Grundsätzlich verneint die EU-DSGVO das Erheben und Verarbeiten von personenbezogenen Daten. Jedoch ist dies möglich, wenn von den Betroffenen zuvor eine Einwilligung eingeholt wurde. Wird eine Einwilligung nicht getroffen, bleibt den Unternehmen nach der neuen EU-Verordnung meist nichts anderes möglich, als die entsprechenden Praktiken gar nicht erst anzuwenden. Oftmals berufen sich Firmen, die keine Einwilligung einholen (können) auf Interessensabwägungen oder schließen Verträge, welche die Verarbeitung erfordern bzw. vereinbaren. Dies ist jedoch sehr fragwürdig und muss im Einzelfall genauer betrachtet werden.
Es ist in jedem Fall ratsam sich Einwilligungen vorsorglich einzuholen, um sich gegen mögliche Klagen oder Ansprüche der Betroffenen zu schützen!
Grundlegende Fragen zur Einwilligung
Sie müssen sich, bevor Sie Bewilligungen zur Datenverarbeitung von Betroffenen einholen, zunächst ein paar wesentliche Grundgedanken machen:
- Wie leicht bzw. schwer ist es eine entsprechende Einwilligung einzuholen? Die einfachste und unkomplizierteste Form der Einwilligung geschieht im häufigsten Falle in Verbindung mit Onlineformularen. Z.B. erfordert die Registrierung eines volljährigen Nutzers die Einwilligung mittels Interaktion durch Anklicken eines dafür vorgesehenen Kästchens (Checkbox). Wesentlich komplizierter wird es, wenn die Einwilligung des Betroffenen schriftlich erfolgt.
Wird die Bewilligung zur Datenverarbeitung schriftlich durch die Betroffenen verlangt, sollten Unternehmen lieber davon Abstand nehmen. Es sei denn die Einwilligung ist zwingend erforderlich.
- Abwägung des Risikos: Besteht das Risiko vorhandene Geschäftsbeziehungen zu gefährden? Die Einwilligung zur Datenverarbeitung von bereits bestehenden Geschäftspartnern einzuholen kann unter Umständen die Beziehung zu Ihren Kunden oder Lieferanten beeinflussen. Sie sollten sich deshalb davor gründlich überlegen, ob Sie durch die Einwilligung Ihrem Geschäftspartner eventuell Vorteile z.B. durch Zusatzleistungen verschaffen können. Die Betroffenen sollten durch Einwilligungen in irgendeiner Form profitieren, ansonsten kann es schwierig werden.
Wichtig: Es ist untersagt, die Erbringung wichtiger Dienstleistungen an die Einwilligung zur Datenverarbeitung zu koppeln (Art. 7 Abs. 4 DSGVO)!
- Gibt es eventuell Gesetze, die die Rechtsfolge, Reichweite oder Wirksamkeit der Einwilligung einschränken? Oder gibt es formelle oder materielle Bedingungen für die Wirksamkeit der Bewilligung zur Datenverarbeitung? Als Beispiel wäre hier ein Unternehmen, dass hauptsächlich ihren Kundenkreis auf Jugendliche fokussiert: Hier wäre eine Einwilligung durch die Eltern bzw. der gesetzlichen Vertreter erforderlich.
- Könnte es Konflikte mit Behörden oder Betriebsräten geben? Oft sind vor allem Datenschutzbehörden skeptisch, sollte sich ein Unternehmen das Einverständnis zur Datenverarbeitung von seinen Arbeitnehmern einholen, da diese faktisch zur Abgabe gezwungen sind. Ob diese Vorgehensweise berechtigt ist muss von Fall zu Fall entschieden werden. Kontaktieren Sie bei Unklarheiten Ihren Datenschutzbeauftragten oder befragen Sie unter Umständen externe Berater bzw. Dienstleister.
- Was passiert, wenn Betroffene keine Einwilligung erteilen? Ist eine Einwilligung zur Datenverarbeitung Voraussetzung für weiter Abwicklungsschritte oder -prozesse, also für Sie als Unternehmer zwingend notwendig, sollten Sie sich überlegen, ob Sie überhaupt eine Einwilligung einholen sollten. Um Abmahnrisiken zu minimieren sollten Sie entsprechende Anpassungen in Ihren Datenschutzerklärungen (mehr zum Thema Datenschutzerklärung) vornehmen.
- Was wäre, wenn Betroffene Ihr Einverständnis zur Datenverarbeitung nach einer gewisser Zeit widerrufen? Nach den neuen Richtlinien der DSGVO steht es Betroffenen frei, Ihre Einwilligung zu jeder Zeit im Nachhinein zu widerrufen. Sie als Unternehmer sollten sich überlegen, ob es gesetzliche Möglichkeiten gibt eine Einwilligung des Betroffenen zu umgehen.
Oft ist fraglich, ob Unternehmen sich selbst schützen können, indem sie die Betroffenen vertraglich zur Übernahme der Kosten für Betriebsstörungen, Verluste und Kosten verpflichten, die aufgrund des Widerrufs entstehen.
