Das DSGVO-Prinzip Verbot mit Erlaubnisvorbehalt
- Das "Verbot mit Erlaubnisvorbehalt" ist ein zentrales Prinzip im Datenschutzrecht.
- Es stellt sicher, dass personenbezogene Daten nur mit einer gültigen Rechtsgrundlage verarbeitet werden.
- Unternehmen sind verpflichtet, datenschutzrechtliche Vorgaben einzuhalten, um Bußgelder und rechtliche Konsequenzen zu vermeiden.
- Ein Datenschutzbeauftragter hilft, die Anforderungen der DSGVO und des BDSG sicher umzusetzen.
- Der Datenschutzbeauftragte kann intern oder extern bestellt werden.
- Item A
- Item B
- Item C
Was ist das „Verbot mit Erlaubnisvorbehalt“?
Das Verbot mit Erlaubnisvorbehalt ist ein wichtiger Grundsatz im Datenschutzrecht. Es untersagt die Verarbeitung personenbezogener Daten und erlaubt sie nur unter bestimmten Voraussetzungen. Unternehmen müssen sich deshalb mit der Frage auseinandersetzen, wie sie datenschutzkonforme Prozesse im Einklang mit dem Verbotsprinzip aufbauen können, wenn sie rechtmäßig handeln und das Risiko von Verstößen minimieren möchten.
Was besagt das „Verbot mit Erlaubnisvorbehalt“?
Grundsätzlich bedeutet das „Verbot mit Erlaubnisvorbehalt“ in der DSGVO, kurz Verbotsprinzip, dass jegliche Verarbeitung personenbezogener Daten verboten ist, wenn keine explizite Erlaubnis vorliegt. Daneben gibt es zum Beispiel im Schweizer Datenschutzrecht das „Erlaubnisprinzip mit Verbotsvorbehalt“, bei dem zunächst alles erlaubt ist, was nicht ausdrücklich verboten wurde.
Historisch hat sich die Systematik des Verbots mit Erlaubnisvorbehalt im deutschen Datenschutzrecht mit dem Bundesdatenschutzgesetz (BDSG) entwickelt. Dort hatte der Gesetzgeber das Verbotsprinzip bereits vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) verankert, um die Rechtmäßigkeit der Erhebung und Übermittlung von Daten zu gewährleisten.
Mit dem Verbot mit Erlaubnisvorbehalt hat Deutschland eine wichtige Grundlage für die DSGVO geschaffen, die seit 2018 in ganz Europa gilt. Das Verbotsprinzip wurde darin als zentrales Element übernommen, um europaweit einheitliche Datenschutzregelungen zu schaffen.
Im Blog lesen Sie mehr über die Unterschiede zwischen DSGVO und BDSG.
Verbotsprinzip mit Erlaubnisvorbehalt: DSGVO-Prinzip Made in Germany
Für die DSGVO ist das Verbot mit Erlaubnisvorbehalt ein elementarer Bestandteil, der dafür sorgt, dass jegliche Erhebung oder Verarbeitung personenbezogener Daten ohne ausdrückliche Rechtsgrundlage untersagt ist.
Diese Regelung schützt die Rechte von Betroffenen und stellt sicher, dass die Verarbeitung nur in Fällen erfolgt, in denen entweder eine Einwilligung der Person vorliegt, der die Daten gehören, oder eine andere gesetzlich festgelegte Grundlage greift.
Insbesondere für die Übermittlung personenbezogener Daten an Dritte ist dieses Prinzip von zentraler Bedeutung. Für Unternehmen bedeutet das: Sie müssen bei jeder Datenverarbeitung sicherstellen, dass eine gültige Rechtsgrundlage vorliegt.
Rechtsgrundlagen für die Datenverarbeitung nach DSGVO
Die entscheidenden Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten sind in Artikel 6 der DSGVO definiert.
Die Verarbeitung von Daten ist demnach erlaubt, wenn:
- die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat
- sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist
- sie notwendig ist, um einer rechtlichen Verpflichtung des Verantwortlichen nachzukommen
- damit lebenswichtige Interessen der betroffenen Person oder einer anderen Person geschützt werden
- sie Erfüllung einer Aufgabe im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt erforderlich ist
- damit berechtigte Interessen des Verantwortlichen oder eines Dritten gewahrt werden können, sofern die Rechte und Freiheiten der betroffenen Person nicht überwiegen, insbesondere bei Kindern.
