Rechtmäßige Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder eine gesetzliche Erlaubnis (Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO) vor.
Einwilligung
Die Verarbeitung ist rechtmäßig, wenn die betroffene Person in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat.
Die Einwilligungserklärung muss zweckgebunden und eindeutig sein, die Abgabe muss freiwillig erfolgen, der Betroffene muss auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligung hingewiesen werden und die erteilte Einwilligung muss dokumentiert werden (Dokumentation auch elektronisch z.B. mit Hilfe eines Kontrollkästchens möglich, sogenanntes Opt-In-Verfahren). Der Hinweis auf das Widerrufsrecht kann in einem entsprechenden Datenschutzhinweis erfolgen.
Beispiel:
▢ Ich bin damit einverstanden, dass mir das XY-Unternehmen per Post/E-Mail/Telefon/Fax/SMS aktuelle Angebote, Informationen und Newsletter zu Werbezwecken zusendet.
[Ort, Datum]
[Unterschrift des Betroffenen]
▢ Ich bin damit einverstanden, dass mir das XY-Unternehmen per Post/E-Mail/Telefon/Fax/SMS aktuelle Angebote, Informationen und Newsletter zu Werbezwecken zusendet.
[Ort, Datum]
[Unterschrift des Betroffenen]
Beim Opt-In-Verfahren willigt der Betroffene in die Datenverarbeitung ausdrücklich ein – in der Regel per E-Mail, Telefon oder SMS. Zu unterscheiden ist zwischen dem Single- und dem Double-Opt-In-Verfahren. Beim Single-Opt-In setzt der Betroffene in einem Kontrollkästchen sein Häkchen zur Einwilligung in die Datenverarbeitung, z.B. für die Anmeldung zu einem Newsletter. Beim Double-Opt-In wird Einwilligung der betroffenen Person dagegen doppelt eingeholt: auch hier setzt der Betroffene im ersten Schritt das entsprechende Häkchen, woraufhin er eine E-Mail mit einem Bestätigungslink erhält. In einem zweiten Schritt klickt er den Link an mit der Folge, dass er dem E-Mail-Verteiler hinzugefügt wird. Wollen Sie auf Nummer sicher gehen, empfehlen wir Ihnen das Double-Opt-In Verfahren.
Beachten Sie: Ist das Häkchen bei einem Kontrollkästchen bereits voreingestellt, liegt wegen unzumutbarer Belästigung keine wirksame Einwilligung vor, sog. - unzulässiges - Opt-Out-Verfahren (LG München I, Urteil vom 4.6.2018– 4 HK O 8135/17).
Im Rahmen der Freiwilligkeit der Einwilligung ist das sogenannte Kopplungsverbot (Art. 7 Abs. 4 DSGVO) zu beachten. Demnach ist eine Einwilligung in die Verarbeitung von personenbezogenen Daten ist unwirksam, wenn sie an eine Bedingung geknüpft ist. (Verlinkung bei Kopplungsverbot auf den Artikel „Freebies gegen Daten“)
Beispiel: Muss der Betroffene beim Einkauf in einem Online-Shop in die Verarbeitung seiner Daten zu Werbezwecken einwilligen, um den Kauf abzuschließen, ist die Einwilligung wohl mangels Freiwilligkeit unwirksam.
Gesetzliche Erlaubnis
Die Verarbeitung ist ferner rechtmäßig, wenn sie erforderlich ist:
- für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen;
Hier ist die Verarbeitung von Daten erforderlich, um vertraglich vereinbarte Leistungen zu erbringen (z. B.: Kundenanschrift zur vertraglich bedingten Lieferung von Waren, Angabe der Bankverbindung für Lohn-/Gehaltsüberweisung, Mitteilung von Kreditkartendetails zur Zahlungsabwicklung beim Online-Kauf, Ablichtung einer Person zur Anfertigung von Passfotos) bzw. um künftig einen Vertrag abschließen zu können (z. B.: Zusendung eines Prospekts mit aktuellen Angeboten auf Veranlassung des Betroffenen). - zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt; z.B.: Abfrage der Konfessionszugehörigkeit durch den Arbeitgeber wegen Pflicht zur Abführung der Kichensteuer
- um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Das berechtigte Interesse kann rechtlicher, tatsächlicher, ideeller oder wirtschaftlicher Natur sein, z. B. Bestehen einer maßgeblichen und angemessenen Beziehung zwischen Betroffenem und Verantwortlichem (Betroffener = Kunde oder Arbeitnehmer des Verantwortlichen); Verhinderung von Betrug; Direktwerbung. Außerdem ist eine Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen und den Interessen des Betroffenen vorzunehmen und zu dokumentieren. Als gegen die Verarbeitung sprechendes Interesse des Betroffenen kommt beispielsweise das Recht am eigenen Bild in Betracht.
Liegt eine gesetzliche Erlaubnis nach Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO vor, ist eine Einwilligung nicht erforderlich.
Der Betroffene hat gegen die Verarbeitung ihn betreffender personenbezogener Daten ein jederzeitiges Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO „aus Gründen, die sich aus seiner besonderen Situation ergeben“. Dies gilt aber nur für die letzten beiden oben genannten Fälle (öffentliches Interesse/berechtigtes Interesse).