Wann ist die Einwilligung als Rechtsgrundlage für die Verarbeitung von Kundendaten tatsächlich erforderlich?
Die Datenschutz-Grundverordnung („DSGVO“) hat die Finanzbranche so verunsichert, dass viele Unternehmen für die Verarbeitung von Daten ihrer Kunden sich immer öfter auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. a DSGVO berufen und eine Einwilligung einfordern. In vielen Fällen wird die Einwilligung weder korrekt eingeholt, noch ist sie rechtlich erforderlich. Es folgt ein erheblicher Organisations- und Dokumentationsaufwand, um die Einwilligungen sowie die mit Ihnen resultierenden Widerrufe zu verwalten. Auch bei den Kunden löst der Einwilligungsprozess Fragen auf, welche am Ende im Kundenservice eines Unternehmens Ressourcen bindet.
Das fast schon panische Anfordern von Einwilligungen ist nicht nachzuvollziehen, denn Banken und Versicherungen können sich zumindest für die meisten Verarbeitungstätigkeiten von Kundendaten auf ihren Vertrag mit dem Kunden oder auf die vorvertraglichen Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), auf ein Gesetz (Art. 6 Abs. 1 lit. c DSGVO) oder auf das berechtigte Interesse als verantwortliche Stelle (Art. 6 Abs. 1 lit. f DSGVO) berufen.
Wann tatsächlich eine Einwilligung erforderlich ist, ist im Einzelfall zu prüfen.
Typische Beispiele für die grundsätzliche Erforderlichkeit einer Einwilligung sind Folgende:
- Direktwerbung: Eine Einwilligung ist erforderlich, wenn das Unternehmen die personenbezogenen Daten seiner ehemaligen Kunden, Antragssteller oder Interessenten nutzt, um Direktwerbung zu betreiben. Für die Verarbeitung von Bestandskundendaten kann sich das Unternehmen jedoch unter engen Voraussetzungenauf die Rechtsgrundlage des berechtigten Interesses berufen (Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO)
- Unzulässige Zweckänderung: Die Datenverarbeitung zu einem anderen Zweck als dem ursprünglichen ist nur zulässig, wenn die Datenverarbeitung mit denjenigen Zwecken vereinbar ist, für die die Daten ursprünglich (vom Verantwortlichen, Auftragsverarbeiter oder einem Dritten) erhoben wurden (6 Abs. 4 DSGVO). Die Unzulässigkeit kann gegebenenfalls durch eine Einwilligung behoben werden; Mit der Einwilligung des Betroffenen darf das Unternehmen als verantwortliche Stelle die Daten weiterverarbeiten.
- Verarbeitung von sensiblen Daten: Eine Einwilligung ist in der Regel auch erforderlich, wenn das Unternehmen sensible personenbezogene Daten seiner Kunden verarbeitet (wie z.B. Informationen über die sexuelle Orientierung oder der ethnischen Herkunft seiner Kunden). Im Falle der Verarbeitung von besonders sensiblen Arten von personenbezogenen Daten, muss sich die Einwilligung ausdrücklich auf diese beziehen (Art. 9 Nr. 2 a DSGVO).
Um sicherzustellen, dass der Kunde als Betroffener in seinem Persönlichkeitsrecht nicht eingeschränkt wird, muss die Einwilligung in die Datenverarbeitung gewisse Voraussetzungen erfüllen. Die Voraussetzungen für eine datenschutzkonforme Einwilligung sind im Licht des Art. 7 DSGVO Folgende:
- Zeitpunkt: Eine Einwilligung hat im Vorhinein bzw. vor der angestrebten Verarbeitung zu erfolgen. Eine nachträgliche Genehmigung wird von der DSGVO nicht anerkannt.
- Höchstpersönlich: Die Einwilligung muss durch den Betroffenen (Kunde, Interessent) grundsätzlich höchstpersönlich erfolgen. Ein Betroffener hat die Entscheidung über die Preisgabe seiner Daten selbst zu treffen und kann sie nicht auf einen Stellvertreter verlagern.
- Freiwillig: Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig bzw. „ohne Zwang“ erfolgen. Der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet.
- Kopplungsverbot: Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Unternehmen als verantwortliche Stellen Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass der Betroffene (Kunde, Interessent) in die Verarbeitung seiner personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt.
- Informiertheit: Der Betroffene muss vor Abgabe seiner Einwilligung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weitere für den konkreten Fall entscheidungsrelevanten Informationen enthalten und diese darüber hinaus auch hinreichend bestimmt sein – der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden.
- Form: Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der der Betroffene sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist.
- Widerrufsbelehrung: Art. 7 Abs. 3 DSGVO hat der Betroffene das Recht, seine Einwilligung jederzeit zu widerrufen, und ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
Die Unternehmen sind als verantwortliche Stellen verpflichtet, die Einwilligungen sowie die Anträge auf Widerruf zu verwalten und zu dokumentieren (sog. Nachweispflicht).
Die Voraussetzungen für eine rechtskonforme Einwilligung in Kombination mit dem hohen Verwaltungsaufwand der Nachweispflicht machen die Einwilligung an sich als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten zu einer Herausforderung. Die Unternehmen sollten das Erfordernis einer Einwilligung im Einzelfall genau prüfen; Wenn die Verarbeitung der Kundendaten für die Erfüllung der Geschäftsbeziehung mit dem Kunden notwendig ist, dann genügt häufig der Vertrag des Kunden mit dem Unternehmen bereits als Rechtsgrundlage für die Verarbeitung dieser Daten.