Nach Art. 6 Abs. 1 DSGVO ist die Erhebung und Verarbeitung personenbezogener Daten nur rechtmäßig, wenn einer der dort genannten Voraussetzungen (Art. 6 Abs. 1a bis f) gegeben ist.
Bei der DSGVO handelt es sich um ein sog. Verbot mit Erlaubnisvorbehalt: Dies bedeutet – alles ist verboten, sofern es nicht ausdrücklich erlaubt ist. Eine Rechtmäßigkeit für die Erhebung und Verarbeitung personenbezogener Daten liegt also nur dann vor, wenn entweder die Einwilligung des Betroffenen gegeben ist oder aber das Gesetz dies ausdrücklich zulässt. Ist beides nicht gegeben, ist jegliche Form der Erhebung und Verarbeitung personenbezogener Daten unrechtmäßig. Hiervon gibt es keine Ausnahme.
a) Einwilligung
Die "Champions-League-Lösung" ergibt sich aus Art. 6 Abs. 1a DSGVO, wonach die betroffene Person ihre Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten erteilen kann. Von überragender Bedeutung ist dabei aber, dass für den Einwilligenden der Zweck deutlich erkennbar sein muss. Erfolgt außerhalb des vereinbarten Zwecks die Erhebung und Verarbeitung personenbezogener Daten, so ist auch diese rechtswidrig.
Praxistipp:
Auch wenn der Gesetzgeber für die Einwilligung keine Schriftform verlangt, so ist dies aber schon aus Beweiszwecken dringend zu empfehlen. Direkte inhaltliche Anforderungen an die Einwilligung macht der Gesetzgeber im Übrigen aber direkt nicht.
Wichtig ist nur, dass die Einwilligung aus Sicht des objektivierten Empfängerhorizonts verständlich, leicht zugänglich sein und vor allem den Zweck der Einwilligung erkennen lassen muss. Der Einwilligende muss auch wissen, dass er seine einmal erteilte Einwilligung zum späteren Zeitpunkt auch widerrufen kann.
Für die Einwilligungen, die vor dem 25.5.2018 erteilt wurden, kommt es für die Wirksamkeit darauf an, ob diese schon damals DSGVO konform gewesen sind. Denn Einwilligungen erledigen sich im Übrigen nicht durch bloßen Zeitablauf (BGH NJW-RR 2018, 486). In der Praxis geht man davon aus, dass zumindest für solche Einwilligungen, die nicht älter als zwei Jahre sind, diese Vorgehensweise opportun ist.
Praxistipp:
Beruft sich die Behörde also auf eine solche ggf. auch schon ältere Einwilligung, so ist zu prüfen, ob diese zum damaligen Zeitpunkt bereits den Anforderungen der DSGVO entspricht. Dabei kann auch den Umständen, wie die Einwilligungserklärung zustande gekommen ist, eine entscheidende Bedeutung zukommen. Der Mandant ist hier also entsprechend zu befragen. Dies nicht nur im Hinblick auf mögliche weitere Tatbestände, wie z.B. diejenige nach dem AGG.
b) Vertragserfüllung
Eine gesetzliche Einwilligung wird auch dann angenommen, wenn die Erhebung und Verarbeitung personenbezogener Daten im Rahmen einer Vertragserfüllung erfolgt. Umfasst sind dabei sämtliche Vertragsstadien, also beginnend mit der Vertragsanbahnung über die Durchführung des Vertrags bis hin zur Abwicklung. Erhoben dürfen dabei allerdings nur diejenigen Daten, die auch zur Umsetzung des Vertrags tatsächlich erforderlich sind. Dies ergibt sich bereits aus den Grundsätzen der Datenminimierung und der Datensparsamkeit.
Nicht zur Umsetzung des Vertrags gehören sog. Zufriedenheitsabfragen; hier bedarf es einer separaten Einwilligung (BGH NJW 2018, 3506).
c) Rechtliche Verpflichtung
Artikel 6 Abs. 1c DSGVO rechtfertigt die Datenerhebung, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemeint sind hierbei u.a. steuerliche Auskunftspflichten, solche im Rahmen strafrechtlicher Ermittlungen oder auch die Offenbarung von Sozialdaten.
d) Öffentliches Interesse
Artikel 6 Abs. 1e DSGVO erlaubt die Verarbeitung im Rahmen der Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen. Dabei knüpft die DSGVO nicht an die Stelle, sondern gemäß dem funktionalen Ansatz an die erfüllende Aufgabe an. Es geht also insbesondere um den Bereich der Daseinsvorsorge.
Werden Leistungen durch kommunale Unternehmen auf freiwilliger Basis erbracht, dann ist zu prüfen, ob es hier letztlich nicht doch um übergeordnete, gesellschaftliche Ziele geht, so dass Art. 6 Abs. 1e DSGVO Anwendung findet.
e) Berechtigtes Interesse
Der Auffangtatbestand des Art. 6 Abs. 1f DSGVO sieht eine Verarbeitung auch dann als rechtmäßig an, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Hier spielt der Erwägungsgrund 47 der DSGVO eine überragende Rolle, wonach ein solches berechtigtes Interesse insbesondere dann vorliegt, wenn eine maßgebliche und angemessene Beziehung zwischen den betroffenen Personen und dem Verantwortlichen besteht und vernünftige Erwartungen der betroffenen Personen gegeben sind.
Das OLG München (GRUR-RR 2019, 137) hat klargestellt, dass nicht nur rechtliche, sondern auch wirtschaftliche oder ideelle Interessen zu berücksichtigen sind. Insgesamt sei der Begriff des "berechtigten Interesses" weit auszulegen.
Praxistipp:
Trotz der Möglichkeiten des Art. 6 Abs. 1f DSGVO sollte bei der Anwendung des "berechtigten Interesses" Vorsicht geboten sein. Denn im Falle einer gerichtlichen Verneinung wäre die Erhebung und Ve...