Muss immer eine Einwilligung eingeholt werden, wenn personenbezogene Daten verarbeiten werden?
Die DSGVO lernt laufen – und manchmal wird auch über die Ziele der DSGVO hinausgeschossen. Aufgrund von Fehlinformationen, Unsicherheiten oder um unliebsame Massnahmen unter dem „Deckmantel“ der DSGVO durchzusetzen. Wir klären auf.
Mythos Nr. 1: Die DSGVO gibt vor, dass für alle Verarbeitungen personenbezogener Daten die Einwilligung der betroffenen Personen eingeholt werden muss.
Falsch.
Richtig ist: Es benötigt einen guten Grund (die sog. Rechtsgrundlage), um personenbezogene Daten verarbeiten zu dürfen. Die für den unternehmerischen Alltag wichtigsten Gründe sind:
- Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist
- Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen
- Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (beispielweise Handelsgesetzbuch oder Steuergesetze)
- Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Daneben gibt es noch weitere Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten ohne Einwilligung des Betroffenen erlauben:
- Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person
- Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
Wenn keiner der oben genannten Gründe vorliegt, dann muss die Einwilligung der betroffenen Person eingeholt werden. D.h. mittels der Einwilligung des Betroffenen können ggf. Verarbeitungen gerechtfertigt werden, die allein aufgrund der gesetzlichen Tatbestände ausgeschlossen wären.
Zu beachten: Es dürfen keine Einwilligungen eingeholt werden, für die bereits eine andere Rechtsgrundlage vorliegt. In dem Fall würde die betroffene Person über ihre mit der Einwilligungserklärung verbundene Einflussmöglichkeit getäuscht.
Fallen Ihnen noch Bereiche oder Mythen ein, an die wir bisher nicht gedacht haben? Schreiben Sie uns. Wir sind gespannt auf Ihre Erfahrungen.
Weitere Informationen:
EU-DSGVO: Mythos und Wahrheit (2) – Auftragsverarbeitung
EU-DSGVO: Mythos und Wahrheit (3) – Datenschutzbeauftragter
EU-Datenschutzgrundverordnung (finaler Gesetzestext)