DSGVO | Vergessen Sie die Einwilligung
Die Einwilligung wird im Katalog der Rechtsgrundlagen in der DSGVO an erster Stelle genannt. Vielleicht ist das der Grund, warum die Einwilligung in der Praxis nach wie vor so populär ist – obwohl die Einwilligung vielfach für eine Datenverarbeitung als Rechtsgrundlage ziemlich ungeeignet ist.
Die Einwilligung sollte immer (nur!) dann zum Einsatz kommen, wenn Daten verarbeitet werden, für die keine andere Rechtsgrundlage passt oder wir in die echten Kompliziertheiten der besonders sensiblen Daten einsteigen (Details zu Krankheiten, Sexpraktiken etc.). Das ist hier aber nicht der Fokus, wir bleiben bei den normalen Daten – und der Behauptung, die DSGVO sei gar nicht kompliziert (Erklärung: siehe hier).
Ein Beispiel für die Notwendigkeit einer Einwilligung: Für eine geschäftliche Hotelbuchung soll der Kunde auch Angaben zu seinen Freizeitinteressen machen. Diese Informationen sind interessant für die Marketingabteilung der Hotelgruppe aber nicht erforderlich für die eigentliche Hotelbuchung. Die Erfassung dieser Daten kann also nicht einfach aus der Notwendigkeit der Datenerfassung für die Buchung hergeleitet werden. Für die Buchung gilt die unkomplizierte Rechtsgrundlage Vertrag – aber eben nur für die tatsächlich erforderlichen Daten – mehr nicht.
Natürlich kann das Hotel trotzdem nach diesen Informationen fragen, denn die DSGVO soll Datenverarbeitung ja nicht verhindern, sondern vor allem beherrschbar und transparent machen. Hier kommt die Einwilligung ins Spiel. Wird dem Kunden transparent gemacht, dass diese Zusatzfragen freiwillig für Marketingzwecke erhoben werden, geht also auch das. Mit Hilfe der Einwilligung kann im Grunde jede Datenverarbeitung legitimiert werden.
Das klingt praktisch, ist es aber nicht (immer). Wieso nutze ich die Einwilligung nicht generell, wenn damit quasi alles legitimiert werden kann? Die Antwort ist einfach: Die Einwilligung kann zwar fast alles möglich machen, es verbergen sich jedoch einige mächtige Risiken hinter der Einwilligung.
Die Einwilligung muss stets freiwillig sein. Das Hotel darf also die angebotene Buchung nicht von einer Einwilligung abhängig machen. Ohne personenbezogene Daten kann aber die Buchung nicht sinnvoll vorgenommen werden; allein hier merkt man bereits, dass die Einwilligung nicht wirklich für eine Hotelbuchung passen kann. Es muss aber ja auch keine Einwilligung sein, denn für die eigentliche Buchung haben wir ja den Vertrag als ‘Rechtsgrundlage’.
Mit der Freiwilligkeit bei der Einwilligung geht auch das Recht zum jederzeitigen Widerruf einher. So ein Widerruf muss nicht einmal begründet werden; er kann also einfach und formlos ausgesprochen werden und gilt. Die Daten dürfen fortan nicht mehr verarbeitet werden. Das betrifft auch die Speicherung als Verarbeitungsform.
Im Beispiel mit der Hotelbuchung (also der fiktive Fall, das die gesamte Buchung auf eine Einwilligung abgestellt wurde) bedeutet ein rechtzeitig zum Check Out ausgesprochener Widerruf des Gastes für das Hotel die Unmöglichkeit, eine Rechnung zu erstellen. Klingt absurd, ist aber Fakt. Absurd ist, Datenverarbeitungen auf eine Einwilligung abzustellen, obwohl die DSGVO andere (unkompliziertere) Rechtsgrundlagen anbietet: insb. Vertragsanbahnung bzw. -erfüllung, rechtlicher Zwang etc.. Mehr dazu hier.
Übrigens: In so einer Situation einfach die Rechtsgrundlage nachträglich umzudefinieren, dürfte in der Praxis schwierig werden, ist also ein Risiko. Das pauschale Verwenden der Einwilligung ist definitiv keine Lösung, sondern am Ende oft ein Problem.
Wofür taugt die Einwilligung dann?
Die Einwilligung passt im Beispiel auf die zusätzlichen Fragen nach den Freizeitgewohnheiten. Wir gehen davon aus, dass das Hotel diese privaten Informationen höflich und deshalb auch freiwillig abfragt. Eingriffe in die Privatsphäre unter Zwang sind unzulässig (und unhöflich). Hier zieht die DSGVO deshalb eine klare rote Linie. Freiwillig geht quasi alles, unter Zwang nur das, was wirklich notwendig ist (Erforderlichkeit). Für die erforderlichen Daten zur Buchung gilt der Vertrag als Rechtsgrundlage. Für die freiwilligen, nicht erforderlichen Informationen funktioniert der Vertrag nicht; hier (und besser nur hier) kommt die Einwilligung ins Spiel.
Für die Verarbeitung dieser zusätzlichen Daten lässt man den Kunden einwilligen (im Beispiel der geschäftlichen Hotelbuchung die Infos zur Freizeitgestaltung). Bei diesen zusätzlichen (und nur bei diesen) Daten ist es im Übrigen auch kein Geschäftsrisiko, wenn die Einwilligung widerrufen wird und die Verarbeitung damit für die Zukunft unzulässig wird. Im Beispiel könnte trotz des Widerrufs eine Rechnung erstellt werden, denn der Widerruf erfasst ja nur die Zusatzinformationen zum Freizeitverhalten.
Wichtig: Die Einwilligung darf nicht fest an etwas anderes gekoppelt sein (im Beispiel wäre das die Buchung nur mit Marketingeinwilligung). Die Kopplung nimmt der Einwilligung ihre Freiwilligkeit selbst dann, wenn der Betroffene im Moment nach der Einwilligung theoretisch widerrufen könnte. Einwilligungen mit Formfehlern sind keine wirksamen Einwilligungen. Die hierüber verarbeiteten Daten hätten dann keine Rechtsgrundlage. Hier droht Ärger (Bußgeld und oder Schadenersatz).
Klingt kompliziert (also das zu sorglose und umfassende Nutzen der Einwilligung), ist es tatsächlich auch. Das gilt vor allem für Daten, die ohne Not (“Erforderlichkeit”) in die Privatsphäre der Betroffenen eingreifen. Auch das ist möglich, hier greifen jedoch einige Regeln, die beherrscht werden wollen. Unkomplizierter ist es immer dann, wenn man andere Rechtsgrundlagen als die Einwilligung nutzen kann – und das auch tut.
Dort, wo ‘nur’ Daten verarbeitet werden, weil es zur Erfüllung eines Vertrages oder eines Gesetzes notwendig ist, stellt sich die DSGVO (zumindest nach unserer Einschätzung) als einfach in der Handhabung und unkompliziert dar.