Verbot mit Erlaubnisvorbehalt in der DSGVO

Bei dem Verbot mit Erlaubnisvorbehalt in der DSGVO handelt es sich um ein Rechtsprinzip. Laut diesem zeigt sich die genannte Sache – beispielsweise das Sammeln von Daten – grundsätzlich verboten, sofern keine ausdrückliche Erlaubnis besteht. Im Datenschutzrecht erweist sich dies als grundlegendes Prinzip, wenn es um die Erhebung, Verarbeitung und Nutzung personenbezogener Daten geht. Gesetzliche Regelungen erlauben unter Umständen die Datensammlung. Zusätzlich ermöglicht die Einwilligung der Internetbesucher, Daten zu ihrem Surfverhalten mithilfe von Cookies zu speichern.

Was ist ein Verbot mit Erlaubnisvorbehalt und für wen gilt es?

Ein Verbot mit Erlaubnisvorbehalt ist in der DSGVO, der Datenschutzgrundverordnung, zu finden. Die Bezeichnung steht für ein grundsätzliches Verbot einer Handlung. Damit diese zulässig ist, braucht es die ausdrückliche Erlaubnis des Gesetzgebers oder der Betroffenen.

Im Datenschutzrecht herrscht dieser Grundsatz, wenn es um das Erheben und Verarbeiten personenbezogener Daten geht. Gleichermaßen spielt er beim Speichern von Nutzerdaten eine Rolle.

Das gegenteilige Prinzip besteht in der Erlaubnis mit Verbotsvorbehalt. Dieses besteht beispielsweise bei öffentlichen Veranstaltungen. Diese sind erlaubt, sofern keine konkreten Gründe für ein Verbot sprechen. Im BDSG – dem Bundesdatenschutzgesetz – regelt der Paragraf 4 Absatz 1 das Verbot mit Erlaubnisvorbehalt.

Dieser Leitfaden erhält für alle Webseitenbetreiber und Internetnutzer Bedeutung. Daher verwundert es nicht, dass sich viele User fragen: „Was ist ein Verbot mit Erlaubnisvorbehalt?“.

Bezüglich der Zulässigkeit beim Erheben, Verarbeiten und Nutzen von Daten stellt das Bundesdatenschutzgesetz klare Regeln auf. Sie besagen, dass die Erlaubnis für diese Handlungen besteht, sofern das Gesetz oder eine andere Rechtsvorschrift sie erteilt. Des Weiteren erweist sich das Sammeln von Daten zulässig, sofern die User ihre Einwilligung erteilen. Nutzen Webseitenbetreiber Cookies DSGVO-konform, holen sie beim ersten Seitenaufruf von den Seitenbesuchern die Erlaubnis ein.

Handeln sie zuwider der DSGVO, sind Geldbußen zu erwarten. Das Verbotsprinzip mit Erlaubnisvorbehalt bedeutet im Datenschutz das grundsätzliche Verbot jeglicher Datennutzung. Diese zeigt sich dann zulässig, wenn das Gesetz sie erlaubt oder die Betroffenen ihr Einverständnis erteilen. Sie willigen aktiv in die Datensammlung und -verarbeitung ein. Vorangekreuzte Cookie-Hinweise stellen eine rechtliche Grauzone dar.

verbot mit erlaubnisvorbehalt dsvgo

Lesen Sie mehr:

Die Anwendung des Verbots mit Erlaubnisvorbehalt in der DSGVO

Die Mehrzahl der Websites im Internet nutzt Cookies, um Nutzerdaten zu sammeln und zu analysieren. Die Daten erlauben einen Rückschluss auf das Kaufverhalten der User. Demzufolge erhalten sie beispielsweise personalisierte Werbung. Das Verbot mit Erlaubnisvorbehalt dient dem Schutz der Internetnutzer und ihrer Daten. Ähnlich verhält es sich mit Art. 22 in der DSGVO.

Das Verbotsprinzip mit Erlaubnisvorbehalt besagt, dass die User vor einer Datenerhebung in diese einwilligen. Absatz 2 des Paragrafen 4 im Bundesdatenschutzgesetz zeigt die Bedingungen für die zulässige Nutzerdatenerhebung an. Diese sammeln beispielsweise Webseitenbetreiber ausschließlich bei den jeweiligen Usern. Ausnahmen bestehen, wenn:

  • das Gesetz diese vorschreibt,
  • die direkte Erhebung mit einem zu hohen Aufwand einhergeht oder
  • die Fremderhebung zweckdienlich ist.

In allen Fällen erweist sich das Einverständnis der Internetnutzer als ausschlaggebender Faktor. Akzeptieren diese beispielsweise den Cookie-Hinweis, stimmen sie der Datenerhebung zu. Diese Zustimmung erfolgt grundsätzlich schriftlich.

