Kategorien
Neueste Beiträge
Gültigkeit einer Einwilligung gemäß der DSGVO
Die Verarbeitung von personenbezogenen Daten bedarf gemäß der DSGVO einer Rechtsgrundlage, um rechtmäßig zu sein. So manchem Verantwortlichen erscheint es als die einfachste Variante von der betroffenen Person eine Einwilligung nach Art. 4 Nr. 11 DSGVO i. V. m. Art. 7 DSGVO zur Verarbeitung einzuholen. Dies, da die Einwilligung die erste einer Reihe von möglichen Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO ist. Für die rechtliche Gültigkeit und Wirksamkeit einer Einwilligung gemäß der DSGVO bedarf es allerdings bestimmter, nicht so einfach zu erfüllender Voraussetzungen. Wer eine Verarbeitung auf eine Einwilligung stützen möchte, sollte auch die Folgen dessen beachten. Widmen wir uns also in diesem Beitrag der Einwilligung.
Freiwilligkeit einer Einwilligung
Die DSGVO betrachtet eine Einwilligung u. a. erst als datenschutzkonforme Einwilligung, wenn sie auf tatsächlicher Freiwilligkeit beruht. Hieran kann es insbesondere in Abhängigkeitsverhältnissen fehlen.
Es gibt also Faktoren, wodurch sich eine Einwilligung als nur vermeintlich gültig entpuppen kann. Ist die Einwilligung ungültig, ist auch die darauf gestützte Datenverarbeitung rechtswidrig mit allen Konsequenzen vom Schadensersatz bis zum Bußgeld.
Ungleiches Machtverhältnis
Stehen die betroffene Person und der Verantwortliche in einem ungleichen Machtverhältnis, kann ein Verantwortlicher nicht ohne Weiteres von der Gültigkeit einer Einwilligung ausgehen. Schließlich kann es sein, dass die betroffene Person mit negativen Konsequenzen rechnet, wenn sie ihre Einwilligung nicht erteilt. Anders sieht dies bei Einwilligungen in Verarbeitungsvorgänge aus, die auch für den Betroffenen rechtlich und tatsächlich vorteilhaft sind.
So sind im Beschäftigtendatenschutz auch Fälle aufgeführt, wann eine Einwilligung durch Beschäftigte doch freiwillig und damit zulässig sein kann (siehe § 26 Abs. 2 BDSG). Dazu sollte beispielsweise auf die Freiwilligkeit hingewiesen werden und dass bei Verweigerung keine negativen Konsequenzen drohen. Zudem sollte das, worin eingewilligt wird, idealerweise im Interesse beider Seiten liegen oder zumindest den Beschäftigten wirtschaftliche oder rechtliche Vorteile bieten.
Fehlende Wahlmöglichkeit
Um eine Einwilligung tatsächlich als solche betrachten zu können, muss eine Wahlmöglichkeit gegeben sein. Ein Kriterium hierfür muss also sein, dass es tatsächlich mindestens zwei mögliche Optionen für eine gültige Entscheidung gibt. Dabei darf der betroffenen Person kein Nachteil entstehen, falls sie die Option wählt, die nicht im Interesse des Verantwortlichen liegt.
Für einen bestimmen Zweck
Gemäß der DSGVO gilt eine Einwilligung ausschließlich für den Zweck, für den die betroffene Person wissend ihre Einwilligung erteilt hat. Das Wissen darum, worin denn die betroffen Person einwilligt, ist also eine logische Voraussetzung für eine wirksame Einwilligung.
Informiertheit
Dies setzt dann voraus, dass der Verantwortliche der betroffenen Person einen entsprechenden Datenschutzhinweis als Bestandteil des Einwilligungstextes zur Verfügung gestellt hat. Dieser Datenschutzhinweis bzw. diese Datenschutzinformation muss inhaltlich vollständig und leicht verständlich sein. Aus dem Einwilligungstext heraus sollte dem Betroffenen eindeutig ersichtlich werden, inwiefern durch wen und eventuell mithilfe welcher Dienstleister der Verantwortliche die Daten des Betroffenen zu welchem Zweck und auf welche Weise für wie lange und aufgrund welcher Rechtsgrundlage verarbeitet.
Ein Verantwortlicher kann den Einwilligungstext auch mit dem Datenschutzhinweis nach Art. 13 DSGVO zur Vermeidung von Wiederholungen kombinieren. Einen Einwilligungstext zu entwerfen, der einer Überprüfung durch das Gericht standhält, ist keine leichte Aufgabe, da das Gericht nur all zu leicht der Meinung sein kann, dass der Verantwortliche Aspekte vergessen oder nicht verständlich genug dargestellt hat.
