DSGVO-konforme Verarbeitung im Auftrag (Einführung)

Eine Verarbeitung von Daten im Auftrag liegt in der Regel immer dann vor, wenn Sie personenbezogene Daten von einem Dienstleister weisungsgebunden bearbeiten lassen, ja selbst, wenn dieser nur Zugriff auf die Daten erhalten könnte. Typische Beispiele sind Newsletter-Systeme, Cloud-Computing oder eine externe Buchhaltung. Doch wann genau liegt eine Auftragsverarbeitung vor? Wie verhält es sich bei Dienstleistern außerhalb der EU? Welche Pflichten treffen den Verantwortlichen und den Auftragsverarbeiter nach Datenschutz-Grundverordnung (DSGVO)? Unsere kompakte Einführung verschafft Ihnen den Überblick!

Gesetzliche Grundlagen für die Auftragsverarbeitung

Eines der datenschutzrechtlichen Grundprinzipien ist das sogenannte Verbot mit Erlaubnisvorbehalt. Danach ist jeglicher Umgang mit personenbezogenen Daten ohne Rechtsgrundlage verboten. Eine solche Rechtsgrundlage kann im jeweiligen Fall insbesondere sein

  1. eine gesetzliche Erlaubnis oder
  2. eine Einwilligung des Betroffenen.

Wenn eine solche Rechtsgrundlage vorliegt, kann das Prinzip der Verarbeitung von Daten im Auftrag greifen. Diese Auftragsverarbeitung ermöglicht es, die Berechtigung zur Verarbeitung der personenbezogenen Daten auf einen Dienstleister (Auftragnehmer) zu übertragen.

Das dahinterliegende juristische Prinzip ist die sogenannte Privilegierung des Datenaustauschs zwischen Unternehmen und seinen Dienstleistern. Die Privilegierung ergibt sich aus Art. 4 Nr. 10 DSGVO, wonach Auftragsverarbeiter keine Dritten sind. Der Auftragsverarbeiter wird vielmehr rechtlich so behandelt, als wäre er Teil des Unternehmens und partizipiert an dessen rechtlichen Datenverarbeitungsgrundlagen. Die Privilegierungswirkung gilt unter der DSGVO nunmehr auch für Auftragsverarbeitungen in Drittländern.

Sonderregelungen bei Datenverarbeitungen innerhalb von Konzernen

Zu betonen ist, dass es im Datenschutzrecht kein allgemeines Konzernprivileg gibt. Mit der DSGVO kommen jedoch gewisse Erleichterungen beim Datentransfer zwischen selbstständigen Unternehmen einer zusammengehörenden Unternehmensgruppe. Eine gesetzliche Erlaubnis zur Datenverarbeitung liegt nach Art. 6 Abs. 1 lit. f DSGVO vor, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Nach Erwägungsgrund 48 S. 1 DSGVO kann der konzerninterne Datenaustausch für „interne Verwaltungszwecke“ ein derartiges berechtigtes Interesse darstellen. Wichtig ist, dass eine Abwägung mit den entgegenstehenden schutzwürdigen Interessen der Betroffenen stattfinden muss. Besteht im Einzelfall kein solches berechtigte Interesse, weil die schutzwürdigen Interessen der Betroffenen überwiegen, kann ein konzerninterner Datentransfer nur mittels Einwilligung des Betroffenen oder im Wege der Grundsätze der Datenverarbeitung gerechtfertigt werden.

Regelungen für die Auftragsverarbeitung in einem Drittland

Eine bedeutsame Neuerung der DSGVO betrifft die Auftragsverarbeitung in Drittländern, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Bisher waren nach BDSG a.F. nur Auftragsverarbeitungen innerhalb der EU von den privilegierenden Regelungen gedeckt. Sobald im Rahmen einer Auftragsverarbeitung die EU/EWR-Grenzen überschritten wurden, weil der Dienstleister sich in einem Drittland befand, galt dieser nicht mehr als Auftragsverarbeiter, sondern als Dritter. Dritter ist jede Person oder Stelle, die nicht in den Kreis des verantwortlichen Auftraggebers fällt. Gegenüber einem Dritten war und ist auch nach der DSGVO die Datenverarbeitung unter den vereinfachten Bedingungen der Auftragsverarbeitung nicht möglich.

Eine Übermittlung personenbezogener Daten in ein Drittland ist allerdings nicht uneingeschränkt möglich. Sie ist nach Art. 44 DSGVO nur zulässig, wenn die weitere Verarbeitung nach den Regeln der DSGVO erfolgt und vergleichbare Schutzmechanismen dafür sorgen, dass die vorgesehenen Rechte der Betroffenen nicht ausgehebelt werden.

Eine Datenübermittlung in ein Drittland kann beispielsweise durch Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO zulässig sein. Hiernach beschließt die Kommission, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. Ein weiterer Schutzmechanismus besteht nach Art. 46 DSGVO, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsieht und den betroffenen Personen tatsächlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellt. Weiterhin kann der Schutz betroffener Personen dadurch gewährleistet werden, dass die zuständige Aufsichtsbehörde gem. Art. 47 DSGVO verbindliche interne Datenschutzvorschriften genehmigt, sofern diese eine vergleichbare Schutzwirkung sicherstellen können.

Im Übrigen müssen Verantwortliche oder Auftragsverarbeiter, die keine Niederlassung in der EU haben, aber Daten von Unionsbürgern verarbeiten, nach Art. 27 DSGVO schriftlich einen Vertreter in der Union benennen. Dieser muss auch in der Union niedergelassen sein und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen bezüglich der Datenverarbeitung.

Wann liegt eine Auftragsverarbeitung vor?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag der verantwortlichen Stelle (Verantwortlicher bzw. Auftraggeber).

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung, Datenträgerentsorgung, Versand eines Newsletters durch eine Agentur oder Nutzung von Cloud-Diensten.

Nach Art. 29 DSGVO arbeitet der Auftragsverarbeiter grundsätzlich weisungsabhängig, es sei denn, dass der Auftragsverarbeiter nach Unionsrecht oder dem Recht des Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet ist. Bei letzterem handelt es sich um eine sog. Öffnungsklausel. Diese gesetzlichen Ausnahmeklauseln erlauben Mitgliedsstaaten abweichende oder ergänzende Regelungen zur Datenschutz-Grundverordnung vorzunehmen. Im Falle des Art. 29 DSGVO handelt es sich jedoch nur um eine „unechte Öffnungsklausel“: Mitgliedstaaten können nicht grenzenlose Verarbeitungspflichten bestimmen. Stattdessen dürfen Mitgliedstaaten nur dann Verarbeitungspflichten auferlegen, wenn es bereits eine in der DSGVO normierte Verarbeitungsgrundlage gibt. Die Mitgliedstaaten dürfen dann nur regeln, dass für diese bereits in der Verordnung gesetzlich legitimierten Verarbeitungsgrundlagen keine Weisung erforderlich ist. Es bleibt daher abzuwarten, ob die Mitgliedstaaten von dieser Öffnungsklausel überhaupt Gebrauch machen werden. Im neuen deutschen Datenschutzrecht (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) ist noch keine solche Ausnahmeregelung vorgesehen.

Der Auftragsverarbeiter ist gem. Art. 4 Nr. Nr. 8 DSGVO im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“. Ausschlaggebend ist also, wer faktisch und tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Ob vertraglich lediglich eine Verarbeitung im Auftrag vereinbart wurde, ist unerheblich. Verletzt der Auftragsverarbeiter die Voraussetzungen für die Auftragsverarbeitung, indem er selbst wie ein Verantwortlicher auftritt und über Zweck und Mittel der Datenverarbeitung entscheidet, ist dieser gleich einem Verantwortlichen zu behandeln.

Jemand, der im Rahmen eines Auftragsverarbeitungsvertrages personenbezogene Daten verarbeitet, ist somit nach der DSGVO entweder Verantwortlicher oder Auftragsverarbeiter. Aufgrund dessen entfällt der im Rahmen des alten BDSG verwendete Begriff der „Funktionsübertragung“. Bei der Funktionsübertragung handelte es sich um einen Dienstleister, der im Auftrag Daten verarbeitete, jedoch über einen eigenen Entscheidungsspielraum verfügte. Zum Zwecke der Rechtssicherheit sollte von dem Begriff nicht länger Gebrauch gemacht werden.

Praxistipp zur Erfassung von Auftragnehmern

Um festzustellen, mit welchen Dienstleistern ein Auftragsverarbeitungsverhältnis vorliegt, hat es sich als praktikabel erwiesen, aus der Buchhaltung eine Abrechnungsliste anzufordern. Prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet. Mit diesen Dienstleistern ist ggf. ein Vertrag zur Auftragsverarbeitung zu schließen.

Wann liegt keine Auftragsverarbeitung vor?

Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Der Auftraggeber überlässt dem Dienstleister die inhaltliche Ausgestaltung, also Entscheidung über Mittel und Zweck der Datenverarbeitung. Über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt der Auftraggeber weder rechtlich noch tatsächlich. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung.

Umstritten ist, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen.

Wer ist bei der Auftragsverarbeitung verantwortlich?

In erster Linie ist, wie es der Name schon sagt, der Verantwortliche gem. Art. 24 DSGVO für die Datenverarbeitung verantwortlich. Er hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Dabei hat er Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen und hierfür geeignete technische und organisatorische Maßnahmen umzusetzen.

Dem Verantwortlichen obliegt zudem eine Auswahlverantwortung. Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die gem. Art. 28 Abs. 1 DSGVO hinreichend garantieren können, dass „geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen“ der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.

Eine solche hinreichende Garantie bietet die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder ein genehmigtes Zertifizierungsverfahren gem. Art. 42 DSGVO (z. B. ISO/IEC 27002). Ein Verstoß gegen die Auswahlverantwortung kann mit einer Geldbuße bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher der Beträge höher ist) sanktioniert werden.

Wie funktioniert die Auftragsverarbeitung?

Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig. Mit dem Dienstleister ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu schließen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen. Die einzelnen Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet werden.

Die DSGVO sieht – anders als das BDSG – keine ausdrückliche fortwährende Prüfungspflicht vor. Art. 28 DSGVO bestimmt jedoch, dass eine Auftragsverarbeitung nur mit einem geeigneten Auftragsverarbeiter erfolgen darf, der hinreichend Garantien bietet. Dies ist so zu verstehen, dass die Auswahlpflicht nicht nur für den Beginn des Auftrags, sondern über die Dauer des Vertrags besteht. Der Verantwortliche muss sich also dauerhaft vergewissern, dass der Auftragsverarbeiter zur Verarbeitung geeignet ist.

Fallen die hinreichenden Garantien nachträglich weg oder erweist sich, dass die erforderlichen Garantien tatsächlich nicht eingehalten werden, ist die Auftragsverarbeitung nicht mehr von der datenschutzrechtlichen Privilegierung gedeckt.

In unserem Special zum Thema Auftragsverarbeitung finden Sie kostenlose Vorlagen, Checklisten und andere Hilfsmittel für Ihre DSGVO-Compliance!

Integrität und Vertraulichkeit bei der Datenverarbeitung

Integrität und Vertraulichkeit gehören zu den komplexesten Grundsätzen der Datenschutz-Grundverordnung (DSGVO). Bei der Umsetzung müssen Unternehmen einerseits die Risiken bei der Datenverarbeitung richtig einschätzen und andererseits technologische Aspekte der Informationssicherheit beachten. Wir zeigen Ihnen, wie das am besten funktioniert.

Integrität und Vertraulichkeit in der DSGVO

Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO sieht vor, dass personenbezogene Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Insbesondere ist dafür zu sorgen, dass die personenbezogenen Daten

  1. vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) und
  2. vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität) bewahrt werden.

Um dies zu erreichen, muss der Verantwortliche oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen.

Der Grundsatz der Integrität und Vertraulichkeit wird insbesondere in Art. 32 DSGVO (Sicherheit der Verarbeitung) konkretisiert. Dort werden über die Schutzziele der Integrität und Vertraulichkeit hinaus noch weitere Schutzziele genannt, welche jedoch nach dem Gesetzeswortlaut („schließen gegebenenfalls unter anderem Folgendes ein“) nicht abschließend sind:

  • Pseudonymisierung
  • Verschlüsselung
  • Verfügbarkeit
  • Belastbarkeit der Systeme
  • Rasche Wederherstellbarkeit der Verfügbarkeit
  • Verfahren zur regelmäßigen Überprüfung

Risikoangemessenes Schutzniveau

Doch welche konkreten Maßnahmen eignen sich, um Vertraulichkeit und Integrität zu gewährleisten? Im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG a.F.) mit seinen „Acht Datenschutzgeboten“ lässt die DSGVO dies offen. Nach Art. 5 Abs. 1 f) DSGVO und Art. 32 Abs. 1 DSGVO müssen individuell „angemessene“ technische und organisatorische Maßnahmen getroffen werden. Welche Maßnahmen angemessen sind, bestimmt sich laut Art. 32 Abs. 1 DSGVO nach dem Risiko. Wichtig ist, dass es stets auf Risiken für Betroffene ankommt, nicht auf Risiken für den Verantwortlichen bzw. das Unternehmen.

Eine Legaldefinition des Risikos ist in der DSGVO nicht vorgesehen. Aus den Erwägungsgründen 75 und 94 DSGVO kann jedoch hergeleitet werden, dass es zur Ermittlung des Risikos einerseits auf die Schwere eines Schadens, andererseits auf dessen Eintrittswahrscheinlichkeit ankommt. Bei dem Schaden kann es sich um „physische, materielle und immaterielle“ Schäden handeln, wie beispielsweise „Diskriminierung, Identitätsdiebstahl oder-betrug, finanzieller Verlust, Rufschädigung“.

Die Schwierigkeit besteht darin, dass es weder einen konkreten Risikobegriff noch einen festgelegten Maßstab für angemessene TOM gibt. Vielmehr ist relativ viel Interpretationsspielraum gegeben. Entscheidend dürfte sein, dass es sich um vertretbare Risikobewertung und vertretbare Maßnahmen handelt. Je höher das Risiko, desto weitreichender müssen die technischen und organisatorischen Maßnahmen sein.

Besteht für Betroffene ein hohes Risiko, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vornehmen. Im Rahmen dieser Datenschutz-Folgenabschätzung muss der Verantwortliche versuchen, das Risiko einzudämmen. Aus dem Umkehrschluss kann man schließen, dass die TOM nicht alle Risiken vollständig beseitigen, sondern es ausreichend ist, wenn das Risiko auf ein normales Niveau gesenkt wird.

Das Kurzpapier Nr. 18 der DSK (Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) bietet hilfreiche Informationen zur Risikobewertung, wenn auch ohne konkret auf die Relevanz für die technischen und organisatorischen Maßnahmen einzugehen.

Weitere Kriterien für das Schutzniveau

Bei der Implementierung angemessener technischer und organisatorischer Maßnahmen ist insbesondere auch Stand der Technik zu berücksichtigen. Die TOM müssen zudem ständig angepasst werden, wenn die technologische Entwicklung dies erfordert.

Der Stand der Technik meint allerdings nicht zwingend die besten und effektivsten Maßnahmen. Wie bereits erläutert, ist es ausreichend, die Risiken auf ein normales Risiko zu senken. Hierbei kann sich das Unternehmen an den markt- und branchenüblichen Maßnahmen orientieren. Teilweise gibt es auch Informationen und Empfehlungen wie beispielsweise die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Die Implementierungskosten können bei der Bewertung der Angemessenheit ebenfalls berücksichtigt werden. Sind die Implementierungskosten zu hoch, muss ein Unternehmen dennoch alle anderen Möglichkeiten ausschöpfen und entsprechende Maßnahmen treffen um ein hohes Risiko für die Rechte und Freiheiten von Betroffenen zu verhindern.

Nachweis durch Verhaltensregeln oder Zertifizierungsverfahren

Im Rahmen der Nachweise technischer und organisatorischer Maßnahmen trifft man oft auf eine ISO/IEC 27001:2013 Zertifizierung. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystems (ISMS) welches im Anhang A Controls beinhaltet, die sich mit den Schutzzielen des Art. 32 DSGVO decken.

Neben der ISO/IEC 27001:2013 Zertifizierung ist jedoch zu bedenken, dass der Geltungsbereich des Zertifikats nur das ISMS umfasst. Ein solches Zertifikat allein genügt nicht den Anforderungen der DSGVO; es ist zusätzlich an die Erfordernisse eines Datenschutzmanagementsystems (DSMS) zu denken. Insbesondere sind die in der ISO/IES 27001:2013 aufgeführten Controls aus der Sicht des Datenschutzes und der DSGVO zu betrachten. Im Rahmen der Lieferantenbeziehungen ist etwa an die Anforderungen der Auftragsverarbeitung zu denken, und beim Umgang mit Sicherheitsvorfällen auch an Datenschutzverletzungen nach Art. 33 bzw. 34 DSGVO.

Verstöße gegen Vertraulichkeit und Integrität können teuer werden

Der Grundsatz von Vertraulichkeit und Integrität fordert der verantwortlichen Stelle viel ab, auch, weil hier Datenschutz und Informationssicherheit kombiniert werden müssen. Unternehmen sollten die Umsetzung jedoch nicht auf die lange Bank schieben. Denn Verstöße gegen die Grundsätze des Art. 5 DSGVO können laut Art. 83 Abs. 5 lit. a DSGVO mit den höchsten in der DSGVO vorgesehenen Bußgeldern geahndet werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Speicherbegrenzung bei der Datenverarbeitung

Die Speicherbegrenzung ist einer der Grundsätze der Datenschutz-Grundverordnung (Art. 5 Abs. 1 e) DSGVO). Speicherbegrenzung bedeutet, dass personenbezogene Daten derart zu speichern sind, dass eine Identifizierung von Betroffenen nur so lange möglich ist, wie für die Zweckerreichung erforderlich. Bei der konkreten Umsetzung im Unternehmen kommen dafür vor allem eine Löschung oder Anonymisierung infrage.

