Einwilligung zur Datenverarbeitung: Wann Sie sie brauchen und wann nicht /fileadmin/_processed_/7/d/csm_Einwilligung_zur_Datenverarbeitung_DSGVO_88921988_S_7727456b92.jpg 2019-06-06 Lexware

Einwilligung zur Datenverarbeitung: Wann Sie sie brauchen und wann nicht

Einwilligung zur Datenverarbeitung: Wann Sie sie brauchen – und wann nicht
Von Michael Rohrlich, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (DSB-TÜV)
Aktualisiert am: 06.06.2019

Die konkrete Ausgestaltung der Datenschutzgrundverordnung (DSGVO) wirft bei Unternehmern noch zahlreiche Fragen auf. Unter anderem die Frage, ob man wegen der DSGVO jetzt immer eine Einwilligung braucht. Auch wenn Juristen auf Fragen zumeist mit „Das kommt darauf an…“ reagieren, kann diese Frage kurz und knapp beantwortet werden: Nein, Sie müssen nicht immer eine Einwilligung haben. Das galt unter dem alten Bundesdatenschutzgesetz (BDSG) schon so und wird auch weiterhin nach der DSGVO sowie der angepassten Fassung des BDSG gelten.

Wann dürfen personenbezogene Daten verarbeitet werden?

Das Datenschutzrecht ist auch nach Maßgabe der DSGVO als sogenanntes „Verbot mit Erlaubnisvorbehalt“ ausgestaltet. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt und nur ausnahmsweise gestattet. Es gibt mehrere Ausnahmen, die Ihnen die Datenverarbeitung erlauben. Nämlich die folgenden:

  • gesetzliche Ausnahmetatbestände
  • berechtigte Interessen
  • Einwilligung

Welche Rechtsgrundlagen für die Datenverarbeitung gibt es neben der Einwilligung?

Die Einwilligungserklärung einer betroffenen Person ist also nur eine Möglichkeit, zulässigerweise personenbezogene Daten zu verarbeiten. In Ihrem Arbeitsalltag gibt es auch andere Rechtsgrundlagen, insbesondere gesetzliche Regelungen. Die wichtigsten bringt die DSGVO in Art. 6 gleich selbst mit. Danach dürfen Sie Daten mit Personenbezug in folgenden Fällen verarbeiten:

  • zur Erfüllung eines Vertrages (z.B. bei einer Bestellung im Onlineshop),
  • zur Durchführung vorvertraglicher Maßnahmen (z.B. die Erhebung der E-Mail-Adresse zwecks Übersendung eines Angebots),
  • aufgrund rechtlicher Verpflichtungen (z.B. handels- oder steuerrechtliche Aufbewahrungsfristen),
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z.B. durch die Verarbeitung von Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen) oder
  • bei der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. zur Ausübung öffentlicher Gewalt (z.B. „Knöllchen“ vom Ordnungsamt).

Fälle, in denen Sie keine Einwilligungserklärung nach DSGVO brauchen

Wenn Sie also die Daten Ihrer Kunden verarbeiten, um ihnen die Auftragsbestätigung oder die Rechnung zu übersenden, dann tun Sie dies zur Erfüllung eines Vertrages. Eine gesetzliche Pflicht zwingt Sie außerdem dazu, Rechnungen und andere steuerrechtlich relevante Unterlagen 10 Jahre aufzubewahren.

Die Daten Ihrer Mitarbeiter verarbeiten Sie ebenfalls zur Erfüllung des Arbeitsvertrages bzw. bestehender gesetzlicher Pflichten (z.B. zur Leistung von Sozialabgaben). Es wäre in diesen Fällen also sowohl unnötig als auch unpraktisch, von Ihren Kunden bzw. Mitarbeitern jeweils eine Einwilligung in die Verarbeitung ihrer Daten einzuholen. Unpraktisch deshalb, weil eine Einwilligung jederzeit frei widerrufbar ist und die entsprechenden Daten daher ab dem Zeitpunkt des Widerrufs nur noch eingeschränkt verarbeitet werden dürfen (z.B. um die steuerrechtlichen Aufbewahrungsfristen erfüllen zu können).

