Rechtmäßige Datenverarbeitung

Eine Verarbeitung ist rechtmäßig, wenn die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat. Eine Einwilligung muss freiwillig, eindeutig und zweckgebunden sein. Der Hinweis auf das Widerrufsrecht muss vor der Einwilligung erfolgen. Die Einwilligung ist zu dokumentieren. Dies kann auch elektronisch erfolgen, beispielsweise über ein Ankreuzfeld im Rahmen eines Opt-in-Verfahrens.

Beim Opt-in-Verfahren bestätigt die betroffene Person die Einwilligung aktiv. Beim Single-Opt-in wird das Ankreuzfeld gesetzt und die Anmeldung damit abgeschlossen. Beim Double-Opt-in erfolgt zusätzlich eine Bestätigung über einen Link in einer E Mail. Dieses Verfahren erhöht die Nachweisbarkeit der Einwilligung.

Voreingestellte Ankreuzfelder sind unzulässig. Sie stellen keine wirksame Einwilligung dar.

Das Kopplungsverbot ist zu beachten. Eine Einwilligung ist unwirksam, wenn sie an eine Bedingung geknüpft ist. Muss eine Person im Rahmen eines Online-Kaufs der Nutzung ihrer Daten zu Werbezwecken zustimmen, um den Kauf abzuschließen, gilt die Einwilligung als nicht freiwillig.

Bei Kindern unter 16 Jahren ist Artikel 8 der Datenschutz-Grundverordnung zu beachten.

Eine Verarbeitung ist ohne Einwilligung zulässig, wenn ein (gesetzlicher) Erlaubnistatbestand besteht. Es kommen verschiedene Erlaubnistatbestände, die im nachfolgenden näher beschrieben werden in Betracht

Eine Verarbeitung ist zulässig, wenn sie für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person. Dazu zählen etwa die Nutzung der Anschrift zur Lieferung von Waren, die Verarbeitung der Bankverbindung zur Gehaltszahlung oder die Angabe von Kreditkartendaten zur Zahlungsabwicklung bei einem Online-Kauf. Auch die Zusendung eines Prospekts auf Anfrage kann erfasst sein.

Eine Verarbeitung ist zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dazu gehört beispielsweise die Abfrage der Konfessionszugehörigkeit durch den Arbeitgeber zur Abführung der Kirchensteuer.

Eine Verarbeitung ist zulässig, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Eine Verarbeitung ist zulässig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Eine Verarbeitung ist zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Das berechtigte Interesse kann rechtlicher, tatsächlicher, ideeller oder wirtschaftlicher Art sein. Beispiele hierfür sind Betrugsprävention, Direktwerbung oder eine bestehende Kunden- oder Beschäftigtenbeziehung.Eine nachvollziehbare Interessenabwägung ist zu dokumentieren. Als gegen die Verarbeitung sprechendes Interesse der betroffenen Person kann etwa das Recht am eigenen Bild relevant sein.Ein Widerspruch gegen eine Verarbeitung aus Gründen des berechtigten Interesses oder des öffentlichen Interesses ist jederzeit möglich. Ein Widerspruch gegen Direktwerbung ist ohne Begründung zulässig.