Gesetzliche Pflichten der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erreichung des Zwecks notwendig ist. Dies konkretisiert zum einen den Grundsatz der Datenminimierung, dass immer so wenig personenbezogene Daten wie möglich verarbeitet werden sollen, zum anderen den Grundsatz der Zweckbindung, da der Maßstab der Speicherbegrenzung stets der festgelegte Zweck ist.

Die DSGVO verankert die Pflicht der Speicherbegrenzung an mehreren Stellen: Im Rahmen der Informationspflichten nach Art. 13 Abs. 2 a) DSGVO und Art. 14 Abs. 2 a) DSGVO oder des Auskunftsanspruchs Betroffener nach Art. 15 Abs. 1 d) DSGVO muss der Verantwortliche gegenüber dem Betroffenen Auskunft über die Dauer der Datenspeicherung oder zumindest die „Kriterien für die Festlegung dieser Dauer“ erteilen.

Weiterhin besteht das Recht des Betroffenen auf Löschung sowie eine allgemeine Löschpflicht unter den Voraussetzungen des Art. 17 DSGVO.

Im Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen sind gem. Art. 30 Abs.1 f) DSGVO soweit möglich vorgesehene Löschfristen aufzuführen.

Speicherfristen und Löschfristen

Sowohl im Rahmen der Informationspflichten als auch der Betroffenenrechte auf Auskunft und Löschung muss sich der Verantwortliche mit einer Speicherfrist oder zumindest mit deren Kriterien auseinandersetzen und diese festlegen. Als Alternative zu einer konkreten Löschfrist sieht Erwägungsgrund 39 DSGVO vor, dass der Verantwortliche regelmäßige Überprüfungen vornimmt. Eine kalendermäßige Festlegung ist somit nicht zwingend erforderlich. Es ist jedoch wichtig, dass die Umstände und Kriterien für die Speicherbegrenzung nach objektiven Maßstäben feststellbar sind. Hierdurch kann im Rahmen von Löschroutinen einzeln festgestellt werden ob eine Speicherung der Daten weiterhin zulässig oder eine Löschung erforderlich ist.

Eine bestimmte Löschfrist ist in den meisten Fällen feststellbar. Hierbei kann man sich insbesondere an gesetzlichen Aufbewahrungs-, Verjährungs- oder Klagefristen orientieren. Schwierigkeiten entstehen nur dann wenn es solche Fristen nicht gibt und man sich lediglich punktuell daran orientieren kann ob der Zweck bereits erreicht wurde (siehe unser Ratgeber für ein Löschkonzept).

Praktische Umsetzung der Speicherbegrenzung

Mit der Speicherbegrenzung ist nicht zwingend die Löschung personenbezogener Daten gemeint. Die Speicherbegrenzung sieht vor, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Es kommt somit auf die Möglichkeit der Identifizierung von Personen an.

Die Aufhebung der Identifizierung kann in erster Linie natürlich dadurch erfolgen, dass Daten gelöscht werden. Es ist für die Speicherbegrenzung jedoch auch möglich, dass personenbezogene Daten anonymisiert werden. Die Anonymisierung ermöglicht im Gegensatz zur Pseudonymisierung keine nachträgliche Identifizierung einzelner Personen, da die Daten nicht mehr durch Hinzuziehung weiterer Informationen zuordenbar sind.

Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend. Anonymisieren ist eine Inhaltsänderung lediglich durch Aufhebung des Personenbezugs. Löschung ist die gesamte Entfernung der personenbezogenen Daten.

Der Unterschied macht sich insbesondere im Rahmen der Frage der Rechtmäßigkeit bemerkbar. Hinsichtlich der Löschung besteht spätestens nach Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO eine Löschpflicht. Es bedarf keiner Rechtsgrundlage für die Löschung.

Bei der Anonymisierung handelt es sich hingegen um eine weitere Datenverarbeitung im Rahmen einer Zweckänderung, welche einer Rechtsgrundlage bedarf. Für eine Anonymisierung kann ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO angeführt werden. Bei besonderen personenbezogenen Daten gem. Art. 9 DSGVO gibt es jedoch kein Äquivalent zu Art. 6 Abs. 1 f) DSGVO. Eine Anonymisierung besonderer personenbezogener Daten kann in den meisten Fällen nur durch Einwilligung gem. Art. 9 Abs. 2 a) DSGVO gerechtfertigt werden. Im Rahmen einer Zweckänderung ist auch an eine weitere Informationspflicht nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 3 DSGVO zu denken.

Ausnahmen von der Speicherbegrenzung

Von der Pflicht zur Speicherbegrenzung sind nur solche Datenverarbeitungen ausgeschlossen, welche ausschließlich im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke gem. Art. 89 Abs. 1 DSGVO erfolgen.

In diesen Fällen hat der Verantwortliche dafür zu sorgen, dass entsprechende technische und organisatorische Maßnahmen vorgesehen sind, welche die steigenden Risiken, die mit der längeren Datenspeicherung und -ansammlung einhergehen, im Zaum halten können.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Speicherbegrenzung, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenminimierung bei der Verarbeitung

Die Datenminimierung ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip (Art. 5 DSGVO). Demnach sind immer so wenig wie möglich Daten zu verarbeiten, wie zur Erreichung des Zwecks notwendig sind. Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an.

Das Prinzip der Datenminimierung

Der Grundsatz der Datenminimierung des Art. 5 DSGVO entspricht teilweise dem früheren Grundsatz der Datenvermeidung des alten Bundesdatenschutzgesetzes (§ 3a BDSG a.F.). Die Datenvermeidung besagte, dass „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“ seien. Anonymisierung und Pseudonymisierung galten als geeignete Mittel zur Datenvermeidung. Hieran hat sich nach der Gesetzesänderung nichts geändert.

Im Rahmen der Datenminimierung ist insbesondere darauf zu achten, dass personenbezogene Daten dem „Zweck angemessen“ und unter Heranziehung des verfolgten Zweckes auf das „notwendige Maß beschränkt sein“ müssen. Das notwendige Maß ist erreicht, wenn der verfolgte Zweck nicht mit weniger Daten erreicht werden kann. Dies gilt nicht nur für die Menge der erhobenen Daten, sondern auch für den Umfang der Verarbeitung sowie die Dauer der Aufbewahrung und der Zugriffsberechtigung.

Datenminimierung sollte gem. Art. 25 DSGVO frühzeitig durch datenschutzfreundliche Voreinstellungen gewährleistet werden.

„Erforderlichkeit“ im Rahmen der Datenminimierung bedeutet, dass zunächst so wenig Daten wie möglich erhoben und verarbeitet werden sollen. Dabei muss der Zweck konkret vorab festgelegt werden. Eine Vorratsdatensammlung ist nämlich nicht erlaubt.

Stellt ein Arbeitgeber beispielsweise keine Arbeitskleidung, benötigt dieser weder Schuh- oder Kleidergröße seiner Mitarbeiter. Denselben Maßstab muss man etwa bei einem Kontaktformular anwenden: Wird ausschließlich per E-Mail geantwortet, ist es nicht erforderlich, die Telefonnummer zu erheben. Diese zusätzliche und nicht notwendige Information darf somit kein Pflichtfeld sein. Weiterhin ist zu bedenken, dass freiwillige Angaben, welche nicht zur Erfüllung des Auskunftsbegehrens erforderlich sind, eine zusätzliche Rechtsgrundlage, meist in Gestalt einer Einwilligung, erfordern.

Datenminimierung durch Pseudonymisierung und Anonymisierung

Zur Datenminimierung muss insbesondere überlegt werden, ob derselbe Zweck auch dann erreicht werden kann, wenn personenbezogene Daten ganz oder teilweise pseudonymisiert oder anonymisiert werden.

Eine Anonymisierung oder Pseudonymisierung von Daten ist etwa im Rahmen statistischer Auswertungen relevant. Denn dort werden zur Erlangung aussagekräftiger statistischer Ergebnisse oftmals keine oder nicht alle personenbezogenen Daten benötigt.

Ein Beispiel dafür ist der weitverbreitete Einsatz von Google Analytics zur Messung von Besucherzahlen auf Websites und Beobachtung des Verhaltens der Websitebesucher. Hierzu werden zunächst die vollständigen IP-Adressen erhoben. Für die Analysen ist die vollständige IP-Adresse jedoch nicht notwendig, weshalb für einen datenschutzkonformen Einsatz von Google Analytics eine IP-Anonymisierung implementiert werden muss.

Die Möglichkeit zur Pseudonymisierung und Anonymisierung sollte im Hinblick auf den Gedanken des Privacy by Design and Default gem. Art. 25 DSGVO insbesondere im Rahmen der technischen Lösungen berücksichtigt werden. Datenverarbeitungssysteme sollten also von Grund auf die Möglichkeit bieten, nicht mehr benötigte Daten zu pseudonymisieren oder anonymisieren.

Datenminimierung durch Zugriffsbeschränkung

Welche Daten verarbeiten werden dürfen, ist nicht nur auf die Gesamtheit eines Unternehmens zu beziehen. Vielmehr muss im Rahmen der Berechtigungsvergabe darauf geachtet werden, dass Mitarbeiter jeweils nur Zugriff auf diejenigen Daten erhalten, welche sie zur Erfüllung ihrer Aufgaben benötigen.

Datenminimierung durch zeitliche Beschränkung

Datenminimierung beschränkt sich jedoch nicht nur darauf, welche Daten verarbeitet werden, sondern regelt auch, wie lange die Datenverarbeitung zur Zweckerreichung notwendig ist. Die Erforderlichkeit der Daten ist für den gesamten Zeitverlauf eines Prozesses neu zu evaluieren. Was das genau bedeutet, wird nochmals konkret unter dem Grundsatz der Speicherbegrenzung verankert. Grundsätzlich gilt: Es ist für jeden Verarbeitungsvorgang eine individuelle Speicherfrist festzulegen.

Ein praktisches Beispiel: Im Rahmen eines Bestellvorganges in einem Onlineshop werden personenbezogene Daten zum Zwecke der Zahlung und zur Übersendung einer Bestellung erhoben. Nach Abwicklung der Bestellung dürfen die Daten für den Zeitraum bis zum Ablauf relevanter Verjährungsfristen in Bezug auf die Bestellung aufbewahrt werden. Hierbei könnten beispielsweise einige Daten der Regelverjährungsfrist von drei Jahren unterliegen. Verkürzte Fristen sind hinsichtlich vereinzelter Daten stets möglich. Nach Ablauf dieser Verjährungsfristen dürfen nur noch steuerrechtlich relevante Daten sechs bis zehn Jahre aufbewahrt werden. Somit wäre zu überlegen, welche Daten nicht steuerrechtlich relevant sind und deswegen gelöscht werden müssen.

Verstöße gegen DSGVO-Grundsätze können teuer werden

Verstöße gegen die Grundsätze des Art. 5 DSGVO gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Wer den Grundsatz der Datenminimierung missachtet, kann gemäß Art. 83 Abs. 5 lit. a DSGVO von den Aufsichtsbehörden mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belangt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Zweckbindung bei der Datenverarbeitung

Erhebung und Verarbeitung personenbezogener Daten dürfen nicht unsystematisch erfolgen, sondern ausschließlich zweckgebunden. Die EU-Datenschutz-Grundverordnung (DSGVO) führt die Pflicht zur Zweckbindung der Datenverarbeitung als einen der Grundsätze in Art. 5 DSGVO auf. Wer personenbezogene Daten verarbeiten will, muss bei Festlegung und Ausgestaltung des Zwecks einige wichtige Kriterien beachten.

Praktische Bedeutung der Zweckbindung

Nach Art. 5 Abs. 1 lit. b) DSGVO dürfen personenbezogene Daten nur „für festgelegte eindeutige und legitime Zwecke erhoben werden“. Relevant wird dies insbesondere im Rahmen der Informationspflichten gem. Art. 13 Abs. 1 lit. c) DSGVO sowie Art. 14 Abs. 1 lit. c) DSGVO, im Rahmen derer die Zwecke, für die personenbezogene Daten verarbeitet werden, mitzuteilen sind. Im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 S. 2 lit. b) DSGVO sind die konkreten Zwecke ebenfalls zu definieren.

Die Bestimmung des Zwecks der Verarbeitung dient demzufolge gleich in zweifacher Hinsicht als Prüfmaßstab für den Verantwortlichen:

  1. gegenüber den von der Datenverarbeitung Betroffenen (im Rahmen der Informationspflichten) und
  2. gegenüber der Aufsichtsbehörde (im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten).

Anhand des Zwecks können Sie etwa feststellen, ob Sie den Grundsatz der Datenminimierung berücksichtigen: Werden wirklich nur diejenigen Daten erhoben, die notwendig sind, um den Zweck zu erreichen? Ebenfalls können Sie kontrollieren, ob das Erreichen eines festgelegten Zwecks durch eine Rechtsgrundlage gedeckt und somit rechtmäßig ist. Weiterhin dürfen gem. dem Grundsatz der Speicherbegrenzung personenbezogene Daten nur so lange aufbewahrt werden, wie es für das Erreichen des Zwecks erforderlich ist – außer es gibt eine gesetzliche Aufbewahrungsfrist, welche eine längere Speicherfrist erlaubt bzw. gebietet.

Festlegung des Zwecks

Jeder Verantwortliche muss sich vor (!) Erhebung personenbezogener Daten überlegen, wofür er welche Daten braucht und welches Ziel er mit diesen verfolgt. Denn die Datenverarbeitung darf nur für die bei der Erhebung festgelegten Zwecke erfolgen. Eine Sammlung von Daten für potenziell noch festzulegende Zwecke sind als Vorratsdatenspeicherung nicht erlaubt.

Eindeutigkeit des Zwecks

Unter Berücksichtigung des Grundsatzes der Transparenz muss der Zweck eindeutig bestimmt werden. Für einen vernünftigen Außenstehenden muss der Umfang der Datenverarbeitung klar und vor allem explizit (wie dies dem „explicit“ im englischen Original der DSGVO entspricht) aus dem genannten Zweck hervorgehen. Allgemeine Zweckbestimmungen, die einen zu großen Interpretationsspielraum zulassen, sollten vermieden werden.

Soll die Verarbeitung etwa zu „Marketingzwecken“ erfolgen, ist nicht zwingend klar, ob es sich um personalisiertes Marketing handelt oder ob zum Erreichen dieses Ziels ein Datenaustausch zwischen mehreren Konzern-Unternehmen notwendig ist. Dies wäre dann als „konzernweites, personalisiertes Marketing“ eindeutiger und transparenter beschrieben.

Legitimität des Zwecks

Die Verarbeitung personenbezogener Daten darf weiterhin nur für legitime Zwecke erfolgen. Mit „legitim“ ist zum einen die Frage der Rechtmäßigkeit gemeint; jedoch auch, dass die Datenverarbeitung insgesamt im Einklang mit der Rechtsordnung stehen muss. Mit anderen Worten: Die Verarbeitung darf nicht zu einem von der Rechtsordnung missbilligten oder verbotenen Zweck erfolgen. Im Hinblick hierauf sind auch Gesetze und Rechtsprinzipien außerhalb des Datenschutzes zu berücksichtigen.

Beispielsweise wird Diskriminierung von der Rechtsordnung grundsätzlich missbilligt. Eine Datenverarbeitung, die einen diskriminierenden Zweck verfolgt, wäre nicht legitim. Im Rahmen des Beschäftigtenverhältnisses wären sämtliche Gesetze und Grundsätze des Arbeitsrechts zu berücksichtigen. Dort, wo eine Bewertung von Mitarbeitern unverhältnismäßig oder nicht erforderlich wäre, wäre sie ebenfalls nicht legitim.

Zweckänderung

Die Verarbeitung personenbezogener Daten darf durchaus für mehrere Zwecke erfolgen, sofern diese vor der Verarbeitung bereits festgelegt und gegenüber den Betroffenen kommuniziert wurden. Von einer Zweckänderung ist die Rede, wenn nach der Erhebung bzw. Verarbeitung personenbezogener Daten nachträglich weitere Zwecke verfolgt werden sollen, die zu Beginn noch nicht festgelegt waren.

Eine Zweckänderung setzt zunächst voraus, dass die ursprüngliche Datenerhebung bzw. -verarbeitung zweckgebunden erfolgte. Voraussetzung ist ebenfalls eine Vereinbarkeit des ursprünglichen und des neuen Zwecks. Erwägungsgrund 50 DSGVO sieht hierfür vor, dass die Zwecke auf einen Zusammenhang zu prüfen sind und ob diese Änderung aus Sicht eines vernünftigen Betroffenen auch erwartet werden konnte.

Im Falle einer Zweckänderung ist der Verantwortliche verpflichtet, den Betroffenen über die Umstände der Zweckänderung nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Wie bei allen in Art. 5 DSGVO aufgestellten Grundsätzen, gehören Verstöße gegen die Zweckbindung bei der Datenverarbeitung zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen (und sollen).

Es lohnt sich also auch finanziell, dem Zweck der Verarbeitung personenbezogener Daten ausreichend Aufmerksamkeit zu widmen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Transparenz der Verarbeitung

Personenbezogene Daten dürfen nur auf transparente Art und Weise verarbeitet werden. Dieser Grundsatz ergibt sich aus Art. 5 DSGVO (EU-Datenschutz-Grundverordnung). Die Pflicht zur Transparenz bei der Verarbeitung von Daten mag zunächst abstrakt klingen, hat aber in der Datenschutzpraxis ganz konkrete Folgen.

Bedeutung des Transparenz-Grundsatzes

Der Grundsatz der Transparenz stellt eine Ausprägung der Verarbeitung nach Treu und Glauben dar. Demnach ist der Betroffene bei der Verarbeitung seiner personenbezogenen Daten auf faire Art und Weise zu behandeln.

