Kapitel
Bild: mauritius images / Westend61 / Rainer Berg

Sämtliche personenbezogene Datenverarbeitungsprozesse müssen auf den Prüfstand des neuen Datenschutzrechts gestellt werden.

Welche Grundsätze gelten nach der DSGVO für eine Verarbeitung personenbezogener Daten?

Die DSGVO stellt in Art. 5 Abs. 1 allgemeine Grundsätze auf, welche für jede Verarbeitung personenbezogener Daten nach der DSGVO gelten. Hierzu zählen der allgemeine Grundsatz der Rechtmäßigkeit der Datenverarbeitung, die Verarbeitung nach Treu und Glauben, das Transparenzgebot, der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit.

Der datenschutzrechtlich Verantwortliche muss diese Grundsätze bei einer Verarbeitung personenbezogener Daten einhalten und die Einhaltung – insb. gegenüber den Aufsichtsbehörden – nachweisen können (Art. 5 Abs. 2 DSGVO).

Was sind personenbezogene Daten?

Die Verarbeitung besonderer Kategorien personenbezogener Daten unterliegt – wie bisher – besonders strengen Regelungen.

Der Begriff der "besonderen personenbezogener Daten" wird in der DSGVO nicht gesetzlich definiert, jedoch durch die Aufzählung besonderer Datenkategorien umschrieben. Hierzu zählen: Genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zur sexuellen Orientierung bzw. zum Sexualleben einer natürlichen Person sowie Daten, aus denen die politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit einer Person hervorgehen.

Eine Verarbeitung dieser Daten ist nur in Ausnahmefällen möglich. Diese Ausnahmefälle sind in Art. 9 Abs. 2 DSGVO abschließend aufgelistet.

Wann ist eine Verarbeitung personenbezogener Daten nach der DSGVO zulässig?

Die DSGVO hält am schon bisher bestehenden Grundsatz eines Verbots mit Erlaubnisvorbehalt fest. Jede rechtmäßige Datenverarbeitung muss daher auf einem Rechtfertigungsgrund beruhen. Diese Rechtfertigungsgründe sind in Art. 6 Abs. DSGVO normiert. Danach kann die Datenverarbeitung entweder durch eine Einwilligung des Betroffenen legitimiert oder auf einen gesetzlichen Rechtfertigungsgrund gestützt werden.

a. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung des Betroffenen kann nach wie vor eine Verarbeitung von personenbezogenen Daten legitimieren.

Definiert ist die Einwilligung als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist" (Art. 4 Nr. 11 DSGVO).

Insgesamt wird angenommen, dass die Anforderungen an die informierte, freiwillige Einwilligung durch die DSGVO erhöht wurden (vgl. insb. Art. 7 DSGVO und Art. 4 Nr. 11 DSGVO sowie ErwG. 43 S. 1 u. 2 sowie ErwG. 42 S. 5 DSGVO).

aa. Form

Das bisher nach deutschem Recht bestehende Schriftformerfordernis entfällt; es genügt nunmehr eine konkludente Handlung, soweit diese unmissverständlich ist. Aus dem Erfordernis einer "eindeutig bestätigenden Handlung" wird dabei vielfach hergeleitet, dass nur eine Einwilligung im Wege des Opt-In zulässig ist – vorangekreuzte Kästchen, die der Betroffene lediglich nicht auskreuzt, wären danach als Einwilligung im Wege des Opt-Out unzulässig.

Auch eine Einbeziehung der Einwilligungserklärung in AGBs bleibt weiterhin zulässig. Die Einwilligungserklärung muss dann (ähnlich wie nach bisheriger Rechtslage) besonders hervorgehoben sein.

bb. Informiertheit

Der Betroffene ist vorab (nach Vorgabe der Art. 12 ff. DSGVO) zu informieren. Darüber hinaus ist der Betroffene auch auf sein Widerrufsrecht hinzuweisen (Art. 7 Abs. 3 S. 3 DSGVO).

cc. Freiwilligkeit

Die Freiwilligkeit bleibt eine zentrale Voraussetzung für die Annahme einer wirksamen Einwilligung. Die DSGVO erhöht dabei zum Teil die Voraussetzungen, welche an die Freiwilligkeit gestellt werden. Zu nennen sind hierbei insb. das Koppelungsverbot sowie der Fall eines klaren Machtungleichgewichts.

