Bei den Rechtsgrundlagen ändert sich durch die am 25.Mai 2018 in Kraft tretende Datenschutz-Grundverordnung(DS-GVO) in Detailbereichen relativ viel. Genauere Informationen dazu erhalten Sie in diesem Beitrag.
Wie schon nach bisherigen deutschen Datenschutzrecht bleibt auch unter der Datenschutzgrundverordnung das Verbotsprinzip erhalten:
Jegliche Datenverarbeitung ist grundsätzlich unzulässig, es sei denn die DS-GVO erlaubt diese explizit. Hierfür sind mehrere Erlaubnistatsbestände in der DS-GVO verankert, die im folgenden Whitepaper näher erläutert werden sollen.
Die einschlägigen Erlaubnistatsbestände sind:
- Erlaubnis des Nutzers
- Erforderlichkeit zur Durchführung eines Vertrags bzw. im Rahmen vorvertraglicher Maßnahmen
- Datenverarbeitung kraft rechtlicher Verpflichtung
- Aufgrund berechtigter Interessen
Zwei weitere Erlaubnistatbestände sind für Unternehmen praktisch ohne Bedeutung. Diese sind nur für Behörden relevant und werden daher in diesem Whitepaper nicht näher behandelt:
- Zum Schutz lebenswichtiger Interessen
- Bei Ausübung von hoheitlicher Gewalt
Die anderen Erlaubnistatbestände sollen im Weiteren näher erläutert werden.
Einwilligung
Die Einwilligung war nach alter Rechtslage die sicherste aller Rechtsgrundlagen:
Sofern der Nutzer ausreichend informiert wurde, und die Einwilligung freiwillig erteilt hatte, stand einer Datenerhebung und –verarbeitung auf Basis der Einwilligung nichts im Wege.
Dieser Erlaubnistatbestand bleibt auch in der DS-GVO enthalten.
Eine Einwilligung ist definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung. oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.„
Folgende Punkte spielen für die Einwilligung eine Rolle:
1. Persönliche Einwilligung:
Die Einwilligung muss grundsätzlich höchstpersönlich abgegeben werden. Eine Abgabe durch andere Personen ist nur möglich, so es sich hier um reine Boten handelt.
2. Freiwilligkeit der Einwilligung:
Die Einwilligung muss auf der freien Entscheidung des Betroffenen beruhen. Die Entscheidung muss ohne Zwang erfolgen, d.H. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen, ob er die Nutzung seiner Daten erlaubt, wie viele Daten er preisgeben will, und an wen diese Daten gehen dürfen. Vor diesem Hintergrund schwierig sind grundsätzlich Konstellationen wo es ein starkes Ungleichgewicht oder ein Abhängigkeitsverhältnis zwischen Betroffenen und verarbeitender Stelle gibt.
Im Verhältnis von Arbeitgeber und Arbeitnehmer kann die Freiwilligkeit einer Einwilligung hier in Frage stehen, so der Arbeitnehmer Nachteile befürchtet, so er sich der Abgabe seiner Daten verweigert. Beispielsweise, wenn der Arbeitgeber ein Foto des Arbeitnehmer zur Außendarstellung des Unternehmens auf seiner Webseite veröffentlichen will, obwohl der Arbeitnehmer eine solche Präsentation scheut.
Auch darf der Betroffene nicht unter übertriebenen Zeitdruck bei seiner Entscheidung gebracht werden, oder gar überrumpelt werden.
Unfreiwillig ist eine Einwilligung auch, wenn die Datennutzung, in welche eingewilligt wird, mit einer Leistung gekoppelt ist, die für diese nicht erforderlich ist.
Dies gilt etwa für Dienstleistungen, die an den Empfang von Werbung gebunden sind, oder bei welchen der Nutzer in eine Weitergabe seiner Daten an Dritte einwilligen muss, ohne dass dies für die Dienstleistung notwendig wäre.
Auch eine Verknüpfung einer Einwilligung mit der Ankündigung von Nachteilen ist unzulässig. Hiervon betroffen sind jedoch nur Nachteile, welche über die reine Verweigerung einer Leistung hinausgehen, welche aufgrund der fehlenden Einwilligung nicht genutzt werden kann.
3. Bestimmtheit der Einwilligung
Eine Einwilligung muss ausreichend bestimmt sein, so dass der Nutzer weiß, welche seine Person betreffenden Daten zu welchen Zweck vom wem verarbeitet werden und ggfs. an wen weitergegeben werden.
Pauschale, allgemeine Formulierungen oder Blanko-Einwilligungen sind unzureichend.