Eine Datenverarbeitung gilt in Bezug auf Transparenz als fair, wenn der Betroffene durch Aufklärung über den Umfang und die Ausmaße der Verarbeitung mehr Entscheidungsmacht über seine Daten erhält und seine Rechte besser ausüben kann.

Praktische Konsequenzen der Transparenz der Verarbeitung

Obwohl es sich um eine Ausprägung des Grundsatzes nach Treu und Glauben handelt, wird wegen der grundlegenden Bedeutung der Transparenz der Verarbeitung dieser Grundsatz in Art. 5 DSGVO explizit erwähnt. Die Bedeutsamkeit für die praktische Umsetzung im Unternehmen sollte deswegen nicht unterschätzt werden. Die wichtigsten Pflichten bzgl. der Transparenz sind:

Aufklärung und Rechte des Betroffenen

Gegenüber dem Betroffenen manifestiert sich der Grundsatz der Transparenz insbesondere im Rahmen der Informationspflichten gem. Art. 13 oder Art. 14 DSGVO. Hierdurch soll der Betroffene über die Umstände der Verarbeitung seiner Daten und auch über seine Rechte in Kenntnis gesetzt werden.

Die Pflicht zur Transparenz geht soweit, dass die Kontrolle über die Datenverarbeitung nicht nur bei dem Verantwortlichen (dem Datenverarbeiter) liegen darf. Der Betroffene muss sich gegen eine Verarbeitung entscheiden können und deren Rechtmäßigkeit oder zumindest ihre Schlüssigkeit überprüfen können. Dies entspricht auch dem bereits in der deutschen Rechtsordnung bekannten Grundrecht jedes Menschen auf informationelle Selbstbestimmung.

Verständlichkeit der Datenschutzerklärung

Um dem Grundsatz der Transparenz zu genügen, ist es gem. Erwägungsgrund 39 DSGVO erforderlich, dass für den Betroffenen „alle Informationen (…) leicht zugänglich und verständlich und einfacher Sprache abgefasst sind“.

Dies bedeutet z. B. für die Datenschutzerklärung auf einer Webseite, dass diese ausreichend verlinkt und vor (!) der Erhebung von Daten zugänglich ist. Inhaltlich muss die Datenschutzerklärung in klarer Weise die in Art. 13 DSGVO beziehungsweise Art. 14 DSGVO aufgezählten Punkte wiedergeben.

Die Datenschutzerklärung muss derart verfasst sein, dass sich ein außenstehender Dritte ein konkretes Bild der Verarbeitung seiner personenbezogenen Daten machen kann, um beurteilen zu können, ob er dies zulassen möchte oder nicht. Dabei soll es dem Betroffenen insbesondere ermöglicht werden, Zusammenhänge zwischen verschiedenen Verarbeitungsprozessen zu erkennen, etwa wenn ein Unternehmen etwa im Multichannel-Marketing personenbezogene Daten aus vielen unterschiedlichen Quellen sammelt, um ein Profil anzureichern.

Je komplexer eine Datenverarbeitung für den Betroffenen ist und je und mehr Konsequenzen sie hat, desto höher die Aufklärungspflicht. Sollte ein Unternehmen z. B. einen Datenempfänger in einem Drittland haben, sollte der Betroffene zuvor die Möglichkeit haben, sich gegen die Nutzung eines bestimmten Dienstes zu entscheiden, wenn dieser keine Weiterleitung seiner Daten in ein Drittland wünscht (nutzen Sie für die Erstellung Ihrer Datenschutzerklärung einfach unseren kostenlosen Generator).

Klarheit über die verantwortliche Stelle

Ebenfalls muss aus den Informationen für Betroffene klar hervorgehen, wer die verantwortliche Stelle ist. Denn Betroffene können von ihren Rechten etwa auf Auskunft, Berichtigung oder Löschung nicht Gebrauch machen, wenn sie nicht wissen, an wen sie sich wenden müssen.

Bei Konzernen, deren Unternehmen gemeinsam Daten verarbeiten, kann es dabei zu Unklarheiten kommen. Werden mehrere Unternehmen genannt, ist es unter Umständen nicht klar, ob alle genannten Unternehmen gemeinsam oder gegebenenfalls jeweils nur für einzelne Verarbeitungsvorgänge verantwortlich sind. Gegenüber wem wäre ein Widerspruch zu erklären, eine Einwilligung zu widerrufen oder ein Löschanspruch geltend zu machen? Wenn mehrere Stellen genannt sind, so müsste dies gegenüber allen möglich sein. Soll keine gemeinsame Verantwortlichkeit erfolgen, muss dies gegenüber dem Betroffenen kommuniziert werden und die Datenschutzerklärung dahingehend angepasst werden, dass nachvollziehbar ist, welches Unternehmen für welche Verarbeitungsvorgänge verantwortlich ist.

Umfang der Informationspflichten

Art. 13 DSGVO sieht für den Fall einer Direkterhebung und Art. 14 DSGVO als Pendant für die indirekte Erhebung personenbezogener Daten einen Katalog an notwendigen Informationen pro Verarbeitungsvorgang vor. Die Mindestanforderungen sind jeweils in Abs. 1 und Abs. 2 wiedergegeben, wobei die Unterteilung in zwei Absätze ein wenig unglücklich ist und für Verwirrung sorgt. Abs. 2 spricht insbesondere im Art. 13 DSGVO von „notwendigen“ Informationen, sodass der Eindruck erweckt wird, dass es sich bei diesen um optional zu stellende handelt. Sinn und Zweck des Art. 13 und 14 DSGVO ist es, insbesondere die Rechte und Interessen der Betroffenen zu stärken, sodass stets von einer Notwendigkeit dieser zusätzlichen Informationen auszugehen ist.

Konsequenzen bei Verstößen gegen den Transparenz-Grundsatz

Verstoßen Datenverarbeiter gegen die Grundsätze des Art. 5 DSGVO, können die Aufsichtsbehörden die höchsten Bußgelder verhängen – und zwar bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 lit. a DSGVO). Es lohnt sich also, diesen Grundsätzen – wie z. B. dem der Transparenz – bei der Verarbeitung von personenbezogenen Daten größte Aufmerksamkeit zu schenken.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Verarbeitung nach Treu und Glauben

Für die Verarbeitung von personenbezogenen Daten stellt die europäische Datenschutz-Grundverordnung (DSGVO) einige zentrale Grundsätze auf. Dazu gehört, dass solche Daten nur nach „Treu und Glauben“ verarbeitet werden dürfen. Manch ein Verantwortlicher dürfte überrascht sein, welche Folgen diese unscheinbar wirkende Pflicht in der Datenschutzpraxis alles mit sich bringt.

Treu und Glauben als unbestimmter Rechtsbegriff

Im Vergleich zu den übrigen Grundsätzen des Art. 5 DSGVO handelt es sich bei der Verarbeitung nach Treu und Glauben um einen schwer zu greifenden, unbestimmten Rechtsbegriff.

Zur Verbesserung des Verständnisses hilft ein Blick in die originale englische Fassung der DSGVO. Dort spricht der Gesetzgeber von „fairness“ der Verarbeitung. Hierunter kann allgemein verstanden werden, dass bei der Verarbeitung personenbezogener Daten darauf zu achten ist, dass der Betroffene nicht zu Unrecht benachteiligt wird und Rücksicht auf die Rechte und Interessen der Betroffenen zu nehmen ist.

Die Bezeichnung Treu und Glauben im Sinne der DSGVO ist nicht zu verwechseln mit dem gleichnamigen Grundsatz, wie dieser im Bürgerlichen Gesetzbuch (BGB) oder im Urheberrechtsgesetz (UrhG) vorzufinden ist. Auch dort dient dieser Grundsatz als gesetzliches Korrektiv. Allerdings handelt es sich bei der DSGVO um ein europäisches Gesetz, sodass jegliche Grundsätze und Begriffe nach europäischen Maßstäben zu interpretieren sind, selbst wenn sie Begrifflichkeiten einzelner Mitgliedstaaten ähneln.

Konsequenzen des Grundsatzes von Treu und Glauben in der Praxis

Vorrang der Direkterhebung

Aus dem Grundsatz von Treu und Glauben lässt sich u. a. ableiten, dass zwischen der datenverarbeitenden Stelle und dem Betroffenen ein Machtgleichgewicht erhalten bleiben muss. Um dies zu gewährleisten, gilt der Vorrang der Direkterhebung. Dies bedeutet, dass personenbezogene Daten primär direkt beim Betroffenen statt bei einer dritten unbeteiligten Stelle erhoben werden müssen. Denn im Falle einer Direkterhebung hat der Betroffene mehr Einfluss auf die Datenverarbeitung, da der Betroffene aktiv bestimmen kann, welche personenbezogene Daten er preisgibt und somit der gesamte Verarbeitungsvorgang nachvollziehbarer wird.

