1

Gelten vorhandene Einwilligungserklärungen im Datenschutz auch nach dem 25.05.2018 weiter?

Worum geht es?

Die freie Entfaltung der Persönlichkeit ist ein Grundrecht (Art. 2 Abs. 1 GG). Dies beinhaltet auch das Recht zur informationellen Selbstbestimmung. Demnach darf jeder Mensch grundsätzlich selbst entscheiden, wer welche Informationen über ihn erhält.

Die Erhebung und Verwendung personenbezogener Daten ist nur dann zulässig (§ 4 Abs. 1 BDSG), wenn entweder

  • eine Rechtsvorschrift dies explizit erlaubt oder anordnet
  • oder der Betroffene eingewilligt hat.

Dies stellt das Prinzip des „Verbots mit Erlaubnisvorbehalt“ dar.

Wo das Gesetz nicht hilft, müssen Unternehmen sich bei der Erhebung und Verwendung personenbezogener Daten auf die Einwilligung der Betroffenen stützen. An die Gültigkeit einer Einwilligung werden schon heute wesentliche Anforderungen gestellt. Eine zentrales Kriterium ist die Freiwilligkeit. Eine Einwilligung kann nicht wirksam erteilt sein, wenn diese in einer Zwangssituation oder unter Vortäuschung von Umständen erteilt wird. Die Gültigkeit wird in besonderen Kontexten (z. B. bei Bewerbungen oder im Arbeitsverhältnis) sogar weitgehend angezweifelt.

Warum muss dieses Thema neu betrachtet werden?

Ende 2015 hat sich die Europäische Union auf eine EU-Datenschutz-Grundverordnung (DSGVO) geeinigt, um den Datenschutz in den Mitgliedsstaaten konsequenter zu vereinheitlichen. Diese Verordnung gilt ab dem 25.05.2018. Die Verordnung stellt unter anderem strenge Anforderungen an die Einwilligung Betroffener in die Erhebung und Verwendung ihrer personenbezogenen Daten. Deshalb stellt sich die Frage, ob bereits erteilte Einwilligungen nach dem 25.05.2018 noch gültig sind oder neue Einwilligungen eingeholt werden müssen, was für viele Unternehmen einen erheblichen Aufwand bedeuten kann.

Die gute Nachricht

Der Datenschutz in Deutschland hat im Vergleich mit anderen Staaten schon heute ein hohes Niveau. Das gilt auch für alle nach heutigen Maßstäben gültigen Einwilligungserklärungen. Viele vorhandene Einwilligungen erfüllen deshalb bereits die zukünftigen Anforderungen und bleiben gültig. Das bestätigt auch der „Düsseldorfer Kreis“, ein Gremium der Datenschutz-Aufsichtsbehörden im nicht-öffentlichen Bereich, in einem Beschluss vom September 2016. Die Beschlüsse dieses Gremiums gelten allgemein als richtungsweisend für die rechtliche Einordnung spezifischer Datenschutzthemen, insbesondere zur Frage der Zulässigkeit.

Welche Aspekte sollten überprüft werden?

Zu einigen Punkten definiert die DSGVO allerdings konkrete Anforderungen, die bisher im deutschen Datenschutz nicht explizit oder nicht überall gefordert waren. Auf zwei davon weist auch der Düsseldorfer Kreis in seinem Beschluss hin:

  1. Das Kopplungsverbot: Gemäß Art. 7 Abs. 4 in Verbindung mit Erwägungsgrund 43 der DSGVO darf die Erfüllung eines Vertrages nicht von der Einwilligung in die Verarbeitung von Daten abhängig gemacht werden, die für die Durchführung dieses Vertrages nicht zwingend erforderlich sind.
    Beispiel: Als Händler dürfen Sie Ihre Kunden im Zuge eines Online-Kaufs zwar auch weiterhin bitten, der Nutzung ihrer Daten über den reinen Kaufvorgang hinaus (z. B. für Werbezwecke) zuzustimmen, allerdings muss diese Einwilligung freiwillig und explizit (z. B. nach dem Double-Opt-in-Verfahren) erfolgen, und der Abschluss und die Erfüllung des Kaufvertrages dürfen in keiner Weise von der Einwilligung abhängen. Für den Kunden muss klar erkennbar sein, dass er den Kauf auch ohne diese Zustimmung tätigen kann.
  2. Die Altersgrenze: Die DSGVO legt in Art. 8 Abs. 1 in Verbindung mit Erwägungsgrund 38 fest, dass Einwilligungen, die von Kindern unter 16 Jahren erteilt wurden (wobei diese Altersgrenze national auch gesenkt werden kann), nur mit Zustimmung eines Erziehungsberechtigten rechtsgültig ist.
  3. Die Hinweispflicht zum Widerrufsrecht: Artikel 7 Abs. 3 Satz 3 DSGVO fordert nicht nur, dass der Betroffene seine Einwilligung in die Datenverarbeitung jederzeit widerrufen können muss, sondern auch, dass der Betroffene unmittelbar vor der Abgabe seiner Einwilligung ausdrücklich auf dieses Widerrufsrecht hingewiesen werden muss und dass der Widerrufsvorgang ebenso einfach sein muss wie die Erteilung der Einwilligung. Diese Hinweispflicht ist bisher in Deutschland nur im Bereich des Telemediengesetzes (§ 13 Abs. 3 TMG) so explizit formuliert.

Dieser dritte Punkt ist ebenfalls zu beachten, auch wenn der Düsseldorfer Kreis ihn nicht explizit erwähnt.

Vorhandene Einwilligungen, die eine oder mehrere dieser neuen Anforderungen nicht erfüllen, dürften ab dem 25.05.2018 nicht mehr als gültig betrachtet werden.

Fazit

In vielen Fällen wird es nicht nötig sein, neue Einwilligungen für die Verwendung personenbezogener Daten einzuholen. Der Teufel steckt allerdings im Detail, wie die oben genannten Ausnahmen zeigen. Teilweise besteht hier im Einzelfall auch Interpretationsbedarf.

Um rechtlich auf der sicheren Seite zu bleiben und Bußgeldrisiken zu vermeiden, sollten Einwilligungserklärungen zeitnah überprüft werden. Für die Einholung neuer, gültiger Einwilligungserklärungen kann die Zeit sonst knapp werden.

Bildquellen:

  • Stempel TIPPS #466145213: Butch (editiert von TR) | stock.adobe.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.