Spezialregelung: Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO durch besondere Regelungen für sensible Daten. §4 Abs. 2 DSG verlangt für die Verarbeitung von Art.-9-DSGVO-Daten eine ausdrückliche, schriftliche Einwilligung mit klar beschriebenem Verwendungszweck.

Art. 13 DSGVO — Informationspflichten: Bei jeder Einwilligung müssen dem Mitarbeiter alle Informationen nach Art. 13 DSGVO bereitgestellt werden (Identity des Verantwortlichen, DSB-Beauftragter, Zweck, Rechtsgrundlage, Empfänger, Drittlandübermittlung, Speicherdauer, Betroffenenrechte, Beschwerderecht bei DSB). Fehlende Informationen machen die Einwilligung nach DSB-Praxis unwirksam.

Art. 83 DSGVO — Sanktionen: Verstöße gegen die Einwilligungsvorschriften (Art. 83 Abs. 5 DSGVO) können mit Geldstrafen bis zu €20.000.000 oder 4 % des weltweiten Jahresumsatzes (je höherer Betrag) geahndet werden. Österreichische DSB-Strafpraxis: Bußgelder von €500 bis €50.000 im Beschäftigungskontext (DSB-Bescheide 2023/2024).

DSG SS 8 - Verarbeitung besonderer Datenkategorien: Das österreichische Datenschutzgesetz (DSG, BGBl I Nr. 165/1999) in SS 7-10 enthält ergänzende Regelungen für besondere Datenkategorien. DSB-Bussgeldpraxis in Österreich 2024-2025: Die österreichische DSB hat in den Jahren 2024-2025 mehrere Bussgelder gegen österreichische Arbeitgeber verhängt, die Arbeitnehmereinwilligungen als alleinige Rechtsgrundlage für die Videoüberwachung oder GPS-Tracking verwendeten, ohne eine Betriebsvereinbarung (SS 96 Abs. 1 Z 3 ArbVG) abzuschliessen. Bussgelder von 10.000 bis 50.000 Euro wurden in diesen Fällen verhängt. Datenschutzbeauftragter (DSB): Unternehmen, die regelmässig besondere Datenkategorien ihrer Mitarbeiter verarbeiten (z.B. Gesundheitsdaten, biometrische Daten), sind nach Art. 37 Abs. 1 lit. c DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Der Datenschutzbeauftragte muss bei der DSB gemeldet werden (SS 5 DSG).

Häufige Fehler bei Ihrem Datenschutzeinwilligung Mitarbeiter Österreich

Bei der Einholung von Datenschutzeinwilligungen von Mitarbeitern in Österreich werden folgende häufige Fehler gemacht:

Einwilligung statt richtiger Rechtsgrundlage: Der häufigste Fehler ist, Einwilligungen für Datenverarbeitungen einzuholen, die auf Art. 6 Abs. 1 lit. b oder c DSGVO gestützt werden könnten (z.B. Gehaltsabrechnung, ASVG-Anmeldung, Lohnzettel nach §78 EStG). Eine Einwilligung ist hier nicht nur unnötig, sondern sogar kontraproduktiv — bei Widerruf der Einwilligung müsste die gesamte Verarbeitung gestoppt werden. Nutzen Sie die richtige Rechtsgrundlage von Anfang an.

Zwang zur Einwilligung: Wenn ein Arbeitgeber die Einwilligung als Bedingung für den Arbeitsvertrag stellt oder bei Verweigerung Nachteile androht, ist die Einwilligung wegen fehlender Freiwilligkeit nach DSGVO Art. 7 Abs. 4 unwirksam. Die DSB (Datenschutzbehörde, dsb.gv.at) und der OGH (OGH 6 Ob 56/20p) haben solche erzwungenen Einwilligungen als nichtig qualifiziert. Einwilligungen müssen ohne jeden Druck eingeholt werden.

Kein Widerrufsmechanismus eingerichtet: Die Einwilligung ist jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO). Wenn der Arbeitgeber keinen einfachen, zugänglichen Widerrufsmechanismus bereitstellt (z.B. E-Mail an datenschutz@), verletzt er die DSGVO. Zudem muss der Widerruf dieselbe Wirkung haben wie die Nicht-Erteilung — verarbeitete Daten sind nach Widerruf zu löschen.

Sammlung zu vieler Einwilligungen in einem Formular: Das Koppelungsverbot (Art. 7 Abs. 4 DSGVO) verbietet es, mehrere verschiedene Einwilligungen in einer einzigen Erklärung zusammenzufassen, wenn die einzelnen Einwilligungen eigentlich getrennt sind. Separate Zwecke müssen separate Einwilligungen haben — der Mitarbeiter muss die Möglichkeit haben, einzelnen Verarbeitungen zuzustimmen und andere abzulehnen.

Fehlende Dokumentation: Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die Einwilligung erteilt wurde. Eine mündliche Einwilligung ohne Dokumentation ist nicht nachweisbar. Archivieren Sie alle Einwilligungserklärungen mit Datum und Unterschrift in der Personalakte — Aufbewahrungsfrist: 3 Jahre nach Ausscheiden des Mitarbeiters (§1489 ABGB — Verjährungsfrist für Schadenersatzansprüche aus DSGVO-Verletzungen).

Einwilligungen nicht dokumentiert: Mündliche oder per E-Mail-Checkbox erteilte Einwilligungen (ohne nachvollziehbare Dokumentation) können die Beweisanforderungen des Art. 7 DSGVO nicht erfüllen. Die DSB verlangt im Streitfall den schriftlichen Nachweis. Falsche Aufbewahrungsfristen: Einwilligungen von Mitarbeitern müssen nach Beendigung des Dienstverhältnisses noch für die gesetzliche Verjaerungs-frist aufbewahrt werden (3 Jahre nach SS 1486 ABGB; 7 Jahre nach SS 132 BAO für steuerlich relevante Unterlagen). Einwilligung als einzige Rechtsgrundlage: Viele Arbeitgeber stützen sich bei der Mitarbeiterdatenverarbeitung ausschliesslich auf Einwilligungen, obwohl Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. c (rechtliche Verpflichtung) in vielen Fällen die geeignetere Rechtsgrundlage sind. Einwilligungen können jederzeit widerrufen werden - was die gesamte Datenverarbeitung in Frage stellt.

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

§78 EStGDE official
§1489 ABGBAT official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Datenschutzeinwilligung Mitarbeiter Österreich (Österreich) [Legal document template]. Forms Legal. https://forms-legal.com/de/austria/employment/forms/datenschutz-einwilligung-mitarbeiter-oesterreich

MLA

"Datenschutzeinwilligung Mitarbeiter Österreich (Österreich)." Forms Legal, 2026, https://forms-legal.com/de/austria/employment/forms/datenschutz-einwilligung-mitarbeiter-oesterreich.

BibTeX

@misc{formslegal-datenschutz-einwilligung-mitarbeiter-oesterreich,
  author       = {{Forms Legal}},
  title        = {Datenschutzeinwilligung Mitarbeiter Österreich (Österreich)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/austria/employment/forms/datenschutz-einwilligung-mitarbeiter-oesterreich}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid