Nicht-Einwilligen verhindert nicht immer Datenverarbeitung!

In der Datenschutzpraxis taucht eine Frage immer wieder auf – bei Unternehmen ebenso wie bei Privatpersonen: Reicht es aus, einfach keine Einwilligung zu geben? Oder muss ich aktiv widersprechen, wenn ich nicht möchte, dass meine Daten verarbeitet werden? Die DSGVO verlangt für viele Arten der Datenverarbeitung eine Einwilligung – etwa bei Newslettern, Tracking, App-Funktionen oder optionalen Zusatzdiensten. Doch was viele nicht wissen: Allein das Nicht-Einwilligen verhindert nicht immer automatisch eine Verarbeitung. Gerade bei technisch komplexen Systemen können Daten auch ohne bewusste Nutzung verarbeitet werden.

Ein anschauliches Beispiel für diese Konstellation sind smarte Gebäudetechnologien, die zunehmend auch in gewerblich genutzten Mietobjekten verbaut werden. Unternehmen, die solche Flächen nutzen, stellen sich zu Recht die Frage: Müssen wir aktiv werden, obwohl wir die smarten Funktionen gar nicht nutzen – und auch nicht eingewilligt haben? Der folgende Beitrag beantwortet diese Frage praxisnah und rechtlich fundiert – mit Blick auf Verantwortlichkeiten, technische Absicherung und Handlungsspielräume.

Smarte Technik im Mietobjekt

Immer häufiger stattet der Gebäudeeigentümer gemietete Räume mit smarten Geräten aus: vernetzte Rauchwarnmelder mit Raumklima-Sensorik, Sprachassistenten oder Anwesenheitssensoren. Als Mieterunternehmen, das diese Funktionen gar nicht nutzen will, stellt sich die dringende Frage:

Reicht das Nicht-Einwilligen aus – oder muss man aktiv widersprechen?

1. Rechtsgrundlagen: Einwilligung vs. Datenverarbeitung

Die DSGVO verlangt eine aktive, informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Verarbeitungsvorgänge ohne andere Rechtsgrundlage.

Wer also nicht einwilligt, darf – formal betrachtet – bereits auf diese Datenverarbeitung verzichten.

Gleichzeitig schreibt die DSGVO verbindlich vor, dass Privacy by Design und Privacy by Default bereits im Gerätedesign anzuwenden sind (Art. 25 DSGVO). Smarte Geräte sollten datenschutzfreundlich voreingestellt sein.

2. Systemrealität: Technik arbeitet oft automatisch – auch im Hintergrund

Viele smarte Systeme arbeiten „im Hintergrund“:

• Sie senden kontinuierlich Daten wie Temperatur oder Luftfeuchtigkeit.
• Sprachassistenten laufen im Standby-Modus und lauschen potenziell auf Aktivierungswörter.
• Gerätedaten (z. B. Seriennummer, Standortprofil) werden automatisiert übertragen.

Diese Mechanismen können bereits als personenbezogene Datenverarbeitung gelten, unabhängig davon, ob das Unternehmen die Funktionen nutzt oder eine Einwilligung gegeben hat. Technisch inaktive Geräte sind daher entscheidend.

3. Wenn der Vermieter smart deaktiviert hat: Kein Widerspruch erforderlich

Wird vom Vermieter bestätigt, dass die smarten Zusatzfunktionen technisch deaktiviert, nicht angeschlossen oder unterbrochen sind – und es erfolgt keine Datenverarbeitung –, ist kein formeller Widerspruch notwendig. Das DSGVO-Widerspruchsrecht (Art. 21) setzt eine bestehende Verarbeitung voraus – ist diese nicht gegeben, entfällt der Anwendungsfall für Widerspruch.

Wichtiger Hinweis: Dokumentation der Deaktivierung schafft Nachvollziehbarkeit und Datenschutzsicherheit – und stimmt mit dem DSGVO-Prinzip „Rechenschaft“ überein.

4. Empfohlene Maßnahmen trotz Nicht-Widerspruch

5. Orientierung am „Stand der Technik“

Gemäß DSGVO müssen technische und organisatorische Maßnahmen dem Stand der Technik entsprechen (Art. 32, Art. 25). Das bedeutet:

• Smarte Zusatzfunktionen müssen hardware- bzw. softwareseitig deaktivierbar sein.
• Dokumentierte Deaktivierung ist Teil angemessener TOMs.
• Die Maßnahmen müssen bewertet und regelmäßig überprüft werden – idealerweise im Rahmen eines Datenschutz-Audits.

6. Reaktionen auf technische Änderungen

Sollte der technische Status sich verändern – etwa durch eine Reaktivierung durch den Vermieter im Rahmen eines Updates, die Installation neuer Geräte oder einen Betreiberwechsel, dann ist unverzüglich zu prüfen, ob eine Datenverarbeitung beginnt. In diesem Fall können folgende Schritte notwendig werden:

1. Neue Prüfung einleiten: Welche Daten werden erfasst?
2. Widerspruch aktiv erklären: Art. 21 DSGVO ermöglicht den Widerstand gegen nicht zulässige Verarbeitung.
3. Gegebenenfalls DSFA prüfen: Falls hohes Risiko besteht, kann eine Datenschutz-Folgenabschätzung erforderlich sein (Art. 35 DSGVO).
4. Dokumentation aktualisieren: Veränderung im VVT vermerken.

7. Fazit

Ihr Unternehmen muss:

• keine Einwilligung geben – und
• keinen Widerspruch erklären, sofern wirklich keine – technisch deaktivierte – Verarbeitung erfolgt.

Dennoch:

• Dokumentieren Sie die Deaktivierung als Nachweis für Datenschutz-Compliance.
• Kommunizieren Sie intern transparent, um Unsicherheit zu vermeiden.
• Halten Sie sich an den Stand der Technik und passen Sie das Datenschutzkonzept kontinuierlich an.

Sie haben smarte Geräte – wir prüfen, was zu tun ist

Ihr Unternehmen ist Mieter oder Nutzer in einem Objekt mit smarter Gebäudetechnik? Sie sind sich unsicher, ob Funktionen aktiv sind oder ob eine Datenverarbeitung stattfindet?

Dann gilt: Wir prüfen das für Sie.

• Sie nutzen die Funktionen nicht? Wir helfen bei der rechtssicheren Dokumentation – ohne unnötige Formalien.
• Sie möchten die Funktionen nutzen? Dann prüfen wir die Rechtsgrundlage, erstellen geeignete Informationspflichten, verankern den Umgang im VVT – und gestalten die Einwilligungsprozesse DSGVO-konform.
• Sie vermuten eine ungewollte Verarbeitung? Wir prüfen die Rechtslage und zeigen Handlungsoptionen auf.

Egal ob Rauchwarnmelder, Sprachassistent oder smarte Sensorik – wir sorgen dafür, dass Sie datenschutzrechtlich auf der sicheren Seite stehen.

Sie möchten wissen, ob Handlungsbedarf besteht?

Lassen Sie uns gemeinsam prüfen, was bei Ihrer smarten Gebäudetechnik zu tun ist – und was nicht. Denn: Smarte Technik ist nur dann eine Erleichterung – wenn sie auch datenschutzrechtlich gut geregelt ist. Wir helfen Ihnen dabei.