• Weiterverwendung, Bestandsdaten, Datenschutz, Rechtsanwalt Dr. Daniel Kirmse, Leipzig

Weiterverwendung vorhandener Daten nach der DSGVO

Am 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) wirksam. Ob Sie personenbezogene Daten verarbeiten dürfen und wie diese Verarbeitung konkret zu erfolgen hat, richtet sich ab dem Stichtag primär nach den Vorschriften dieser Verordnung. Die DSGVO unterscheidet sich in vielen Punkten deutlich vom aktuell geltenden Bundesdatenschutzgesetz. Vor diesem Hintergrund stellt sich verbreitet die Frage, ob die Weiterverwendung vorhandener Daten zu Kunden, Lieferanten und Mitarbeitern, die bei Wirksamwerden der DSGVO bereits vorliegen (Bestandsdaten), zukünftig erlaubt ist.

Weiterverwendung vorhandener Daten nach DSGVO

Personenbezogene Daten dürfen nur auf rechtmäßige Weise verarbeitet werden. Die DSGVO formuliert dies in Art. 5 Abs. 1a als ersten und obersten Grundsatz des Datenschutzrechts. Eine Verarbeitung in rechtmäßiger Weise setzt insbesondere voraus, dass die Daten rechtskonform erlangt worden sind. Maßgeblich sind dabei ab 25.05.2018 die rechtlichen Vorgaben der DSGVO. Dies bedeutet, dass die Weiterverwendung von Bestandsdaten nach diesem Datum nur dann in Betracht kommt, wenn die ursprüngliche Erhebung dieser Daten nach Maßgabe der DSGVO zulässig war.

Rechtmäßige Datenerhebung

Im Datenschutzrecht gilt das sogenannte „Verbot mit Erlaubnisvorbehalt“. Demnach ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten und nur in den Fällen zulässig, die im Gesetz ausdrücklich benannt sind. In der DSGVO sind Fälle, in denen eine Verarbeitung zulässig ist, unter Art. 6 Abs. 1 wie folgt aufgeführt:

• Einwilligung (Art. 6 Abs. 1a),
• Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1b),
• rechtliche Verpflichtung (Art. 6 Abs. 1c),
• Schutz lebenswichtiger Interessen (Art. 6 Abs. 1d),
• Wahrnehmung öffentlicher Interessen / Ausübung öffentlicher Gewalt (Art. 6 Abs. 1e),
• Wahrung berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1f)

Bestandsdaten dürfen nach dem 25.05.2018 also (nur) dann weiterverwendet werden, wenn ihre ursprüngliche Erhebung von mindestens einem dieser Erlaubnistatbestände gedeckt ist.

Einwilligung (Art. 6 Abs. 1a DSGVO)

Die Verarbeitung personenbezogener Daten ist u.a. dann rechtmäßig, wenn die betroffene Person

„ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“

hat. Wann eine wirksame Einwilligung nach Art. 6 Abs. 1a DSGVO vorliegt, ergibt sich aus Art. 4 Nr. 11 DSGVO. Gefordert wird demnach eine

“freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundungen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Die benannten Kriterien gelten uneingeschränkt auch für Einwilligungen, die vor dem 25.05.2018 erteilt worden sind. Dies ergibt sich bereits aus den Erwägungsgründen der Datenschutz-Grundverordnung. Erwägungsgrund 171 zur DSGVO merkt hierzu ausdrücklich an:

„Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“

Eine bereits vorhandene Einwilligung ist also darauf zu prüfen, ob sie die in Art. 4 Nr. 11 DSGVO genannten Kriterien erfüllt.

Informierte Einwilligung

In informierter Weise bedeutet, dass der Betroffene alle Informationen erhalten muss, die erforderlich sind, um das konkrete Ausmaß seiner Einwilligung vollumfänglich und abschließend erkennen zu können. Was konkret dem Betroffenen mitgeteilt werden muss, findet sich unter Art. 13 Abs. 1 DSGVO aufgelistet. Demnach hat der Verantwortliche den Betroffenen im Zusammenhang mit seiner Einwilligung grundsätzlich zu informieren über:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind;

• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

• das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

• gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ob all diese Informationen dem Betroffenen auch bereits bei der ursprünglichen Datenerhebung geliefert worden sein müssen, ist umstritten. Der Sächsische Landesdatenschutzbeauftragte merkt hierzu in seinem aktuellen Tätigkeitsbericht auf Seite 220 bspw. ganz pauschal an, dass die Informationspflichten nach Artikel 13 DSGVO nicht erfüllt sein müssten, da sie keine Bedingungen im Sinne des Erwägungsgrundes 171 sind. Vor dem Hintergrund, dass nach DSGVO nur eine informierte Einwilligung wirksam ist und Artikel 13 DSGVO eben festlegt, welche Informationen einem Betroffenen im Zusammenhang mit seiner Einwilligung geliefert werden müssen, lässt sich diese Auffassung (die auf einem entsprechenden Beschluss des Düsseldorfer Kreises beruht und auf die man sich deshalb jedenfalls verlassen darf) sicher diskutieren.

Unmissverständliche Einwilligung

Im Sinne von Art. 4 Nr. 11 DSGVO „unmissverständlich abgegeben“ ist eine Einwilligung, wenn zweifelsfrei auf eine bestätigende, der Datenverarbeitung zustimmende Handlung des Betroffenen geschlossen werden kann. Erforderlich ist hier ein aktives „opt-in“. Erwägungsgrund 32 zur DSGVO stellt hingegen  ausdrücklich klar, dass Stillschweigen, bereits angekreuzte Kästchen und Untätigkeit der betroffenen Person keine wirksame Einwilligung darstellen sollen. Eine „opt-out-Lösung“ ist somit unzureichend. Per Definition hat die Einwilligung zudem im Vorfeld der Datenverarbeitung zu erfolgen.

Freiwillige Einwilligung

Freiwillig bedeutet insbesondere, dass die Erteilung der Einwilligung nicht zur Bedingung für die Inanspruchnahme weiterer (sachfremder) Leistungen gemacht werden darf. Daraus ergibt sich ein sog. „Kopplungsverbot“. Ein Verstoß gegen dieses wäre bspw. anzunehmen, wenn die Teilnahme an einem Gewinnspiel davon abhängig gemacht wird, dass der Betroffene in die Verwendung seiner Kontaktdaten zum Zwecke der Zusendung von Newslettern oder Werbemailings einwilligt. Dass eine in der Vergangenheit unter Verstoß gegen das Kopplungsverbot erlangte Einwilligung nach der DSGVO nicht wirksam ist, wird auch im Tätigkeitsbericht Sächsischen Datenschutzbeauftragten ausdrücklich angemerkt. Hingewiesen wird zudem darauf, dass Einwilligungserklärungen von Minderjährigen unter 16 Jahren nicht wirksam sind.

Schlussfolgerung

Haben Sie die bei Ihnen vorliegenden personenbezogenen Daten ursprünglich auf Grundlage einer Einwilligung der Betroffenen erhoben, ist also zu prüfen, ob diese Einwilligung die oben benannten Anforderungen der Datenschutz-Grundverordnung erfüllt. Ist dies der Fall, dürfen Sie die Daten auch nach dem 25.05.2018 weiter verwenden. Die weitere Verwendung ist allerdings grundsätzlich an den Zweck der ursprünglichen Erhebung (auf den sich auch die Einwilligung beschränkt) gebunden. Zudem ist zu beachten, dass vor der weiteren Verwendung eventuell zusätzliche Informationspflichten gegenüber dem Betroffenen zu erfüllen sind. Schließlich müssen Sie die (rechtsgültig erteilte) Einwilligung gemäß Art. 5 Abs. 2 DSGVO auch jederzeit nachweisen können. Dies wird in aller Regel nur dann möglich sein, wenn sie bei Ihnen protokolliert worden ist.

Oft wird eine Einwilligung aus der Vergangenheit nicht in der Form erklärt worden oder nachweisbar sein, die die Datenschutz-Grundverordnung verlangt. Eine weitere Verwendung der vorhandenen Daten nach Wirksamwerden der DSGVO ist dann ohne erneute Einwilligung nur zulässig, wenn ein anderer Erlaubnistatbestand greift. Diese Tatbestände sind vor allem in Art. 6 Abs. 1b bis f DSGVO zu finden. Einzelheiten zu den wichtigsten Regelungen werden in einem weiteren Beitrag zu diesem Thema detailliert erläutert.

Von |2017-12-22T12:07:29+00:00Dezember 3rd, 2017|Allgemein, Datenschutzrecht|0 Kommentare