Datenschutzgrundverordnung

Alles neu, alles anders? – Ein Überblick Teil 1

Die Datenschutzgrundverordnung (DS-GVO) tritt zum 25. Mai 2018 in Kraft – ohne Übergangsfrist. Ergänzt werden die Regelungen der DS-GVO durch ein neues Bundesdatenschutzgesetz (BDSG), das das alte BDSG ablöst. Das bedeutet, dass ab diesem Tag sämtliche Prozesse der verarbeitenden Stelle im Einklang mit der neuen Rechtslage sein müssen. Hierunter fallen nicht nur die Datenschutzerklärungen, sondern auch Einwilligungen, Verfahrensverzeichnisse und Verträge zur Auftragsdatenverarbeitung u.a.
Es bleibt auch unter dem Regime der DS-GVO bei dem Prinzip, dass die Verarbeitung und Erhebung personenbezogener Daten grundsätzlich verboten ist, wenn sie nicht durch eine Rechtsgrundlage erlaubt ist. Wichtig ist, dass für jede einzelne Datenverarbeitung eine Rechtsgrundlage benötigt wird. Diese wird in den meisten Fällen in der DS-GVO selbst zu finden sein. Sofern die Datenverarbeitung aufgrund einer Einwilligung erfolgt, sind die Anforderungen an die Form nun gelockert worden. Neben der schriftlichen und elektronischen Einwilligung sind jetzt auch mündliche Einwilligung, Einwilligungen per E-Mail oder durch Anklicken einer Checkbox möglich. Als Rat von jedem Rechtsanwalt für Datenschutz empfiehlt es sich jedoch, zu Beweiszwecken, auf die mündliche Einwilligung zu verzichten und die Erklärung des Betroffenen stets gut zu dokumentieren.
Voraussetzung für eine Einwilligung ist, dass diese freiwillig abgegeben wurde und der Betroffene zuvor ausreichend informiert wurde. Die Freiwilligkeit fehlt beispielsweise bei Bestehen eines Abhängigkeitsverhältnisses, wenn also zwischen den Vertragsparteien ein klares Ungleichgewicht besteht. Das lässt sich insbesondere im Verhältnis Arbeitgeber-Arbeitnehmer und auch bei Monopolstellungen einzelner Unternehmen kaum vermeiden. Daher empfiehlt es sich in solchen Fällen, eine andere Rechtsgrundlage als die der Einwilligung für die Datenverarbeitung heranzuziehen. Weiterhin muss der Betroffene ausreichend informiert sein.

Er muss neben dem Verantwortlichen insbesondere die Zwecke der Datenerhebung kennen. Wie und in welchem Umfang dem Betroffenen diese Informationen zu erteilen sind, wurde in der DS-GVO klar und auch strenger als bisher geregelt. So muss beispielsweise jeder einzelne Zweck der Verarbeitung angegeben werden. Außerdem muss die Information in einer klaren und einfachen Sprache erteilt werden. Es muss über den konkreten Fall der Verarbeitung informiert werden. Zudem muss der Betroffene unbedingt über sein Widerrufsrecht aufgeklärt werden. Die Information, die der Einwilligung vorausgeht, sollte im Übrigen auch klar hervorgehoben sein, so dass eine Einbindung in bestehende AGB eher nicht zu empfehlen ist. Vielmehr sollten dem Betroffenen die notwendigen Informationen nachweisbar separat und im konkreten Kontext mit der Einwilligung erteilt werden.
Wichtig ist auch, dass es ein nunmehr ein Kopplungsverbot zwischen der Datenerhebung und der Erfüllung eines Vertrages gibt. Dies gilt zwar nicht für Daten, die für die Erfüllung des Vertrages erforderlich sind. Für alle darüber hinausgehenden Daten darf die Erfüllung des Vertrages jedoch nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden.
Einwilligungen, die nicht den o.g. Anforderungen entsprechen, stellen keine wirksame Rechtsgrundlage für eine Datenverarbeitung dar. In der Folge liegt somit ein Verstoß gegen die DS-GVO vor, der ein Bußgeld nach sich ziehen kann. Dies gilt auch für bereits nach alter Rechtslage erteilte Einwilligung. Riskieren Sie keine unnötigen Bußgelder. Sprechen Sie Ihren Anwalt für Datenschutz rechtzeitig an. Wir beraten Sie gerne zu allen Fragen rund um das Thema Datenschutz und erstellen und Prüfung Ihre Einwilligungserklärungen und Datenschutzinformationen für Sie.

Rechtsanwältin Friederike Lemme, Januar 2018 · Berlin