ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Die informierte Einwilligung

Wenn ein Unternehmen personenbezogene Daten verarbeiten möchte, so ist in jedem Fall die Zulässigkeit der Verarbeitung zu prüfen. Eine Verarbeitung ist nur in zwei Fällen zulässig:

  • Wenn eine Rechtsvorschrift (also ein Gesetz oder eine vergleichbare Norm) die Verarbeitung erlaubt oder sogar vorschreibt
  • Wenn der Betroffene seine Einwilligung erteilt hat.

Für den Fall, dass ein Vertrag (z. B. ein Wohnungsmietvertrag oder ein Anstellungsvertrag) zwischen dem Betroffenen und der verantwortlichen Stelle besteht, kann in vielen Fällen davon ausgegangen werden, dass die Verarbeitung durch die §§ 28  oder 32 BDSG legitimiert wird. Anders sieht es aus, wenn es um die Verarbeitung zu anderen Zwecken geht. Findet sich weder im BDSG noch in einer anderen Rechtsvorschrift eine Erlaubnis, so ist gem. § 4a BDSG eine Einwilligung vom Betroffenen einzuholen. Für diese Einwilligungserklärung legt das Gesetz auch gleich diverse Inhalts- und Formvorschriften fest. Es muss sich um eine sog. informierte Einwilligung handeln. Das heißt, der Betroffene ist „auf den vorgesehenen Zweck […] sowie […] auf die Folgen der Verweigerung der Einwilligung hinzuweisen“. Auch das Schriftformerfordernis wird im Gesetz festgeschrieben, „wenn nicht wegen besonderer Umstände eine andere Form angemessen ist“.

Informierte Einwilligung heißt: Datenschutzerklärung

Zur Information des Betroffenen gehört in jedem Fall eine auf den jeweiligen Zweck der Verarbeitung abgestimmte und vollständige Datenschutzerklärung, optimaler Weise direkt oberhalb der Unterschriftenzeile platziert. Auch müssen die Abgabe der Einwilligungserklärung und die ordnungsgemäße vorherige Information des Betroffenen jederzeit nachvollziehbar und vor allem nachweisbar sein. Notwendig wird dieser Nachweis manchmal schneller als erwartet. So muss z. B. für den Fall eines Auskunftsersuchens gem. § 34 BDSG oder einer Überprüfung durch die Aufsichtsbehörden die Rechtsgrundlage der Verarbeitungen jederzeit nachweisbar sein und eine Einwilligung mit beauskunftet werden.

Und natürlich muss die vollständige Information des Betroffenen auch vor Erteilung der Einwilligung erfolgen und auch dieser Umstand muss nachweisbar sein.

Fragen Sie den DSB…

Letztlich gibt es bei der informierten Einwilligung viele Fallstricke. Es empfiehlt sich bei allen Datenverarbeitungen den Datenschutzbeauftragten oder – falls kein DSB bestellt sein sollte – einen entsprechenden Berater hinzuzuziehen. Dieser kann gemeinsam mit den Fachabteilungen spezifische Checklisten entwickeln, um sicherzustellen, dass dort, wo erforderlich weil kein gesetzlicher Erlaubnistatbestand vorliegt, eine wirksame informierte Einwilligung eingeholt wird. Auch zur Verwaltung dieser Einwilligungserklärungen kann der Datenschutzbeauftragte beitragen.

… und nehmen Sie nichts Fertiges

Die Finger sollten Sie von vorgefertigten Datenschutzerklärungen lassen. Diese sind häufig zu allgemein oder lassen für Ihren Anwendungsfall spezifische und damit unverzichtbare Informationen weg. In einem solchen Fall ist die abgegebene Einwilligungserklärung ungültig und damit die Verarbeitung nicht zulässig. Die Folgen können von einer Ermahnung durch die Aufsichtsbehörde inkl. Auflagen oder Bußgeld bis hin zu einem Imageschaden durch negative Presseberichte reichen.

Ich empfehle Ihnen unbedingt, den Entwurf von Einwilligungserklärungen vom Datenschutzfachmann erledigen zu lassen. Sprechen Sie mich an, ich unterstütze Sie gerne!