Rund um die DSGVO

Suche
  • Team Ernst

Ist jetzt jede Datensicherung verboten ?

Wann ist die Datenverarbeitung erlaubt? Grundprinzip „Verbot mit Erlaubnisvorbehalt“

Der Umgang mit personenbezogenen Daten bleibt auch weiterhin verboten, wenn er nicht entweder durch einen Erlaubnistatbestand der DSGVO oder einer sonstigen Rechtsvorschrift (z. B. Spezialgesetzgebung wie Telekommunikationsgesetz oder Telemediengesetz) erlaubt ist. Die gängigen gesetzlichen Erlaubnistatbestände für die Verarbeitung bleiben grundsätzlich erhalten. Die Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten) unterliegt besonderen Voraussetzungen.


1. Einwilligung Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden. Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll. Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein. Bei der Einholung einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Die Gegenleistung darf nicht an die Einwilligung in die Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind.

Auf welche Weise eine Einwilligung in eindeutiger und unmissverständlicher Weise erfolgt, erläutert der "Erwägungsgrund 32" des Artikels 7 der DSGVO Darin heißt es: "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten ... keine Einwilligung darstellen." Das heißt, eine Person muss aktiv zustimmen.

Opt-out-Formulare sind nicht mehr ausreichend. Sondern der Internetnutzer muss aktiv sein Häkchen in einem Feld setzen, wenn er mit der Weitergabe seiner Daten einverstanden ist. Ein "Nicht-Wegklicken" eines Hakens erfüllt gemäß der Datenschutzgrundverordnung diese Anforderungen nicht.

Auch das "Soft-Opt-in" ist mit der DSGVO nicht vereinbar. Dabei ist ebenfalls in einem Kontrollfeld bereits ein Haken gesetzt. Außerdem wird der Nutzer explizit darauf hingewiesen, dass er mit der Weitergabe seiner Daten einverstanden ist. Die aktive Zustimmung beschränkt sich darauf, dass ein Nutzer das Formular abschickt. Das ist laut DSGVO keine aktive Einverständniserklärung.


Opt-in und "Double Opt-in" als DSGVO-konforme Einwilligung

Wie kommt man nun zu einer DSGVO-konformen Einwilligung? Eine Möglichkeit ist das Double Opt-in. In diesem Fall kreuzt man in einem Internet-Formular an, dass man einen Newsletter oder Informationen zu bestimmten Produkten erhalten möchte. Anschließend erhält er eine E-Mail mit einem Bestätigungs-Link. Erst nach Anklicken des Links durch wird der Interessent auf die Verteilerliste gesetzt.

Zu beachten ist allerdings, dass der Nutzer diese Einwilligung jederzeit widerrufen kann. Erhält er anschließend weiterhin Werbenachrichten oder Newsletter, kann er juristisch dagegen vorgehen.


Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Hierbei handelt es sich um eine sogenannte Die betroffene Person muss handeln und aktiv ihr Einverständnis ausdrücken.

Wenn die Einwilligung zusammen mit anderen Erklärungen verlangt, muss sie besonders hervorgehoben sein (z. B. drucktechnisch oder als Kasten). Achtung: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Erziehungsberechtigten einwilligen, Art. 8.

Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?

Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach der bisherigen Rechtslage rechtmäßig eingeholt wurden. Hierzu bringt Erwägungsgrund 171 Licht ins Dunkel. Danach ist es nicht erforderlich, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Verstoßen alte Einwilligungen allerdings gegen des Gebot der Freiwilligkeit und insbesondere gegen das neu verankerten Kopplungsverbot nach Art. 7 Absatz 4 DSGVO gelten sie nicht fort und müssen erneut eingeholt werden. Es ist daher ratsam, bestehende Einwilligung speziell darauf hin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen.

Der Grundsatz lautet also stets: Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn, es gibt eine Erlaubnis dafür. Dieser Satz scheint angesichts einer fortschreitenden Digitalisierung befremdlich, aber er ist Konsequenz des Grundrechtschutzes der personenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde ("informationelle Selbstbestimmung"), und er ist Inhalt der Europäischen Menschenrechtskonvention.

Bezüglich der Einwilligung kommt die Schwierigkeit. Meist erfolgte früher solch eine Einwilligung mündlich. Somit gibt es keine Dokumentation darüber im Bedarfsfall. So gilt individuell zu prüfen, ob die Einwilligung doch noch einmal eingeholt werden sollte. Wer hier zu viel Aufwand sieht, da er mit Tausenden von Kundendaten konfrontiert ist, dem sei geraten, das Thema DSGVO zu kommunizieren und darauf hinzuweisen, dass seine Kunden, Patienten etc. jederzeit das Recht haben, die Daten löschen zu lassen und nicht mehr kontaktiert zu werden.




0 Ansichten

© 2023 by Team Ernst, die Datenschutzexperten, Rundfunkplatz 2, 80335 München