Rechtmäßigkeit der Verarbeitung

Die DSGVO ist grundsätzlich eine Verbotsregelung mit Erlaubnisvorbehalt, d.h. es ist alles verboten, was nicht ausdrücklich erlaubt ist. Dies gilt insbesondere für die Rechtmäßigkeit der Verarbeitung.

 

Folgende Bedingungen stellen nach DSGVO eine rechtmäßige Verarbeitung dar:
  a. Die Einwilligung für die Zwecke der Datenverarbeitung wurde erteilt (Art. 6 Abs. 1 S. 1 lit. a DSGVO)
  b. Die Verarbeitung dient der Erfüllung eines Vertrages oder Vorvertrages (Art. 6 Abs. 1 S. 1 lit. b DSGVO)
  c. Es besteht eine rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO)  oder ein öffentliches Interesse (Art. 6 Abs. 1 S. 1 lit. e DSGVO) für die Verarbeitung
  d. Es besteht ein berechtigtes Interesse des Verantwortlichen, was dem Schutzinteresse des Betroffenen überwiegt (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Das ist insbesondere der Fall, wenn
     i. Der Betroffener Kunde oder Mitarbeiter ist und
     ii. eine Direktwerbung für ähnliche Produkte (siehe § 7 Abs. 3 UWG) vorliegt.

 

Immer wenn Sie sich auf Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage berufen wollen, sollten Sie die Interessenabwägung auch tatsächlich vornehmen und das Ergebnis zu Beweiszwecken verschriftlichen, bspw. im jeweiligen Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO).

 

Sich pauschal Einwilligungen Ihrer Kunden zu holen, um sich darauf berufen zu können, ist nicht ratsam, da zum einen die Gefahr besteht, dass gar keine wirksame Einwilligung vorliegt und sie jederzeit damit rechnen müssen, dass der Kunde die Einwilligung wiederruft. Sofern Sie die Verarbeitung also auf andere Rechtsgrundlagen stützen können, sollten Sie das vorwiegend tun. Ansonsten gilt es, sich genau vor Augen zu führen, was eine Einwilligung für Voraussetzungen hat. Eine Einwilligung ist eine freiwillige Willensbestätigung in informierter Weise. Das heißt, Sie müssen zum einen über den genauen Zweck sowie die dazu benötigten personenbezogenen Daten belehren und sie dürfen eine Einwilligung z.B. in Form einer Checkbox zum Ankreuzen nicht als Pflichtfeld gestalten, da es sonst an der Freiwilligkeit fehlt (wer freiwillig ‚ja‘ sagen soll, muss auch ‚nein‘ sagen können, ohne dass dies Konsequenzen hat). Auch muss der Betroffene darauf hingewiesen werden, dass eine Einwilligung jederzeit und auf welchem Wege widerrufen werden kann. Kosten dürfen ihm dafür keine entstehen, ausgenommen beispielsweise gewöhnliche Telefonkosten (Festnetztelefonie).   

 

Sie sollten deshalb trennen zwischen

  1. Daten, die ihnen ein Teilnehmer gibt, um an einer bestimmten Veranstaltung teilzunehmen (also notwendige Daten, um an der Veranstaltung teilzunehmen)
  2. Dem Recht, ihn danach zu weiteren Veranstaltungen einzuladen oder zu kontaktieren.

Die Rechtslage, ob man bei öffentlichen Registrierungen für eine Veranstaltung überhaupt eine Einwilligung für Punkt 1 braucht, ist umstritten. Teilweise wird angenommen, dass im Ausfüllen des Formulars selber eine (konkludente) Einwilligung liegt. In dem Fall würde ein Verweis auf Ihre Datenschutzerklärung ausreichen. Fragen Sie dazu bei Bedarf bitte bei der für Sie zuständigen Aufsichtsbehörde bzw. Ihrer/m Landesdatenschutzbeauftragte/n an, wie dies in Ihrem Bundesland gehandhabt wird.