Abo
  • Services:

Keine Datenverarbeitung ohne Rechtsgrundlage

Grundsätzlich gilt in der DSGVO das sogenannte "Verbot mit Erlaubnisvorbehalt". Das heißt, jede Verarbeitung personenbezogener Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit. Es muss also stets eine Rechtsgrundlage her, von denen die DSGVO aber glücklicherweise bereits fünf bereithält. Die Frage, welche Rechtsgrundlage sich für welchen Anwendungszweck am besten eignet, ist heute noch schwer abschließend zu klären. Die Antwort hängt von der Art der Datenverarbeitung und insbesondere von der zukünftigen Rechtsprechung zur DSGVO ab.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Personenbezogene Daten dürfen grundsätzlich verarbeitet werden, wenn dies zur Erfüllung eines Vertrages oder aufgrund gesetzlicher Verpflichtungen notwendig ist. Dazu gehören beispielsweise Bestell- und Adressdaten von Kunden eines Onlineshops oder Daten, die aufgrund steuerrechtlicher Archivierungspflichten aufbewahrt werden müssen.

Weiterhin ist eine Datenverarbeitung wie bisher auch aufgrund eines "berechtigten Interesses" möglich. "Hierunter fallen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen, die von der Rechtsordnung anerkannt werden", schreibt der Rechtsanwalt Henry Pohling. Dabei müsse ein solches berechtigtes Interesse in Zukunft aber von Fall zu Fall gegen "die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern", abgewogen werden.

Wie diese rechtliche Abwägung genau ausgestaltet werden wird, ist derzeit noch nicht vollständig absehbar. Pohling zufolge müssen die schutzwürdigen Interessen der Betroffenen die Interessen des Datenverarbeiters aber überwiegen, damit eine Datenverarbeitung unzulässig ist. Für eine Datenverarbeitung wie beim E-Mail-Marketing komme man aber mit dem berechtigten Interesse nicht weit, sagt Rechtsanwalt Schirmbacher. Handele es sich bei den Empfängern nicht ausschließlich um Bestandskunden, denen man das bereits erworbene Produkt noch einmal anbieten möchte, brauche es die Einwilligung der Betroffenen. Aber auch die hat in der DSGVO ihre Tücken.

Komplizierte Einwilligung

Personenbezogene Daten dürfen natürlich weiterhin auch dann verarbeitet werden, wenn dafür die Einwilligung der Betroffenen vorliegt. Diese ist jedoch unter den neuen Regeln der DSGVO viel schwerer zu bekommen, muss aufwendig belegt sein und kann jederzeit widerrufen werden. Zwar ist es nicht mehr nötig, eine Einwilligung per Schriftform einzuholen, eine digitale Einwilligung ist jedoch im Streitfall auch schwerer zu belegen. Sie sollte idealerweise in einer Datenbank einschließlich Datums- und Zeitangabe protokolliert sein. Technisch eignet sich dafür wie bisher auch ein per E-Mail versandter Bestätigungslink, auf den Nutzer klicken müssen, um so ihre explizite Einwilligung zur Datenverarbeitung mitzuteilen.

"Der Nachweis der Einwilligung muss konkret erfolgen", sagt Rechtsanwalt Schirmbacher. "Da reicht es nicht zu sagen, man hole ja immer Einwilligungen ein. Ich muss nachweisen können, dass jemand, der sich beispielsweise für einen Newsletter eingetragen hat, diesen Text angezeigt bekommen hat. Und wer seine E-Mail-Adresse eingetragen hat, hat auch eine Bestätigungsmail bekommen." Es sei zudem ratsam, die Bestätigungsmail einschließlich Datums- und Zeitstempel des Klicks auf den Bestätigungslink sowie die IP-Adresse der Betroffenen in einem ausdruckbaren Format zu speichern, um die Einwilligung gegebenenfalls beweisen zu können.

Informiert und freiwillig zustimmen

Darüber hinaus muss eine Einwilligung in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben werden. Das soll eine bloße implizite Zustimmung zum Beispiel durch das Nichtwegklicken eines vorausgewählten Häkchens oder einen anderen fehlenden Widerspruch (Opt-out) ausschließen. Entscheidend ist laut DSGVO eine eindeutige Handlung der Betroffenen.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)

Komplex ist die Einwilligung zudem, weil sie vollkommen freiwillig abgegeben werden muss. In der Praxis wird eine Freiwilligkeit wohl nur als gegeben gelten, wenn sich die Betroffenen in keiner Weise gedrängt oder gezwungen fühlen, eine Einwilligung abzugeben. Nur wer ohne Konsequenzen auch nein sagen kann, hat demnach wirklich freiwillig zugestimmt. In der Bewertung der Freiwilligkeit kann auch ein zum Beispiel in Onlineshops künstlich suggerierter Zeit- oder Knappheitsdruck eine Rolle spielen.

Auch wenn einige Kommentatoren ein absolutes Kopplungsverbot verneinen, scheint der Gesetzgeber doch verhindern zu wollen, dass Nutzer allzu leichtfertig in den Deal "kostenlose Dienste gegen persönliche Daten" einwilligen. Ein Anbieter eines kostenlosen E-Mail-Postfachs sollte jedenfalls in Zukunft gut argumentieren, wenn er Nutzer von seinem Angebot ausschließen will, weil diese der Verarbeitung ihrer Daten zu Werbezwecken nicht zustimmen wollen.

 Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssenDokumentations-, Nachweis- und Rechenschaftspflichten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

mathew 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Smartes Feuerzeug Slighter angesehen (CES 2019)

Das smarte Feuerzeug Slighter gibt Rauchern nicht immer Feuer.

Smartes Feuerzeug Slighter angesehen (CES 2019) Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

    •  /