19.10.2023 Übersicht

Datenschutz-Legitimation oder Einwilligung?

Datenschutz-Legitimation oder Einwilligung?

Was ist der Unterschied zwischen einer Datenschutz-Legitimation und einer Einwilligung? Diese Frage bekommen wir recht oft – dabei ist die Antwort sogar relativ einfach.

Kurz zum Hintergrund: DSGVO und Verhaltensdaten

Die Speicherung von Stammdaten (E-Mail, Vor- und Nachname) ist normalerweise datenschutzrechtlich unproblematisch. Denn jedem Betroffenen muss klar sein, dass Sie diese Daten speichern müssen, um einen Newsletter verschicken zu können.

Bei den Verhaltensdaten ist das jedoch anders. Einem Newsletter-Leser muss nicht klar sein (und es ist ihm/ihr normalerweise auch nicht klar), dass es möglich ist, Öffnungs- oder Klickverhalten zu analysieren. Deshalb verlangt die DSGVO eine Rechtsgrundlage – auch Legitimation genannt.

Wichtig: Diese Legitimation ist nur notwendig, wenn Sie Verhaltensdaten auf Personenebene erfassen! Wenn Sie also lediglich aggregierte Daten verarbeiten (also zum Beispiel nur die allgemeine Öffnungsrate oder wie viele Personen auf einen bestimmten Link geklickt haben), so ist das normalerweise ohne weiteres datenschutzrechtlich zulässig!

 

Was kann eine Legitimation sein?

Es gibt mehrere mögliche solcher Rechtsgrundlagen. Die wichtigsten sind:

  • Gesetzliche Verpflichtung: Diese Legitimation trifft zu, wenn es eine gesetzliche Regelung gibt, die Ihnen die Analyse der Verhaltensdaten vorschreibt bzw. erlaubt. Im Newsletter-Kontext wird das nur selten der Fall sein.
  • Vertragserfüllung: Ebenso könnten Sie diese Daten benötigen, um vertragliche Verpflichtungen erfüllen zu können. Das kann durchaus sein, hängt aber natürlich sehr stark von Ihren Geschäftsabläufen und der vertraglichen Ausgestaltung ab.
  • Berechtigtes Interesse: Die DSGVO sieht weiters vor, dass eine Verarbeitung von personenbezogenen Verhaltensdaten zulässig ist, wenn Sie argumentieren können, dass Ihr Interesse an der Verarbeitung dieser Daten höher zu bewerten ist als das Interesse des Betroffenen auf Schutz der Daten. Über diese Frage gibt es viele Diskussionen und es scheiden sich hier die Geister: Manche Datenschutz-Experten halten das für legitim, andere streiten das ab. Noch gibt es dazu leider keine belastbaren Aussagen der Datenschutzbehörden. Deshalb ist das aktuell ein Graubereich.
  • Einwilligung durch den Betroffenen: Last, but not least können Sie den Leser einfach um sein Einverständnis bitten. Wenn er in die Verarbeitung dieser Verhaltensdaten einwilligt, dann verfügen Sie damit über eine ausreichende rechtliche Grundlage, die Daten verarbeiten zu dürfen. Die Erfahrung zeigt, dass es durchaus möglich ist, diese Einwilligung auch zu bekommen. Wichtige Voraussetzung dafür sind einige Formvorschriften (der Betroffene muss verständlich informiert werden, die Einwilligung muss ohne Zwang erfolgen, usw).

Eine (datenschutzrechtliche) Einwilligung ist also EINE – von mehreren möglichen – Rechtsgrundlage für die Verarbeitung von personenbezogenen Verhaltensdaten.

 

Das grundlegende Problem mit der Einwilligung

Die datenschutzrechtliche Einwilligung hat ein strukturelles Problem: Sie kann vom Betroffenen jederzeit, auch ohne Angabe von Gründen, widerrufen werden.

Damit fällt allerdings die Rechtsgrundlage für die Verarbeitung der personenbezogenen Verhaltensdaten weg! Das bedeutet, dass solche Daten für diesen konkreten Empfänger nicht weiter gesammelt werden dürfen (und je nach Formulierung der Einwilligung müssen möglicherweise auch die historischen Daten gelöscht werden).

Wenn Ihr Newsletter-System einen solchen datenschutzrechtlichen Widerruf der Einwilligung nicht für einzelne Empfänger abbilden kann, müsste der Empfänger sogar komplett gelöscht werden. Deshalb wäre es wichtig, dass man für jeden Empfänger getrennt definieren kann, ob für ihn/sie personenbezogene Verhaltensdaten erfasst werden dürfen oder nicht.

Fazit: Grundsätzlich ist es für Sie einfacher und besser, eine andere rechtliche Grundlage für die Verarbeitung der Verhaltensdaten heran zu ziehen als eine Einwilligung – weil alle anderen eben nicht widerrufen werden können. In der Praxis stehen die anderen Möglichkeiten jedoch nicht immer zur Verfügung, so dass man oft auf die Einwilligung angewiesen ist.

 

Hinweis für Dialog-Mail Kunden: Sie können in Dialog-Mail alle möglichen Rechtsgrundlagen abbilden, auch eine vertragliche Verpflichtung, ein berechtigtes Interesse und natürlich auch eine Einwilligung durch den Betroffenen. Ebenso können die Verhaltensdaten auf Empfänger-Ebene anonymisiert oder verarbeitet werden. Weitere Details finden Sie auf der Seite mit unseren Datenschutz-Funktionen.

Möchten Sie mehr?

In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.

Newsletter-Kuvert