Wann ist eine Verarbeitung personenbezogener Daten nach der DSGVO zulässig?
Die DSGVO sieht für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt vor. Jede Datenverarbeitung muss daher für ihre Rechtmäßigkeit auf einer konkreten Rechtsgrundlage beruhen. Die wichtigsten Rechtsgrundlagen sind dabei in Art. 6 Abs. 1 DSGVO normiert. Danach kann die Datenverarbeitung entweder durch eine Einwilligung des Betroffenen legitimiert oder auf einen gesetzlichen Ermächtigungsgrund gestützt werden.
a. Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
Die wohl für die Praxis bedeutsamste Möglichkeit, eine Datenverarbeitung zu legitimieren, besteht in dem Einholen einer Einwilligung des Betroffenen.
Definiert ist die Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DSGVO). Maßgeblich ist also, dass die Einwilligung von dem Betroffenen freiwillig, informiert, für eine konkrete Verarbeitung und einen konkreten Zweck sowie unmissverständlich abgegeben wird.
aa. Eindeutigkeit
Das Kriterium der Unmissverständlichkeit erfordert dabei nicht zwingend eine ausdrückliche Erklärung. Vielmehr kann auch bereits eine konkludente Einwilligung ausreichen, wenn diese den Willen des Betroffenen hinreichend erkennen lässt. Ein Schriftformerfordernis ist der DSGVO zwar nicht zu entnehmen, wird aber in der Praxis regelmäßig empfehlenswert sein, um Dokumentations-, Nachweis- und Rechenschaftspflichten nachkommen zu können. Aus dem Erfordernis einer „eindeutig bestätigenden Handlung“ wird vielfach hergeleitet, dass nur eine Einwilligung im Wege des Opt-in zulässig ist. Vorangekreuzte Kästchen, die der Betroffene aktiv herausnehmen muss, um der Verarbeitung zu widersprechen, sind demnach unzulässig.
bb. Informiertheit
Die Informiertheit setzt voraus, dass die betroffene Person zumindest weiß, wer der Verantwortliche ist und für welchen Zweck die betreffenden Daten verarbeitet werden sollen. Darüber hinaus ist die betroffene Person insbesondere auch auf ihr Recht hinzuweisen, die Einwilligung jederzeit widerrufen zu können (Art. 7 Abs. 3 S. 3 DSGVO).
cc. Freiwilligkeit
Die Freiwilligkeit ist eine zentrale Voraussetzung für die Annahme einer wirksamen Einwilligung. Dabei kann die Einwilligung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (Erwägungsgrund 42 DSGVO). Problematisch sind insoweit vor allem auch Fälle des sogenannten Koppelungsverbots aus Art. 7 Abs. 4 DSGVO: Diese Bestimmung besagt, dass der Abschluss eines Vertrages nicht von der Verarbeitung solcher Daten abhängig gemacht werden darf, die für die Vertragsdurchführung gar nicht benötigt werden. Zudem kann auch in Konstellationen des Vorliegens eines starken Machtungleichgewichts zwischen Verantwortlichem und Betroffenen die Freiwilligkeit im Einzelfall ausgeschlossen sein.
dd. Widerruf (Art. 7 Abs. 3 DSGVO)
Nach Art. 7 Abs. 3 DSGVO kann die Einwilligung jederzeit und ohne Begründung widerrufen werden. Jede Datenverarbeitung, die sich auf die entsprechende Einwilligung stützt, verliert damit ihre rechtliche Grundlage und ist einzustellen.
b. Vertragsverhältnis (Art. 6 Abs. 1 lit. b) DSGVO)
Nach Art. 6 Abs. 1 lit. b) DSGVO ist eine Datenverarbeitung rechtmäßig, soweit sie für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen (etwa Kostenvoranschläge, Angebote) erforderlich ist. Die Erforderlichkeit bemisst sich dabei im Einzelfall in Abhängigkeit (vor allem) davon, um welchen Vertragstypus es sich handelt und was der Vertrag genau beinhaltet. Jedenfalls umfasst sind solche Verarbeitungen, ohne die der Vertrag nicht sinnvoll erfüllt werden könnte – zu denken ist insoweit etwa an die Speicherung der Maße einer Person als Voraussetzung für einen Vertrag, der die Herstellung eines individuell angefertigten Kleidungsstücks zum Gegenstand hat.
c. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO)
Der Rechtfertigungsgrund aus Art. 6 Abs. 1 lit. f) DSGVO findet nur im Verhältnis zwischen privaten Akteuren Anwendung, nicht dagegen, wenn eine Behörde oder öffentliche Stelle beteiligt ist. Eine Datenverarbeitung ist danach zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Vorzunehmen ist an dieser Stelle also eine Interessenabwägung zwischen den Interessen des Verantwortlichen einerseits und den Grundrechten und Grundfreiheiten des Betroffenen andererseits.
Berechtigte Interessen des Verantwortlichen können dabei wirtschaftlicher, rechtlicher oder auch ideeller Art sein. Insbesondere kann auch die Direktwerbung im Einzelfall ein berechtigtes Interesse darstellen (ErwG 47 S. 7 DSGVO). Die Datenverarbeitung muss für dieses Interesse erforderlich sein, was bedeutet, dass es keine milderen Mittel geben darf, um das betreffende Ziel zu erreichen. Mit den entgegenstehenden Grundrechten der Betroffenen werden vor allem die Grundfreiheiten in den europäischen Verträgen sowie die Rechte aus der Grundrechtecharta in Bezug genommen. Bei der Gewichtung dieser Interessen im Einzelfall sind etwa die Schwere des Eingriffs, die Sensibilität sowie die Menge der verarbeiteten Daten zu berücksichtigen.
d. Sonstige gesetzliche Verarbeitungsermächtigungen (Art. 6 Abs. 1 lit. c) – e) DSGVO)
Sonstige gesetzliche Ermächtigungen finden sich in der gesamten DSGVO sowie teils im nationalen Recht. Insbesondere ist eine Datenverarbeitung zulässig, soweit sie erforderlich ist:
- zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c)),
- um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d)),
- zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e)).
e. Verhältnis zwischen den Ermächtigungstatbeständen
Die verschiedenen Rechtfertigungstatbestände stehen nicht in einem Rangverhältnis, sondern finden vielmehr grundsätzlich gleichrangig nebeneinander Anwendung. Bei Vorliegen von mindestens einem der Rechtfertigungsgründe ist die Datenverarbeitung erlaubt. Sofern mehrere Rechtfertigungsgründe erfüllt sind, kann die Verarbeitung auch auf mehrere Rechtsfertigungsgründe gestützt werden. Wenn einer der Tatbestände nachträglich wegfällt, kann die Datenverarbeitung somit grundsätzlich auf der Grundlage des verbliebenen Ermächtigungstatbestands fortgeführt werden. Diskutiert wird, ob das auch im Fall einer Einwilligung gilt oder ob eine Datenverarbeitung, die vom Betroffenen abgelehnt wurde, regelmäßig nicht auf andere Rechtfertigungsgrundlagen gestützt werden darf. Uneinigkeit herrscht zudem darüber, ob den Verantwortlichen bei einer Einwilligung zusätzlich zu Art. 13, 14 DSGVO weitere Informationspflichten treffen. Hier wird teilweise gefordert, dass Betroffene darüber in Kenntnis gesetzt werden müssen, dass die Datenverarbeitung auch im Falle einer verweigerten Einwilligung möglicherweise auf anderer Grundlage durchgeführt werden wird.