Abo
  • Services:

Keine Datenverarbeitung ohne Rechtsgrundlage

Grundsätzlich gilt in der DSGVO das sogenannte "Verbot mit Erlaubnisvorbehalt". Das heißt, jede Verarbeitung personenbezogener Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit. Es muss also stets eine Rechtsgrundlage her, von denen die DSGVO aber glücklicherweise bereits fünf bereithält. Die Frage, welche Rechtsgrundlage sich für welchen Anwendungszweck am besten eignet, ist heute noch schwer abschließend zu klären. Die Antwort hängt von der Art der Datenverarbeitung und insbesondere von der zukünftigen Rechtsprechung zur DSGVO ab.

Stellenmarkt
  1. ELAXY GmbH, Stuttgart, Jever, Puchheim bei München
  2. über Kienbaum Consultants International GmbH, Südwestdeutschland

Personenbezogene Daten dürfen grundsätzlich verarbeitet werden, wenn dies zur Erfüllung eines Vertrages oder aufgrund gesetzlicher Verpflichtungen notwendig ist. Dazu gehören beispielsweise Bestell- und Adressdaten von Kunden eines Onlineshops oder Daten, die aufgrund steuerrechtlicher Archivierungspflichten aufbewahrt werden müssen.

Weiterhin ist eine Datenverarbeitung wie bisher auch aufgrund eines "berechtigten Interesses" möglich. "Hierunter fallen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen, die von der Rechtsordnung anerkannt werden", schreibt der Rechtsanwalt Henry Pohling. Dabei müsse ein solches berechtigtes Interesse in Zukunft aber von Fall zu Fall gegen "die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern", abgewogen werden.

Wie diese rechtliche Abwägung genau ausgestaltet werden wird, ist derzeit noch nicht vollständig absehbar. Pohling zufolge müssen die schutzwürdigen Interessen der Betroffenen die Interessen des Datenverarbeiters aber überwiegen, damit eine Datenverarbeitung unzulässig ist. Für eine Datenverarbeitung wie beim E-Mail-Marketing komme man aber mit dem berechtigten Interesse nicht weit, sagt Rechtsanwalt Schirmbacher. Handele es sich bei den Empfängern nicht ausschließlich um Bestandskunden, denen man das bereits erworbene Produkt noch einmal anbieten möchte, brauche es die Einwilligung der Betroffenen. Aber auch die hat in der DSGVO ihre Tücken.

Komplizierte Einwilligung

Personenbezogene Daten dürfen natürlich weiterhin auch dann verarbeitet werden, wenn dafür die Einwilligung der Betroffenen vorliegt. Diese ist jedoch unter den neuen Regeln der DSGVO viel schwerer zu bekommen, muss aufwendig belegt sein und kann jederzeit widerrufen werden. Zwar ist es nicht mehr nötig, eine Einwilligung per Schriftform einzuholen, eine digitale Einwilligung ist jedoch im Streitfall auch schwerer zu belegen. Sie sollte idealerweise in einer Datenbank einschließlich Datums- und Zeitangabe protokolliert sein. Technisch eignet sich dafür wie bisher auch ein per E-Mail versandter Bestätigungslink, auf den Nutzer klicken müssen, um so ihre explizite Einwilligung zur Datenverarbeitung mitzuteilen.

"Der Nachweis der Einwilligung muss konkret erfolgen", sagt Rechtsanwalt Schirmbacher. "Da reicht es nicht zu sagen, man hole ja immer Einwilligungen ein. Ich muss nachweisen können, dass jemand, der sich beispielsweise für einen Newsletter eingetragen hat, diesen Text angezeigt bekommen hat. Und wer seine E-Mail-Adresse eingetragen hat, hat auch eine Bestätigungsmail bekommen." Es sei zudem ratsam, die Bestätigungsmail einschließlich Datums- und Zeitstempel des Klicks auf den Bestätigungslink sowie die IP-Adresse der Betroffenen in einem ausdruckbaren Format zu speichern, um die Einwilligung gegebenenfalls beweisen zu können.

Informiert und freiwillig zustimmen

Darüber hinaus muss eine Einwilligung in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben werden. Das soll eine bloße implizite Zustimmung zum Beispiel durch das Nichtwegklicken eines vorausgewählten Häkchens oder einen anderen fehlenden Widerspruch (Opt-out) ausschließen. Entscheidend ist laut DSGVO eine eindeutige Handlung der Betroffenen.

  • Screenshot der Datenschutzeinstellungen in Firefox 58 (Quelle: Golem.de)
  • Ausschnitt des Musterverzeichnisses für Datenverarbeitungstätigkeiten (Quelle: Landesdatenschutzbeauftragte Niedersachsen)
  • Eine Übersicht verschiedener Arten personenbezogener Daten (Quelle: Enterprivacy.com)
  • Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)
Beispiel eines Anmeldeformulars mit Werbe-Opt-in (Quelle: otto.de)

Komplex ist die Einwilligung zudem, weil sie vollkommen freiwillig abgegeben werden muss. In der Praxis wird eine Freiwilligkeit wohl nur als gegeben gelten, wenn sich die Betroffenen in keiner Weise gedrängt oder gezwungen fühlen, eine Einwilligung abzugeben. Nur wer ohne Konsequenzen auch nein sagen kann, hat demnach wirklich freiwillig zugestimmt. In der Bewertung der Freiwilligkeit kann auch ein zum Beispiel in Onlineshops künstlich suggerierter Zeit- oder Knappheitsdruck eine Rolle spielen.

Auch wenn einige Kommentatoren ein absolutes Kopplungsverbot verneinen, scheint der Gesetzgeber doch verhindern zu wollen, dass Nutzer allzu leichtfertig in den Deal "kostenlose Dienste gegen persönliche Daten" einwilligen. Ein Anbieter eines kostenlosen E-Mail-Postfachs sollte jedenfalls in Zukunft gut argumentieren, wenn er Nutzer von seinem Angebot ausschließen will, weil diese der Verarbeitung ihrer Daten zu Werbezwecken nicht zustimmen wollen.

 Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssenDokumentations-, Nachweis- und Rechenschaftspflichten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€

mathew 17. Apr 2018

Das Stichwort hierzu lautet Bundesmeldegesetz. (https://www.gesetze-im-internet.de/bmg...

Auspuffanlage 17. Apr 2018

Soweit ich weiß besteht hier bereits länger die Möglichkeit https zu benutzen also...

Auspuffanlage 17. Apr 2018

Wo steht das mit dem zwingenden Zeitstempel? Ich möchte das gerne einmal überprüfen!

Auspuffanlage 17. Apr 2018

Wenn man sich einmal intensiv damit befasst hat, merkt man schnell wieviel Blödsinn...

Avarion 14. Apr 2018

Probleme mit der DSGVO sind meiner Meinung nach nur die Bereiche "Berechtigtes...


Folgen Sie uns
       


Alt gegen neu - Model M im Test

Das US-Unternehmen Unicomp bietet Tastaturen mit Buckling-Spring-Schalter an - so wie sie einst bei IBMs Model-M-Modellen verwendet wurden. Die Kunststoffteile sind zwar nicht so hochwertig wie die des Originals, die neuen Model Ms sind aber dennoch sehr gute Tastaturen.

Alt gegen neu - Model M im Test Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    •  /