- Halten Sie als Unternehmen alle Vorschriften und sonstige Rechtspflichten ein? Denn: Deutsche Verbraucherschutzorganisationen gehen konsequent gegen unlautere Vertragsklauseln vor.
- Sind Sie darauf vorbereitet, sich gegebenenfalls erneut an die Betroffenen zu wenden, um deren Einwilligung in Änderungen einzuholen, sollten Sie die Datenverarbeitung erweitern oder verändern?
Leitfaden für das Einholen von Einwilligungen
Für Einwilligungen gelten gesetzliche Bestimmungen und Voraussetzungen, die seitens der Unternehmen einzuhalten sind.
Nach europäischen Datenschutzgesetzen ist die Einwilligung z.B. nur dann wirksam, wenn sie durch eine Handlung erfolgt, mit der freiwillig, für den konkreten Fall, in informierender Weise bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten betroffen sind, muss die Einwilligung zusätzlich ausdrücklich erteilt werden. Die Einwilligung muss weiterhin unmissverständlich erklärt werden. – Lothar Determann „Datenschutz – International Compliance Field Guide“
Wie muss die Einwilligung erfolgen?
Freiwillig: Der Betroffene muss grundsätzlich freiwillig der Einwilligung zustimmen. Erzwungene Bewilligungen der Betroffenen zur Datenverarbeitung können generell aus unwirksam erachtet werden! Sollten eventuell Nachteile durch eine Nicht-Einwilligung für Betroffene entstehen, müssen diese ausreichend informiert werden. Weiterhin darf dadurch kein wesentlicher Druck auf die betroffene Person ausgeübt werden, die eine Bewilligung zur Datenverarbeitung erzwingen könnte.
Informierend: Vorgeschrieben ist, dass Betroffene vor der Einwilligung in informierender Weise ausreichende Informationen erhalten.
Vorherig: Die Bewilligung zur Datenverarbeitung muss erfolgen, bevor die einwilligungsbedürftige Handlung ausgeführt wird.
Gesondert: Einwilligungen sollen oftmals gesondert, oder separat eingeholt werden (unabhängig und nicht in Verbindung mit anderen Erklärungen). So sieht es das Gesetz vor. Sinn und Zweck ist es, den Betroffenen die Bedeutung desEinverständnis zur Datenverarbeitung besonders ins Gedächtnis zu rufen.
Ausdrücklich: Dies geschieht wesentlich im Rahmen der Einwilligungserteilung. So darf beispielsweise in einem Registrierungsformular ein entsprechendes Feld zum Einverständnis nicht bereits angeklickt („pre-checked“) sein. Eine Nicht-Einwilligung würde somit eine aktive Handlung des Betroffenen erfordern, was nach der neuen DSGVO nicht mehr zulässig ist. Es müssen aktive Schritte durch Betroffene vorgenommen werden um der Bewilligung Ausdruck zu verleihen. In Falle der Onlineregistrierung würde das „Opt-In“ oder besser noch das „Double Opt-In“ Verfahren Anwendung finden.
Schriftlich: Generell darf die Einwilligung in elektronischer Form eingeholt werden, vorausgesetzt es sind keine anderen Formerfordernisse vorgeschrieben. In bestimmten Fällen ist ein Einverständnis zur Datenverarbeitung erst durch eine handschriftliche bzw. elektronische Unterschrift wirksam. In seltenen Fällen ist diese sogar durch Zeugen oder eine Beurkundung vorgeschrieben.
Spezifisch: Dies bezieht sich beispielsweise auf die Reichweite des Einverständnis zur Datenverarbeitung (z.B. Regionen, Kategorien, Verantwortliche oder Verarbeitungszwecke) oder auf die Ausrichtung eines Dokuments, mit dem ein Unternehmen eine Einwilligung einholt (z.B. beschränkt auf Datenverarbeitung, Vertragsbedingungen, Produktbedienungsanleitungen oder Produktspezifikationen)
Ausdrückliche und Konkludente Einwilligung – Opt-in und Opt-out
Einwilligungen können mit dem „Opt-in“ als auch mit dem „Opt-out“ – Verfahren eingeholt werden. Eine ausdrückliche Einwilligung („Opt-in“) liegt vor, wenn der Betroffene aktiv mit Wissen und Wollen handelt um sein Einverständnis zur Datenverarbeitung zu erklären. Hingegen das konkludente Handeln (konkludente Einwilligung oder „Opt-out“), wo eine schlüssige Handlung des Betroffenen nur dahingehend ausgelegt wird, dass sie auf ein Einverständnis schließen kann.
Beispiele für unterschiedliche Einwilligungsarten:
- Anklicken von einem, manchmal auch zwei Checkboxen innerhalb eines Onlineformulars. Mit dem Anklicken bestätigt der Betroffene, dass er die Reichweite der Einwilligung verstanden hat und weiterhin akzeptiert bzw. einwilligen möchte („Opt-in“).