Insofern ist ein Vorgehen nach dem Motto „wir holen sicherheitshalber mal eine Einwilligung ein“ definitiv nicht zu empfehlen. Nicht selten existiert eine andere Rechtsgrundlage, auf deren Basis Sie die Daten verarbeiten dürfen.

DSGVO: Wann liegt „berechtigtes Interesse“ für Datenverarbeitung vor?

Die Verarbeitung personenbezogener Daten kann auch im „berechtigten Interesse“ eines Unternehmens liegen. Wie genau die Kriterien hierfür aussehen, ist im Einzelnen (noch) umstritten. Die DSGVO nennt allerdings beispielhaft die Direktwerbung oder auch die Verhinderung von Betrug als berechtigte Interessen eines Unternehmens.

Geballtes Fachwissen zur DSGVO

Alles Wichtige zur DSGVO, Fachwissen, Expertentipps und praktische Vorlagen finden Sie auf der Lexware Themenseite „DSGVO“.

Einwilligung DSGVO – welche Kriterien muss sie erfüllen?

Neben der Möglichkeit zum Widerruf gibt es bei der Einwilligung übrigens noch einen weiteren „Haken“. Denn eine wirksame Einwilligung ist an bestimmte Voraussetzungen gebunden. Sie muss die folgenden Kriterien erfüllen:

  • freiwillig
  • unmissverständlich
  • vor Beginn der Datenverarbeitung
  • auf Basis ausreichender Informationen
  • bezogen auf einen konkreten Verarbeitungszweck
  • durch Willenserklärung oder konkludente Handlung
  • formlos, aber auch in Schriftform
  • Einverständnis mit konkreter Datenverarbeitung
  • Nachweispflicht der verantwortlichen Stelle

An diesen Vorgaben wird deutlich, dass es gemäß DSGVO gar nicht so einfach ist, eine korrekte Einwilligungserklärung zur Datenverarbeitung einzuholen.

Sondersituation E-Mail-Marketing – keine Werbung ohne Einwilligung...

Im Bereich der elektronischen Werbung ist es so, dass hier nach alter wie auch neuer Rechtslage auf jeden Fall eine Einwilligung erforderlich ist. Zwar ist Direktwerbung, wie gesagt, als berechtigtes Interesse von Unternehmen einzustufen und macht insoweit eigentlich die Einwilligung überflüssig. Allerdings regelt § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) speziell den Bereich der elektronischen Werbung. Der Begriff der „Werbung“ ist sehr weit zu verstehen, so dass es hier nicht nur um Newsletter oder andere Werbe-Mails, sondern auch um werbliche Kurznachrichten in sozialen Netzwerken oder auch um Imagewerbung und Sponsoring geht.

§ 7 UWG fußt auf einer europarechtlichen Basis, so dass sie auch nicht durch die DSGVO verdrängt wird. Es gilt also weiterhin der Grundsatz: keine elektronische Werbung ohne vorherige Einwilligung.

... oder doch?

Es wäre kein richtiger Grundsatz, wenn es nicht auch eine Ausnahme gäbe. § 7 Abs. 3 UWG sieht vor, dass ausnahmsweise keine Einwilligung für den Erhalt elektronischer Werbung nötig ist, wenn

  • ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  • der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Verwendung nicht widersprochen hat und
  • der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Hier stellt sich die Frage, was „ähnliche Waren oder Dienstleistungen“ genau sind. Eine Ähnlichkeit in diesem Sinne liegt vor, wenn die Waren / Dienstleistungen generell austauschbar sind bzw. gleichen oder ähnlichen Zwecken dienen. Dies gilt u.a. also auch für typisches Zubehör. Allerdings ist zu beachten, dass es sich bei § 7 Abs. 3 UWG um eine Ausnahmevorschrift handelt, die entsprechend eng auszulegen ist.

