Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

DSGVO

Daten rechtmäßig verarbeiten und Einwilligungen überprüfen

Unternehmen und Selbstständige müssen wissen, wann sie ab dem 25. Mai 2018 mit Geltung der Datenschutzgrundverordnung (DSGVO) personenbezogene Daten rechtmäßig verarbeiten dürfen. Hier kommen entweder gesetzliche Erlaubnisnormen oder eine Einwilligung der Betroffenen in Betracht. Zudem muss geprüft werden, ob auch alle bereits gespeicherten Daten weiterhin verarbeitet werden dürfen.

Auf einen Blick

  • DSGVO: Datenverarbeitung nur bei Einwilligung oder speziellen Ausnahmen.
  • Einwilligung: Spezifisch, freiwillig und nachweisbar; besondere Regeln für Kinder.
  • Verarbeitungszwecke: Erlaubt bei Vertragserfüllung, vorvertraglichen Maßnahmen oder berechtigten Interessen.
  • Berechtigte Interessen: Datenverarbeitung möglich nach Interessenabwägung, z.B. Direktwerbung.
  • Mitarbeiterdaten: Nur wenn für Arbeitsverhältnis notwendig; Vorsicht bei Einwilligungen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wann dürfen personenbezogene Daten verarbeitet werden?

YouTube-Video: "EU-Datenschutz-Grundverordnung (DSGVO): Was erwartet dich?"
YouTube-Video: “EU-Datenschutz-Grundverordnung (DSGVO): Was erwartet dich?”

Die Verarbeitung von personenbezogenen Daten ist nach der DSGVO nur dann rechtmäßig, wenn eine Einwilligung der betroffenen Person oder eine andere, insbesondere in Art. 6 DSGVO normierte Ausnahme vorliegt (Verbot mit Erlaubnisvorbehalt). In Ihrer Datenschutzerklärung müssen Sie außerdem die Rechtsgrundlage angeben, auf die Sie sich bei einer Datenverarbeitung stützen. Die praktisch relevantesten Erlaubnistatbestände nach Art. 6 DSGVO sind:

  1. Einwilligung des Betroffenen, welche den Anforderungen der Art. 78 DSGVO entspricht (Art. 6 Abs. 1 Satz 1 lit. a)
  2. für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 Satz 1 lit. b)
  3. zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 Satz 1 lit. f.)

1. “Einwilligung”

Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO 

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. 

Bei der Einholung einer Einwilligung der betroffenen Person sind folgende Voraussetzungen zu beachten:

  • Die Einwilligung muss sich auf einen bestimmten Fall (Art 4 Nr. 11 DSGVO, keine „Pauschaleinwilligung“) und auf einen bestimmten Verarbeitungszweck beziehen (Art. 6 Abs. 1 Satz 1 lit. a)
  • Die Einwilligung muss freiwillig erteilt werden. Der Einwilligende muss eine echte und freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Art. 4 Nr. 11, 7 Abs. 4 DSGVO). Der Betroffene muss also ausreichend über die Reichweite der Einwilligung informiert gewesen sein, insbesondere auch über die Zwecke der Datenverarbeitung. Außerdem müssen Sie hier das neue sog. Kopplungsverbot beachten, Art. 7 Abs. 4 DSGVO: Hier ist zwar juristisch sehr umstritten, wie weit es wirklich greift. Doch um sicher zu gehen, empfehlen wir Ihnen, zukünftig eine Vertragserfüllung, z.B. eine Gratis-Leistung, nicht mehr von einer Einwilligung in die werbliche Datenverarbeitung abhängig zu machen.
  • Der Verantwortliche muss das Vorliegen einer Einwilligungserklärung nachweisen können (Art. 7 Abs. 1 DSGVO)
  • Der Einwilligungstext muss klar formuliert sein
  • Der Text muss gut zugänglich sein (Art. 7 Abs. 2 DSGVO)
  • Sie müssen deutlich auf die Widerrufsmöglichkeit hingewiesen haben (Art. 7 Abs. 3 Satz 3 DSGVO)
  • Achten Sie darauf, dass in Art. 8 DSGVO die Bedingungen für die Einwilligung eines Kindes gesondert geregelt sind. Die Einwilligung eines Kindes bis zum vollendeten 16. Lebensjahr steht unter dem Vorbehalt der Zustimmung seiner gesetzlichen Vertreter.

Einwilligungserklärung für den Datenschutz: Vorlage

Wenn Sie eine Einwilligungserklärung für die Verarbeitung personenbezogener Daten benötigen, bietet Ihnen unser kostenloses Musterdokument eine grundlegende Vorlage. Wir empfehlen Ihnen, diese Vorlage an Ihre individuellen Bedürfnisse anzupassen und vor der Verwendung rechtlich prüfen zu lassen.

Gelten die bisher eingeholten Einwilligungen weiterhin? 