(1) Koppelungsverbot (Art. 7 Abs. 4 DSGVO)

Die DSGVO führt in Art. 7 Abs. 4 ein "allgemeines Koppelungsverbot" ein. Unklar ist aber noch, in welchen Fällen dieses Koppelungsverbot tatsächlich einschlägig ist.

Das Koppelungsverbot untersagt es, den Abschluss eines Vertrags von der Einwilligung des Betroffenen in die Verarbeitung ihn betreffender Daten abhängig zu machen. Im deutschen Recht besteht ein solchen Koppelungsverbot bisher nur punktuell, so bspw. für den Bereich des Adresshandels und der Werbung (§ 28 Abs. 3b BDSG-alt). Art. 7 Abs. 4 DSGVO enthält keine solche Begrenzung auf bestimmte Bereiche, weshalb man von einem "allgemeinen" Koppelungsverbot spricht.

Nach dem Wortlaut des Art. 7 Abs. 4 DSGVO ist dem Umstand, ob der Vertragsschluss von der Abgabe einer datenschutzrechtlichen Einwilligung abhängig gemacht wird, jedoch lediglich "in größtmöglichem Umfang Rechnung zu tragen". Daher stellt sich die Frage, ob und inwieweit sich aus der Regelung tatsächlich ein "striktes" Koppelungsverbot ergibt, das eine solche Praxis in Zukunft unzulässig macht. Dem Wortlaut nach könnte es sich nämlich gleichfalls um eine (bloße) Auslegungshilfe handeln, sodass das Vorliegen einer solchen Koppelung von Leistung und Einwilligung nicht per se zu einer Unzulässigkeit der Einwilligung führt. Dann wäre die Freiwilligkeit vielmehr im Einzelfall (auch anhand anderer Merkmale) zu prüfen.

Diskutiert wird zudem, ob und inwieweit die Möglichkeit für den Betroffenen, auf einen anderen Anbieter auszuweichen, bei der Beurteilung der Zulässigkeit einer solchen Koppelung zu berücksichtigen ist.

(2) Machtungleichgewicht (ErwG. 43 S. 1 DSGVO)

Die Freiwilligkeit der Einwilligung gilt auch dann als prekär, wenn zwischen dem Betroffenen und dem Verantwortlichen eine Verhandlungsdisparität besteht. Die DSGVO befasst sich hiermit in ErwG. 43 S. 1 DSGVO und bestimmt insoweit, dass die Einwilligung "in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht" ebenfalls unzulässig sein soll. Beispielhaft nennt ErwG. 43 S. 1 DSGVO dabei die Einwilligung gegenüber einer Behörde.

Der zunächst während des Gesetzgebungsprozesses ebenfalls genannte Fall der Einwilligung gegenüber einem Arbeitgeber wurde dagegen aus der Endfassung der DSGVO gestrichen. Im Verhältnis zwischen Arbeitnehmer und Arbeitgeber ist somit nicht pauschal von einem Ungleichgewicht auszugehen.

Auch insgesamt sind nach ErwG. 43 S. 1 DSGVO alle Umstände in die Beurteilung der Freiwilligkeit miteinzubeziehen. Zu beachten ist zudem, dass sich die Unzulässigkeit aufgrund eines klaren Ungleichgewichts nicht im eigentlichen Gesetzestext wiederfindet, sondern lediglich in den Erwägungsgründen der DSGVO genannt ist. Die Freiwilligkeit ist daher auch bei Vorliegen eines klaren Ungleichgewichts im Einzelfall zu prüfen, wobei die bestehende Verhandlungsdisparität ein Indiz für die fehlende Freiwilligkeit liefern kann.

dd. Widerruf (Art. 7 Abs. 3 DSGVO)

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt. Nach Art. 7 Abs. 3 DSGVO kann die Einwilligung jederzeit und ohne Begründung widerrufen werden. Jedwede Datenverarbeitung, die sich auf die entsprechende Einwilligung stützt, verliert damit – ex nunc – ihre rechtliche Grundlage und ist einzustellen.

ee. Besonderheiten für die Einwilligung Minderjähriger bei der Nutzung von Online-Diensten (Art. 8 DSGVO)

Nach bisheriger Rechtslage ist strittig, nach welchen Kriterien die Einwilligungsfähigkeit Minderjähriger zu beurteilen ist. Abgestellt wird zumeist auf die individuelle Einsichtsfähigkeit des minderjährigen Betroffenen.