Widerruf einer Einwilligung
Eine betroffene Person hat das Recht, ihre Einwilligung jederzeit mit Wirkung für die Zukunft beim Verantwortlichen zu widerrufen. Widerruft eine betroffene Person also ihre Einwilligung, entfällt die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten dieser Person ab dem Zeitpunkt des Widerrufes für die weitere bzw. künftige Verarbeitung der personenbezogene Daten. Aufgrund der jederzeitigen Widerrufsmöglichkeit ist die Einwilligung also auch keine längerfristig verlässliche Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Der Verantwortliche muss bei einer auf Einwilligungen gestützten Datenverarbeitung also auch immer einen Prozess implementieren, der sicherstellt, dass der Widerruf von Einwilligungen unmittelbar berücksichtigt wird.
Widerrufshinweis
Im Zuge dessen ist der gesetzlich verpflichtende Hinweis darauf, dass eine betroffene Person ihre Einwilligung jederzeit und ohne Angabe von Gründen widerrufen kann, ein weiterer ganz wesentlicher Aspekt. Fehlt dieser Hinweis, was beispielsweise oft bei Cookie-Einwilligungsfenstern der Fall ist, ist die Einwilligung unwirksam.
Die Einwilligung als Rechtsgrundlage?
Da die weit verbreitete Annahme besteht, dass eine Datenverarbeitung nur mit einer Einwilligung zulässig ist, liegt es nun nicht allzu fern, dass ein Verantwortlicher die Datenverarbeitung auf eine Einwilligung der betroffenen Person stützen möchte. Zu überlegen ist dabei aber unbedingt, ob die Einwilligung tatsächlich die bestmögliche Rechtsgrundlage ist. Ein zu berücksichtigender Aspekt ist die schon erwähnte Widerrufbarkeit der Einwilligung. Nachfolgend zeigen wir anhand von drei Beispielen, dass es in vielen Fällen bessere bzw. sicherere Rechtsgrundlagen für die Datenverarbeitung gibt.
Erbringung einer Dienstleistung
Wie schon erwähnt, sollte ein Verantwortlicher bei den Überlegungen zur Feststellung der Rechtsgrundlage genau betrachten, weshalb er bestimmte personenbezogene Daten verarbeiten möchte. Wenn der Verantwortliche sich die Einwilligung einholt, um beispielsweise die Bank- oder eventuell sogar die Adressdaten eines Kunden verarbeiten zu dürfen, ist dies im Fall der Erfüllung eines Vertrages schlichtweg nicht notwendig. Diese Daten benötigt er, um beispielsweise den Zahlungsbetrag einziehen zu können – die betroffene Person erfüllt ihren Teil des Vertrages damit. In solch einem Fall ist demzufolge Art. 6 Abs. 1 lit. b) DSGVO die einschlägige Rechtsgrundlage.
Anbahnung eines Beschäftigungsverhältnisses
Es gibt noch immer – wenn auch wenige – Verantwortliche, die sich die Einwilligung von Bewerbern einholen, damit sie ihre personenbezogenen Daten verarbeiten dürfen, um beispielsweise bei Interesse am Bewerber die Kontaktdaten verarbeiten zu können, um ein Bewerbungsgespräch zu vereinbaren. Würde ein Bewerber seine eventuelle Einwilligung in solch einem Fall widerrufen, käme dies einem Rückzug der eingereichten Bewerbung gleich – ohne Kontaktdaten kann schon mal kein Bewerbungsgespräch vereinbart werden. Also bedarf es auch hier keiner Einwilligung. In solch einem Fall ist § 26 Abs. 1 BDSG (Datenverarbeitung zur Anbahnung eines Beschäftigungsverhältnisses) die korrekte Rechtsgrundlage.
Aufbewahrung von E-Mails
E-Mails stuft ein Verantwortlicher unter Umständen als Handelsbriefe ein. E-Mails, die geschäftliche Aspekte betreffen, stuft der Gesetzgeber – „[…] gleichviel welcher Form […]“ (§ 35a GmbHG) – als Geschäftsbriefe ein. Handels- oder Geschäftsbriefe unterliegen einer Aufbewahrungsfrist von sechs Jahren (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB). Es handelt sich hierbei um eine gesetzlich vorgegebene Aufbewahrungsfrist (mehr zu Aufbewahrungsfristen hier). Folglich muss der Verantwortliche nach Art. 6 Abs. 1 lit. c) DSGVO diese Korrespondenz aufbewahren. Wählte ein Verantwortlicher die Rechtsgrundlage der Einwilligung, erweckte er dadurch den falschen Eindruck, die betroffene Person könne durch den Widerruf ihrer Einwilligung die Löschung der Korrespondenz erreichen.
Fazit
Möchte ein Verantwortlicher personenbezogene Daten verarbeiten, darf er dies nur aufgrund einer Rechtsgrundlage (Verbot mit Erlaubnisvorbehalt). Je nach Art der Daten findet er diese in Art. 6 Abs. 1 DSGVO oder in Art. 9 Abs. 2 DSGVO. Dabei muss er genau betrachten, weshalb er personenbezogene Daten verarbeitet möchte oder muss und entsprechend die Rechtsgrundlage ermitteln. Hierbei können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern für ein unverbindliches Angebot.