Zwar müssen Einwilligungen, die Sie sich in der Vergangenheit eingeholt haben, den Grundsätzen der neuen DSGVO entsprechen. Tun sie dies nicht, müssen Sie sie erneut einholen. Doch bestehende Einwilligungen müssen Sie i.d.R. nicht neu einholen, wenn Sie sich an das bislang geltende Recht gehalten haben. Die einzige Problematik könnte dann auftreten, wenn die bereits eingeholte Einwilligung in die Datenverarbeitung an andere Erklärungen gekoppelt war – hier besteht, wie bereits oben erläutert, Rechtsunsicherheit.

2. “Für die Erfüllung eines Vertrages”

Im Hinblick auf die personenbezogenen Daten von Kunden oder anderen Vertragspartnern ist die Verarbeitung nicht selten bereits zur Erfüllung eines Vertrags erforderlich und damit gesetzlich erlaubt. Es kommt im Einzelfall auf den konkret abgeschlossenen Vertrag und die hieraus resultierenden Pflichten an, wann Sie welche Daten auf Grundlage dieser Erlaubnisnorm verarbeiten dürfen. Achten Sie jedoch auf den Grundsatz der Datenminimierung und den Grundsatz der Zweckbindung: Verarbeiten Sie also nur Daten, die wirklich für die Vertragserfüllung notwendig sind.

3. “Zur Durchführung vorvertraglicher Maßnahmen auf Anfrage des Betroffenen”

Hierunter fallen alle Informationen, die vor dem Abschluss eines Vertrages ausgetauscht werden, z.B., wenn Interessenten mehr Informationen über Ihre Leistungen anfragen, wenn Sie einen Kostenvoranschlag erstellen oder wenn Sie die Kreditwürdigkeit potenzieller Kunden überprüfen möchten. Sie haben jedoch nur das Recht, die Daten so lange zu speichern, wie noch nicht klar ist, dass der Vertrag auch zustande kommt. Hat Ihr Interessent Ihnen abgesagt, müssen Sie die gespeicherten Daten auch wieder löschen.

Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.

4. “Zur Wahrung berechtigter Interessen erforderlich”

Diese Erlaubnisnorm wird in Zukunft besonders wichtig werden. Sie ermöglicht die Datenverarbeitung ohne Einwilligung der Betroffenen, wenn eine ausführliche Interessenabwägung im Einzelfall zu Ihren Gunsten ausfällt. Unter einem „berechtigten Interesse“ versteht man Ihr rechtliches, tatsächliches, wirtschaftliches oder ideelles Interesse, das von der Rechtsordnung anerkannt wird. Wenn klar ist,  welchen Zweck Sie mit der Verarbeitung verfolgen, müssen Sie prüfen, ob die Interessen bzw. Grundrechte und EU-Grundfreiheiten des Betroffenen auf Schutz seiner personenbezogenen Daten weniger Gewicht haben als Ihr Interesse. Diese Interessenabwägung müssen Sie für jede einzelne Datenverarbeitung gesondert vornehmen, bei der Sie sich auf diese Erlaubnis stützen möchten. Sie sollten diese Interessenabwägung auch intern dokumentieren.

Näheres zum berechtigten Interesse findet sich im „Erwägungsgrund 47“ zur DSGVO. Danach ist vor allem zu prüfen,

ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.“

Wenn also jedem klar ist, dass die Daten so, wie Sie sie verarbeiten, auch üblicherweise genutzt werden, spricht das für Ihr überwiegendes berechtigtes Interesse.

Als Beispiel für ein berechtigtes Interesse nennt der Erwägungsgrund etwa die Situation, dass die betroffene Person Ihr Kunde ist oder in Ihren Diensten steht. Auch kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung möglich sein. Es ist aber juristisch nicht eindeutig geklärt, welche Form der Direktwerbung danach erlaubt sein kann und welche nicht. Daher sollte man sich nicht darauf stützen, wenn man etwa per Kaltakquise potenzielle Neukunden anspricht. Allerdings spricht vieles dafür, dass die E-Mail-Werbung ohne eine Einwilligung zumindest bei Bestandskunden in Grenzen zulässig ist. So ist dies auch im weiterhin geltenden Wettbewerbsrecht geregelt.

Sofern Sie sich auf diese Erlaubnisnorm berufen, müssen Sie die Betroffenen verständlich und umfassend über die geplante Datenverarbeitung informieren und sie auf ihr Widerspruchsrecht hinweisen.

Sonderfall: Wann dürfen Sie Daten Ihrer Mitarbeiter speichern?

Die Daten Ihrer Mitarbeiter dürfen Sie speichern, sofern dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist, § 26 Abs. 1 S. 1 BDSG in der Fassung ab dem 25. Mai 2018. Wann dies der Fall ist, muss aber letztlich immer anhand der Umstände des Einzelfalls bestimmt werden, wobei es auf eine Abwägung zwischen den Arbeitgeber- und Arbeitnehmerinteressen ankommt. Auch die Speicherung auf Grundlage von Kollektivvereinbarungen ist zulässig, sofern hier angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person (Art. 88 As. 2 DSGVO) getroffen wurden. Das Problem: Diese gesetzlichen Erlaubnistatbestände sind recht schwammig formuliert und bringen durchaus Rechtsunsicherheit mit sich.

