- DSGVO: Grundlagen und Umsetzung
- Anwendungsbereich der DSGVO
- Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
- DSGVO: Aufsichtsbehörden und Sanktionen
- Rechtmäßigkeit der Datenverarbeitung – Art. 6 DSGVO
- DSGVO: Betroffenenrechte
Jede Datenverarbeitung muss für ihre Rechtmäßigkeit auf einem Erlaubnistatbestand beruhen (Verbot mit Erlaubnisvorbehalt). Folgende Möglichkeiten kommen in Betracht.
Wann ist eine Verarbeitung personenbezogener Daten nach der DSGVO zulässig?
Die DSGVO hält für die Verarbeitung personenbezogener Daten am Grundsatz eines Verbots mit Erlaubnisvorbehalt fest. Jede Datenverarbeitung muss daher für ihre Rechtmäßigkeit auf einer konkreten Rechtsgrundlage beruhen. Die wichtigsten Rechtsgrundlagen sind dabei in Art. 6 Abs. 1 DSGVO normiert. Danach kann die Datenverarbeitung entweder durch eine Einwilligung des Betroffenen legitimiert oder auf einen gesetzlichen Ermächtigungsgrund gestützt werden.
a. Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
Die wohl bekannteste und für die Praxis bedeutsamste Möglichkeit, eine Datenverarbeitung zu legitimieren, besteht in dem Einholen einer Einwilligung des Betroffenen.
Definiert ist die Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DSGVO). Maßgeblich ist also, dass die Einwilligung freiwillig, informiert, für eine konkrete Verarbeitung und einen konkreten Zweck sowie unmissverständlich abgegeben wird.
aa. Eindeutigkeit
Das Kriterium der Unmissverständlichkeit erfordert dabei nicht zwingend eine ausdrückliche Erklärung. Vielmehr kann auch bereits eine konkludente Einwilligung ausreichen, wenn diese den Willen des Betroffenen hinreichend erkennen lässt. Ein Schriftformerfordernis ist der DSGVO zwar nicht zu entnehmen, wird aber in der Praxis empfehlenswert sein, um Dokumentations-, Nachweis- und Rechenschaftspflichten nachkommen zu können. Aus dem Erfordernis einer „eindeutig bestätigenden Handlung“ wird vielfach hergeleitet, dass nur eine Einwilligung im Wege des Opt-In zulässig ist. Vorangekreuzte Kästchen, die der Betroffene herausnehmen muss, um der Verarbeitung zu widersprechen, sind demnach unzulässig.
bb. Informiertheit
Die Informiertheit setzt voraus, dass die betroffene Person zumindest weiß, wer der Verantwortliche ist und für welchen Zweck die betreffenden Daten verarbeitet werden sollen. Darüber hinaus ist die betroffene Person insbesondere auch auf ihr Recht hinzuweisen, die Einwilligung jederzeit widerrufen zu können (Art. 7 Abs. 3 S. 3 DSGVO).
cc. Freiwilligkeit
Die Freiwilligkeit bleibt eine zentrale Voraussetzung für die Annahme einer wirksamen Einwilligung. Dabei kann die Einwilligung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (Erwägungsgrund 42 DSGVO). Problematisch sind insoweit vor allem auch Fälle des sogenannten Koppelungsverbots aus Art. 7 Abs. 4 DSGVO: Diese Bestimmung besagt, dass der Abschluss eines Vertrages nicht von der Verarbeitung solcher Daten abhängig gemacht werden darf, die für die Vertragsdurchführung eigentlich gar nicht benötigt werden. Zudem kann auch in Konstellationen des Vorliegens eines starken Machtungleichgewichts zwischen Verantwortlichem und Betroffenen die Freiwilligkeit im Einzelfall ausgeschlossen sein.
dd. Widerruf (Art. 7 Abs. 3 DSGVO)
Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt. Nach Art. 7 Abs. 3 DSGVO kann die Einwilligung jederzeit und ohne Begründung widerrufen werden. Jede Datenverarbeitung, die sich auf die entsprechende Einwilligung stützt, verliert damit ihre rechtliche Grundlage und ist einzustellen.
b. Vertragsverhältnis (Art. 6 Abs. 1 lit. b) DSGVO)
Nach Art. 6 Abs. 1 lit. b) DSGVO ist eine Datenverarbeitung rechtmäßig, soweit sie für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen (etwa Kostenvoranschläge, Angebote) erforderlich ist. Die Erforderlichkeit bemisst sich dabei im Einzelfall in Abhängigkeit (vor allem) davon, um welchen Vertragstypus es sich handelt und was der Vertrag genau beinhaltet. Jedenfalls umfasst sind solche Verarbeitungen, ohne die der Vertrag nicht sinnvoll erfüllt werden könnte – zu denken ist insoweit etwa an die Speicherung der Maße einer Person als Voraussetzung für einen Vertrag, der die Herstellung eines individuell angefertigten Kleidungsstücks zum Gegenstand hat.
c. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO)
Nach Art. 6 Abs. 1 lit. f) DSGVO ist eine Datenverarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Vorzunehmen ist an dieser Stelle also eine Interessensabwägung zwischen den Interessen des Verantwortlichen einerseits und den Grundrechten und Grundfreiheiten des Betroffenen andererseits.
Berechtigte Interessen des Verantwortlichen können dabei wirtschaftlicher, rechtlicher oder auch ideeller Art sein. Insbesondere kann auch die Direktwerbung im Einzelfall ein berechtigtes Interesse darstellen (ErwG 47 S. 7 DSGVO). Die Datenverarbeitung muss für dieses Interesse erforderlich sein, was bedeutet, dass es keine milderen Mittel geben darf, um das betreffende Ziel zu erreichen. Mit den entgegenstehenden Grundrechten der Betroffenen werden vor allem die Grundfreiheiten in den europäischen Verträgen sowie die Rechte aus der Grundrechtecharta in Bezug genommen. Bei der Gewichtung dieser Interessen sind etwa die Schwere des Eingriffs, die Sensibilität sowie die Menge der verarbeiteten Daten zu berücksichtigen.
d. Sonstige gesetzliche Verarbeitungsermächtigungen (Art. 6 Abs. 1 lit. c) – e) DSGVO)
Sonstige gesetzliche Ermächtigungen finden sich in der gesamten DSGVO sowie teils im nationalen Recht. Insbesondere ist eine Datenverarbeitung weiterhin zulässig, soweit sie erforderlich ist:
- zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c)),
- um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d)),
- zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e)).