4. Informiertheit der Einwilligung
Der Betroffene muss ausreichend informiert sein, um seine Entscheidung auf Basis aller notwendigen Informationen zu treffen. Hierfür muss er mindestens den Inhalt der Erklärung erfassen können. Die Informationen sollten klar, verständlich und an einer gebündelten Stelle stehen. Zu kleine Schrift oder schwer lesbare Schriftarten sind genauso unzulässig wie mehrseitige Erklärungen, so diese nicht wirklich für das Verständnis notwendig sind.
Die Einwilligung muss in verständlicher Sprache geschrieben sein.
Folgende Fragen müssen im Vorfeld geklärt werden:
- Wer darf welche Daten nutzen?
- Welchem Zweck dient die Datenverarbeitung?
- Dürfen die Daten weitergegeben werden, und falls dies der Fall ist, an welche Adressaten?
- Wie lange ist die Dauer der Nutzung
5. Unmißverständliche Abgabe der Einwilligung
Die Einwilligung kann in Form einer Erklärung abgegeben werden.
Hier sind nach DS-GVO relativ viele Formen möglich:
Schriftlich, Anklicken einer nicht vorangekreuzten Checkbox, per E-Mail, und unter Umständen durch Einstellung eines Browsers. Auch eine mündliche Erklärung wäre möglich, auch wenn es hier zu Beweisproblemen kommen kann.
Bei der elektronischen Einwilligung soll es nicht zu unnötigen Unterbrechungen kommen, wie etwa durch ablenkende Pop-Ups oder eine komplizierte Benutzerführung.
Auch eine konkludente Handlung ist zulässig, etwa die Einwilligungserklärung mit einem Mausklick auf einem entsprechenden Button der beispielsweise wie folgt beschriftet ist „Ich erkläre meine Einverständnis“.
Schweigen oder Untätigkeit können jedoch im Normalfall keine Einwilligung darstellen. Damit reicht es auch nicht aus, dem Nutzer die Möglichkeit zu geben, vorformulierte Einwilligungserklärungen zu streichen.
6. Besonderheit der besonderen personenbezogenen Daten
Für bestimmte personenbezogene Daten, wie etwa Daten zur rassischen und ethnischen Herkunft, der Religion, Gesundheitsdaten oder solchen zum Sexualleben gilt ein besonderer Schutz.
Diese müssen ausdrücklich in der Einwilligung genannt bzw. herausgestellt werden.
7. Besonderheit bei Minderjährigen
Bei Minderjährigen ist bei der Nutzung von Telemedien eine Einwilligung des Erziehungsberechtigten erforderlich. Die DS-GVO sieht dies bei Kindern und Jugendlichen unter 16 Jahren vor, einzelne Mitgliedstaaten können diese Altersschwelle jedoch herabsetzen. Die unterste Grenze ist das vollendete 13. Lebensjahr.
Eine Ausnahme gibt es nur für an Kinder gerichtete Präventions- und Beratungsseiten.
Wie diese Einwilligung der Eltern im Onlinebereich eingeholt werden kann und wie geprüft werden kann, ob diese wirklich vom Erziehungsberechtigten kommt und diese authentisch ist, ist aktuell noch ein völlig ungelöstes Problem.
8. Nachweispflicht
Der Verantwortliche, also das Unternehmen bzw. der Gewerbetreibende, welcher Daten auf Basis einer Einwilligung verarbeitet, ist nachweispflichtig, dass die Einwilligung vorschriftsgemäß erteilt wurde. Daher muss stets darauf geachtet werden, dass gegebene Einwilligungen ausreichend protokolliert werden
9. Widerruflichkeit der Einwilligung
Die Einwilligung kann jederzeit widerrufen werden, hierauf muss der Nutzer explizit hingewiesen werden. Hierfür ist keinerlei Begründung erforderlich. Ab Widerruf der Einwilligung muss eine weitere Datennutzung unterbleiben, sofern nicht eine andere Rechtsgrundlage einschlägig ist.
Auf die Datenverarbeitung die vor dem Widerruf (in der Vergangenheit) passiert ist, wirkt sich diese jedoch nicht aus!
10. Probleme bei Datenverarbeitung auf Basis einer Einwilligung
Leider verliert die Einwilligung mit der DS-GVO etwas den Status der sichersten Datenverarbeitung.
Denn diverse Unwägbarkeiten wie die fragliche Freiwilligkeit bei Ungleichgewichten und Abhängigkeitsverhältnissen oder die zusätzlich erforderliche Einwilligung der Eltern bei Minderjährigen erschwert es, Daten auf Basis einer Einwilligung zu verarbeiten.
Schwierig ist hier vor allem, dass sich meist erst im Streitfall herausstellt, dass die Einwilligung nicht ausreichend erteilt wurde, oder dass es an der Freiwilligkeit mangelt. Sofern sich die Datenverarbeitung nur auf dieser begründete, war diese vollständig unberechtigt.
