Datenschutz ABC: Ei wie Einwilligung

Die datenschutzrechtliche Einwilligung steht in Artikel 6 DSGVO an allererster Stelle, wenn es um die Ausformulierung von Rechtsgrundlagen geht, welche die Zulässigkeit der Datenverarbeitungen bilden. Soll dies nun bedeuten, dass die Einwilligung die erste Wahl, die wichtigste aller Rechtsgrundlagen ist?

Tatsächlich stellt die Einwilligung als deutliche und eindeutige Willensbekundung der Person, deren Daten verarbeitet werden sollen, neben den Betroffenenrechten, der Transparenz- und Informationspflicht eine wichtige Säule des Datenschutzes dar. Wenn ich jemandes Daten verarbeiten will, so muss ich ihn vorher fragen. Klingt logisch und so wird in der Praxis sehr häufig die Einwilligungskarte gezogen, ohne vorher über andere Wege nachzudenken bzw. zu prüfen, ob für die Datenverarbeitung nicht eine andere Rechtsgrundlage vorliegt. „Dann holen wir uns die Einwilligungserklärung nach Artikel 6 DSGVO der Leute; die unterschreiben uns ein Formular und dann passt das schon.“, ist ein Satz, den ich in meiner Datenschutzpraxis häufig höre. Doch nicht immer ist die Einwilligung die beste Wahl.
Vor allem dann nicht, wenn es eine andere rechtliche Grundlage für die Datenverarbeitung nach DSGVO oder gar eine rechtliche Verpflichtung gibt. In diesem Fall wird es besonders kompliziert, trotz gesetzlicher Vorschrift personenbezogene Daten zu verarbeiten, wenn eine Einverständniserklärung des Betroffenen eingeholt wird und diese verneint wird. Wenn die personenbezogenen Daten dann dennoch verarbeitet werden, weil es hierfür ja eine Verpflichtung gibt, so handeln Sie eindeutig gegen den Betroffenenwillen. Diese Situation wird juristisch schwierig, wenn ein gesetzliches Muss gegen den ausdrücklichen Wunsch des Betroffenen steht.

Es gibt also zwei wichtige Fragen, die immer zuerst gestellt werden sollten, wenn die Verarbeitung auf die Einwilligung gestützt werden soll: Was passiert, wenn die betroffene Person nicht einwilligt? Und was passiert, wenn der Betroffene zunächst einwilligt und dann später seine Einwilligung widerruft?

Wenn ich dann organisatorische oder technische Probleme mit der Ausführung bekomme, dann wäre eine Einwilligung die falsche Wahl.

Der Widerruf einer Einwilligung in die Verarbeitung personenbezogener Daten und der Widerspruch in die Datenverarbeitung gehören zu den wichtigsten Betroffenenrechte, welche die Datenschutz – Grundverordnung festgeschrieben hat. Dies ist im Sinne des Datenschutzes auch gut und richtig, bildet aber für diejenigen, die Daten verarbeiten den einen oder anderen Fallstrick, dem es auszuweichen gilt. Gerne vergessen werden hier auch die Widerrufsbelehrungen, die jeder informierten Einwilligung vorangestellt werden müssen.

Zu prüfen wäre an dem Punkt, ob es eine andere, eine bessere Rechtsgrundlage gibt oder ob man doch besser den langen Weg des berechtigten Interesses mit der aufwändigen Interessenabwägung geht.

Doch wann brauche ich denn nun eine Einwilligung zur Datenverarbeitung?

Eine Einwilligung ist immer die letzte Möglichkeit, wenn es keine andere mögliche Rechtsgrundlage für die Datenverarbeitung gibt. Vor allem dann, wenn auch die Interessenabwägung nicht zu Gunsten der Datenverarbeitung ausfällt, z.B. wenn sich die Frage stellt, ob eine Datenverarbeitung überhaupt noch Sinn macht. Mit der Einwilligung kann ich wenigstens dann noch diejenigen Daten von Betroffenen verarbeiten, die dies auch wirklich wollen und dies auch entsprechend mitteilen. Das klassische Beispiel hierfür ist der Newsletter oder die Marketinginformation, die ungefragt verschickt, den allermeisten Menschen auf den Wecker geht. Mit einer Einverständniserklärung und dem dazugehörigen opt-in-Verfahren platziere ich den Newsletter an all die Personen, die ihn auch wirklich haben wollen. Dies vergrößert den Wert des Leads deutlich.

In Zeiten, in denen Betroffene durchaus ein ausgeprägtes Bewusstsein für Ihre Rechte in Sachen Datenschutz entwickelt haben, sind die Risiken bei einer ungültigen oder gar nicht vorhandenen Einwilligung nicht zu unterschätzen. Bei einer Mailingaktion etwa könnte statt einer positiven Interessentenresonanz ein wahrer Shitstorm an Beschwerden bis hin zu Klageandrohung und Forderung auf Schadensersatz die Folge sein. Auch Beschwerden bei der Aufsichtsbehörde sind inzwischen bei weitem keine Seltenheit mehr. Um Zeit, Geld und Ressourcen im Unternehmen zu sparen, gilt es auch diese zu vermeiden.

Falls Sie nun noch mehr Fragen um korrekte und gute Einwilligungen haben, dann kontaktieren Sie uns gerne!