Einwilligungen bei der Datenverarbeitung: Was Unternehmen wirklich wissen müssen
Die Vielfalt der Rechtsgrundlagen nach DSGVO
Die Datenschutz-Grundverordnung (DSGVO) stellt häufig klar, dass für jede Verarbeitung personenbezogener Daten eine passende Rechtsgrundlage erforderlich ist. Ein häufiger Trugschluss im Alltag besteht jedoch darin, Einwilligungen als „Allzwecklösung“ zu sehen. Tatsächlich ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO lediglich eine von sechs möglichen Rechtsgrundlagen für die Datenverarbeitung. Dazu gehören unter anderem auch die Erfüllung eines Vertrags, rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Aufgaben und berechtigte Interessen.
Die Praxis zeigt: Verantwortliche geben oft nur eine einzige Rechtsgrundlage in Datenschutzhinweisen an, meist, weil diese am offensichtlichsten erscheint. Allerdings ist es durchaus zulässig und manchmal auch sinnvoll, mehrere mögliche Rechtsgrundlagen anzuführen oder zu prüfen, bevor die Verarbeitung startet.
Überblick über die wichtigsten Rechtsgrundlagen
Je nach Zweck der Datenverarbeitung kommen unterschiedliche Rechtsgrundlagen in Betracht. Für Unternehmen besonders relevant sind:
- Vertragserfüllung und Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Werden personenbezogene Daten verarbeitet, um einen Vertrag zu erfüllen oder anzubahnen – etwa beim Anlegen eines Kundenkontos, bei Bestellungen oder der Kontaktaufnahme – ist diese Rechtsgrundlage einschlägig.
- Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Müssen Organisationen Gesetze, etwa steuerliche oder arbeitsrechtliche Vorschriften einhalten, rechtfertigt dies die Verarbeitung personenbezogener Daten.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Viele alltägliche Prozesse im Unternehmen lassen sich auf diese Rechtsgrundlage stützen, sofern die Interessen der betroffenen Personen nicht überwiegen.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Diese Grundlage ist nur dann zulässig, wenn die betroffene Person frei und informiert zustimmt – und diese Zustimmung jeder Zeit widerrufen kann.
Eine transparente Information der Betroffenen ist Pflicht: Welche Rechtsgrundlage angewendet wird, muss stets nachvollziehbar in den Datenschutzhinweisen auftauchen.
Typische Fehler bei der Einholung von Einwilligungen
Wann die Einwilligung überflüssig oder sogar unzulässig ist
Nicht in jedem Fall ist eine explizite Einwilligung die beste Wahl – im Gegenteil: Sie kann sogar rechtlich problematisch sein, wenn tatsächlich eine andere Rechtsgrundlage einschlägig ist. Ein häufiges Beispiel: Ein Kunde registriert sich auf einer Website oder bestellt ein Produkt. Unternehmen fordern hier oft eine Einwilligung zur Datenverarbeitung ein, obwohl die eigentliche Grundlage die Vertragserfüllung ist. Wird dann die Einwilligung widerrufen, droht der Wegfall der Rechtsgrundlage und die Geschäftsbeziehung gerät in Gefahr.
Gleiches gilt für Kontaktformulare im Internet: Hier erlaubt das berechtigte Interesse den Dialog. Eine Einwilligung ist in diesem Zusammenhang überflüssig und häufig unzulässig, es sei denn, die Daten werden zusätzlich zu Werbezwecken oder anderen darüber hinausgehenden Zwecken genutzt.
Formulare, Checkboxen und das Missverständnis mit Datenschutzhinweisen
Oft werden Checkboxen eingesetzt, die Nutzer dazu auffordern, „Datenschutzhinweise gelesen und akzeptiert“ zu bestätigen. Diese Praxis wird von Aufsichtsbehörden regelmäßig kritisiert. Warum? Weil es genügt, dass Nutzer die Datenschutzhinweise zur Kenntnis nehmen können – sie müssen diese nicht förmlich akzeptieren oder ihre Zustimmung geben. Gerade das führt zu Problemen mit der sogenannten „Freiwilligkeit“ der Einwilligung, denn diese ist vorausgesetzt, wenn Daten auf Basis einer Einwilligung verarbeitet werden sollen.
