Der Grundsatz lautet schlicht: Jede Verarbeitung personenbezogener Daten ist verboten – es sei denn, es gibt eine Erlaubnis dafür. Dieser Satz scheint angesichts der fortschreitenden Digitalisierung befremdlich, aber er ist die Konsequenz des Grundrechtsschutzes der personenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde („informationelle Selbstbestimmung“). Und er ist Inhalt der Europäischen Menschenrechtskonvention.
Was regelt die EU-Datenschutz-Grundverordnung?
In Artikel 6 DSGVO sind die verschiedenen Gründe zur Zulässigkeit einer Verarbeitung aufgelistet:
1. Einwilligung
Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden.
Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll.
Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein.
Beim Einholen einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit widerrufen kann – mit Wirkung für die Zukunft.
Die Gegenleistung darf nicht an die Einwilligung zur Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind.
Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Die betroffene Person muss handeln und ihr Einverständnis aktiv ausdrücken.
Wenn die Einwilligung zusammen mit anderen Erklärungen verlangt wird, muss sie besonders hervorgehoben sein (zum Beispiel drucktechnisch oder als Kasten).
Achtung: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Erziehungsberechtigten einwilligen, Art. 8 DSGVO.
Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?
Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach bisheriger Rechtslage rechtmäßig eingeholt wurden. Dafür erforderlich ist, dass:
- das Kopplungsverbot berücksichtigt wurde,
- der Grundsatz der Freiwilligkeit beachtet wurde
- der Hinweis auf den jederzeitigen Widerruf erfolgte.
2. Vertrag
Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
3. Rechtliche Verpflichtungen
Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten – etwa Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer.
4. Interessen über Interesse
Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Darunter kann zum Beispiel die Verarbeitung personenbezogener Daten für die Direktwerbung fallen.
5. Zweck-Kompatibilität
Unter bestimmten Voraussetzungen können personenbezogene Daten auch weiterverarbeitet werden, wenn die Verarbeitung nicht mehr dem ursprünglichen Zweck entspricht. Hierfür muss der neue Zweck mit dem alten kompatibel, darf also für die betroffene Person nicht überraschend sein. Dafür muss aber der Verantwortliche eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 DSGVO festgelegten Kriterien durchführen:
- jede Verbindung zwischen den Zwecken
- der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
- die Art der personenbezogenen Daten (etwa besonders sensible Daten)
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
- Vorhandene Verschlüsselungen oder Pseudonymisierung der Daten.
Ergibt die Prüfung, dass der Zweck inkompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.
6. Rechtsgrundlagen
Die DSGVO, aber auch das angepasste Bundesdatenschutzgesetz (BDSG), enthalten selbst Erlaubnistatbestände, nach denen Datenverarbeitung zulässig ist. Dazu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz.
Ich möchte diesen Beitrag teilen