- Der Betroffene erhält eine Email auf der er antworten muss um sein Einverständnis zur Datenverarbeitung zu erteilen. Zuvor hat er bereits z.B. beim Abschluss eines Registrierungsformulars eine Einwilligung erteilt. Durch die Antwort auf die Email bestätigt er die Anfrage gelesen und verstanden zu haben („Double-Opt-in“).
- „Opt-out“: Indem der Betroffene mit einer Online-Registrierung oder einem anderen Vorgang fortfährt, ohne ein voreingestellt angeklicktes (pre-checked) Kästchen zu deaktivieren (Ein großer, auffälliger Hinweis wie z.B. „Möchten Sie wirklich einwilligen? Klicken Sie nur auf den Button „nächster Schritt“ wenn Sie sich ganz sicher sind!“ reicht aus, um als „ausdrücklich“ und „zielgerichtet“ angesehen zu werden).
- Indem der Betroffene untätig bleibt, nachdem er darüber belehrt wurde, dass er bestimmten Datenverarbeitungspraktiken widersprechen
Seien Sie vorsichtig mit der „Opt-out“ – Methode. Sie MUSS als „ausdrücklich“ und „zielgerichtet“ interpretiert werden können!
In den meisten Fällen sind Variante 1. und 2. den beiden anderen vorzuziehen. Hier besteht ein geringeres Risiko verklagt oder belangt zu werden und sie sind wesentlich kundenfreundlicher als Variante 3. und 4.. Weiterhin wird Methode 4. oft als nicht hinreichende Einwilligungserklärung ausgelegt. Viele Rechtsordnungen folgen dem Grundsatz, dass Schweigen oder bloßes Untätigbleiben keine Willenserklärung darstellt.
TIPP: Viele Behörden oder Anwälte vertreten die Ansicht, dass Unternehmen nur durch die Bereitstellung voreingestellt leerer Kästchen eine wirksame Einwilligung einholen dürfen. Nur dies sei ausdrücklich und zielgerichtet. Entscheiden Sie sich daher am Besten für Variante A) oder B)!
Zusätzliches Wissen und Facts zum Thema
FACT 1
Eine Bewilligung zur Datenverarbeitung allein reicht oft nicht aus, da Unternehmen in informierter Weise über die Art und Weise der Datenverarbeitung aufklären müssen. Deshalb muss in einem Onlineformular mit einer Checkbox zur aktiven Einwilligung auch ein Verweis auf das entsprechende Belehrungsformular vorhanden sein. Dies wird häufig durch einen entsprechenden Link zur Datenschutzerklärung realisiert. Achten Sie darauf, dass das Dokument worauf Sie verlinken nicht allzu viele irreführende Informationen enthält. Andernfalls kann es passieren, dass Gerichte bzw. Behörden an der Effektivität und die damit verbundene Wirksamkeit des Einverständnisses durch den Betroffenen anzweifeln.
FACT 2
Erklären Sie zielgerichtete Einwilligungen stets genau. Wenn Sie z.B. das Einverständnis zur Datenverarbeitung von Betroffenen für die Versendung von Werbe-Emails einholen möchten, könnten Sie dies folgendermaßen lösen:
[ ] Ja, ich bin damit einverstanden, dass Sie mir Emails über Ihre neuen Angebote gemäß Ihrer Datenschutzerklärung (<– Hier Ihr Hyperlink zur Datenschutzerklärung) schicken.
Eine allgemeine Einwilligung, die nicht explizit darauf verweist, dass durch Anklicken der Checkbox Werbe-Emails verschickt werden dürfen, ist nicht zulässig. Beispielsweise eine Checkbox in Verbindung mit einem Verweis auf die Datenschutzerklärung, wo allgemeine Informationen über Werbepraktiken versteckt sind, stellt keine ausdrückliche und zielgerichtete Willenserklärung dar. Dies ist jedoch von Land zu Land unterschiedlich geregelt und sollten Sie daher vor der Umsetzung genauer recherchieren.
FACT 3
Die Platzierung der Einwilligungserklärung muss in nächster Nähe zu dem Feld (z.B. Checkbox) sein, wo der Betroffene per Mausklick seine Einwilligung erklären soll (Bestätigen, anklicken der Checkbox).
FACT 4
Sie als Unternehmen müssen Bewilligungung zur Datenverarbeitung einholen, nicht Ihr Auftragsverarbeiter. Normalerweise ist der Auftragsverarbeiter weder gesetzlich dazu verpflichtet noch in der Lage, weil nur Sie als Unternehmer im direkten Kontakt mit den Betroffenen sind. In der Praxis wird in der Regel nur der Verantwortliche (also Sie als Unternehmer) belangt, da dieser verpflichtet ist, die Einwilligung einzuholen. Weiterhin ist es einfach gegen ihn rechtlich vorzugehen. Es kommt auch vor, dass Diensteanbieter mit den Verantwortlichen Verträge schließen, damit diese ordnungsgemäß Einverständnisse zur Datenverarbeitung von ihren Kunden einholen.