Wann dürfen personenbezogene Daten in NRW erfasst werden?
Es gibt unterschiedliche Möglichkeiten, warum Unternehmen, Schulen, Praxen, Steuerbüros und andere Organisationen personenbezogene Daten erfassen dürfen. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich aufgrund von gesetzlichen Vorgaben verboten, kann aber durch unterschiedliche Vorgänge möglich oder sogar notwendig sein. Dazu gehört auch die Einwilligung des Betroffenen.
Da es hierbei viel zu beachten gibt, möchten wir Ihnen in diesem Artikel einen ersten Überblick über die gesetzlichen Vorgaben geben und was Sie beachten müssen. Datenschutzberater.NRW ist der externe Datenschutzbeauftragte für den Großraum Köln, Düsseldorf, Siegen, Bonn, Gummersbach, Siegburg und ganz NRW.
Wann brauche ich eine Einwilligung nach DS-GVO?
„Im Datenschutzrecht gilt als allgemeiner Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, soweit und solange sie nicht durch eine entsprechende gesetzliche Bestimmung erlaubt wird (Verbotsprinzip). Ein wichtiger Tatbestand ist die Einwilligung der von der Datenverarbeitung betroffenen Person.“
Quelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Daten dürfen also unter bestimmten Umständen erhoben werden, wenn der Betroffene zum Beispiel eine Einwilligung zur Datenverarbeitung erteilt hat. Das macht vor allem Sinn, wenn keine andere Regelung im Datenschutz greift, die die Datenverarbeitung sicherstellt.
Zu beachten ist hierbei, dass es auch hier Grenzen gibt, denn wenn nach Unionsrecht oder dem Recht der Mitgliedstaaten das Verbot der Datenverarbeitung für einen Zweck nicht durch eine Einwilligung aufzuheben ist, dann kann hier auch keine Datenverarbeitung stattfinden (besonders bei personenbezogenen Daten besonderer Art).
Was zählt zu den personenbezogenen Daten? Lesen Sie mehr dazu in unserem Blog.
Welche Bedingungen muss die Einwilligung nach DS-GVO erfüllen?
Die Einwilligung muss ausdrücklich erfolgen, unmissverständlich sein und zweifelsfrei nachgewiesen werden können. Dabei ist es wichtig, dass der Betroffene aktiv seine Zustimmung abgibt. Eine Zustimmung durch Unterlassen ist nicht rechtens. Auch vorausgefüllte Kästchen o.ä. (Beispiel Cookies) können nicht verwendet werden.
Es muss eine Möglichkeit des Widerrufs gegeben sein. Zustimmung und Widerruf müssen in einfacher Sprache und klar verständlich für den Betroffenen formuliert werden. Auch der Zweck der Verarbeitung muss in klaren Worten formuliert sein.
Die Datenminimierung spielt bei jeder Verarbeitung von personenbezogenen Daten eine wichtige Rolle. Dabei muss beachtet werden, dass nur so viele Daten erhoben werden dürfen, wie auch tatsächlich für den Zweck benötigt werden.
Einwilligung muss freiwillig erfolgen
Es gilt im Datenschutz ein sogenanntes Kopplungsverbot. Das bedeutet, dass die Erfüllung eines Vertrags nicht daran gebunden sein darf, eine Einwilligung zur Datenverarbeitung abzugeben, wenn die darin enthaltenen Daten nicht notwendig für die Vertragserfüllung sind.
Die Einwilligung zur Verarbeitung der personenbezogenen Daten muss freiwillig erfolgen und es darf kein Ungleichgewicht zwischen Verantwortlichem und Betroffenen bestehen, welche die Freiwilligkeit der Einwilligung meist in Frage stellt.
In der Einwilligung muss erkennbar sein, wer der Verantwortliche für die Datenverarbeitung ist, zu welchem Zweck die Daten verarbeitet und welche Art der personenbezogenen Daten verarbeitet werden.
Der Widerruf zur Einwilligung
Auch wenn es keine Vorgaben für die äußere Form der Einwilligung gibt, muss diese unter anderem die oben genannten Punkte enthalten. Wichtig ist aber auch, dass der Betroffene darauf hingewiesen wird, dass er der Einwilligung zu jedem Zeitpunkt widersprechen kann.
Die betroffene Person hat jeder Zeit das Recht, die Einwilligung zur Datenverarbeitung zu widerrufen. Die Rechtmäßigkeit der Verarbeitung, die durch die Einwilligung bis zum Widerruf entstanden ist, wird dabei nicht angetastet. Auch der Widerruf muss so einfach, verständlich und deutlich möglich sein, wie die Einwilligung selber.
Bei der Einwilligung ist immer der Verantwortliche in der Position, dass er nachweisen muss, ob die Einwilligung gesetzeskonform und nach den Vorgaben der DS-GVO erfolgt ist. Hält sich eine Organisation nicht an die Vorgaben, so kann die Aufsichtsbehörde dies so auslegen, als hätte man keine Einwilligung eingeholt. Die Prüfung von Einwilligung und Widerrufsrecht, sollte daher immer durch einen Fachmann wie den (externen) Datenschutzbeauftragten geprüft werden.
Einwilligung für personenbezogenen Daten bei Kindern und Jugendlichen
Eine Besonderheit stellt bei der Einwilligung der Umgang mit personenbezogenen Daten von Kindern dar. Bei der Datenverarbeitung von personenbezogenen Daten der Kinder unter 16 Jahren, müssen Eltern in Deutschland einwilligen oder einer Einwilligung zustimmen und das bevor ein Angebot erstellt wird.
Ausdrückliche Einwilligung und Widerruf
Ziel dieser Vorgaben ist es, dass der Betroffene versteht, wofür seine Daten erfasst werden und diesem aktiv zustimmt oder eben auch diese Einwilligung widerrufen kann. Dabei steht die Transparenz für den Betroffenen im Vordergrund.
Bei der Beurteilung dieser Vorgänge ist es sinnvoll, sich zum Beispiel durch einen externen Datenschutzbeauftragten unterstützen zu lassen. Das Team von Datenschutzberater.NRW stellt einen solchen externen Datenschutzbeauftragten für Köln, Düsseldorf, Bonn, Siegen, Siegburg und ganz NRW für Unternehmen, Schulen, andere Bildungseinrichtungen, Vereine, Vermieter, Praxen und Kanzleien. Wir prüfen in einer Datenschutz-Erstberatung den Datenschutz individuell und praxisnah und beraten Sie bei der Durchführung von datenschutzrelevanten Vorgängen. Mit einem Datenschutz-Audit unterstützen wir Sie bei der regelmäßigen Verbesserung des Datenschutzes. Darüber hinaus bieten wir projektbezogenen Datenschutz, IT-Audits und GoBD-Beratung.
Benötigen Sie Hilfe bei der Erstellung einer Einwilligung oder bei der Umsetzung des Datenschutzes? Wir erstellen Ihnen gerne ein praxisnahes und individuelles Angebot für Ihren Datenschutz. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.