Auswirkungen der Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf die Weiterverarbeitung durch einen anderen Verantwortlichen

Die Frage, welche Auswirkungen die Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf eine Weiterverarbeitung durch einen anderen Verantwortlichen hat, ist mit Blick auf KI-Modelle besonders aktuell. Denn würde die einmalige Rechtswidrigkeit einer Verarbeitung zur Rechtswidrigkeit jedes weiteren Verarbeitungsschrittes führen, könnte beispielsweise ein KI-Modell, dass unter einem DSGVO-Verstoß entwickelt wurde, nie rechtmäßig genutzt werden. 

Urteile des österreichischen BVwG

In zwei Urteilen hatte sich das österreichische Bundesverwaltungsgericht mit dem Kauf und der Verarbeitung von personenbezogenen Daten durch Kreditauskunfteien beschäftigt. Den beiden Urteilen lag ein Rechtsstreit zwischen dem Erstbeschwerdeführer, sowie einem Adressverlag und einer Kreditauskunftei zu Grunde. Die Kreditauskunftei hatte von dem Adressverlag personenbezogene Daten des Erstbeschwerdeführers erworben und anschließend zu Bonitätsbeurteilungszwecken verarbeitet. Eine Einwilligung gem. Art. 5 I a DSGVO lag nicht vor. Das Gericht urteilte, dass sowohl die Datenweitergabe als auch die anschließende Weiterverarbeitung durch die Empfängerin datenschutzwidrig war.

Bereits in vergangenen Entscheidungen hatte der österreichische Verwaltungsgerichtshof ausgeführt, dass aus einer rechtswidrigen Ermittlung von Daten durch einen Auftraggeber auch die Rechtswidrigkeit einer daran anschließenden Übermittlung dieser Daten durch denselben Auftraggeber resultiert (VwGH Erkenntnis Ra 2017/04/0034 Rn. 43; VwGH Erkenntnis Ra 2019/04/0054 Rn. 41). Dies erweitert die Datenschutzbehörde dahingehend, dass die Unrechtmäßigkeit der ursprünglichen Datenermittlung in aller Regel die Unzulässigkeit der Datenverarbeitung durch den Empfänger nach sich ziehe (DSB Österreich, Bescheid vom 24.03.2023 – D124.3816 2023-0.193.268 Rn. 43). Dies hätte zur Folge, dass einmal rechtswidrig erhobene Daten in den allermeisten Fällen auch durch Dritte nicht rechtmäßig weiterverarbeitet werden könnten.

Dem folgte das BVwG nicht ausdrücklich. Vielmehr stellt es auf die allgemeinen Grundsätze ab, wonach jede Verarbeitung den Art. 5 und 6 DSGVO genügen müsse. Da sowohl der Adressverlag als auch die Kreditauskunftei eigenständig gegen den Zweckbindungsgrundsatz verstießen, kam es auf ein Fortwirken des Fehlers gerade nicht an. In jüngeren Entscheidungen zeigen sich auch die Datenschutzbehörde selbst sowie der VwGH offener für eine rechtmäßige Weiterverarbeitung rechtswidrig erhobener Daten. 

Einschätzung der BfDI

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte am 22.12.2025 eine Handreichung zu Datenschutz und KI in Behörden. Gerade in Bezug auf KI-Modelle stellt sich die Frage der Auswirkung der Rechtswidrigkeit einer Datenerhebung auf die spätere Weiterverarbeitung durch Dritte. Die BfDI geht hierbei gerade nicht davon aus, dass ein rechtswidrig entwickeltes KI-Modell nie rechtmäßig eingesetzt werden kann. Vielmehr seien im Einzelfall die Anforderungen an eine Nachforschungspflicht anhand des konkreten Risikos zu bestimmen.

Einschätzung des ESDA

Auch der Europäische Datenschutzausschuss (EDSA) geht nicht von einer pauschalen Fortwirkung der Rechtswidrigkeit aus. So rät er in seiner Stellungnahme 28/2024 zu Datenschutzaspekten im Zusammenhang mit KI-Modellen den Aufsichtsbehörden im Einzelfall zu prüfen, welche Auswirkungen die Rechtswidrigkeit der anfänglichen Verarbeitung auf die spätere, von einem anderen Verantwortlichen durchgeführte Verarbeitung hat.

Fazit

Damit ist die Frage, inwiefern allein aus der Rechtswidrigkeit der Erhebung von Daten durch den einen Beteiligten die Rechtswidrigkeit der Verarbeitung durch den anderen folgt oder folgen kann, Gegenstand einer Einzelfallprüfung. Mit Blick auf die Einschätzungen der BfDI und des EDSA kann gerade nicht von einer pauschalen Fehlerfolge ausgegangen werden. Vielmehr kann einem DSGVO-Verstoß bei dem Erwerb potenziell rechtswidrig erhobener Daten durch angemessene Maßnahmen entgegengewirkt werden. Entscheidend ist dabei ein durchdachtes Datenschutzkonzept. Dabei sind insbesondere die sorgfältige Auswahl und Überprüfung von Vertragspartnern, sowie die Überprüfung der rechtlichen Grundlage für den Empfang und die Weiterverarbeitung von empfangenen Daten von hoher Bedeutung. Auch sollte auf eine ausreichende vertragliche Absicherung der DSGVO-Konformität der zur Verfügung gestellten Daten geachtet werden. Liegt kein dem Risiko entsprechendes Konzept vor, kann die Weiterverarbeitung der Daten DSGVO-widrig sein und datenschutzrechtliche Ansprüche zur Folge haben.