Eine explizite Erlaubnis ist insbesondere erforderlich, wenn keine andere Rechtsgrundlage greift. Das ist zum Beispiel bei der Übermittlung von Daten an Dritte ohne Einwilligung der Fall, oder wenn es um die Nutzung von sensiblen personenbezogenen Daten wie Gesundheitsdaten geht, die mit höheren Risiken verbunden ist als die Nutzung anderer Informationen einer Person.
Anforderungen an die Einwilligung
Die Einwilligung kann schriftlich, mündlich, elektronisch oder konkludent erfolgen. Praktisch holen Unternehmen die Erlaubnis zur Verarbeitung von Daten zum Beispiel über Cookie-Banner ein. Da Unternehmen in der Regel aber nachweisen müssen, dass sie die Erlaubnis für die Datenverarbeitung haben, sollten sie die Schriftform oder eine elektronische Form mit einer Möglichkeit des Nachweises bevorzugen.
Vor der Einwilligung müssen betroffene Personen insbesondere über den Zweck der Verarbeitung, die Identität des Verantwortlichen, die Rechtsgrundlage und die Möglichkeit des Widerrufs informiert werden. Betroffene müssen die Einwilligung freiwillig, unmissverständlich und unabhängig von anderen Sachverhalten abgeben.
Verbot mit Erlaubnisvorbehalt im BDSG
Das BDSG ergänzt die DSGVO und enthält spezifische Regelungen dafür, wie der Datenschutz in Deutschland zu regeln ist. In § 4 Absatz 1 BDSG wird das Verbot mit Erlaubnisvorbehalt ähnlich wie in der DSGVO geregelt.
Der wesentliche Unterschied besteht darin, dass das BDSG als deutsches Gesetz nationale Besonderheiten berücksichtigt. Vor allem die Erhebung und Übermittlung personenbezogener Daten durch öffentliche Stellen oder zur Erfüllung gesetzlicher Pflichten sind Bereiche, die im deutschen Gesetz detaillierter geregelt sind.
Achtung: Um datenschutzkonforme Prozesse sicherzustellen, müssen Unternehmen, die in Deutschland tätig sind, sowohl die Vorgaben der DSGVO als auch des BDSG befolgen.
Das Verbot mit Erlaubnisvorbehalt im Datenschutz in der Praxis
In der Praxis begegnet Ihnen das Verbot mit Erlaubnisvorbehalt in verschiedenen Situationen im Unternehmensalltag – etwa, wenn es darum geht Kundendaten zu verarbeiten. Ist diese Verarbeitung irrelevant für die Erfüllung eines Vertrags oder besteht von Unternehmensseite kein berechtigtes Interesse für die Datenverarbeitung, ist diese ohne Einwilligung der Betroffenen unzulässig.
Dies ist zum Beispiel bei E-Mail-Werbung der Fall: Regelmäßig ist diese nur mit Einwilligung der betroffenen Kunden möglich. Dabei ist es egal, ob der Kunde Verbraucher ist oder selbst Unternehmer.
Gesetzliche Regelungen wie die DSGVO und das BDSG legen eindeutig fest, wann eine Verarbeitung erlaubt ist. Ihre Einhaltung ist entscheidend, wenn Sie Ihr Unternehmen vor Bußgeldern schützen möchten.
Häufig gibt es in der Praxis jedoch Missverständnisse bezüglich der rechtmäßigen Verarbeitung und der Erfüllung gesetzlicher Pflichten. So können Unternehmen irrtümlich davon ausgehen, dass das bloße Vorliegen von Daten eine Verarbeitung rechtfertigt, obwohl eine Rechtsgrundlage fehlt.
DSGVO-Erlaubnisvorbehalt in der Praxis: Was Unternehmen beachten müssen
Unternehmen haben die Pflicht, den Schutz personenbezogener Daten sicherzustellen, indem sie datenschutzkonforme Prozesse implementieren. Sie sollten in jedem Fall prüfen, welche Rechtsgrundlage nach Artikel 6 DSGVO einschlägig ist. Dazu gehört die gründliche Analyse der Zwecke der Datenverarbeitung.
Die Missachtung des Verbots mit Erlaubnisvorbehalt kann schwerwiegende Folgen für Unternehmen haben. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. Neben finanziellen Strafen droht auch ein erheblicher Reputationsverlust, wenn Datenschutzverstöße öffentlich werden.
Die Einwilligung der betroffenen Person ist nur eine von mehreren Möglichkeiten, die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten. Ihr Datenschutzbeauftragter sorgt dafür, dass Sie alle Möglichkeiten ausschöpfen.
Erfahren Sie, welche Vorteile ein externer Datenschutzbeauftragter für Ihren Unternehmenserfolg bringt.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
.jpg)
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
