Ist die Verallgemeinerung der Einwilligung durch die DSGVO eine bedeutende Neuerung?

Eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung ist die Bedeutung, die der Einwilligung beigemessen wird. Nichts könnte weiter von der Wahrheit entfernt sein. Die Einholung der Einwilligung war bereits im Statut von 1978 und in der Verordnung von 1995 eine Kernnorm. Eine der wirklichen Neuerungen der Datenschutz-Grundverordnung besteht darin, dass der für die Verarbeitung Verantwortliche mit einer Geldstrafe von bis zu 20 000 000 Euro oder 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres belegt wird, anstatt die Daten nicht zu sammeln. Aber schauen Sie nicht nur auf die Zahlen. Die Datenschutz-Grundverordnung (DSGVO) hingegen erweckt dieses „Prinzip“ zum Leben.

Die Zustimmung wird nicht systematisch erteilt

Der Grundsatz der Einwilligung hat immer fünf Ausnahmen, was den Pragmatismus zeigt, den der europäische Gesetzgeber manchmal an den Tag legen kann. Einige dieser Ausnahmen hängen von der Tätigkeit des für die Verarbeitung Verantwortlichen ab: Ein Angehöriger der Gesundheitsberufe kann beispielsweise Daten über einen Patienten ohne dessen Einwilligung verarbeiten, wenn dies zum Schutz seiner lebenswichtigen Interessen erforderlich ist.

Andere beruhen auf der Art ihrer Beziehung zur betroffenen Person, wodurch die Notwendigkeit einer Einwilligung entfällt, wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Der Teil, der die Datenverarbeitung ohne Einwilligung erlaubt, wenn sie „für die berechtigten Interessen des für die Verarbeitung Verantwortlichen unerlässlich“ ist, wird am faszinierendsten sein.

Diese letzte Ausnahme war bereits im Statut von 1978 enthalten. Gewiss. Aber die CNIL und praktisch alle französischen Gerichte haben ihre Anwendung konsequent abgelehnt. Denn die Grenze dieser Ausnahme ist jetzt definiert worden. Das Gesetz von 1978 besagt nun, dass die berechtigten Interessen des Verantwortlichen „nicht im Widerspruch zu den Interessen oder Grundrechten und -freiheiten der betroffenen Person stehen dürfen“.

Die Datenschutz-Grundverordnung geht noch einen Schritt weiter. Sie führt einen zusätzlichen Bericht ein, der besagt, dass dies möglich ist, solange die „Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern“, nicht überwiegen, und legt fest, dass die Rechte und Freiheiten von Kindern als vorrangig vor denen des für die Verarbeitung Verantwortlichen betrachtet werden sollten.

Dann wird erklärt, wie man die Ausnahme des berechtigten Interesses aufbaut. Diese wird anerkannt, wenn betroffene Personen vernünftigerweise davon ausgehen können, dass der für die Verarbeitung Verantwortliche ihre personenbezogenen Daten aufgrund ihrer Verbindung zu dem für die Verarbeitung Verantwortlichen verarbeitet. Um dies zu erreichen, muss die Beziehung „relevant und angemessen“ sein.

Dies wurde vom europäischen Gesetzgeber klar vorausgesagt. Und er hat sie behoben, indem er zwei Hypothesen – nicht zuletzt die Verhinderung von Betrug und Prospektion – klar benannt hat, in denen eine Behandlung ohne die Zustimmung der Person durchgeführt werden kann, weil sie im berechtigten Interesse des für die Verarbeitung Verantwortlichen liegt.

Ist die DSGVO eine unternehmensfreundliche Verordnung?

Die DSGVO wird manchmal als Einschränkung bezeichnet, da sie die Pflichten der für die Verarbeitung Verantwortlichen erhöht und die Rechte der betroffenen Personen verbessert. Eine Lektüre der DSGVO, die sich auf die kodierten Teile beschränkt, bestätigt diese Annahme, aber können die 173 einleitenden Erwägungsgründe der DSGVO, wie DNA-Introns, die Bedeutung des Textes verändern? Nach Jahren der starren Auslegung des Gesetzes von 1978, um es in eine Geschäftsmöglichkeit zu verwandeln?