Wirksame Einwilligung nach der DSGVO - was ist neu?
Die Unterschiede zwischen den Anforderungen an eine wirksame datenschutzrechtliche Einwilligung nach alter und nach neuer Rechtslage sind nicht allzu groß. Nach alter Rechtslage (§ 4a BDSG a. F.) musste die
- Einwilligung freiwillig (Koppelungsverbot) sowie
- grundsätzlich schriftlich erteilt werden (ggf. elektronische Einwilligung nach TMG)
- Einwilligung sich auf den konkreten Verarbeitungsvorgang beziehen
- Einwilligung widerruflich ausgestaltet sein. Auf die Widerrufsmöglichkeit musste der Betroffene im Rahmen des Einwilligungsvorgangs hingewiesen werden (informierte datenschutzrechtliche Einwilligung).
Nach der DSGVO sind nun folgende Anforderungen an eine wirksam datenschutzrechtliche Einwilligung zu stellen:
Unter einer datenschutzrechtlichen Einwilligung ist jede freiwillige für den bestimmten, in informierter Weise und unmissverständlich abgegeben Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigten Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der die betroffenen personenbezogenen Daten einverstanden ist.“
-
Schriftformerfordernis fällt weg
Das Schriftformerfordernis ist also weggefallen. Es reicht aus, wenn die betroffene Person unmissverständlich bekundet, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist - z. B. durch das Setzen eines Häkchens in einer Checkbox (was aber auch früher schon nach den Bestimmungen des Telemediengesetz möglich war, also auch das nicht wirklich neu).
-
Dokumentations- und Nachweispflicht
Die Einwilligung muss nicht nur dokumentiert werden. Wenn Sie eine Einwilligung einholen, müssen Sie künftig Ihre Prozesse so ausgestalten, dass Sie nachweisen können, dass die Einwilligung erteilt wurde. Wenn Sie also online eine Einwilligung zu einem Newsletter einholen, muss dieser Prozess künftig auch aus datenschutzrechtlichen Gründen etwa mit einem sogenannte Double-Opt-In-Verfahren geschehen. Aber auch hier ändert sich eigentlich nicht viel, denn auch vor Inkraftreten der DSGVO war es sehr ratsam so zu verfahren, um bei einer Abmahnung wegen des Versand einer unzulässigen Werbemail eine wirksame Einwilligung nachweisen zu können. Zu rechtssicheren Ausgestaltung eines Newsletterversands verweisen wir insofern auf unsere Serie zum rechssicheren Mail-Marketing.
-
Datenschutzrechtliche Informationspflichten
Zudem sind die Anforderungen an die datenschutzrechtlichen Informationspflichten insgesamt deutlich gestiegen, Art. 13 DSGVO.
DSK: Unter diesen Voraussetzungen gelten die alten Einwilligungen unter der DSGVO
Nach Auffassung der Datenschutzkonferenz gelten die vor Inkraftreten der DSGVO erteilten Einwilligungen fort, wenn
- die Einwilligung nachgewiesen werden kann, was eine entsprechende Dokumentation voraussetzt.
- die Einwilligung freiwillig abgegeben worden ist
- die Einwilligung in informierte Form erfolgte
- Mechanismen und entsprechende Informationen bereitgehalten werden, die den Widerruf der Einwilligung ermöglichen.
Zu der oft diskutierten Frage, ob die nach Art. 13 DSGVO deutlich gestiegenen Informationspflichten eine Auswirkung auf die Wirksamkeit einer nach altem Recht eingeholten Einwilligung hat, führt die DSK in ihrem Positionspapier aus wie folgt:
"Diese Informationen sind zum Teil identisch mit den nach Art. 13 DSGVO vorgesehenen Informationspflichten. Die darüber hinausgehenden Informationspflichten müssen für die Fortgeltung bisher erteilter Einwilligungen hingegen grundsätzlich nicht erfüllt worden sein. Unabhängig von den genannten Bedingungen für erteilte Einwilligungen müssen künftig die Informationspflichten nach Art. 13 DSGVO beachtet werden."
Fazit: Es ergeben sich keine wesentlichen Unterschiede zur bisherigen Best-Practice. Wer beispielsweise die Einwilligung zum Newsletterversand bereits vor dem 26.05.2018 mit einem Double-Opt-In ausgestaltet und den Bestellvorgang ordnungsgemäß ausgestaltet hat, kann davon ausgehen, dass die solchermaßen eingeholten Einwilligungen auch nach Inkrafttreten der DSGVO wirksam bleiben.
Folgen bei unwirksamer Einwilligung
Nach Auffassung der DSK sind Einwilligungen, die den Anforderungen der DSGVO nicht entsprechen, unwirksam. Es sei in diesem Fall auch nicht möglich, die Datenverarbeitung auf eine andere (gesetzliche) Rechtsgrundlage, beispielsweise auf die Wahrung berechtigter Interessen des Verantwortlichen zu stützen. Diese These halten wir allerdings für gewagt - denn nach DSGVO stehen die verschiedenen Erlaubnistatbestände nebeneinander und nicht in einem Konkurrenzverhältnis. Es bleibt daher abzuwarten, ob sich (auch in diesem Punkt) sehr strenge Auffassung der DSK wird durchsetzen können.
Zur Datenschutzkonferenz
Die Konferenz der unabhängigen Datenschutzkonferenz des Bundes und der Länder ist ein Gremium, das aus den Präsidenten der Bundes- und Landesdatenschutzbehörden sowie des Präsidenten des Bayerischen Landesamt für Datenschutzaufsicht besteht. Die Datenschutzkonferenz beschäftigt sich regelmäßig mit datenschutzrechtlichen Problemen und gibt hierzu Stellungnahmen heraus. Diese haben keine rechtlich bindende Wirkung.