Die Datenverarbeitung personenbezogener Daten ist überhaupt nur dann erlaubt, wenn Sie im Vorfeld den Nutzer auf die Rechtsgrundlage für die Datenverarbeitung hinweisen. In den meisten Fällen ist eine ausdrückliche Einwilligung des Betroffenen erforderlich. Lesen Sie hier, wann Sie eine Einwilligung brauchen.
Einwilligung des Betroffenen bei persönlichen Daten ist grundsätzlich erforderlich
Eine Verarbeitung persönlicher Daten ohne Einwilligung des Betroffenen ist grundsätzlich nicht erlaubt. Die Einwilligung ist also generell die Rechtsgrundlage für jegliche Datenverarbeitung, siehe Art. 6 Absatz 1 lit. a DS-GVO. Ausnahmen von der Regel werden im Gesetz ausdrücklich genannt, mehr dazu unten. Wer also beispielsweise als Vermieter oder Makler Daten von Wohnungsinteressen auf dem Rechner oder Smarphone abspeichert,
Unmissverständliche Formulierung der Einwilligung
Die Einwilligung muss unmissverständlich abgegeben werden. Aus dem Text muss sich ergeben, welche Daten eingeholt werden und zu welchem Zweck diese verwendet werden sowie auch die Dauer der Speicherung. Um hier
Zwar ist die Schriftform in der DS-GVO nicht ausdrücklich vorgesehen, aber zu Beweiszwecken dringend anzuraten. In Bezug auf besonders sensible personenbezogene Daten ist eine ausdrückliche Einwilligung Pflicht. Falls es sich um eine Einwilligung auf elektronischem Wege handelt, beispielsweise um ein Newsletter-Abonnement im Internet, ist nur noch ein sogenanntes “Opt-In” möglich. Das bedeutet, der Nutzer muss ein Kästchen bewusst anklicken. Das Wegklicken eines vorangekreuzten Kästchens erfüllt die Vorgaben der DS-GVO nicht. In der Regel wird darüber hinaus nur ein sogenanntes “Double-Opt-In” erforderlich sein, um sicherzustellen, dass es tatsächlich der Inhaber einer bestimmten E-Mailadresse war, der sich für den Newsletter angemeldet hatte. Meldet man sich durch Angabe einer E-Mailadresse an, wird die Anmeldung per E-Mail bestätigt. Nur wenn die Einwilligung per “Double-Opt-In” eingeholt wurde, kann der Verantwortliche im Streitfall beweisen, dass eine Einwilligung vom Betroffenen abgegeben wurde und kein Missbrauch stattgefunden hat.
Freiwilligkeit und Kopplungsverbot
Eine weitergehende Verarbeitung personenbezogener Daten, beispielsweise zum Versand eines Newsletter, ist nur mit ausdrücklicher Einwilligung möglich (siehe Art. 6 Absatz 1 lit. a DS-GVO). Die Vorgaben für eine Einwilligung finden sich in Art. 4 Nr. 11 und Art. 7 DS-GVO. Der Betroffene muss die Möglichkeit haben, die Einwilligung nicht zu geben, ohne dass ihm Nachteile entstehen. Im Übrigen darf dem Betroffenen nicht suggeriert werden, die Einwilligung sei zur Erfüllung des Vertragszwecks erforderlich, wenn dies nicht der Fall ist. Der Betroffene darf also beispielsweise nicht im Rahmen eines Kaufabschlusses zur Newsletteranmeldung verpflichtet werden.
Keine Blanko-Einwilligung
Der Betroffene muss darüber aufgeklärt werden, wer seine Daten für welche Zwecke verarbeitet.Die Einwilligungserklärung des Betroffenen muss erkennen lassen, für welche Zwecke sie erteilt wurde. Der Verantwortliche darf die Daten dann auch nur für solche Zwecke verarbeiten. Auch die Art der Datenverarbeitung darf nach Erteilung der Einwilligung nicht geändert werden.
Belehrung über das Widerrufsrecht
Der Betroffene muss vor Abgabe der Einwilligungserklärung darüber aufgeklärt werden, dass er seine Einwilligung jederzeit widerrufen kann. Es muss ihm aber auch klar gemacht werden, dass der Widerruf sich nicht auf die Rechtmäßigkeit der Datenverarbeitung in der Vergangenheit auswirkt.
Datenverarbeitung ohne Einwilligung des Betroffenen
In Ausnahmefällen können Sie auf die ausdrückliche Einwilligung des Betroffenen verzichten. In der DS-GVO werden unterschiedliche Rechtsgrundlagen für die Verarbeitung von Daten genannt, wonach die Daten auch ohne ausdrückliche Einwilligung verarbeitet werden können.
- Sofern die Datenverarbeitung zur Erfüllung eines mit dem Betroffenen bestehenden Vertrages erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. b DS-GVO zu nennen (z. B. Erfüllung eines Kaufvertrages).
- Sofern die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. c DS-GVO zu nennen (z. B. Weiterleitung an Behörden).
- Sofern die Datenverarbeitung im Zusammenhang mit lebenswichitgen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. d DS-GVO zu nennen (z. B. Aufnahme in ein Krankenhaus).
- Sofern die Datenverarbeitung zur Wahrung der berechtigten Interessen des erhebenden Unternehmens erforderlich ist, dessen Interessen die Grundrechte und Grundfreiheiten des Betroffenen überwiegen, ist als Grundlage Art. 6 Absatz 1 lit. f DS-GVO zu nennen. Es handelt sich immer um eine Einzelfallentscheidung. In der Praxis muss sich zeigen, in welchen Fällen die Datenverarbeitung auf Art. 6 Absatz 1 lit. f DS-GVO gestützt werden kann.