Sollen für geschäftliche Zwecke personenbezogene Daten verarbeitet werden, bedarf es einer Rechtsgrundlage. Eine dieser Rechtsgrundlagen stellt die Einwilligung der betroffenen Person dar. Welche Anforderungen für eine rechtskonforme Einwilligung erfüllt sein müssen, ist in der DSGVO dargelegt.
Und damit sind wir dann schon bei der Herausforderung: Liegt eine Einwilligung vor bleibt nämlich immer noch die Frage, ob die vorliegende Einwilligung auch wirklich rechtskonform ist.
Erstens muss sie freiwillig erteilt worden sein. Die betroffene Person muss eine echte Wahl haben, ob sie die Einwilligung erteilt oder nicht. Dies wird in weiten Teilen bei Abhängigkeitsverhätnissen (wie z.B. Arbeitsverhältnissen) angezweifelt.
Zweitens muss sie klar als Einwilligung erkennbar und auch leicht verständlich sein. Gerade bei deutschem Rechtskauderwelsch und immer ausufernden Verträgen ist dies nicht immer gegeben.
Drittens kann eine Einwilligung auch jederzeit Widerrufen werden. Wurde ein Widerruf ausgesprochen, ist dieser zu beachten.
Und viertens (aber mit Sicherheit noch nicht abschließend): Kann eine Einwilligung eigentlich auch zeitlich ablaufen? Und hier sind sich nicht einmal deutsche Gerichte einig. Manche sagen, dass ein Ablauf nach 18, 24 oder 48 Monaten erfolgt. Und wie immer in der Rechtsprechung die Standardformulierung “Das kommt auf die Umstände des Einzelfalls an.
Über den Autor:
Olaf Müller-Stegemann ist ein erfahrener Berater mit einem breiten Spektrum an Expertise, von Change Management und Datenschutz bis hin zu Coaching und Moderation im HR-Bereich. Er ist Geschäftsführer der ToMarket Consulting GmbH und externer Datenschutzbeauftragter und Datenschutzauditor