Die Voraussetzung für die Erlaubniserteilung besteht in der umfassenden Information über den Zweck der Datenerhebung und -verarbeitung. Ein Sonderfall existiert bei einer bestimmten Art personenbezogener Daten, die hochsensibel sind. Diese fasst Paragraf 3 Abs. 9 der Datenschutzgrundverordnung zusammen. Sie bestehen in:

  • politischen Meinungen,
  • ethnischer Herkunft,
  • Gewerkschaftszugehörigkeit,
  • Gesundheitsdaten,
  • Daten zum Sexualleben sowie
  • weltanschaulichen und religiösen Überzeugungen.

Hierbei bezieht sich die Einwilligung ausdrücklich auf diese Daten. Andernfalls erweist sich das Sammeln der sensiblen Nutzerdaten als rechtswidrig.

Für wen gilt die Datenschutzgrundverordnung?

Bei der DSGVO handelt es sich um eine EU-Verordnung. Die Vorschrift gilt in der gesamten Europäischen Union. Sie regelt das Datenschutzrecht und somit den Umgang von Unternehmen und Webseitenbetreibern mit personenbezogenen Daten. Mit Wirksamkeit der DSGVO erfolgte zeitgleich eine Neuverfassung des Bundesdatenschutzgesetzes.

Die DSGVO vereinheitlicht innerhalb der EU das Datenschutzrecht. Folglich können die europäischen Nutzer darauf vertrauen, dass in der Europäischen Union überwiegend einheitliche Datenschutzrechte gelten. Vor der Verordnung wiesen die Länder teilweise stark variierende Standards auf.

Die DSGVO gilt für Unternehmen mit Sitz außerhalb der EU, sofern die Daten von Personen aus der Europäischen Union erheben und verarbeiten. Das zweite Ziel der Verordnung besteht in der Steigerung der Datenschutzfreundlichkeit der Nutzer. Diese erhalten die Hoheit über ihre Daten.

Hohe Bußgelder sollen sicherstellen, dass sich soziale Netzwerke und Cloud-Dienste an diesen Grundsatz halten. Die Datenschutzgrundverordnung betrifft alle Unternehmen, die im Internet aktiv sind. Sie beeinflusst:

  • die Speicherung von Kundendaten,
  • Nutzer-Tracking,
  • Newsletter und Werbe-E-Mails,
  • personalisierte Werbung auf den sozialen Netzwerken,
  • die Datenschutzerklärung der Firmen.

Der wichtigste Anknüpfpunkt beim Anwendungsbereich der DSGVO besteht in den personenbezogenen Daten. Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierbare Person beziehen. Der Begriff „identifizierbar“ bezeichnet eine Person, der beispielsweise Unternehmen direkt oder indirekt Daten zuordnen können. Diese Kennung liegt als Beispiel bei einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen vor.

Zu den personenbezogenen Daten gehören:

  • Name,
  • Adresse,
  • E-Mail-Adresse,
  • Geburtsdatum,
  • Telefonnummer,
  • Kontodaten,
  • Kfz-Kennzeichen sowie
  • IP-Adresse.

Des Weiteren erweisen sich Cookies als personenbezogen, da sie teilweise das Surf- und Kaufverhalten der User speichern.

Seit wann gilt die DSGVO in der Europäischen Union?

Am 25. Mai 2016 trat die Datenschutzgrundverordnung offiziell in Kraft. Allerdings besteht für Unternehmen und Webseitenbetreiber innerhalb der EU-Mitgliedsstaaten erst seit dem 25. Mai 2018 die Verpflichtung, die DSGVO verbindlich anzuwenden. Da es sich um eine Verordnung innerhalb der EU handelt, gilt sie direkt. Folglich müssen die einzelnen Staaten sie nicht im nationalen Recht umsetzen.

Dennoch existieren für die einzelnen Länder in bestimmten Bereichen Spielräume bei der Ausgestaltung. Das sorgt dafür, dass in der Europäischen Union keine zu 100 Prozent einheitliche Rechtslage herrscht.

Auf welcher Grundlage werden personenbezogene Daten verarbeitet?

Unter der Datenschutzgrundverordnung gilt das Rechtsprinzip des Verbots mit Erlaubnisvorbehalt. Sofern keine rechtliche Grundlage als Legitimation für die Datenverarbeitung vorliegt, erweist sich diese als verboten.

Aber auf welcher Grundlage werden personenbezogene Daten verarbeitet?

