Überprüfen Sie jede Verarbeitungstätigkeit auf ihre Rechtmäßigkeit. Dies bildet die Grundlage für jede Verarbeitungstätigkeit.

Ihre Geschäftspartnerin / Ihr Geschäftspartner hat der Verarbeitung ausdrücklich und unmissverständlich zugestimmt. Diese Zustimmung erfolgt jeweils für einen konkreten Fall (Newsletter, Mailings, Angebote, …) und unterliegt dem Kopplungsverbot.

• Daraus ergibt sich, dass die Einwilligung nicht in den AGBs oder anderen Dokumenten „versteckt sein darf“.
• Die Einwilligung darf nicht im Vertrag impliziert sein. Es muss ein dezidiertes Opt-In geben, der Vertrag muss auch ohne Einwilligung zur Datenverwendung abgeschlossen werden können.
• Die Einwilligung muss explizit erfolgen. Z.B. können Sie die notwendigen Einwilligungen in klarer, einfacher Sprache aufzählen und neben jeder sowohl die Zustimmung ankreuzen lassen als auch eine Unterschrift einholen. Wir vertreten jedoch die Meinung, dass – wenn ich jede Einwilligung ankreuzen lasse, auch eine gemeinsame Unterschrift für alle Einwilligungen ausreichend ist. Details dazu liefert der Art. 7 der DSGVO.
• Die Datenverwendung unterliegt auch den Informationspflichten, d.h., der Hinweis auf Widerruf der Einwilligung, an wen dieser zu erfolgen hat etc. sollte bei der Einwilligungserklärung aufscheinen.

Für die Verarbeitung „sensibler Daten“ ist eine „ausdrückliche Einwilligung“ erforderlich. 

Besondere Rechte gelten auch bei der Einwilligung von Kindern. Diese sind nur rechtmäßig wenn das Kind das 16. Lebensjahr vollendet hat (lt. DSGVO). Das österreichische DSG2018 setzt diese Altersgrenze mit dem vollendeten 14. Lebensjahr an. Für jüngere Kinder ist die Einwilligung / Zustimmung durch den Erziehungsberechtigten vorgeschrieben.

Die Verarbeitung zur Erfüllung eines Vertrags ist dann rechtmäßig, wenn

• die betroffene Person Vertragspartei ist oder
• eine Anfrage der betroffenen Person vorvertragliche Maßnahmen notwendig macht.

Die Aufnahme einer natürlichen Person unter der Grundlage der Vertragserfüllung in eine Kunden- oder Lieferantenkartei ist nicht in der Vertragserfüllung inkludiert.

Hier sind alle rechtlichen Verpflichtungen gemeint, denen der Verarbeiter der Daten unterliegt. Das wären z.B. die Lohnverrechnung, steuerrechtliche Vorschriften und ähnliches.

Der Schutz von lebenswichtigen Interessen einerseits der betroffenen Person oder einer anderen natürlichen Person rechtfertigt die Verarbeitung der personenbezogenen Daten.

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Der Schutz der Interessen sowie der Grundrechte und Grundfreiheiten einer betroffen Person steht immer an oberster Stelle. Wenn diese Rechte nicht überwiegen, ist eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten zulässig.