Will der Verantwortliche Daten auf indirektem Wege bei einer dritten Stelle erheben, muss es dafür sachliche Gründe geben. Sollte der Verantwortliche dennoch personenbezogene Daten auf indirektem Wege erhoben haben, so unterliegt er der Informationspflicht gem. Art. 14 DSGVO, um den Betroffenen über die Verarbeitung und dessen Rechte in Kenntnis zu setzen. Hierdurch wird zwar nicht die fehlende Mitwirkung des Betroffenen ersetzt, jedoch kann der Betroffene die Verarbeitung gleichermaßen nachvollziehen, wie wenn er bei einer Direkterhebung gem. Art. 13 DSGVO über den Umfang und die Gesamtumstände der Verarbeitung informiert wird.

Überwiegendes berechtigtes Interesse

Art. 6 Abs. 1 lit. f) DSGVO bietet eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten, wenn der Verantwortliche ein überwiegendes Berechtigtes Interesse an der Datenverarbeitung hat. Um zu begründen, dass das Verarbeitungsinteresse des Verantwortlichen gegenüber den Rechten und Interessen eines Betroffenen überwiegt, bedarf es einer Interessenabwägung. Bei jener Interessenabwägung gewinnt der Grundsatz nach Treu und Glauben an Bedeutung.

Im Erwägungsgrund Nr. 47 der DSGVO wird dahingehend näher konkretisiert, dass insbesondere die „vernünftigen Erwartungen der betroffenen Personen“ zu berücksichtigen sind. Der Verantwortliche darf also keine Datenverarbeitungen vornehmen, mit denen ein vernünftiger Betroffener nicht rechnen konnte. Dies betrifft etwa die Frage der Branchenüblichkeit.

Beispielsweise kann ein Käufer unter Umständen damit rechnen, dass ein Verkäufer nach Abschluss eines Kaufes zu ähnlichen Waren wirbt. Der Betroffene kann jedoch unter gleichen Umständen nicht damit rechnen, dass der Verantwortliche seine Daten an Dritte weiterverkauft.

Hinsichtlich der Erwartungshaltung ist insbesondere das Verhältnis zwischen dem Verantwortlichen und dem Betroffenen wesentlich. Gerade bei Verhältnissen wie einem Beschäftigtenverhältnis, dem ein natürliches Hierarchieverhältnis zu eigen ist, ist umso mehr Rücksicht darauf zu nehmen, was der Arbeitnehmer vernünftigerweise erwarten darf. Je höher der Machtunterschied, desto weniger ist dem Betroffenen zuzumuten und desto restriktiver ist das überwiegende berechtigte Interesse zu verwenden.

Einwilligung

Der Grundsatz nach Treu und Glauben schlägt sich ebenfalls im Rahmen der Einwilligung nieder. Betroffen sind insbesondere die Voraussetzungen der Freiwilligkeit und des Kopplungsverbotes.

Wie bereits erläutert, soll der Grundsatz von Treu und Glauben ein Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen verhindern und die Mitwirkung des Betroffenen an der Datenverarbeitung stärken. Deshalb ist eine Einwilligung unter anderem nur wirksam, wenn sie freiwillig, also frei von Drohung und Zwang, erteilt wurde. Insbesondere dann, wenn der Verantwortliche seine Verarbeitung nur durch eine Einwilligung rechtfertigen kann, muss der Betroffene gemäß Erwägungsgrund Nr. 42 DSGVO eine „echte oder freie Wahl haben“. Anders ausgedrückt: Es muss ihm möglich sein, eine Einwilligung nicht zu erteilen ohne dafür Nachteile erleiden zu müssen.

Um auf die zuvor beschriebene vernünftige Erwartungshaltung zurückzukommen, so schlägt sich diese Denkweise auch auf das Kopplungsverbot mehrerer Einwilligungserklärungen nieder. Demnach darf der Betroffene nicht gezwungen werden, durch eine Einwilligungserklärung gleichzeitig weiteren Verarbeitungen zuzustimmen, mit denen der Betroffene unter vernünftiger Erwartungshaltung nicht rechnet.

Fazit: Grundsätze sollten nicht unterschätzt werden

Die begrifflich so schwer zu fassende und geradezu harmlos wirkende Verarbeitung nach Treu und Glauben führt in der Datenschutzpraxis zu ernst zu nehmenden Konsequenzen. Soll das Machtverhältnis zwischen verantwortlicher Stelle und Betroffenen möglichst ebenbürtig ausgestaltet werden, sind zahlreiche Abwägungen bei der Datenverarbeitung durchzuführen. Im Zweifelsfall ist der Rat eines Datenschutzexperten bzw. des Datenschutzbeauftragten im Unternehmen einzuholen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Rechtmäßigkeit der Verarbeitung von Daten

Die europäische Datenschutz-Grundverordnung (DSGVO) formuliert für die Verarbeitung personenbezogener Daten zahlreiche Pflichten. Diese werden Art. 5 DSGVO als Grundsätze verankert. Der erste besagt, dass personenbezogene Daten nur „auf rechtmäßige Weise“ verarbeitet werden dürfen. Für die praktische Umsetzung im Unternehmen hat dieser Grundsatz der Rechtmäßigkeit umfangreiche Konsequenzen.

Verbot mit Erlaubnisvorbehalt

Nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn, dass es ausnahmsweise eine Rechtsgrundlage gibt, welche die Verarbeitung erlaubt. Deshalb wird hier von einem Verbot mit Erlaubnisvorbehalt gesprochen.

Wann eine Verarbeitung personenbezogener Daten ausnahmsweise erlaubt ist, wird in Art. 6 DSGVO geregelt; für personenbezogene Daten besonderer Kategorien in Art. 9 DSGVO. Weitere Rechtsgrundlagen ergeben sich aus dem neuen Bundesdatenschutzgesetz (BDSG-neu).

Rechtsgrundlagen nach Art. 6 DSGVO

Soweit die Verarbeitung keine besonderen personenbezogenen Daten betrifft, bemisst sich die Rechtmäßigkeit nach Art. 6 DSGVO. Hiernach ist die Datenverarbeitung unter folgenden Bedingungen ausnahmsweise erlaubt:

  • Einwilligung des Betroffenen, Art. 6 Abs. 1 lit. a DSGVO;
  • Erfüllung eines Vertrages (Betroffener muss Vertragspartner sein) oder vorvertraglichen Maßnahme (Vertragsanbahnung muss vom Betroffenen ausgehen), Art. 6 Abs. 1 lit. b DSGVO;
  • Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Abs. 1 lit. c DSGVO;
  • Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 lit. d DSGVO;
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse, Art. 6 Abs. 1 lit. e DSGVO;
  • Wahrung eines überwiegenden (Interessenabwägung erforderlich) berechtigten Interesses des Verantwortlichen, Art. 6 Abs. 1 lit. f DSGVO.

Zwischen den Rechtsgrundlagen gibt es keinen Vorrang oder eine Hierarchie. Dies bedeutet, dass nicht primär eine Einwilligung gefordert werden muss bevor man sich auf eine andere Rechtsgrundlage berufen darf. Vielmehr stehen alle Rechtsgrundlagen gleichwertig nebeneinander (lesen Sie in diesem Ratgeber, welche Rechtsgrundlage für welche Verarbeitungen am besten geeignet ist).

Rechtsgrundlagen nach Art. 9 DSGVO

Werden besondere Kategorien personenbezogener Daten verarbeitet, bedarf es einer gesonderten Rechtsgrundlage aus Art. 9 DSGVO.

Besondere Kategorien personenbezogener Daten sind etwa solche über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung.

Die Verarbeitung solcher Daten ist entsprechend ihrer höheren Schutzwürdigkeit beispielsweise nur erlaubt

  • aufgrund einer ausdrücklichen Einwilligung, Art. 9 Abs. 2 lit. a DSGVO,
  • zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO,
  • aufgrund eines erheblichen öffentlichen Interesses Art. 9 Abs. 2 lit. g DSGVO oder
  • zur individuellen Versorgung im Gesundheitsbereich Art. 9 Abs. 2 lit. h DSGVO.

Rechtgrundlagen nach BDSG-neu

Aus dem neuen Bundesdatenschutzgesetz ergeben sich ebenfalls einige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die in dieser Form von der DSGVO nicht genannt werden:

  • Verarbeitung personenbezogener Daten durch öffentliche Stellen, § 3 BDSG-neu;
  • Videoüberwachung öffentlich zugänglicher Räume, § 4 BDSG-neu;
  • Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses, § 26 BDSG-neu;
  • Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 27 BDSG-neu.

Umfang einer Rechtsgrundlage

Alle Verarbeitungsvorgänge müssen umfassend von einer Rechtsgrundlage gedeckt sein. Dies betrifft nicht nur die Frage ob die Daten überhaupt verarbeitet werden dürfen, sondern auch wie. Hierbei ist insbesondere zu beachten, an wen die Daten weitergegeben und zu welchen Zwecken sie verarbeitet werden dürfen.

