Bestätigung der Einwilligung zur Datenbearbeitung – zwingend notwendig?
Vielleicht haben Sie in den letzten Wochen auch Emails versendet oder erhalten, in welchen Sie aufgefordert haben oder wurden, eine ausdrückliche Einwilligung zur Bearbeitung von Personendaten zu erteilen. Die Anfragen erfolgen regelmässig mit Hinweis auf die Geltung der europäischen Datenschutz-Grundverordnung (DSGVO) ab Mai 2018, und sind mit der Aufforderung verbunden, verschiedene persönliche Informationen mitzuteilen oder zu verifizieren.
Mithin stellt sich bei unseren Klienten die Frage, ob eine solche ausdrückliche Einwilligung nach DSGVO überhaupt erforderlich ist, damit ein Unternehmen Personendaten verarbeiten darf.
Um es kurz zu fassen: Die Einwilligung ist nur eine von mehreren Möglichkeiten, die eine Datenverarbeitung rechtfertigen können.
So sieht denn Art. 6 DSGVO auch vor, dass eine Datenverarbeitung dann rechtmässig ist, wenn eine der in Art. 6 DSGVO genannten Bedingungen erfüllt sind. Neben der Einwilligung der betroffenen Person zur Verarbeitung sind dort als weitere mögliche Rechtfertigungsgründe u.a. genannt:
- die Verarbeitung zur Erfüllung eines Vertrages, dessen Partei die betroffene Person ist;
- die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche (Datenverarbeiter) unterliegt; oder
- die Verarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen (Datenverarbeiters).
Zu beachten ist auch, dass an die Gültigkeit einer Einwilligungserklärung nach DSGVO hohe Anforderungen gestellt werden, und es deshalb wesentlich darauf ankommt, eine solche Erklärung rechtswirksam zu formulieren.
So sieht insbes. Art. 4 Ziffer 11 DSGVO vor, dass eine Einwilligung freiwillig für einen konkreten Fall erteilt werden muss, und der Wille der Einwilligung darin unmissverständlich zum Ausdruck kommen muss. Aus dem Freiwilligkeitserfordernis ergibt sich v.a. auch das Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Die Ausführungen in Erwägungsgrund 43 Satz 2 DSGVO zur genannten DSGVO Bestimmung sehen eine strenge Auslegung der Bestimmung vor, wonach die Einwilligung nicht als freiwillig erteilt gilt, wenn die Erfüllung eines Vertrags von der Einwilligung abhängig ist, obwohl die Einwilligung für die Erfüllung des Vertrags nicht erforderlich ist. Mit anderen Worten wäre somit eine Einwilligung für die Zusendung von Werbung unwirksam, wenn Kunden diese im Rahmen einer Bestellung eines Online-Händlers mitabgeben.
Einwilligungen in schriftlichen Erklärungen, welche noch andere Sachverhalte beinhalten, müssen sodann in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, und die Einwilligungserklärung muss sich von den anderen Sachverhalten klar unterscheiden (Art. 7 Abs. 2 DSGVO). Der Verantwortliche trägt auch die Beweislast dafür, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO). Und gemäss Art. 7 Abs. 3 DSGVO ist weiter zu bedenken, dass eine einmal erteilte Einwilligung jederzeit von der betroffenen Person widerrufen werden kann, insofern die Einwilligung also auch nicht in Stein gemeisselt ist.
Gerade diese hohen Anforderungen an eine Einwilligung und die heute (noch) unsichere Auslegung der Anforderungen führen dazu, dass andere Rechtfertigungsgründe für die Datenverarbeitung sich vermehrt in den Vordergrund drängen. Insbesondere die Berufung auf die Wahrung von berechtigten Interessen im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO stellt nicht allzu hohe Anforderungen. So deutet bspw. der Erwägungsgrund 47 letzter Satz an, dass die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.
Im Ergebnis ist festzustellen, dass die Datenverarbeitung aufgrund von Einwilligungserklärungen wegen der verschiedenen Hürden für eine gültige Einwilligung wohl nicht mehr als alleiniges Standbein der Datenverarbeitung verwendet werden sollte, und vermehrt auch die Berufung auf „berechtigten Interessen“ als Grundlage der Datenverarbeitungen angerufen werden kann und soll.
SNPlegal unterstützen und begleiten Sie gerne bei der rechtskonformen Ausgestaltung Ihrer Datenschutzrichtlinien für Ihre Website sowie beim Abfassen der unternehmensinternen Dokumentationen. Kontaktieren Sie uns für mehr Informationen und fordern Sie unsere Beratung an:
Ihre Spezialisten: