1. wenn der Betroffene in die Übermittlung bei besonderen Kategorien personenbezogener Daten (§ 39 DSG) ausdrücklich eingewilligt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verarbeitung der Daten bewirkt;

2. inländischen Behörden, soweit dies ausdrücklich gesetzlich vorgesehen ist oder für den Empfänger eine wesentliche Voraussetzung zur Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe bildet;

3. an Interventionsstellen (§ 25 Abs. 3) sowie Beratungsstellen für Gewaltprävention (§ 25 Abs. 4), soweit dies zum Schutz gefährdeter Menschen oder zur Gewaltpräventionsberatung erforderlich ist, wobei im Falle der Anordnung eines Betretungs- und Annäherungsverbots (§ 38a) die Dokumentation (§ 38a Abs. 6) sowie ansonsten die dem Inhalt einer solchen Dokumentation entsprechenden personenbezogenen Daten zu übermitteln sind;

3a. an den Österreichischen Fußballbund sowie die Österreichische Fußball-Bundesliga zur Prüfung und Veranlassung eines Sportstättenbetretungsverbotes, wenn der Betroffene einen gefährlichen Angriff gegen Leben, Gesundheit oder Eigentum unter Anwendung von Gewalt, nach dem Verbotsgesetz oder § 283 StGB im Zusammenhang mit einer Fußballsportgroßveranstaltung begangen hat. Dazu sind ausschließlich Namen, Geburtsdatum, Wohnanschrift, Angaben zum Grund und die maßgeblichen Umstände des Einschreitens und gegebenenfalls Informationen über den Ausgang des Strafverfahrens sowie auf begründete Nachfrage vorhandene Bilddaten des Betroffenen zu übermitteln;

4. an einen Menschen, dessen Rechtsgut durch einen gefährlichen Angriff bedroht ist, soweit dies für seine Kenntnis von Art und Umfang der Bedrohung erforderlich ist (§ 22 Abs. 4);

5. wenn lebenswichtige Interessen eines Menschen die Übermittlung erfordern;

6. für die Zwecke des § 71 Abs. 3 Z 1 an Medienunternehmen oder durch Veröffentlichung durch die Sicherheitsbehörde selbst;

7. für Zwecke wissenschaftlicher Forschung und Statistik;

8. im Fall einer Anordnung eines Betretungs- und Annäherungsverbots gemäß § 38a Abs. 1, wenn der Gefährdete minderjährig ist, an jene Menschen, in deren Obhut er sich regelmäßig befindet. Zu übermitteln sind ausschließlich der Name des Gefährders und des gefährdeten Minderjährigen sowie die Dauer des Verbots und die Information über eine allfällige Aufhebung desselben;

9. an die Teilnehmer einer sicherheitspolizeilichen Fallkonferenz (§ 22 Abs. 2 letzter Satz). Die Teilnehmer sind – sofern sie nicht ohnehin der Amtsverschwiegenheit unterliegen – zur vertraulichen Behandlung der Daten verpflichtet; darüber sind sie zu informieren.

Für die Übermittlung personenbezogener Daten für Zwecke der internationalen polizeilichen Amtshilfe sind die Bestimmungen des Polizeikooperationsgesetzes – PolKG, BGBl. I Nr. 104/1997, anzuwenden.

1. die Daten nur zum festgelegten Zweck, in ihrem Wirkungsbereich und im Einklang mit den Bestimmungen der DSGVO zu verarbeiten,

2. die Daten vor unberechtigter Verarbeitung zu sichern, insbesondere durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf die übermittelten Daten befindet, nur von in ihrem Auftrag Tätigen möglich ist,

3. ihren Löschungsverpflichtungen nachzukommen,

4. jede Verarbeitung der Daten in ihrem Wirkungsbereich zu protokollieren und

5. den Sicherheitsbehörden Zutritt zu Räumen und Zugriff auf Datenverarbeitungsgeräte zu gewähren und ihnen auf Verlangen die notwendigen Auskünfte zu erteilen, soweit dies zur Überprüfung der Einhaltung der in Z 1 bis 4 normierten Pflichten erforderlich ist.

Vor Abschluss des Vertrages durch den Bundesminister für Inneres ist der Datenschutzrat zu hören. Von der Behörde gemäß Abs. 1 Z 3a übermittelte Daten sowie vom Vertragspartner gemäß Z 4 angefertigte Protokolle sind vom Österreichischen Fußballbund und der Österreichischen Fußball-Bundesliga mit Ablauf eines gemäß Abs. 1 Z 3a verhängten Sportstättenbetretungsverbotes, spätestens aber nach Ablauf von zwei Jahren ab dem Zeitpunkt der Übermittlung zu löschen. Hat der jeweilige Vertragspartner innerhalb von sechs Monaten ab dem Zeitpunkt der Übermittlung kein Sportstättenbetretungsverbot gegen den Betroffenen verhängt, sind die Daten und Protokolle mit Ablauf dieser Frist zu löschen. Der Betroffene ist von der Sicherheitsbehörde von Datenübermittlungen nach Abs. 1 Z 3a schriftlich zu verständigen. Sicherheitsbehörden sind ermächtigt zu überprüfen, ob die Vertragspartner ihren Pflichten nach Z 1 bis 4 nachkommen. Kommt ein Vertragspartner einer Pflicht nach Z 1 bis 5 nicht nach, ist eine erneute Datenübermittlung an diesen erst nach Ablauf von drei Jahren ab Feststellung der Vertragsverletzung zulässig.