Die Datenverarbeitung personenbezogener Daten ist überhaupt nur dann erlaubt, wenn Sie im Vorfeld den Nutzer auf die Rechtsgrundlage für die Datenverarbeitung hinweisen. In vielen Fällen ist auch eine ausdrückliche Einwilligung des Betroffenen erforderlich.

Rechtsgrundlagen für die Datenverarbeitung ohne Einwilligung des Betroffenen

In der DS-GVO werden unterschiedliche Rechtsgrundlagen für die Verarbeitung von Daten genannt.

  • Sofern eine ausdrückliche Einwilligung des Nutzers vorliegt, ist als Grundlage der Art. 6 Absatz 1 lit. a DS-GVO zu nennen. Mehr zum Thema Einwilligung ist in Punkt 6 erläutert.
  • Sofern die Datenverarbeitung zur Erfüllung eines mit dem Betroffenen bestehenden Vertrages erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. b DS-GVO zu nennen (z. B. Erfüllung eines Kaufvertrages).
  • Sofern die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. c DS-GVO zu nennen (z. B. Weiterleitung an Behörden).
  • Sofern die Datenverarbeitung im Zusammenhang mit lebenswichitgen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist, ist als Grundlage der Art. 6 Absatz 1 lit. d DS-GVO zu nennen (z. B. Aufnahme in ein Krankenhaus).
  • Sofern die Datenverarbeitung zur Wahrung der berechtigten Interessen des erhebenden Unternehmens erforderlich ist, dessen Interessen die Grundrechte und Grundfreiheiten des Betroffenen überwiegen, ist als Grundlage Art. 6 Absatz 1 lit. f DS-GVO zu nennen. Es handelt sich immer um eine Einzelfallentscheidung. In der Praxis muss sich zeigen, in welchen Fällen die Datenverarbeitung auf Art. 6 Absatz 1 lit. f DS-GVO gestützt werden kann.

Freiwilligkeit und Kopplungsverbot

Eine weitergehende Verarbeitung personenbezogener Daten, beispielsweise zum Versand eines Newsletter, ist nur mit ausdrücklicher Einwilligung möglich (siehe Art. 6 Absatz 1 lit. a DS-GVO). Die Vorgaben für eine Einwilligung finden sich in Art. 4 Nr. 11 und Art. 7 DS-GVO. Der Betroffene muss die Möglichkeit haben, die Einwilligung nicht zu geben, ohne dass ihm Nachteile entstehen. Im Übrigen darf dem Betroffenen nicht suggeriert werden, die Einwilligung sei zur Erfüllung des Vertragszwecks erforderlich, wenn dies nicht der Fall ist. Der Betroffene darf also beispielsweise nicht im Rahmen eines Kaufabschlusses zur Newsletteranmeldung verpflichtet werden.

Keine Blanko-Einwilligung

Der Betroffene muss darüber aufgeklärt werden, wer seine Daten für welche Zwecke verarbeitet.Die Einwilligungserklärung des Betroffenen muss erkennen lassen, für welche Zwecke sie erteilt wurde. Der Verantwortliche darf die Daten dann auch nur für solche Zwecke verarbeiten. Auch die Art der Datenverarbeitung darf nach Erteilung der Einwilligung nicht geändert werden.

Unmissverständliche Formulierung

Die Einwilligung muss unmissverständlich abgegeben werden. Zwar ist die Schriftform in der DS-GVO nicht ausdrücklich vorgesehen, aber zu Beweiszwecken dringend anzuraten. In Bezug auf besonders sensible personenbezogene Daten ist eine ausdrückliche Einwilligung Pflicht. Falls es sich um eine Einwilligung auf elektronischem Wege handelt, beispielsweise um ein Newsletter-Abonnement im Internet, ist nur noch ein sogenanntes “Opt-In” möglich. Das bedeutet, der Nutzer muss ein Kästchen bewusst anklicken. Das Wegklicken eines vorangekreuzten Kästchens erfüllt die Vorgaben der DS-GVO nicht.

Einwilligung des Betroffenen: Double-Opt-In

In der Regel wird darüber hinaus nur ein sogenanntes “Double-Opt-In” erforderlich sein, um sicherzustellen, dass es tatsächlich der Inhaber einer bestimmten E-Mailadresse war, der sich für den Newsletter angemeldet hatte. Meldet man sich durch Angabe einer E-Mailadresse an, wird die Anmeldung per E-Mail bestätigt. Nur wenn die Einwilligung per “Double-Opt-In” eingeholt wurde, kann der Verantwortliche im Streitfall beweisen, dass eine Einwilligung vom Betroffenen abgegeben wurde und kein Missbrauch stattgefunden hat.

Belehrung über das Widerrufsrecht

Der Betroffene muss vor Abgabe der Einwilligungserklärung darüber aufgeklärt werden, dass er seine Einwilligung jederzeit widerrufen kann. Es muss ihm aber auch klar gemacht werden, dass der Widerruf sich nicht auf die Rechtmäßigkeit der Datenverarbeitung in der Vergangenheit auswirkt.