Können personenbezogene Daten aufgrund der bisherigen Einwilligungen auch nach dem Inkraft-treten der GDPR verarbeitet werden?

Novinky

Angesichts des näher rückenden Datums 25. Mai 2018, dem Tag des Inkrafttretens der GDPR, stellt sich diese Frage die Mehrzahl der Verantwortlichen und Auftragsverarbeiter.

Wenn die Verwalter personenbezogene Daten aufgrund der Einwilligungen verarbeiten, die sie von den betroffenen Personen aufgrund des bisherigen Datenschutzgesetzes erhalten haben, so bedeutet dies nicht automatisch, dass sie von allen betroffenen Personen neue Einwilligungen einzuholen, bzw. deren Gültigkeit zu erneuern haben. Die Verordnung selbst regelt, dass es nicht erforderlich ist, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen der GDPR entspricht. Es ist daher stets einzeln zu prüfen, ob die Einwilligung den an die Einwilligung gestellten Bedingungen der GDPR gerecht wird.

Nachstehend nennen wir die häufigsten Fehler, die Verwalter bei der Einholung der Einwilligungen gemacht haben und machen und die deren Ungültigkeit begründen:

  • Unfreiwilligkeit – die Erteilung der Einwilligung in die Verarbeitung personenbezogener Daten typischerweise zu Marketingzwecken war Voraussetzung für die Erbringung anderer nicht zusammenhängender Dienstleistungen oder Warenlieferung durch den Verantwortlichen (der Kunde muss gemeinsam mit dem Abschluss eines bestimmten Vertrages zugleich auch die Einwilligung erteilen, ohne die ihm die Dienstleistung nicht erbracht wird);
  • Nichtabtrennbarkeit – die Einwilligung ist direkt Bestandteil des Vertragstextes oder sogar nur in den allgemeinen Geschäftsbedingungen enthalten, auf die der Vertrag verweist, und die betroffene Person „erteilt“ mit Unterzeichnung des Vertrages faktisch die Einwilligung;
  • Unbestimmtheit – der Verarbeitungszweck der personenbezogenen Daten ist in der Einwilligung überhaupt nicht oder unbestimmt oder breit angeführt, so dass nicht klar ist, was alles der entsprechende Zweck umfasst. Zugleich sollte die Einwilligung zu jedem einzelnen Zweck gesondert erteilt werden.

Sollte die Einwilligung in die Verarbeitung personenbezogener Daten den Bedingungen der GDPR nicht standhalten und so ungültig sein, muss dies nicht automatisch das Ende der Verarbeitung dieser personenbezogenen Daten bedeuten, da in einigen Fällen der Verarbeitungstitel auf einem anderen Grund basieren kann (Erfüllung gesetzlicher Pflichten, berechtigte Interessen, Direktmarketing usw.). Dies ist allerdings in den konkreten Situationen stets hinreichend sorgfältig zu prüfen, damit es zu keiner unbefugten Verarbeitung personenbezogener Daten kommt.

Sollten Sie auch gegenwärtig irgendwelche Probleme und Fragen im Zusammenhang mit der GDPR haben, sei es hinsichtlich der Einwilligungen oder anderer Bereiche der Verarbeitung personenbezogener Daten, zögern Sie nicht, unser Rechtsberatungsteam zu kontaktieren, das Ihnen jederzeit zur Verfügung steht.