An allen Ecken und Enden hört man, dass man für jede Verarbeitung eine Einwilligung braucht ...
In diesem Artikel erfährst Du, warum das das größte Missverständnis in der DSGVO ist, und wieso das berechtigte Interesse die komfortablere Lösung ist.
Alle waren ganz am Anfang, als sie mit der DSGVO konfrontiert wurden, der „Überzeugung“, dass es nun für alles und jedes eine Einwilligung braucht. Auf Fachschulungen und Seminaren wurde permanent über die Einwilligung und ihre korrekte Form referiert. Wenn man die Einwilligung in seinem Vortrag als wichtigstes Element herausgestellt hat, wurde man als „kompetent“ wahrgenommen.
Als wir uns aber dann mit der konkreten Umsetzung der DSGVO im Bereich Online-Marketing, Werbung und Kundenaquisition auseinander gesetzt haben, mussten wir feststellen, dass die Einwilligung in den wenigsten Fällen notwendig ist. Ja, das klingt an dieser Stelle nach einer gewagten Aussage. Aber warten wir ab wie sich das erklären lässt.
„Ich darf die Daten verarbeiten, denn ich habe eine Einwilligung!“
Die Betonung der Einwilligung kommt aus dem ganz natürlichen Streben nach Sicherheit: „Wenn ich eine Einwilligung habe, dann bin ich auf der sicheren Seite und alles ist fein!“ Das ist auch die Auskunft, die man vom Rechtsanwalt oder einem guten Datenschutzexperten bekommen wird. Diese Auskunft ist „immer richtig“ und birgt immer das geringste Beratungsrisiko.
Nur weil es sicher ist, ist es auch die beste Form?
Die DSGVO sagt folgendes: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten! JA! Das ist die Wahrheit. Daher spricht man auch beim Datenschutz vom Verbotsgesetz! Grundsätzlich ist die Verarbeitung verboten – das war die schlechte Nachricht – jetzt kommt die gute!
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer eine von zwei Ausnahmen treffen zu:
- Die betroffene Person gibt eine Einwilligung
- oder eine Rechtsvorschrift trifft zu
Gleich vorweg: Die meisten Verarbeitungen sind auch ohne die Einwilligung des Betroffenen rechtlich gedeckt!
Wenn eine Verarbeitung durch eine Rechtsvorschrift gedeckt ist, bedeutet das, dass der Gesetzgeber den Rahmen darüber festgelegt hat. Das heißt, wenn man sich im Rahmen des Gesetzes bewegt, ist man auf der sicheren Seite!
Lassen wir einmal die Einwilligung außen vor – übrigens findest Du die Info für die Einwilligung in der DSGVO Artikel 6 Absatz 1 Buchstabe A – und schauen uns die Möglichkeit der Verarbeitung aufgrund einer Rechtsvorschrift an.
„HAST DU SCHON EINMAL WAS VON „BERECHTIGTEM INTERESSE GEHÖRT?“
In der DSGVO im Artikel 6 Absatz 1 Buchstabe F wird davon gesprochen. Es ist eine Rechtsvorschrift die sagt, dass Du als Unternehmen, das z.B. Werbung aussendet, ein so starkes berechtigtes Interesse an der Verarbeitung von Daten für Werbezwecke hast, dass es dafür keine Einwilligung braucht! Aber das trifft nicht nur auf Werbung zu, sondern auch auf viel mehr Tätigkeiten! Ja, das klingt ja zu verlockend: „Ich kann jetzt nahezu alle meine Verarbeitungen mit berechtigtem Interesse begründen?“ JA? Richtig!
Wieso? Der Gesetzgeber sieht vor, dass Du mit dieser Vorschrift arbeiten darfst, wenn Du zuvor abgewogen hast, dass Deine Interessen denen der betroffenen Person überwiegen!
Das bedeutet, bevor Du Dich auf berechtigtes Interesse berufst, musst Du Deine und die Interessen der betroffenen Person abwägen.
Diese Interessenabwägung musst Du sorgsam machen, und dabei folgendes bedenken: „Stellt die Verarbeitung der Daten eines Betroffenen, durch Dein Unternehmen, für die Person eine Gefahr dar? Ist es riskant, ist es unsicher, verletzt es seine Persönlichkeitsrechte?“ Für Mitglieder im Premium-Bereich haben wir hier die Matrix für die Interessenabwägung bereits erstellt. Diese muss von Dir nur ausgefüllt und dokumentiert werden.
JA! Die Auswahl des berechtigten Interesses ist der Schlüssel.
Welche Interessen des Betroffenen könnten das Sein?
Beispiele für Interessen des Betroffenen
- Recht auf Freiwilligkeit / Widerruf von Einwilligungen
- Werden seine berechtigten politische Interessen eingeschränkt?
- Werden seine religiöse oder weltanschauliche Interessen eingeschränkt?
- Könnte es seine wirtschaftlichen Interessen einschränken (wenn ja, in welchem Ausmaß)?
- Kann es eine Auswirkung auf seine Gesundheit haben?
Beispiele für Interessen des Verantwortlichen
Recht auf Kundengewinnung und -bindung
Recht auf Beschäftigten-Beschaffung und -Bindung
Recht auf Gewinnerzielung, Arbeits- und Kosteneffizienz
Wenn Du z.B. eine Verarbeitung planst, die möglicherweise die religiösen Interessen des Betroffenen einschränken, dann wirst Du das mit Deinem Interesse auf „Gewinnerzielung“ nicht begründen können. Das ist eigentlich logisch – oder?
Im Gegensatz dazu: Für die Verwendung von Social-Media-Plug-in´s oder Google-Analytics, kannst Du Dich durchaus auf das berechtigte Interesse der „Gewinnerzielung“ berufen (natürlich musst Du diese technisch richtig anwenden).
Was muss ich jetzt tun?
- Von wem habe ich Daten?
Beschäftigte, Kunden, Interessenten, … - Welchen Werdegang durchlaufen diese Daten in meinem Unternehmen?
Vom Erstkontakt bis zur Löschung. - Kann ich diesen „Werdegang“ mit berechtigtem Interesse begründen?
Wenn ja, dann folgt Interessenabwägung in 4 Schritten:
Schritt 1: Interessen der betroffenen Person dokumentieren.
Schritt 2: Interessen des Verantwortlichen dokumentieren.
Schritt 3: Interessen gegenseitig abwägen, was überwiegt (wenn Deine Interessen überwiegen ist alles in Ordnung).
Schritt 4: Ergebnis dokumentieren.
Im Premium-Mitgliederbereich findest Du eine komplette Handlungsanleitung für die korrekte Interessenabwägung und Dokumentation.