Mit Inkrafttreten bzw. Wirksamwerden der Regelungen der DSGVO kam es zu einer wahren Einwilligungsabfragungsflut. Von allen Seiten wurden Nutzern, Kunden, Patienten und anderen Formulare zur Unterschrift vorgelegt, mit denen die Einwilligung für die Datenerfassung eingeholt wurde. Längst nicht in allen Fällen ist bzw. war dieses erforderlich. Denn:
Eine Einwilligung ist grundsätzlich dann nicht einzuholen, wenn die Datenverarbeitung zur Vertragserfüllung notwendig ist. Beispiel: Wer einen Kaufvertrag im Fernabsatz abschließt, muss seinen Namen sowie seine Adresse mitteilen, damit ein Kaufvertrag wirksam zustande kommen kann.
Wer eine Anfrage über ein Kontaktformular stellt, muss je nach genutztem Medium ebenfalls eine Kontaktadresse (Postanschrift oder Emailadresse) mitteilen, damit der Unternehmer die Anfrage beantworten kann.
Eine Einwilligung ist weiterhin dort nicht einzuholen, wo der Unternehmer ein sog. berechtigtes Interesse an der Verarbeitung der konkreten Daten hat. Das ist beispielsweise dann zu bejahen, wenn der Unternehmer sog. funktionale Cookies zur Darstellung seiner Website und insbesondere für die Funktionalitäten eines Online-Shops (z.B. Warenkorbfunktion) nutzt. Ein berechtigtes Interesse ist z.B. auch bei Sportvereinen an der Veröffentlichung von Sportergebnissen, der Abbildung von Sportlerinnen im Wettkampf/bei der Preisverleihung oder sonstigen Verarbeitungen, die zur Darstellung des Vereins gegenüber der Öffentlichkeit dienen, gegeben.
Bei all den vorgenannten Datenverarbeitungen ist zu beachten, dass ausschließlich die für die Vertragserfüllung bzw. die Funktionalität notwendigen Daten verarbeitet ( insbes.erfasst, veröffentlicht, gespeichert) werden. Häufig wird in Kontakt- und oder Vertragsformularen auch eine Telefonnummer abgefragt. Hier ist grundsätzlich der Hinweis zu erteilen, dass die Angabe freiwillig erfolgt. Teilt die betroffene Person dann die Telefonnummer mit, kann dieses dahingehend ausgelegt werden, dass sie das Interesse des Unternehmers an einer vereinfachten Kontaktaufnahme per Telefon als berechtigt gegenüber ihrem eigenen Interesse am Schutz dieser Daten anerkennt (so jdf. nach Mitteilung des Hamburger Datenschutzbeauftragten).
Vorsicht ist allerdings dann geboten, wenn es sich um sog. sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO handelt. Sensible Daten sind gem. Art. 9 Abs. 1 DSGVO solche Daten, aus denen Folgendes hervorgeht:
- die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen
- die Gewerkschaftszugehörigkeit
sowie des Weiteren
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung.
Für die Bearbeitung der vorgenannten Datenkategorien bedarf es grundsätzlich einer Einwilligung! Art. 9 DSGVO führt die zulässigen Ausnahmen vom Erfordernis der Einwilligung ausdrücklich auf.
WICHTIG: Keinesfalls sollte rein vorsorglich eine Einwilligung eingeholt werden. Denn diese geht immer den Rechtfertigungsgründen „Erfüllung einer vertraglichen Verpflichtung“ und „berechtigtes Interesse“ vor bzw. verdrängt diese. Wird dann nämlich die Einwilligung widerrufen, entfällt die Rechtfertigung für die Datenverarbeitung, ohne dass andere Rechtfertigungsgründe an ihre Stelle rücken. Und dann hat man den „Datensalat“! Rein theoretisch könnte so z.B. ein Kunde die Rechnungstellung zumindest erschweren, wenn er nach Erhalt der Ware oder Dienstleistung seine Einwilligung zur Datenverarbeitung widerruft. Die Rechtsprechung wird klären müssen, ob in diesen Fällen ein treuwidriges Verhalten bejaht werden kann – oder ob es zu Lasten des Unternehmers geht, wenn dieser nicht für die ordnungsgemäße Rechtfertigung der Datenverarbeitung Sorge getragen hat. Aber vielleicht bzw. hoffentlich bleibt das wirklich nur Theorie.