Zu den Anforderungen an eine datenschutzrechtliche Einwilligung

von Carl Christian Müller

Datenschutzkonferenz veröffentlicht Positionspapier

Im Datenschutz gilt der Grundsatz, dass Daten nur dann verarbeitet werden dürfen, wenn der Betroffene eingewilligt hat oder aber eine gesetzliche Erlaubnisnorm besteht. Das galt nach deutschem Datenschutzrecht auch schon vor Inkrafttreten der DSGVO. Oftmals diskutiert war und ist die Frage, ob die vor Inkrafttreten der DSGVO erteilten Einwilligungen, z. B. in den Versand eines Newsletters, nach dem 25.05.2018 fortgelten. Zu dieser Frage hat die Datenschutzkonferenz nun in einem Kurzpapier Stellung genommen.

 

DSGVO - datenschutzrechtliche Einwilligung
DSGVO - datenschutzrechtliche Einwilligung

Wirksame Einwilligung nach der DSGVO - was ist neu?

Die Unterschiede zwischen den Anforderungen an eine wirksame datenschutzrechtliche Einwilligung nach alter und nach neuer Rechtslage sind nicht allzu groß. Nach alter Rechtslage (§ 4a BDSG a. F.) musste die 

  • Einwilligung freiwillig (Koppelungsverbot) sowie 
  • grundsätzlich schriftlich erteilt werden (ggf. elektronische Einwilligung nach TMG)
  • Einwilligung sich auf den konkreten Verarbeitungsvorgang beziehen
  • Einwilligung widerruflich ausgestaltet sein. Auf die Widerrufsmöglichkeit musste der Betroffene im Rahmen des Einwilligungsvorgangs hingewiesen werden (informierte datenschutzrechtliche Einwilligung).

Nach der DSGVO sind nun folgende Anforderungen an eine wirksam datenschutzrechtliche Einwilligung zu stellen:

Unter einer datenschutzrechtlichen Einwilligung ist jede freiwillige für den bestimmten, in informierter Weise und unmissverständlich abgegeben Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigten Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der die betroffenen  personenbezogenen Daten einverstanden ist.“ 

  • Schriftformerfordernis fällt weg

Das Schriftformerfordernis ist also weggefallen. Es reicht aus, wenn die betroffene Person unmissverständlich bekundet, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist - z. B. durch das Setzen eines Häkchens in einer Checkbox (was aber auch früher schon nach den Bestimmungen des Telemediengesetz möglich war, also auch das nicht wirklich neu).

  • Dokumentations- und Nachweispflicht

Die Einwilligung muss nicht nur dokumentiert werden. Wenn Sie eine Einwilligung einholen, müssen Sie künftig Ihre Prozesse so ausgestalten, dass Sie nachweisen können, dass die Einwilligung erteilt wurde. Wenn Sie also online eine Einwilligung zu einem Newsletter einholen, muss dieser Prozess künftig auch aus datenschutzrechtlichen Gründen etwa mit einem sogenannte Double-Opt-In-Verfahren geschehen. Aber auch hier ändert sich eigentlich nicht viel, denn auch vor Inkraftreten der DSGVO war es sehr ratsam so zu verfahren, um bei einer Abmahnung wegen des Versand einer unzulässigen Werbemail eine wirksame Einwilligung nachweisen zu können. Zu rechtssicheren Ausgestaltung eines Newsletterversands verweisen wir insofern auf unsere Serie zum rechssicheren Mail-Marketing.

  • Datenschutzrechtliche Informationspflichten

Zudem sind die Anforderungen an die datenschutzrechtlichen Informationspflichten insgesamt deutlich gestiegen, Art. 13 DSGVO.

DSK: Unter diesen Voraussetzungen gelten die alten Einwilligungen unter der DSGVO 

Nach Auffassung der Datenschutzkonferenz gelten die vor Inkraftreten der DSGVO erteilten Einwilligungen fort, wenn

  • die Einwilligung nachgewiesen werden kann, was eine entsprechende Dokumentation voraussetzt.
  • die Einwilligung freiwillig abgegeben worden ist
  • die Einwilligung in informierte Form erfolgte
  • Mechanismen und entsprechende Informationen bereitgehalten werden, die den Widerruf der Einwilligung ermöglichen.

Zu der oft diskutierten Frage, ob die nach Art. 13 DSGVO deutlich gestiegenen Informationspflichten eine Auswirkung auf die Wirksamkeit einer nach altem Recht eingeholten Einwilligung hat, führt die DSK in ihrem Positionspapier aus wie folgt:

"Diese Informationen sind zum Teil identisch mit den nach Art. 13 DSGVO vorgesehenen Informationspflichten. Die darüber hinausgehenden Informationspflichten müssen für die Fortgeltung bisher erteilter Einwilligungen hingegen grundsätzlich nicht erfüllt worden sein. Unabhängig von den genannten Bedingungen für erteilte Einwilligungen müssen künftig die Informationspflichten nach Art. 13 DSGVO beachtet werden."

Fazit: Es ergeben sich keine wesentlichen Unterschiede zur bisherigen Best-Practice. Wer beispielsweise die Einwilligung zum Newsletterversand bereits vor dem 26.05.2018 mit einem Double-Opt-In ausgestaltet und den Bestellvorgang ordnungsgemäß ausgestaltet hat, kann davon ausgehen, dass die solchermaßen eingeholten Einwilligungen auch nach Inkrafttreten der DSGVO wirksam bleiben.

Folgen bei unwirksamer Einwilligung

Nach Auffassung der DSK sind Einwilligungen, die den Anforderungen der DSGVO nicht entsprechen, unwirksam. Es sei in diesem Fall auch nicht möglich, die Datenverarbeitung auf eine andere (gesetzliche) Rechtsgrundlage, beispielsweise auf die Wahrung berechtigter Interessen des Verantwortlichen zu stützen. Diese These halten wir allerdings für gewagt - denn nach DSGVO stehen die verschiedenen Erlaubnistatbestände nebeneinander und nicht in einem Konkurrenzverhältnis. Es bleibt daher abzuwarten, ob sich (auch in diesem Punkt) sehr strenge Auffassung der DSK wird durchsetzen können. 

Zur Datenschutzkonferenz

Die Konferenz der unabhängigen Datenschutzkonferenz des Bundes und der Länder ist ein Gremium, das aus den Präsidenten der Bundes- und Landesdatenschutzbehörden sowie des Präsidenten des Bayerischen Landesamt für Datenschutzaufsicht besteht. Die Datenschutzkonferenz beschäftigt sich regelmäßig mit datenschutzrechtlichen Problemen und gibt hierzu Stellungnahmen heraus. Diese haben keine rechtlich bindende Wirkung.

Unser Beratungsangebot für Sie:

    Für Webseitenbetreiber, Online-Händler und andere Unternehmen sind die neuen Bestimmungen der Datenschutz-Grundverordnung eine große Herausforderung. Lassen Sie sich bei der Umsetzung unterstützen und profitieren auch Sie von unseren Erfahrungswerten. Wir beraten bundesweit.

  • Alle wichtigen Änderungen zur DSGVO.
  • Vermeiden Sie Abmahnungen und Bußgelder.
  • Wir prüfen Ihr Online-Angebot und sichern Ihr Unternehmen gegen Abmahnungen ab.
  • Profitieren Sie von unserem Webseiten-Audit.