Darüber hinaus dürfen verpflichtende Informationen gemäß Art. 13 DSGVO nicht mit Einwilligungen vermischt oder gar „versteckt“ werden. Die Einwilligung muss stets klar als solche erkennbar und von anderen Sachverhalten abgrenzbar sein.
Praxisempfehlungen: So handeln Unternehmen DSGVO-konform
Schrittweise Prüfung der passenden Rechtsgrundlage
Unternehmen sollten sich vor jeder Datenverarbeitung gründlich überlegen, auf welcher Rechtsgrundlage sie die Verarbeitung stützen. Die Entscheidung für die Einwilligung ist nur dann richtig, wenn tatsächlich Alternativen ausscheiden. Prüfen Sie daher im ersten Schritt, ob nicht ein berechtigtes Interesse, die Erfüllung eines Vertrags oder eine gesetzliche Verpflichtung die bessere Grundlage bieten.
Insbesondere bei Prozessen wie Mitarbeiterverwaltung, Kundenbetreuung oder Anfragebearbeitung ist meist keine Einwilligung erforderlich. Erst wenn besondere Nutzungen geplant sind – etwa Newsletterversand oder Marketingaktionen – wird die explizite Zustimmung der Betroffenen relevant.
Transparenz und klare Kommunikation als Erfolgsfaktoren
Transparenz schafft Vertrauen: Betroffene müssen jederzeit nachvollziehen können, auf welcher Grundlage ihre Daten verarbeitet werden und zu welchem Zweck. Eine korrekte und verständlich formulierte Datenschutzerklärung ist hierbei das A und O.
Wird tatsächlich eine Einwilligung eingeholt, sollten Sie die Betroffenen umfassend informieren – inklusive der Möglichkeit, ihre Zustimmung jederzeit ohne Nachteile zu widerrufen. Stellen Sie sicher, dass Einwilligungen nicht vorformuliert oder automatisch vorausgewählt sind. Einwilligungsformulare gehören immer getrennt von anderen Informationen gestaltet, sodass sie für die Nutzer klar erkennbar und freiwillig sind.
Fazit: Einwilligungen richtig einsetzen und Fehler vermeiden
Die Auswahl der Rechtsgrundlage ist entscheidend
Die DSGVO bietet verschiedene Wege, personenbezogene Daten rechtmäßig zu verarbeiten. Nicht immer ist die Einwilligung der beste und rechtssichere Weg – häufig gibt es passendere Alternativen. Unternehmen müssen die Abwägung und Entscheidungsfindung dokumentieren und in ihrer Kommunikation offenlegen.
Vor Einführung neuer Prozesse oder Tools sollte geprüft werden, welche Rechtsgrundlage jeweils anwendbar ist. Eine überflüssige Einwilligungsabfrage schafft nicht nur einen höheren Arbeitsaufwand, sondern kann auch die Rechtmäßigkeit der Datenverarbeitung untergraben.
Ihr Weg zu rechtssicherem Datenschutz
Datenschutzkonforme Praxis bedeutet vor allem, den richtigen – und nachvollziehbar dokumentierten – Umgang mit personenbezogenen Daten zu wählen. Eine individuelle Prüfung der konkreten Abläufe und ein Perspektivwechsel hin zu den betroffenen Personen helfen, geeignete Maßnahmen zu ergreifen. Nur so lassen sich Risiken minimieren und das Vertrauen von Kunden, Mitarbeitern und Partnern sichern.
Sie sind unsicher, welche Rechtsgrundlage für Ihre Datenverarbeitung gilt oder möchten Ihre Prozesse auf den Prüfstand stellen? Wir unterstützen Sie gerne dabei, datenschutzkonforme Lösungen zu entwickeln und Ihre Organisation optimal aufzustellen. Nehmen Sie Kontakt zu uns auf – gemeinsam finden wir den besten Weg für einen sicheren und effizienten Umgang mit personenbezogenen Daten!
Schreibe einen Kommentar