Zusätzlich eine Einwilligung des Arbeitnehmers einzuholen, wird in den meisten Fällen vor Gericht keinen Bestand haben. Solange es nämlich um das konkrete Arbeitsverhältnis geht, besteht eine Abhängigkeit zwischen Arbeitgeber und Arbeitnehmer, sodass eine erteilte Einwilligung im Zweifel nicht als freiwillig gilt. Lediglich bei gewissen Vereinbarungen betreffend Zusatzleistungen – z.B. Nutzung eines Diensthandys oder Aufnahme in die Geburtstagsliste – dürften Einwilligungen wirksam sein. Daher gilt: Verarbeiten Sie nur so wenige Daten Ihrer Mitarbeiter wie absolut notwendig.

Ganzheitliche Datenschutzrechtsberatung

Datenschutz ist heute mehr denn je von entscheidender Bedeutung. Unsere Datenschutzrechtsberatung ist darauf ausgerichtet, Unternehmen jeder Größe umfassend zu unterstützen. Mit maßgeschneiderten Lösungen, die auf Ihre spezifischen Anforderungen zugeschnitten sind, helfen wir Ihnen, Datenschutzrisiken zu minimieren und Compliance sicherzustellen. Egal, ob Sie ein kleines Unternehmen, einen Online-Shop oder ein größeres Unternehmen betreiben, unsere Experten stehen Ihnen zur Seite, um sicherzustellen, dass Ihre Datenschutzanforderungen erfüllt werden.

News zum Datenschutzrecht


Nutzerdaten ohne Einwilligung genutzt: 310-Millionen-Euro-DSGVO-Strafe für LinkedIn

  • 28.10.2024

Inhalt Hintergrund der DPC-Untersuchung Konsequenzen und zukünftige Schritte Die Datenschutzbehörde in Irland hat Microsofts sozialem Netzwerk LinkedIn eine Geldstrafe von 310 Millionen Euro auferlegt. Das Unternehmen soll Daten seiner Nutzer unberechtigt zu Werbezwecken genutzt haben. Die irische Datenschutzkommission (DPC) hat LinkedIn mit einer Rekordstrafe von 310 Millionen Euro belegt. […]

Massive Datenpanne: Millionen Kundendaten von Brillen.de im Internet frei zugänglich

  • 24.10.2024

Inhalt Reaktion von Brillen.de Rechtliche Implikationen Allein 2,4 Millionen Datensätze von deutschen Brillen.de-Kunden waren wegen fehlender Sicherheitsvorkehrungen im Netz frei abrufbar. Im dritten Quartal 2024 kam es beim deutschen Brillendiscounter Brillen.de zu einem massiven Sicherheitsvorfall, bei dem rund 3,5 Millionen Kundendatensätze ungeschützt im Internet zugänglich gewesen sein sollen. Betroffen […]

Lücken in Sicherheitsprotokollen: Microsoft verliert “wichtige” Protokolldaten

  • 24.10.2024

Inhalt Microsoft Entra, Sentinel, Defender for Cloud und Purview betroffen Lücken in sicherheitsrelevanten Protokollen Ein gravierender Softwarefehler bei Microsoft führte zum Verlust wichtiger Sicherheitsprotokolle in der Cloud. Das Abhandenkommen von Logging-Daten dürfte den Konzern in Erklärungsnot bringen, da man gerade erst das Thema zur Top-Priorität ausgerufen hatte. Microsoft steht […]

Überblick über DSGVO-Verstöße: Hohe Bußgelder für EU-Unternehmen

  • 18.10.2024

Inhalt Bußgelder bis 20 Millionen Euro bei DSGVO-Verstoß Verhängte Bußgelder gegen Unternehmen wegen Datenschutz-Verstößen Oktober 2024 September 2024 August 2024 Juli 2024 Bußgelder wegen Datenschutzverstößen nehmen europaweit zu und Unternehmen stehen zunehmend unter Druck, ihre Datenverarbeitungsprozesse zu überprüfen. In unserem Beitrag geben wir Ihnen einen Einblick in verhängte Bußgelder […]

Zwei wichtige EuGH-Entscheidungen: Recht auf DSGVO-Schadensersatz erneut massiv gestärkt

  • 15.10.2024

Inhalt Datenleck bei Facebook Aktuelles Urteil des EuGH zu Kontrollverlust als Schaden EuGH zur Höhe des Schadensersatzes EuGH: Unterlassungsansprüche neben Schadensersatz sind möglich Der EuGH hat in zwei aktuellen Urteilen erneut die Rechte von Datenleck-Betroffenen enorm gestärkt. Zum einen betont er erneut, dass der reine Kontrollverlust bereits als ersatzfähiger […]

Mark Zuckerberg, von Anthony Quintano

Datenschützer Schrems vs. Meta: EuGH schränkt Facebooks Datennutzung massiv ein

  • 04.10.2024

Inhalt Datensammeln für personalisierte Werbung – auf welcher Grundlage? Facebook sammelt auch sensible Daten – ist das legal? Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen Urteil des EuGH Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden Facebook darf nicht sämtliche personenbezogenen Daten, die […]