DSGVO für Einzelunternehmer und Freiberufler – Die Einwilligung
Die Einwilligung ist eine der Möglichkeiten, die zur Nutzung und Verarbeitung von personenbezogenen Daten berechtigen. Was müssen Einzelunternehmer, Selbstständige und Freiberufler dabei beachten?
- Weitere ausführliche Informationen über die DSGVO für Selbstständige und Freiberufler finden sie hier.
- Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden sie hier.
- Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.
Wann darf ich personenbezogene Daten nutzen?
Erst einmal: gar nicht! Das Datenschutzrecht der DSGVO funktioniert nach dem Prinzip eines Erlaubnisvorbehalts – das heißt, dass erst einmal prinzipiell jede Nutzung von personenbezogenen Daten verboten ist. Das hört sich jetzt so an, als wäre die DSGVO besonders hart. Aber erstens war das auch schon nach dem alten Bundesdatenschutzgesetz so, und zweitens gibt es nach der DSGVO genügend Ausnahmen von dieser Regel. Diese Ausnahmen stehen in Art. 6 Absatz 1 DSGVO.
Es reicht aus, dass mindestens eine dieser Voraussetzungen vorliegt.
Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Noch einmal kurz zusammengefasst
Die Verarbeitung, Nutzung etc. von personenbezogenen Daten ist möglich:
- bei einer Einwilligung
- zur Erfüllung eines Vertrages (z.B. Rechnungstellung)
- bei einer rechtliche Verpflichtung
- zum Schutz lebenswichtiger interessen
- bei einem überwiegenden öffentliche Interessen
- bei berechtigte Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen.
Warum ist das so?
Der Einzelne hat das Recht auf Privatsphäre und informationelle Selbstbestimmung – er soll also selbst bestimmen können, wer welche Informationen über ihn erhält. Wenn es keine gesetzliche Ausnahme gibt, muss der Betroffene in die Verarbeitung seiner Daten einwilligen, sonst dürfen diese Daten nicht genutzt werden. Zuerst ist also zu prüfen: Gibt es eine solche gesetzliche Ausnahme? Wenn nein, brauche ich unbedingt eine Einwilligung des Betroffenen.
Auf die besonderen Bedingungen beim Bewerbungsverfahren, bei dem ja auch personenbezogene Daten verarbeitet werden (Name, Adresse, Lebenslauf etc.), gehe ich in diesem Artikel ein.
Was ist bei der Einwilligung zu beachten?
Die DSGVO regelt die Voraussetzungen in Art. 4 Nr. 11 DSGVO:
„Einwilligung“ der betroffenen Person [ist] jede
- freiwillig für den bestimmten Fall,
- in informierter Weise und
- unmissverständlich abgegebene Willensbekundung
- in Form einer Erklärung
- oder einer sonstigen eindeutigen bestätigenden Handlung,
- mit der die betroffene Person zu verstehen gibt,
- dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Hierzu auch die Erwägungsgründe zur Einwilligung in der DSGVO:
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.
Erwägungsgrund 32 DSGVO zur Einwilligung
Nach altem und neuen Datenschutzrecht müssen die Betroffenen darüber informiert werden, dass Daten von ihnen erhoben und gespeichert werden. Sie müssen auch darüber informiert werden, was mit den Daten geschieht und zu welchem Zweck sie genutzt werden. Der Zweck muss klar und deutlich formuliert werden. Und nur zu diesem Zweck gilt die Einwilligung.
Aus der Einwilligungserklärung muss auch hervorgehen, ob die Daten an Dritte weitergeleitet werden.
Da der Verantwortliche im Zweifel die Einwilligung nachweisen muss, erfolgt die Einwilligung in der Regel schriftlich. Der Widerruf der Einwilligung ist nach Artikel 7 Absatz 3 DSGVO jederzeit möglich. Sobald der Kunde also nicht mehr möchte, dass seine Daten genutzt werden, muss diesem Willen nachgekommen werden.
Wegen der Informationspflichten sollte dem Betroffenen zusammen mit der Einwilligungserklärung immer auch die Datenschutzerklärung vorgelegt werden, Art. 12ff DSGVO.
Wer sicher gehen will, dass er bei seiner Einwilligungserklärung und bei den Informationsrechten auch alles richtig gemacht hat, kann mich gerne in meiner Funktion als externer Datenschutzbeauftragter ansprechen. Ich bin übrigens insbesondere auf das Themenfeld Gesundheitsdatenschutz spezialisiert.
Muss der Betroffene in die Weitergabe seiner Daten an Dritte einwilligen?
Im Zeitalter der Digitalisierung ist es fast schon selbstverständlich, dass Daten bei der Ausführung eines Auftrages durch mehrere Hände gehen. Das fängt schon dann an, wenn Kundendaten in der Cloud, also auf einem Server eines Dienstleisters, gespeichert und dort verarbeitet werden. Werden externe Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beauftragt, liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Der Betroffene muss dann nicht mehr in die Verarbeitung einwilligen. Vielmehr wird die verarbeitende Stelle so behandelt, als wäre sie ein Teil desjenigen, der die Daten nutzt.
Unabhängig davon gelten für die Übermittlung der Daten an Dritte die Voraussetzungen aus Art. 6 Absatz 1 DSGVO. Die Übermittlung ist also erlaubt
- bei einer Einwilligung,
- zur Erfüllung eines Vertrages (nähere Erläuterungen bei t3n.de)
- bei einer rechtliche Verpflichtung,
- zum Schutz lebenswichtiger interessen,
- bei einem überwiegenden öffentliche Interessen,
- bei berechtigten Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen
Was sollte ich tun, wenn ich mir nicht sicher bin, ob ich eine Einwilligung brauche?
Bei der Auslegung der DSGVO ist noch vieles Ungewiss. Gerade wenn es darum geht, auszuloten, welcher Umgang mit Daten noch verhältnismäßig ist und welcher nicht, ist die zukünftige Rechtsprechung abzuwarten. In der Regel gilt: Wenn man schon nach dem alten Bundesdatenschutzgesetz eine Einwilligung einholen musste, ist das auch nach dem neuen Recht so. Im Zweifelsfall tut es ja auch nicht weh, die Einwilligung einzuholen. Es gilt: Lieber einmal zuviel gefragt, als zu wenig.
Beachten Sie auch unser Video:
Über den Autor Henning Zander
Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger
Täuscht mich die Hoffnung oder das alles wenigstens ein Gutes und die Flut von unsinnigen Briefen und Mails hört auf – zuminsdest aus der EU? Die Absender wären doch die wirklich gutewn Kandidaten für die Prüfbehörden!