Weitergabe von Daten an Dritte

Die Existenz einer Rechtsgrundlage zur Erhebung von Daten berechtigt nicht zwangsläufig zur Weiterleitung der Daten an Dritte. Dies wird insbesondere bei der Verarbeitung von Daten innerhalb einer Unternehmensgruppe relevant, wo die gemeinsame Verarbeitung durch die Teilung der Ressourcen verschiedener Unternehmen praktisch, aber nicht ohne Weiteres erlaubt ist.

Nach Erwägungsgrund 48 DSGVO kann ein überwiegendes berechtigtes Interesse hinsichtlich der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken angenommen werden. Soweit die Übermittlung jedoch nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO), bedarf es einer anderen Rechtsgrundlage, um die konzerninterne Übermittlung zu legitimieren.

Andere Nutzung der Daten als zum Erhebungszweck

Erhebt ein Unternehmen im Rahmen eines Bestellvorganges in einem Onlineshop Kontakt-, Liefer- und Zahlungsdaten des Kunden, ist dies erlaubt, da dies gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung vertraglicher Pflichten erforderlich ist.

Dies rechtfertigt jedoch nicht automatisch die Nutzung dieser Daten zu Werbezwecken. Vielmehr ist individuell zu ermitteln, ob die Nutzung der Daten zu Werbezwecken etwa aufgrund eines überwiegenden berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO vorliegt oder ob eine zusätzliche Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erforderlich ist.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Rechtmäßigkeit, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonformer Einsatz von Callcenter-Systemen unter der DSGVO

Callcenter bedienen sich bei Support, Kundenservice oder Marketing in der Regel umfassender IT-Systeme, um hohe Qualität und Effizienz der telefonischen Dienstleistungen zu gewährleisten. Doch bei Auswahl und Betrieb solcher Callcenter-Systeme sollten die datenschutzrechtlichen Vorgaben des Gesetzgebers dringend beachtet werden. Die EU-Datenschutz-Grundverordnung (DSGVO) schränkt insbesondere die sogenannte Datenanreicherung und darauf basierende automatisierte Entscheidungen ein.

Datenschutz-Herausforderungen für Callcenter

Im Callcenter-Betrieb bedeutet Effizienz, dass in kurzer Zeit möglichst viele Gespräche derart bearbeitet werden, dass die Notwendigkeit von Folgegesprächen und offen gebliebene Fragen so weit wie möglich vermieden werden. Um dies zu erreichen, ist es notwendig, dass Servicemitarbeiter auf umfassende gesprächsrelevante Informationen zurückgreifen können.

Bei ausgehenden Telefonaten ist dem Callcenter-Mitarbeiter der Gesprächsinhalt von Vornherein klar. Moderne Gesprächsmanagement-Systeme sind aber auch in der Lage, bei eingehenden Anrufen anhand unterschiedlicher Kriterien automatisiert zu erkennen, um welche Gesprächskategorie es sich handelt, um dadurch relevante Informationen auswählen und bereitstellen zu können. Neben der Identifikation des Kunden über dessen Telefonnummer, werden auch Kundenverhalten und Gesprächsgegenstand analysiert. Mit dem sogenannten Text-Mining-Verfahren untersucht das Gesprächsmanagement-System automatisch die vorliegenden Daten und identifiziert Bedeutungsstrukturen. Somit kann es dem Callcenter-Mitarbeiter während des Gesprächsverlaufs die relevanten Informationen bereitstellen.

Die datenschutzrechtliche Herausforderung besteht darin, das System des Callcenters derart zu gestalten, dass die Bereitstellung umfangreicher Kundendaten ein effizientes Arbeiten ermöglicht und zugleich den Anforderungen der DSGVO genügt.

Rechtsgrundlagen für die Datenverarbeitung im Callcenter

Die Datenschutz-Grundverordnung untersagt die Verarbeitung personenbezogener Daten, es sei denn, ein Gesetz erlaubt die Verarbeitung ausdrücklich oder schreibt diese sogar vor. Die einzige andere mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist, dass der Betroffene ausdrücklich der Verarbeitung zugestimmt hat.

Für den Callcenter-Betrieb bedeutet dies, dass die Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, dass ausnahmsweise eine Rechtsgrundlage vorliegt. Welche Rechtsgrundlage einschlägig ist, hängt erst einmal davon ab, welche Funktion das Callcenter wahrnimmt (Annahme von Bestellungen, technischer Kundenservice, etc.).

So ist vor allem bei der telefonischen Kundenansprache zu Werbezwecken vorrangig davon auszugehen, dass eine ausdrückliche Einwilligung des Betroffenen erforderlich ist. Zwar erlaubt Art. 6 Abs. 1 f) DSGVO eine Datenverarbeitung zur Wahrung der Interessen des Verantwortlichen (also des Callcenter-Betreibers) oder eines Dritten, allerdings nur unter der Voraussetzung, dass die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Diese Abwägung dürfte in den meisten Fällen zugunsten des Betroffenen ausfallen, so dass in der Regel auf die Einwilligung zurückzugreifen ist.

Wichtig zu beachten ist, dass sich die Rechtsgrundlage, auf die sich die Nutzung der personenbezogenen Daten stützt, für sämtliche Daten gelten muss, die im Rahmen des Gesprächsmanagements verarbeitet werden. Darüber hinaus ist eine Datenverarbeitung unzulässig.

Die Nutzung von personenbezogenen Daten ist auch nur streng zweckgebunden möglich. Daten, die zu einem Zweck erhoben werden, dürfen nicht automatisch zu einem weiteren Zweck verarbeitet werden. Hierfür muss ein weiterer gesonderter Rechtfertigungsgrund vorliegen.

Beispielsweise dürfen Abrechnungsdaten, die aufgrund der gesetzlichen Aufbewahrungsfristen für die Finanzbehörden gespeichert werden, nicht mit anderen Daten vermischt werden, die etwa für Marketingzwecke erhoben wurden. Die Marketingabteilung darf also Abrechnungsdaten ohne gesonderte Rechtfertigungsgrundlage nicht einsehen. Es ist auch nicht ohne weiteres zulässig, einen Kundendatensatz mit beliebigen Informationen, die der Kunde beispielsweise im Verlauf eines Gesprächs äußert, anzureichern.

Das Datenschutzrecht geht sogar so weit, dass für die Nutzung einer Kombination aus mehreren Informationselementen, für die jeweils einzeln eine Rechtsgrundlage vorliegt, eine eigene Berechtigung, meist in Gestalt einer Einwilligung, erforderlich ist.

Ein Kunde mag keine Bedenken haben, dass wenige Daten wie beispielsweise Anrede, Nachname und E-Mail-Adresse für den Versand eines von ihm gewünschten Newsletters verwendet werden. An anderer Stelle mag er demselben Unternehmen etwa im Rahmen eines Gewinnspiels andere Informationen wie Telefonnummer und Angaben zu seinen privaten Interessen zur Verfügung gestellt haben. Das bedeutet jedoch nicht, dass der Kunde nichts dagegen hat, wenn diese Informationen – vielleicht sogar mit anderen angereicherten Daten wie Surfverhalten oder Kaufhistorie – zu einem detaillierten Profil verbunden werden.

Eine Besonderheit liegt zudem vor, wenn Callcenter automatisierte Mechanismen zur Aufbereitung von Daten wie Text-Mining einsetzen. Art. 22 Abs. 1 DSGVO verbietet es, den Betroffenen einer Situation auszusetzen, in der anhand seiner Daten ausschließlich automatisierte Entscheidungen getroffen werden, die für ihn nachteilig sind oder sein könnten.

Drei Ausnahmen bestehen jedoch, wenn die automatisierte Entscheidungsfindung

  1. für den Abschluss oder die Vertragserfüllung erforderlich ist,
  2. durch Unionsrecht oder Recht eines Mitgliedstaates zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten der Betroffenen enthalten,
  3. durch Einwilligung des Betroffenen erfolgt.

Fazit: Überprüfung der Verarbeitungen ist dringend geraten

Datenschutzrechtlich gilt es im Callcenter-Betrieb also zu bedenken, dass der Informationswert eines Datensatzes sich erheblich durch Veränderungen wie Hinzufügungen, Kombination verschiedener Elemente oder Löschung mancher Informationen ändert. Wenn dann auch noch automatisierte Entscheidungsfindungs-Verfahren in Gesprächsmanagement-Systemen eingesetzt werden, ist eine ausführliche datenschutzrechtliche Überprüfung der Prozesse dringend angezeigt. Hierfür bieten sich insbesondere zwei Methoden an:

Vor Einsatz eines automatisierten Verfahrens zur Auswertung personenbezogener Daten schreibt Art. 35 DSGVO vor, dass in Fällen, in denen die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese ist im Hinblick auf Callcenter insbesondere bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen erforderlich (Art. 35 Abs. 3 a) DSGVO). Zur Durchführung einer Datenschutz-Folgenabschätzung sollte der Datenschutzbeauftragte herangezogen werden.

