Wann dürfen personenbezogene Daten verarbeitet werden?
Das Datenschutzrecht ist auch nach Maßgabe der DSGVO als sogenanntes „Verbot mit Erlaubnisvorbehalt“ ausgestaltet. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt und nur ausnahmsweise gestattet. Es gibt mehrere Ausnahmen, die Ihnen die Datenverarbeitung erlauben. Nämlich die folgenden:
- Gesetzliche Ausnahmetatbestände
- Berechtigte Interessen
- Einwilligung
Welche Rechtsgrundlagen für die Datenverarbeitung gibt es neben der DSGVO-Einwilligung?
Die Abgabe einer Einwilligungserklärung einer betroffenen Person ist nur eine Möglichkeit, zulässigerweise personenbezogene Daten zu verarbeiten. In Ihrem Arbeitsalltag gibt es auch andere Bedingungen und Rechtsgrundlagen, insbesondere gesetzliche Regelungen. Die wichtigsten Bestimmungen bringt die DSGVO in Art. 6 gleich selbst mit. Danach dürfen Sie Daten mit Personenbezug in folgenden Fällen verarbeiten:
- zur Erfüllung eines Vertrages (z. B. bei einer Bestellung im Onlineshop),
- zur Durchführung vorvertraglicher Maßnahmen (z. B. die Erhebung der E-Mail-Adresse zwecks Übersendung eines Angebots),
- aufgrund rechtlicher Verpflichtungen (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen),
- zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z. B. durch die Verarbeitung von Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen) oder
- bei der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. zur Ausübung öffentlicher Gewalt (z. B. „Knöllchen“ vom Ordnungsamt).
Wann Sie keine Erklärung der DSGVO-Einwilligung brauchen
Wenn Sie also die Daten Ihrer Kunden verarbeiten, um ihnen nach der Erteilung eines Auftrags eine Bestätigung oder die Rechnung zu übersenden, dann tun Sie dies zur Erfüllung eines Vertrages. Eine gesetzliche Pflicht zwingt Sie außerdem dazu, Rechnungen und andere steuerrechtlich relevante Unterlagen 10 Jahre aufzubewahren.
Die Daten Ihrer Mitarbeitenden verarbeiten Sie ebenfalls zur Erfüllung des Arbeitsvertrages bzw. bestehender gesetzlicher Pflichten (z. B. zur Leistung von Sozialabgaben). Es wäre in diesen Fällen also sowohl unnötig als auch unpraktisch, von Ihren Kunden bzw. Mitarbeitern jeweils eine Einwilligung in die Verarbeitung ihrer Daten einzuholen. Unpraktisch deshalb, weil eine Einwilligung jederzeit frei widerrufbar ist und die entsprechenden Daten daher ab dem Zeitpunkt des Widerrufs nur noch eingeschränkt verarbeitet werden dürfen (z.B. um die steuerrechtlichen Aufbewahrungsfristen erfüllen zu können).
Achtung
Überlegt vorgehen
Ein Vorgehen nach dem Motto „wir holen sicherheitshalber mal eine DSGVO-Einwilligung ein“ ist definitiv nicht zu empfehlen. Nicht selten existiert eine andere Rechtsgrundlage, auf deren Basis Sie die Daten verarbeiten dürfen.
DSGVO und Datenverarbeitung: Wann liegt „berechtigtes Interesse“ vor?
Die Verarbeitung personenbezogener Daten kann auch im „berechtigten Interesse“ eines Unternehmens liegen. Wie genau die Kriterien hierfür aussehen, ist im Einzelnen (noch) umstritten. Die DSGVO nennt allerdings beispielhaft die Direktwerbung oder auch die Verhinderung von Betrug als berechtigte Interessen eines Unternehmens.
DSGVO-Einwilligung – welche Kriterien muss sie erfüllen?
Neben der Möglichkeit zum Widerruf gibt es bei der Einwilligung übrigens noch einen weiteren „Haken“. Denn eine wirksame DSGVO-Einwilligung ist an bestimmte Voraussetzungen gebunden. Sie muss die folgenden Kriterien erfüllen:
- freiwillig
- unmissverständlich
- vor Beginn der Datenverarbeitung
- auf Basis ausreichender Informationen
- bezogen auf einen konkreten Verarbeitungszweck
- durch Willensbekundung oder konkludente Handlung
- formlos, aber auch in Schriftform
- Einverständnis mit konkreter Datenverarbeitung
- Nachweispflicht der verantwortlichen Stelle
An diesen Vorgaben wird deutlich, dass auf Grundlage der DSGVO gar nicht so einfach ist, eine korrekte Einwilligungserklärung zur Datenverarbeitung einzuholen.
Sondersituation E-Mail-Marketing – keine Werbung ohne Einwilligung ...
Im Bereich des E-Mail-Marketings und der elektronischen Werbung ist es so, dass hier nach alter, wie auch neuer Rechtslage auf jeden Fall eine Einwilligung erforderlich ist. Zwar ist Direktwerbung, wie gesagt, als berechtigtes Interesse von Unternehmen einzustufen und macht insoweit eigentlich die DSGVO-Einwilligung überflüssig. Allerdings regelt § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) speziell den Bereich der elektronischen Werbung. Der Begriff der „Werbung“ ist sehr weit zu verstehen, so dass es hier nicht nur um Newsletter oder andere Werbe-Mails, sondern auch um werbliche Kurznachrichten in sozialen Netzwerken oder auch um Imagewerbung und Sponsoring geht.
Achtung
Keine Ausnahmen für Online-Werbung!
§ 7 UWG fußt auf einer europarechtlichen Basis, so dass sie auch nicht durch die DSGVO verdrängt wird. Es gilt also weiterhin der Grundsatz: Keine elektronische Werbung ohne vorherige Einwilligung.
... oder doch?
Es wäre kein richtiger Grundsatz, wenn es nicht auch eine Ausnahme gäbe. § 7 Abs. 3 UWG sieht vor, dass ausnahmsweise keine DSGVO-Einwilligung für den Erhalt elektronischer Werbung nötig ist, wenn:
- ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
- der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
- der Kunde der Verwendung nicht widersprochen hat und
- der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Info
Was genau sind „ähnliche Waren oder Dienstleistungen“?
Eine Ähnlichkeit in dieser Form liegt vor, wenn die Waren oder Dienstleistungen generell austauschbar sind bzw. gleichen oder ähnlichen Zwecken dienen. Dies gilt u.a. also auch für typisches Zubehör. Allerdings ist zu beachten, dass es sich bei § 7 Abs. 3 UWG um eine Ausnahmevorschrift handelt, die entsprechend eng auszulegen ist.
Info
Was sind Cookies?
Cookies sind kleine Dateien mit Textinhalten, in denen z. B. der Inhalt des Warenkorbs oder die Anmeldeinformationen für eine Website enthalten sind und die auf dem Endgerät des betreffenden Website-Besuchers gespeichert werden.
Achtung
Genau hinschauen!
Konkret bedeutet das für Sie als Betreiber einer Internetseite oder eines Webshops, dass Sie auf jeden Fall genau hinschauen müssen, wenn Sie Cookies verwenden. Gegebenenfalls müssen Sie eine technische Anpassung an Ihrer Website vornehmen, um den Anforderungen zu entsprechen.