20.08.2018

Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)

Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen viele Anforderungen aus dem Datenschutz erfüllt sein. Dazu ist es erforderlich, dass Unternehmen wissen, was die Datenschutz-Grundverordnung (DSGVO) diesbezüglich regelt, auch im Vergleich zum alten Bundesdatenschutzgesetz.

Einwilligung DSGVO

Wie es um die Einwilligung steht

Eine Umfrage des Verbands der Internetwirtschaft eco unter Marketing-Entscheidern ergab:

  • Nur zehn Prozent haben ihre Prozesse hinsichtlich der Datenschutz-Grundverordnung ausgewertet und entsprechend angepasst.
  • Mehr als die Hälfte der Unternehmen (56 Prozent) sind zurzeit noch damit beschäftigt.
  • Eine sicher nachweisbare Einwilligung für den Empfang von Werbemails, etwa ein Double-Opt-in, liegt nur für jede zweite E-Mail-Adresse vor.
  • Zu knapp einem Viertel (22 Prozent) der E-Mail-Adressen, die regelmäßig angeschrieben werden, gibt es keine oder nur eine rechtlich unzureichende Einwilligung.

Was ab dem 25. Mai 2018 mit diesen E-Mail-Adressen passiert, wissen viele der Verantwortlichen noch nicht. 47 Prozent wollen sich eine geeignete Vorgehensweise überlegen.

Offensichtlich gibt es noch einiges zu tun im Bereich Einwilligung und Datenschutz.

Fortgeltung bisher erteilter Einwilligungen

Viele Unternehmen nahmen mit großer Erleichterung zur Kenntnis, dass bisher erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten. Vorausgesetzt, sie entsprechen der Art nach den Bedingungen der DSGVO.

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen, so die Aufsichtsbehörden in der entsprechenden Entschließung.

Besondere Beachtung verdienen die folgenden Forderungen der Datenschutz-Grundverordnung. Sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.

Dabei geht es insbesondere um

  • die Freiwilligkeit („Kopplungsverbot“) und
  • die Altersgrenze (16 Jahre, soweit im nationalen Recht nichts anderes bestimmt ist).

Was das alte BDSG gefordert hat

Nach dem alten Bundesdatenschutzgesetz (BDSG) musste eine Einwilligung freiwillig und informiert erfolgen. Deshalb ist der Begriff „informierte Einwilligung“ besser geeignet als nur „Einwilligung“.

Im Fall der geplanten Verarbeitung besonderer Kategorien personenbezogener Daten muss sich die Einwilligung auch ausdrücklich auf diese Daten beziehen.

Eine gute Übersicht über die Anforderungen an eine Einwilligung zur Datenerhebung über Formulare liefert die Orientierungshilfe zur datenschutzrechtlichen Einwilligung in Formularen (Stand: März 2016), die der Düsseldorfer Kreis beschlossen hatte.

Informierte Einwilligung nach DSGVO

Die Anforderungen an eine Einwilligung nach DSGVO bleiben im Vergleich zum alten BDSG ähnlich. Abermals schreibt die neue Verordnung eine informierte Einwilligung vor, die sich auf eine konkrete Verarbeitung bezieht.

Die Schriftform ist nicht mehr notwendig. Jedoch eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Dies ist in Form einer Erklärung möglich, die auch elektronisch erfolgen kann.

Wichtig ist in jedem Fall, dass die verantwortliche Stelle imstande ist, die Einwilligung nachzuweisen.

Ebenso muss die Einwilligungserklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sein.

Was die DSGVO zudem fordert

  • Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.
  • Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
  • Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.
  • Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Widerrufen betroffene Personen also ihre Einwilligung, berührt dies nicht die bis zu diesem Zeitpunkt erfolgte Verarbeitung. Wohl aber die zukünftige, die ohne andere Rechtsgrundlage nicht mehr stattfinden darf.

Die informierte Einwilligung ist und bleibt von zentraler Bedeutung, wobei gerade bei der Nachweispflicht zum Vorliegen einer Einwilligung bei vielen Unternehmen noch Handlungsbedarf besteht.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)