Im Hinblick auf die erforderliche Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO können Professionelle Datenschutzaudits zum Nachweis der Einhaltung datenschutzrechtlicher Anforderungen in allen Unternehmensbereichen gegenüber Dritten dienen. Darauf aufbauend ist ebenfalls eine Zertifizierung der eingesetzten Verfahren möglich.

Dieser in Bezug auf die DSGVO aktualisierte Artikel erschien zuerst am 4. April 2013.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Wie gelingt eine rechtskonforme Einwilligungserklärung gemäß DSGVO?

Wer personenbezogene Daten erheben, verarbeiten oder nutzen möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich erlauben bzw. sogar vorschreiben oder es ist vor Beginn der Datenverarbeitung eine Einwilligung der betroffenen Person notwendig. Für eine rechtskonforme Einwilligung nach EU-Datenschutz-Grundverordnung (DSGVO) sind jedoch einige Feinheiten zu beachten.

Vorschriften der DSGVO zur Einwilligung

In der Praxis entsprechen viele Einwilligungserklärungen nicht den gesetzlichen Anforderungen und sind daher ungültig. Entsprechend ist die Datenerhebung nicht legitimiert und stellt eine Verletzung des informationellen Persönlichkeitsrechts der Betroffenen dar. Dies kann rechtliche Konsequenzen haben. Hier trifft regelmäßig denjenigen, der die Daten erhebt, verarbeitet oder nutzt die volle „Beweislast“: Er muss gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass er trotz gesetzlichen Verbots ausnahmsweise zur Datenverarbeitung befugt ist – nämlich durch die Einwilligung der betroffenen Person.

Wer nicht die Bedingungen für die Einwilligung erfüllt, hat gem. Art. 82 Abs. 5 lit. a) DSGVO mit „Geldbußen von bis zu 20 Millionen € oder im Fall eines Unternehmens von bis zu 4 % des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres“ zu rechnen.

Wie eine rechtskonforme Einwilligungserklärung grundsätzlich auszusehen hat, beschreibt Art. 4 Nr. 11 DSGVO. Demnach sind die folgenden sieben Punkte besonders zu beachten.

1. Form der Einwilligung

Die Einwilligungserklärung bedarf nicht zwingend der Schriftform. Diese kann ebenfalls mündlich, elektronisch oder etwa in Textform erfolgen. Jede Form bringt jedoch eigene Vor- und Nachteile mit sich, insbesondere was die Nachweisbarkeit betrifft.

Wichtig ist jedoch, dass die Einwilligungserklärung klar verständlich und eindeutig formuliert sein muss. Zur Erhöhung der Verständlichkeit darf man sich dabei visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

2. Informiertheit bei der Einwilligung

Der Betroffene muss klar erkennen können, worauf er sich einlässt. Der Betroffene muss also vor Erklärung der Einwilligung darüber informiert werden, auf welche konkrete personenbezogene Daten sich die Einwilligung bezieht und was der vorgesehene Zweck der Erhebung, Verarbeitung oder Nutzung ist. Die Einwilligungserklärung muss ebenfalls zum Ausdruck bringen, ob die Daten gegebenenfalls an Dritte weitergegeben werden. Dieser Hinweis muss deutlich erfolgen und darf nicht versteckt oder unter erschwerten Bedingungen, etwa durch mehrfache Verweise, zugänglich sein (siehe auch der ausführliche Beitrag zur informierten Einwilligung nach DSGVO).

Die Einwilligungserklärung darf, unter Zurverfügungstellung des entsprechenden Links, auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen.

3. Freiwilligkeit der Einwilligung

Die Einwilligung muss auf dem freien Willensentschluss des Betroffenen beruhen. Das Ausbleiben einer Drohung genügt dabei nicht. Vielmehr muss der Betroffene eine echte Wahlfreiheit haben und muss die Einwilligung ohne zu erleidende Nachteile verweigern können. Der Betroffene ist darauf hinzuweisen, dass die Einwilligung verweigert werden darf.

Die Einwilligungserklärung ist insbesondere dann unfreiwillig, wenn der Betroffene in seiner Entscheidungsfreiheit eingeschränkt wird. Solche Fälle sind vor allem bei sozialen Abhängigkeitsverhältnissen anzunehmen. Ein soziales Abhängigkeitsverhältnis besteht etwa bei Arbeitsverhältnissen. Eine Einwilligungserklärung ist dabei nicht pauschal unfreiwillig, jedoch ist die Besonderheit zu berücksichtigen, dass Angestellte glauben könnten, dass eine unterlassene Einwilligungserklärung Erschwernisse für den beruflichen Werdegang mit sich bringen kann. In solchen Situationen ist es umso wichtiger, dem Betroffenen zu verdeutlichen und zu gewährleisten, dass eine unterbliebene Einwilligungserklärung keine direkten oder indirekten Nachteile mit sich bringt.

Unfreiwillig ist eine Einwilligungserklärung auch, wenn ein Betroffener sich um eine maklervermittelte Wohnung bewirbt und fürchten muss, nicht beim Auswahlverfahren berücksichtigt zu werden, wenn er seine Daten nicht preisgibt. Solche Einwilligungen sind unwirksam. Der Datenverwender handelt dann trotz Einwilligung rechtswidrig.

Überrumplungssituationen deuten ebenfalls auf Unfreiwilligkeit hin, da der Betroffene daran gehindert wird, den Umfang und die Bedeutung der Einwilligung zu erfassen. Als Überrumplung sind nicht nur solche Situationen zu verstehen, die einen zeitlichen Druck mit sich bringen, sondern auch dann, wenn eine nahstehende Person die Einwilligung fordert und der Betroffene sich zur Einwilligung verpflichtet fühlt, um das Vertrauensverhältnis nicht zu zerrütten.

Nach Art. 7 Abs. 4 DSGVO wird wiederlegbar vermutet, dass die Einwilligung in die Verarbeitung von Daten, die zur Erfüllung eines Vertrags nicht erforderlich sind, nicht freiwillig ist. Erforderlich bedeutet, dass die Vertragserfüllung ohne die Daten nicht realisierbar ist. Diese Konstellation ist heutzutage insbesondere bei Online-Dienstleistungen sehr präsent. Dabei beruht das Geschäftsmodell auf der Grundlage, dass die Dienstleistung gegen Abgabe von Daten erfolgt, welche nachträglich eine gezielte Werbung oder Weitergabe der Daten ermöglichen.

4. Bestimmtheit und Zweck in der Einwilligung

Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten zu welchem konkreten Zweck erhebt, verarbeitet oder nutzt. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken, als in der Einwilligung angegeben, ist unzulässig. Bei der Detailgenauigkeit sollte sich an folgendem Maßstab orientiert werden: Je tiefer der Eingriff in das Persönlichkeitsreicht, desto genauer muss die Einwilligungserklärung sein.

Die genaue Beschreibung dient als Indiz, wann die Daten gemäß Art. 17 Abs. 1 2. HS. DSGVO zu löschen sind. Welcher Grund bestünde auch, die Daten zu behalten, wenn die Daten zu dem angegebenen Zweck nicht länger benötigt werden?

Wenn in der Einwilligungserklärung beispielsweise steht, dass Daten zur „Online-Bestellung“ erhoben werden, dann ist das der einzig zulässige Zweck. Dies bedeutet auch, dass nach Abschluss der Bestellung und Bezahlung entsprechend Art. 17 Abs. 1 2. HS. Lit a) DSGVO die Daten zu löschen sind, die für den Verarbeitungszweck notwendig waren zu löschen sind. Darüber hinaus dürfen zu Buchhaltungszwecken nur solche Daten behalten werden, die zur Erfüllung der Buchhaltungspflichten erforderlich sind. Die notwendigen Daten für beide Verfahren sind dabei nicht deckungsgleich. Dieses Vorgehen ist leider bei den meisten Online-Shops nicht gewährleistet. Das böse Erwachen kommt dann erst, wenn die Aufsichtsbehörde das Vorgehen überprüft.

5. Unmissverständlichkeit der Einwilligungserklärung

Dem Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich hierbei um eine solche handelt. Dies kann etwa dadurch erfolgen, dass die Erklärung die Überschrift „Einwilligung“ trägt oder der Inhalt wiedergibt, dass man etwas „zustimmt“ oder in etwas „einwilligt“.

6. Widerrufsmöglichkeit der Erklärung

Der Betroffene muss seine erklärte Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden. Entscheidend ist jedoch, dass die Erklärung des Widerrufs nicht schwieriger sein darf, als die Erklärung der Einwilligung. Die Widerrufserklärung darf also keine zusätzlichen Hürden oder erschwerte Bedingungen mit sich bringen. Insbesondere sind Anschrift und Kontaktinformationen mitzuteilen, an welche der Widerruf zu adressieren ist.

7. Eigene Daten

Wichtig ist zu guter Letzt, dass Betroffene stets nur in die Verwendung der eigenen personenbezogenen Daten einwilligen können. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen, denn es darf niemand über das informationelle Persönlichkeitsrecht eines anderen Menschen verfügen.

Dieser in Bezug auf die DSGVO aktualisierte Artikel erschien zuerst am 23. Juli 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.