DSGVO

Zulässigkeit der Datenverarbeitung

Der Grundsatz in den neuen EU-Datenschutz-Grundverordnung lautet schlicht: Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn, es gibt eine Erlaubnis dafür.
Wann also ist eine Datenverarbeitung erlaubt? In Artikel 6 DSGVO sind die verschiedenen Zulässigkeitsgründe für eine Verarbeitung aufgelistet:

1. Einwilligung

Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden. Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll. Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein.

Freiwillig und widerruflich

Bei der Einholung einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass ihre Einwilligung freiwillig ist und jederzeit mit Wirkung für die Zukunft widerrufen werden kann.
Die Gegenleistung darf nicht an die Einwilligung in die Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind.
Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Die betroffene Person muss handeln und aktiv ihr Einverständnis ausdrücken. Wenn die Einwilligung zusammen mit anderen Erklärungen verlangt wird, muss sie besonders hervorgehoben sein (z. B. drucktechnisch oder als Kasten).
Achtung: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Erziehungsberechtigten einwilligen, Art. 8.

Wann ist eine Einwilligung sinnvoll?

Die Einwilligung ist nicht immer eine sinnvolle Grundlage für die Datenverarbeitung, oft sogar falsch. Da die Einwilligung jederzeit widerrufbar ist, wäre eine Datenverarbeitung unzulässig, wenn der Betroffene tatsächlich widerruft. Deshalb ist eine Einwilligung nur dann sinnvoll, wenn die Datenverarbeitung unter keine andere Rechtsgrundlage fällt. Oft liegt aber ein Vertrag mit der betroffenen Person vor, der selbst eine Rechtsgrundlage darstellt, so dass eine Einwilligung gar nicht notwendig ist.
Zur Einwilligung hat auch das Bayerische Landesamt für Datenschutzaufsicht, die zuständige Aufsichtsbehörde für alle bayerischen Unternehmen, zwei Veröffentlichungen auf seine Homepage gestellt:

Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?

Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach der bisherigen Rechtslage rechtmäßig eingeholt wurden. Dafür erforderlich ist, dass
  • das Kopplungsverbot berücksichtigt wurde,
  • der Grundsatz der Freiwilligkeit beachtet wurde und
  • der Hinweis auf den jederzeitigen Widerruf erfolgte.

Formulierungsbeispiel

Ich bin damit einverstanden, dass meine Daten (konkrete Angabe der betroffenen Daten ) zum Zwecke der/des (konkrete Beschreibung des Zwecks der Datenverarbeitung notwendig) verarbeitet werden.
Hinweis: Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft per Post (Adresse ) oder E-Mail (konkrete E-Mail-Adresse ) widerrufen werden.

2. Vertrag

Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden. Diese Rechtsgrundlage ist bei Unternehmen vermutlich der häufigste Fall. Allerdings sind nur diejenigen Daten von dieser Rechtsgrundlage abgedeckt, die für die Erfüllung des Vertrags oder der Abwicklung der vorvertraglichen Maßnahme tatsächlich notwendig sind. Welche Daten jeweils notwendig sind, richtet sich nach dem Inhalt und der Art des Vertrags.
Beispiel: Kauft ein Kunde im Geschäft eine Ware und lässt sich eine Rechnung ausstellen, muss dafür nicht zwingend seine E-Mail-Adresse erhoben werden. Diese ist nicht notwendig, um den Vertrag zu erfüllen. Will der Unternehmer die E-Mail-Adresse dennoch erheben, weil er seinen Kunden z. B. einen Newsletter schicken möchte, braucht er dafür die Einwilligung. Die Erhebung von Name und Adresse des Kunden hingegen ist für die Vertragserfüllung notwendig und deshalb zulässig, ohne dass der Kunde hier zustimmen muss.

3. Rechtliche Verpflichtung

Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (z. B. Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer).

4. Wahrung berechtigter Interessen

Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann z. B. die Verarbeitung personenbezogener Daten für die Direktwerbung fallen oder die Erhebung personenbezogener Daten über die Website durch ein Webanalysetool.

5. Anforderungen bei Zweckänderungen

Unter bestimmten Voraussetzungen können personenbezogene Daten auch weiterverarbeitet werden, wenn die Verarbeitung nicht mehr dem ursprünglichen Zweck entspricht. Hierfür muss der neue Zweck mit dem alten kompatibel, darf also für die betroffene Person nicht überraschend sein. Hierfür muss aber der Verantwortliche eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 festgelegten Kriterien durchführen:
  • jede Verbindung zwischen den Zwecken
  • der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
  • die Art der personenbezogenen Daten (z. B. besonders sensible Daten)
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
  • vorhandene Verschlüsselungen oder Pseudonymisierungen der Daten.
Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.

6. Rechtsgrundlagen

Die DSGVO, aber auch das Bundesdatenschutzgesetz (BDSG), enthalten selbst Erlaubnistatbestände, nach denen Datenverarbeitung zulässig ist. Hierzu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz. Sowohl zur Videoüberwachung als auch zum Beschäftigtendatenschutz finden Sie auch Veröffentlichungen des Bayerischen Landesamtes für Datenschutzaufsicht.