Nur mit Einwilligung?

Die Datenschutzgrundverordnung (DS-GVO) scheint in den Köpfen der Verantwortlichen angekommen zu sein. Nur neigen viele dazu, die DS-GVO zu streng auszulegen. Immer wieder begegnen wir der erstaunten Frage „Brauche ich dafür nicht eine Einwilligung“?

Einwilligung

Es ist schon richtig, dass die Einwilligung oft nötig ist und eigentlich den Sinn und Zweck der DS-GVO am Besten transportiert: Der Betroffene weiß, welche Daten er preisgibt und muss ausdrücklich seine Erlaubnis geben. Aber Verantwortliche sollten nicht vorschnell nur auf die Einwilligung setzen. Denn es gibt die zweite Seite der Medaille. Bei der Einwilligung ist das einmal die „Freiwilligkeit“ und die jederzeitige „Widerrufbarkeit“.

Freiwillig

Einwilligungen müssen freiwillig gegeben werden. Daran kann immer gezweifelt werden, wenn die Einwilligung in einem Zusammenhang abgefragt wird, wo es um Leistungen an die Betroffenen geht. Die Betroffenen wollen „etwas“ und „müssen“ dafür eine Einwilligung in die Verarbeitung personenbezogener Daten geben. Wenn dann die Leistung abgelehnt wird, weil die Einwilligung „fehlt“, ist keine Freiwilligkeit gegeben. Auch sollte man sich davor hüten, die Einwilligung in anderen Zusammenhängen zu verstecken, wie zum Beispiel in Allgemeinen Geschäftsbedingungen, Vertragstexten oder anderen Erklärungen.

Widerrufbarkeit

Selbst wenn die Einwilligung der Betroffenen vorliegt, dürfen sich die Verantwortlichen nicht darauf verlassen, dass sie die personenbezogenen Daten jederzeit verarbeiten können. Die Einwilligung kann von den Betroffenen leicht widerrufen werden. Das hat den Effekt, dass eine weitere Verarbeitung möglicherweise mangels Rechtsgrundlage nicht mehr erlaubt ist. Zwar bedeutet der Widerruf nicht, dass die personenbezogenen Daten sofort umfangreich gelöscht werden müssen. Aber zumindest eine Sperre der weiteren Verarbeitung muss sofort eingerichtet werden. Die Löschung einzelner Daten ist in jedem Fall zu prüfen.

Alternative Rechtsgrundlagen

Was kann man als Verantwortlicher alternativ zur Einwilligung tun? Ganz leicht: In das Gesetz schauen. Die Einwilligung ist nur eine von vielen Rechtsgrundlagen, die die DS-GVO auslistet. Für Verantwortliche aus der Privatwirtschaft sind beispielsweise die Rechtsgrundlagen“Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses“ (Art. 6 Abs. 1 lit. b DS-GVO) und „Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen“ (Art. 6 Abs. 1 lit. f DS-GVO). sehr viel bedeutsamer. Es lohnt sich, die Verarbeitung personenbezogener Daten auf diese Rechtsgrundlagen hin zu überprüfen, bevor man auf die Einwilligung zurückgreift.