Die DSGVO führt für die Einwilligungsfähigkeit Minderjähriger nun eine Sonderregelung im Bereich der Telemedien ein (Art. 8 Abs. 1 DSGVO). Nach dieser Sonderregelung sind Minderjährige für diesen Bereich ab Vollendung des 16. Lebensjahrs pauschal einwilligungsfähig, ohne dass es auf die Einsichtsfähigkeit im Einzelfall ankommt. Minderjährige unter 16 Jahren benötigen eine Zustimmung der Eltern.

b. Vertragsverhältnis (Art. 6 Abs. 1 lit. b DSGVO)

Nach diesem Tatbestand ist eine Datenverarbeitung rechtmäßig, soweit sie für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen (also bspw. für den Abschluss eines Vertrags) erforderlich ist.

c. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Nach diesem Tatbestand ist eine Datenverarbeitung zulässig, wenn sie zur Wahrung "berechtigter Interessen“ des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht "die Interessen oder Grundrechte und Grundfreiheiten“ der betroffenen Person, die den Schutz personenbezogener Daten erfordern "überwiegen“.

Die Abwägung der Interessen ist dabei im Grundsatz vom Verantwortlichen durchzuführen, sie unterliegt jedoch der Aufsicht und Kontrolle der Datenschutzbehörden

"Berechtigte Interessen“ des Verantwortlichen können solche wirtschaftlicher, rechtlicher oder auch ideellere Art sein; besonders genannt ist hierbei auch die Direktwerbung (ErwG 47 S. 7 DSGVO)

Bei den entgegenstehenden Interessen der Betroffenen sind insb. auch deren "vernünftige Erwartungen, die auf ihrer Beziehung zum Verantwortlichen beruhen“, zu berücksichtigen (ErwG 47 S. 1 Hs. 2 DSGVO). Die DSGVO lehnt sich hiermit an an das in den USA bekannte und bewährte Kriterium der "reasonable expecations“.

d. Sonstige gesetzliche Verarbeitungsermächtigungen (Art. 6 Abs. 1 lit. c – e DSGVO)

Eine Datenverarbeitung ist weiterhin zulässig, soweit sie erforderlich ist:

  • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c).
  • um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d).
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e).

Wie ist der Datenschutz bei personenbezogenen Daten der gegnerischen Partei ausgestaltet?

Die DSGVO lässt Ausnahmen vom Datenschutz nur in wenigen Öffnungsklauseln zu. Von diesen Öffnungsklauseln hat Deutschland allerdings auch und gerade Gebrauch gemacht, um das Anwaltsgeheimnis zu schützen.

Anders als bei anderen Unternehmen haben die Aufsichtsbehörden bei Anwaltskanzleien kein Recht auf Zugang zu den Kanzleiräumen (§ 29 Abs. 3 BDSG-neu).

  • Anders als bei anderen Unternehmen haben die Aufsichtsbehörden bei Anwaltskanzleien kein Recht auf Zugang zu den Kanzleiräumen (§ 29 Abs. 3 BDSG-neu).
  • Die Aufsichtsbehörden haben zudem keine Zugriffsrechte und dürfen keine Einblicke in die anwaltliche Datenverarbeitung verlangen. Die Kanzleiserver und -rechner sind für die Behörden somit tabu (§ 29 Abs. 3 BDSG-neu).
  • Auch bei den Betroffenenrechten gibt es Ausnahmen zum Schutz des Anwaltsgeheimnisses: Prozessgegner und andere Außenstehende können keine Informations- und Auskunftsrechte aus Art. 14 und 15 DSGVO geltend machen, wenn es um Daten geht, die dem Anwaltsgeheimnis unterliegen (§ 29 Abs. 1 BDSG-neu).


Datenschutz - e-Learning

Alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, haben nationale Vorschriften und Gesetze sowie entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten! Mit diesem e-Training können Sie alle Mitarbeiter zu diesem sensiblen Thema schulen und so die korrekte Behandlung von persönlichen Daten in Ihrem Unternehmen sicherstellen.

Schlagworte zum Thema:  Persönliche Daten, Nutzung personenbezogener Daten, EU-Datenschutzverordnung, Datenschutz-Management, IT-Compliance, Compliance, Compliance-Manager, Compliance-Organisation

Aktuell
Meistgelesen