Braucht man auch beim Einsatz von Cookies eine Einwilligung?

Werden online Daten erhoben, z.B. im virtuellen Warenkorb eines Onlineshops oder durch Analyse-Tools (wie z.B. Google Analytics), geschieht dies durch den Einsatz sogenannter Cookies. Das sind kleine Dateien mit Textinhalten, in denen z. B. der Inhalt des Warenkorbs oder die Anmeldeinformationen für eine Website enthalten sind und die auf dem Endgerät des betreffenden Website-Besuchers gespeichert werden.

Hierbei werden in aller Regel personenbezogene Daten verarbeitet, also etwa der Name oder die IP-Adresse des Website-Besuchers. Aktuell streiten sich die Experten, ob und inwieweit eine Einwilligung der Nutzer in die Verarbeitung ihrer Daten durch Cookies erforderlich ist.

Die Ansicht der Datenschutz-Aufsichtsbehörden zur Nutzung von Cookies

Die Datenschutzkonferenz (DSK) – ein Zusammenschluss der deutschen Datenschutz‐Aufsichtsbehörden – hat eine Stellungnahme zum Thema Cookies veröffentlicht. Die Datenschutzkonferenz hat darin u. a. folgendes geäußert: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking‐Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung […] eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Konkret bedeutet das für Sie als Betreiber einer Internetseite oder eines Webshops, dass Sie auf jeden Fall genau hinschauen müssen, wenn Sie Cookies verwenden. Gegebenenfalls müssen Sie eine technische Anpassung an Ihrer Website vornehmen.

Die guten und die „bösen“ Cookies

Es muss unterschieden werden zwischen technisch notwendigen und sonstigen Cookies. Denn aus der Rechtsansicht der Datenschutzkonferenz folgt, dass Cookies z. B. zu Analyse‐ oder Werbezwecken nur noch mit vorheriger Einwilligung seitens der Website‐Besucher zulässig sind. Es ist aber leider nicht ganz klar, was genau von den Aussagen der Datenschutzkonferenz umfasst ist.

Allerdings kann man bei der Verwendung von Webanalyse‐Tools wie z. B. Google Analytics wohl von einer Erstellung von Nutzungsprofilen ausgehen. Auch der Bereich Online‐Werbung ist betroffen. Nur für Cookies, die technisch erforderlich sind (wie z. B. für den virtuellen Warenkorb in einem Webshop), gilt das Erfordernis der Einwilligung wohl nicht, denn deren Daten werden aufgrund einer entsprechenden Rechtsgrundlage verarbeitet.

Das sollten Sie beim Einsatz von Cookies auf ihrer Website beachten:

Um die Gefahr von Abmahnungen in Bezug auf Cookies zu vermeiden, gibt es folgende Lösungsmöglichkeiten:

  • Sie löschen alle Cookies, die technisch nicht zum Betrieb der Website erforderlich sind.
  • Sie richten eine Vorschaltseite für Ihre Website ein und holen sich darüber die Einwilligungen Ihrer Website-Besucher ein.
  • Sie binden einen sogenannten Cookie‐Layer ein, der eine Opt-in-Lösung umsetzt. Das bedeutet, es darf kein (technisch nicht erforderlicher) Cookie gesetzt werden, solang der Website-Besucher dem nicht ausdrücklich per Mausklick über den Cookies-Layer zugestimmt hat. Außerdem muss der Cookie-Layer einen Hinweistext mit zumindest den wichtigsten Infos zu Cookies sowie einem Link zur Datenschutzerklärung Ihrer Website enthalten. Hierbei kann Ihnen ggf. auch ein externer Dienstleister, wie z.B. Cookiebot, helfen.
Geballtes Fachwissen und Vorlagen zur DSGVO

auf unserer Themenseite Datenschutzgrundverordnung


Bewerten Sie diesen Artikel:
(0)
0 0 1 5