Verbunden mit den hohen Bußgeldern, welche die DS-GVO bei Verstößen vorsieht, ist es Unternehmern zu empfehlen, zu prüfen, ob sich die Daten nicht auf Basis anderer Rechtsgrundlagen verarbeiten lassen, welche nachfolgend beschrieben werden.
Zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen
Wie auch schon nach bisheriger Rechtslage dürfen Daten zur Erfüllung eines Vertrages oder für vorvertragliche Maßnahmen verarbeitet werden.
Vorvertragliche Maßnahmen betreffen alle Handlungen, welche für die Anbahnung eines Vertrages notwendig sind, ohne bereits Teil des Vertrages zu sein.
Onlineshops sind im Normalfall so konzipiert, dass die Bestellung des Kunden noch nicht zum Vertragsschluss führt, sondern die Bestellung die Vertragsannahme darstellt, welche vom Onlinehändler angenommen werden muss, damit es zum Vertragsschluss führt.
In dieser Konstellation ist die Bestellung daher eine vorvertragliche Maßnahme, die bei diesere erfolgende Datenerhebung und –verarbeitung unter dieser Rechtsgrundlage erfasst.
Vorvertragliche Maßnahmen müssen jedoch vom Betroffenen ausgehen bzw. auf dessen Antrag basieren. Vertriebliche Maßnahmen wie Cold Calls sind dadurch nicht legitimiert, auch wenn diese zu einem Vertrag führen.
Wichtig ist, dass die erhobenen Daten auch tatsächlich für die Erfüllung des Vertrages bzw. dessen Anbahnung notwendig sind.
Die wesentliche Frage lautet hierbei:
Könnte der Vertrag ohne das Datum oder die Daten sowie zwischen beiden Parteien ausgemacht erfüllt werden?
Um den Kaufvertrag zu erfüllen benötigt ein Onlinehändler in jeden Fall die Kontaktdaten des Adressaten, also E-Mailadresse und postale Adresse. Auch Zahlungsdaten zur Erfüllung der Zahldaten sind essentiell. Bonitätsprüfungen können für den Vertragsschluss notwendig sein, so dies in der vom Kunden gewählten Zahlungsart begründet ist.
Eine Nutzung der E-Mailadresse zum Versand von Newslettern wäre jedoch für den Vertrag nicht erforderlich und kann daher nicht auf diesen Erlaubnistatbestand gestützt werden.
Ebenso wie schon nach bisheriger Rechtslage schwierig ist die Weitergabe von E-Mailadressen an die Versanddienstleister. Unter Onlinehändlern ist diese Praxis Gang und Gäbe und wird auch von Versanddienstleistern oft erwartet. Für den Verbraucher hat dies durchaus Vorteile, erhält er auf diesem Wege doch Informationen über den Sendetermin und –verlauf.
Für den Vertrag erforderlich ist dies jedoch nicht, die Übergabe der postalischen Adresse ist für den Versand ausreichend, weswegen diese Praxis von diesem Erlaubnistatbestand nicht erfasst ist.
Die Beendigung eines Vertrages und nachträgliche Sorgfaltpflichten sind dagegen umfasst.
Nach Beendigung des Vertrages erlischt jedoch die Grundlage. Daten dürfen dann nur weiterverwendet bzw. gespeichert werden, so dies sich aus anderen Erlaubnistatbeständen ergibt.
Datenverarbeitung kraft rechtlicher Verpflichtung
Datenspeicherung, -verarbeitung und –weitergabe kann zulässig sein, weil dies durch Gesetze der Bundesrepublik oder der Europäischen Union vorgesehen ist.
Denkbar sind hier u.A. Steuerrechtliche Vorgaben, oder Gewerberechtliche und Handwerksrechtliche Regelungen oder Vorschriften des Arbeitsrechts, Sozialrechts und des Telekommunikationrechts.
So haben Arbeitgeber nach § 28a SGB IV umfangreiche Meldepflichten an Kranken-, Pflege- und Rentenversicherung. Die zur Erfüllung dieser Pflichten übergebene Daten fallen unter die Datenverarbeitung kraft rechtlicher Verpflichtung.
Datenverarbeitung aufgrund berechtigter Interessen
Daten dürfen verarbeitet werden, sofern diese Datenverarbeitung ein berechtigtes Interesse verwirklichen lässt und das Interesse, die Grundrechte und Grundfreiheiten der betroffenen Personen dem nicht im überwiegenden Maße entgegenstehen.
Dieser in dieser Form neue Erlaubnistatbestand stellt in vieler Weise ein Auffangparagraph auf, der für Unternehmen grundsätzlich viele Möglichkeiten bietet.
Notwendig ist ein berechtigtes Interesse des datenverarbeitendes Unternehmens oder eines Dritten an der Datenverarbeitung. Hier können sowohl wirtschaftliche als auch ideelle Interessen eine Rolle spielen.