Artikel 6 in der DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung. Diese erweist sich unter folgenden Bedingungen als rechtskonform:

  • Sie ist aufgrund einer Interessenabwägung erforderlich.
  • Sie erweist sich in Ausübung öffentlicher Gewalt als unabdingbar.
  • Das Sammeln von Daten erhält zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe Relevanz.
  • Die Datenerhebung spielt beim Erfüllen einer rechtlichen Verpflichtung eine Rolle.
  • Sie dient der Erfüllung eines Vertrags oder dem Durchführen vorvertraglicher Maßnahmen.
  • Die Einwilligung der betroffenen Personen liegt vor.
  • Das Sammeln der Daten dient dem Schutz lebenswichtiger Interessen.

Um sich rechtlich abzusichern, holt die Mehrzahl der Unternehmen für beinahe jede Datenverarbeitung eine Einwilligung ein. Existiert eine andere Rechtsgrundlage für das Verarbeiten personenbezogener Daten, ergibt es Sinn, auf diese zurückzugreifen.

Der Grund: Teilweise willigen Personen nicht freiwillig in die Datenerhebung ein. Das geschieht beispielsweise, wenn sie vornehmlich öffentlichen Interessen dient. Des Weiteren besteht die Gefahr, dass die Betroffenen ihr Einverständnis zurückziehen. In dem Fall gibt es für die Unternehmen keine Möglichkeit, die Daten zur vertraglichen Erfüllung zu nutzen.

Um das Risiko zu verhindern, prüfen die Firmen im Vorfeld, ob sich die Datenerhebung auf eine andere Rechtsgrundlage stützt. Diese erhält Vorrang gegenüber der Einwilligung aufgrund der rechtlichen Beständigkeit.

Wie sieht die Rechtslage in Deutschland aus?

Vor Inkrafttreten der DSGVO regelte Paragraf 4 Absatz 1 BDSG das Verbot mit Erlaubnisvorbehalt im Datenschutz. Die indizierte Rechtswidrigkeit ergab sich durch die Formulierung, dass die Datenverarbeitung nur aufgrund einer Gesetzeslage oder dem Einverständnis der Betroffenen zulässig sei. Seit Mai 2018 klärt die DSGVO die Rechtslage in Deutschland.

Die Rechtslage in Österreich gleicht jener in Deutschland

In Österreich galt vor der DSGVO das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt im Rahmen den DSG Paragraf 7 Abs. 1 sowie der Paragrafen 8 und 9. Seit 2016 orientiert sich die Rechtslage in Österreich in Bezug auf die Datenverarbeitung den der Datenschutzgrundverordnung.

Seit Mai 2018 dient sie als Grundlage des allgemeinen Datenschutzrechts. Im Gegensatz zur alten Datenschutzrichtlinie zeigt sie sich in Österreich unmittelbar anwendbar. Das Datenschutzgesetz, DSG genannt, ergänzt die Datenschutzgrundverordnung.

Ein Überblick über die Rechtslage in der Schweiz

Im Gegensatz zum europäischen Recht gilt im Datenschutzrecht der Schweiz kein Verbot mit Erlaubnisvorbehalt. Die Rechtslage in der Schweiz bezieht sich auf die Erlaubnis mit Verbotsvorbehalt. Dementsprechend zeigt sich das Sammeln und Verwerten von Nutzerdaten zulässig, sofern kein Widerspruch entsteht.

Art. 12 des Datenschutzgesetzes in der Schweiz erlaubt die Datenbearbeitung grundsätzlich, wenn die Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze stimmt. Diese regeln die Artikel 4, 5 und 7. Kommt es zur Verletzung dieser Grundprinzipien, erweist sich die Bearbeitung der Daten als rechtfertigungsbedürftig. Der Fall tritt beispielsweise ein, wenn die betroffene Person den Zweck der Datenbeschaffung nicht nachvollziehen kann.

Als Rechtfertigungsgründe in Betracht kommen laut Art. 13:

  • das überwiegende öffentliche Interesse,
  • eine gesetzliche Erlaubnis oder die
  • Einwilligung der Betroffenen.

Das könnte Sie interessieren:

Die Erlaubnistatbestände in der DSGVO kurz erklärt

Als Erlaubnistatbestände in der DSGVO gelten das Sammeln, Auswerten und Aufbewahren von Nutzerdaten, wenn eine der Grundlagen der Datenbearbeitung erfüllt ist. Folglich reicht es, wenn eine Person ihre Einwilligung zur Datenspeicherung gibt. Ob diese Nutzerdaten dem öffentlichen Interesse dienen, spielt im Anschluss keine Rolle.


Redakteur Marek Hansen
Nach oben
×
Dein Bonus Code:
Das Bonusangebot hat sich bereits in einem weiteren Fenster geöffnet. Falls nicht, kannst du es aber auch nochmal über den folgenden Link öffnen:
Zum Anbieter