Warum werde ich in diesen Monaten von Anfragen zur Einwilligung überschwemmt?

Miniatur

Eine der sechs Möglichkeiten, die die GDPR für eine rechtmäßige Datenverarbeitung vorsieht, ist die ausdrückliche Zustimmung. Unternehmen haben unsere Daten, ohne Kunden bei ihnen zu sein, weil wir sie ihnen irgendwann für eine bestimmte Aktion zur Verfügung gestellt haben (z. B.: Kundenkarten in Supermärkten, kostenlose Newsletter, die wir abonniert haben etc...).

Da kein Kundenverhältnis besteht und es keinen rechtlichen Vertrag gibt, der die Verarbeitung dieser Daten rechtfertigt (die Verarbeitung ist die bloße Tatsache, dass man Ihre Daten aufbewahrt, auch wenn Sie nichts damit machen!), und auch keine rechtliche Verpflichtung dazu besteht (es gibt viele Branchen, die im Gegensatz zu Banken oder Versicherungen sehr schlecht reguliert sind), greifen wir auf ein berechtigtes Interesse oder eine ausdrückliche Einwilligung zurück.

Das berechtigte Interesse war bereits in der vorherigen Richtlinie der Europäischen Union von 1999 enthalten, aber es wurde in LOPD nicht weiter ausgearbeitet, da es schwierig ist, es nachzuweisen, da man die Gewichtung der Rechte und Interessen beider Parteien beurteilen muss, Risiken bewerten muss etc.. In Anbetracht dieser Umstände bleibt die Einwilligung schließlich der schnellste Weg, um zu beweisen, dass die Verarbeitung rechtmäßig ist. Aber damit ist Vorsicht geboten, denn die Einwilligung muss gültig sein; die Einwilligung kann heute erteilt werden, aber morgen auch schon wieder entzogen worden sein, sie ist nicht ewig gültig.

Titel III des Gesetzes 34/2002 über die Dienste der Informationsgesellschaft (LSSI) ist für die Einholung von Einwilligungen zuständig, es sei denn, es gibt eine andere Rechtsgrundlage. Das heißt, die GDPR hat in diesem Sinne nichts Neues erfunden. Der Unterschied liegt darin, dass LOPD besagte, dass eine stillschweigende Einwilligung (Untätigkeit oder vormarkierte Kästchen) ausreichend ist. Dies ist nun nicht mehr gültig, weil GDPR festlegt, dass die Einwilligung in jedem Fall ausdrücklich sein muss. LOPD bleibt auch weiterhin in Kraft, aber wenn es inkompatible Punkte gibt, richtet man sich nach der GDPR.