Das Bestehen eines Vertragsverhältnisses zwischen Unternehmer und Betroffenen kann hier ein solches Bieten, auch das Interesse des Unternehmens, Direktwerbung an den Betroffenen zu senden, begründet ein solches(Hier haben Betroffene allerdings ein spezielles Widerrufsrecht, wie weiter unten ausgeführt.). Auch die Betrugspräventation oder Maßnahmen zur Verbesserung der IT-Sicherheit können ein solches darstellen.
Beispiele von berechtigten Interessen:
- Recht auf Meinungs- und Informationsfreiheit
- Gewinnerzielung
o Direktwerbung
o Übermittlung von Kunden- und Beschätigtendaten innerhalb einer Unternehmensgruppe - Sicherheitsgründe
o Betrugsprävention
o Netz- und IT-Sicherheit
o Überwachung von Arbeitnehmern - Durchsetzung von Rechtsansprüchen(Eigenen oder von Dritten)
- Marktforschung
- Wissenschaftliche Forschung
Die Datenverarbeitung, die sich auf berechtigten Interessen begründen soll, muss für die Erfüllung des Interesses erforderlich sein.
Das berechtigte Interesse darf nicht gegen Gesetze oder die datenschutzrechtlichen Grundsätze verstoßen.
Darüber hinaus dürfen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Hierzu ist also eine Abwägung zwischen den berechtigten Interessen und den Rechten und Freiheiten des Betroffenen erforderlich, die für jeden Einzelfall vorgenommen werden muss.
Eine wichtige Rolle spielt hierbei die vernünftige Erwartungshaltung der betroffenen Person bzw. die Absehbarkeit der Verarbeitung. Letztere kann sich aus der Branchenüblichkeit einer solchen Verarbeitung ergeben. Je mehr der Betroffene also bei einer Nutzung von einer Verarbeitung seiner Daten ausgehen kann, desto eher ist diese zulässig.
Einen besonderen Schutz genießen hier Kinder. Sofern deren Daten verarbeitet werden sollen, ist von einem Überwiegen derer Interessen im Normalfall auszugehen.
Widerspruchsrecht:
Der Betroffene hat ein Widerspruchrecht gegenüber einer Verarbeitung auf Grund von berechtigten Interessen.
Legt ein Betroffener gegen eine solche Verarbeitung Widerspruch ein, muss ihm das Unternehmen innerhalb von spätestens einem Monat antworten. Bei hoher Komplexität kann die Frist allerdings um zwei Monate verlängert werden, der Betroffene muss jedoch darüber innerhalb eines Monats mit Begründung der Verzögerung unterrichtet werden
.
Für einen wirksamen Widerruf müssen Gründe vorliegen, welche sich aus der besonderen Situation des Betroffenen ergeben. Denkbar wären besondere familiäre Umstände oder schutzwürdige geschäftliche Geheimhaltungsinteressen.
Beispielsweise könnte eine Betroffene sich dagegen wehren, dass ihre Kontaktadressen verarbeitet werden, da diese von einem Stalker geplagt wird, und befürchtet, dass dieser an ihre Daten gelangt.
Auch bei Vorliegen von Gründen aus der besonderen Situation des Betroffenen kann die Verarbeitung weiterhin zulässig sein.
Etwa bei Vorliegen zwingender schutzwürdiger, überwiegender Gründe für die Verarbeitung.
Auch hier kommt es wieder zu einer Abwägung. Das Unternehmen muss darlegen, warum seine Gründe für die Verarbeitung so wichtig sind, dass diese trotz der besonderen Situation des Betroffenen Bestand haben, und sich diese nur mit Hilfe dieser Verarbeitung realisieren lassen.
Anderseits, wenn die Verarbeitung bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Dies soll verhindern, dass Betroffene das Widerspruchsrecht nutzen, um die Durchsetzung von Rechtsansprüchen zu verhindern.
Das Unternehmen muss allerdings glaubhaft machen, dass solche Rechtsansprüche bestehen, und dass die Verarbeitung für dessen Durchsetzung notwendig sind.
Ein besonderes Widerrufsrecht haben Betroffene hierbei gegen Direktwerbung.
Gegen Verarbeitung welche der Direktwerbung(z.B. Zusendung von Katalogen & Prospekten per Post, Werbe-SMS oder Werbenewsletter) dient, kann jeder Betroffene, dessen personenbezogenen Daten hierfür verarbeitet werden widersprechen.
Hat der Betroffene Widerspruch eingelegt, dürfen seine Daten nicht mehr für Direktwerbung verwendet werden und auch gelöscht werden, so diese nicht aus anderen Gründen weiter gespeichert werden dürfen.