Was Consent-Management-Plattformen leisten

Für einen Großteil der Unternehmen in Deutschland ist das neue Datenschutzrecht weiterhin eine Herausforderung. „Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist“, berichtet Susanne Dehmel, Geschäftsleiterin Recht und Sicherheit beim Digitalverband Bitkom. „Vielen ist offenbar auch erst im Lauf der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.“

Anzeichen für diesen Nachholbedarf sowie für zahlreiche Unklarheiten im Datenschutz finden sich im betrieblichen Alltag schnell. Besonders klar treten die Missverständnisse zutage, die es hinsichtlich der Einwilligung als Rechtsgrund­lage der Verarbeitung personenbezogener Daten gab und immer noch gibt.

Wir erinnern uns: Je näher der 25. Mai 2018 und damit nach zweijähriger Übergangsfrist das endgültige Inkrafttreten der Datenschutz-Grundverordnung kam, desto mehr E-Mails und Anschreiben bekam man, mit der Bitte, die Einwilligung für Newsletter zu erteilen - für Newsletter wohlgemerkt, die man in der Regel schon Monate oder Jahre bezogen hatte.

Die Flut ging dann langsam zurück, doch einige dieser Aufforderungen zur Einwilligung sind immer noch im Umlauf. Die Unternehmen, die mit solchen E-Mails Einwilligungen einholen oder nachholen wollten, hatten in aller Regel die Datenschutz-Grundverordnung missverstanden oder waren schlecht beraten worden.

„Bereits im früheren Datenschutzrecht konnte eine Datenverarbeitung grundsätzlich auch auf eine Einwilligung gestützt werden“, stellt dazu der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, klar. „Die Datenschutz-Grundverordnung (DSGVO) nennt weiterhin die Einwilligung als eine mögliche Grundlage für eine rechtmäßige Verarbeitung von personenbezogenen Daten.“

Die Einwilligung ist nicht „die“ Rechtsgrundlage für die Verarbeitung personenbezogener Daten, sondern eine der Möglichkeiten. Entsprechend muss nicht immer eine Einwilligung vorliegen, wenn personenbezogene Daten verarbeitet werden sollen. Artikel 6 der DSGVO (Rechtmäßigkeit der Verarbeitung) nennt noch fünf andere mögliche Rechtsgrundlagen.

Zum anderen ist die Einwilligung im Datenschutz nicht neu und keine Erfindung der DSGVO. Wer vor der DSGVO keine andere Rechtsgrundlage für den Versand eines Newsletters hatte, brauchte schon vor dem 25. Mai 2018 eine solche Einwilligung.

Eine Einwilligung kann man nicht nachholen, sie muss vorab erteilt sein.

Nicht zuletzt muss eine rechtsgültige Einwilligung mehrere Anforderungen erfüllen, die Artikel 7 DSGVO (Bedingungen für die Einwilligung) nennt: So muss eine Einwilligung zwar nicht in schriftlicher Form erfolgen, doch muss ein Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Nachweispflicht). Zudem muss die Einwilligung informiert erfolgen, die betroffene Person muss also über die Folgen der Einwilligung verständlich und umfassend informiert werden (informierte Einwilligung).