Ging es Ihnen auch so? Um den Umstellungstermin auf die EU-DSGVO am 25.05.2018 wurden wir alle zugemüllt mit angeblich zwingend erforderlichen datenschutzrechtlichen Einwilligungen. „Wenn man Daten von Kunden oder Mitarbeitern verarbeiten will, braucht man jetzt immer erst einmal eine Einwilligung!“ So ist seither oft zu hören. Aber stimmt das wirklich?
Wunderliche Erlebnisse
Erlebnisse dieser Art waren in den letzten Monaten alltäglich:
• Ein Mann geht zum selben Arzt wie immer. Jetzt soll er plötzlich eine „Einverständniserklärung in die Datenverarbeitung“ unterschreiben. Sonst könne man ihn leider nicht mehr behandeln, erklärt ihm die Arzthelferin.
• Eine Frau will wie gewohnt im Herbst in der Autowerkstatt die Reifen wechseln und bis zum nächsten Frühjahr lagern lassen. Auf einmal soll das nur noch möglich sein, wenn sie eine „Einwilligung in die Datenverarbeitung“ unterschreibt.
Datenschutzrechtliche Einwilligung nach EU-DSGVO - Wie geht das? |
Beides ergibt keinen Sinn. Weshalb?
Der Suchbegriff "einwilligung dsgvo"
Der Hype um die Einwilligung war enorm. Auch auf Google wurde um den 25.05.2018 der Suchbegriff "einwilligung dsgvo" extrem häufig abgefragt, was folgende Grafik aus Google Trends beweist.
Vertrag als Rechtsgrundlage
Autowerkstatt und Kunde haben einen Vertrag. Vereinbart sind Reifenwechsel und Einlagerung der Reifen. Damit das möglich ist, braucht die Werkstatt einige Daten des Kunden, vor allem seinen Namen sowie die Anschrift und/oder die Telefonnummer. Denn die Rechnung muss an eine bestimmte Person adressiert sein. Und wie soll der Kunde im nächsten Frühjahr die eingelagerten Reifen wiederbekommen, wenn man ihn nicht namentlich kennt?
Ähnlich sieht es beim Arzt aus. Zu einer Behandlung gehört es, dass sie dokumentiert wird. Die Dokumentation muss natürlich dem Patienten persönlich zuzuordnen sein. Dazu braucht der Arzt dessen Namen und darüber hinaus auch das Geburtsdatum, um Verwechslungen auszuschließen. Was dokumentiert werden muss, ist eine medizinische Frage, je nach Krankheit. Die Befugnis zur Dokumentation an sich ergibt sich aber stets aus dem Behandlungsvertrag.
Regelung in der EU-DSGVO
Das alles folgt eigentlich schon aus dem gesunden Menschenverstand. Denn wer ei-nen Vertrag schließt, dem ist klar: Wenn sein Vertragspartner persönliche Daten braucht, um die vereinbarte Leistung erbringen zu können, dann muss es erlaubt sein, diese Daten zu verarbeiten. Aber selbstverständlich gibt es auch einen Paragrafen dazu. Es handelt sich dabei um Art. 6 Abs. 1 Satz 1 Buchstabe b der EU-Datenschutzgrundverordnung (EU-DSGVO).
Demnach ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn diese Verarbeitung erforderlich ist „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist.“
Diese Regelung passt auf beide Beispiele. Sie gilt nämlich für Verträge aller Art, egal ob es dabei um eine ärztliche Behandlung oder um einen Reifenwechsel geht.
Anfrage eines Interessenten nach Prospektmaterial
Aber wie sieht es aus, wenn keinerlei Vertrag besteht? Ist zumindest dann immer eine Einwilligung notwendig? Nein, auch dann nicht. Beispiel: Ein Interessent bittet ein Unternehmen, das Naturtextilien verkauft, darum, ihm Kataloge und Prospekte zuzusenden. Damit die Zusendung möglich ist, muss das Unternehmen Name und Anschrift der Interessentin verwenden, um ein Kuvert zu beschriften. Das ist eine Form der Verarbeitung personenbezogener Daten. Genau das wollte der Interessent auch ganz offensichtlich!
Deshalb ist dafür nicht noch zusätzlich eine Einwilligung erforderlich. In der Sprache der EU-DSGVO ist die Beschriftung des Kuverts zur „Durchführung einer vorvertraglichen Maßnahme erforderlich, die auf Anfrage der betroffenen Person erfolgt“. Keine einfache Formulierung, aber im Ergebnis völlig klar!
Gesetzliche Arbeitnehmerpflichten
Beispiele dafür, dass eine Einwilligung überflüssig ist, gibt es auch im Arbeitsleben. So mag es sein, dass es einem Arbeitgeber eigentlich ziemlich gleichgültig ist, ob ein Mitarbeiter einer Kirche angehört oder nicht. Sollte der Mitarbeiter allerdings Mitglied einer Religionsgemeinschaft sein, die Kirchensteuer erhebt, dann muss der Arbeitgeber die Kirchensteuer abführen. Damit er dies tun kann, muss die Kirchenmitgliedschaft in den Personalunterlagen festgehalten sein. Auf eine Einwilligung des Arbeitnehmers kommt es dabei nicht an. Der Arbeitgeber braucht die Daten nämlich, um eine rechtliche Verpflichtung zu erfüllen (siehe Art. 6 Abs. 1 Buchstabe c EU-DSGVO).
Keine Einwilligung „nur zur Sicherheit“!
Mancher mag sich fragen, ob man nicht trotzdem zumindest immer noch zusätzlich eine Einwilligung einholen sollte, einfach „zur Sicherheit“.
Die Antwort darauf ist ein klares Nein. Denn eine Einwilligung kann jederzeit ohne jeden Grund widerrufen werden (Art. 7 Abs. 3 Satz 1 EU-DSGVO). Und wie bitte sollte man einem Kunden oder einem Mitarbeiter dann folgenden Ablauf erklären: Erst bittet man ihn um eine Einwilligung. Diese Einwilligung widerruft er. Aber den Widerruf ignoriert man dann einfach mit der Begründung, dass die Verarbeitung auch ohne Einwilligung gesetzlich erlaubt ist. Das wird auch ein gutwilliger Mensch nicht verstehen.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele