| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Einwilligungserklärung nach DSGVO Was Sie bei datenschutzrechtlichen Einwilligungen jetzt beachten müssen

  • Serie
Wenn Sie personenbezogene Daten verarbeiten möchten, dann brauchen Sie dafür häufig eine Einwilligungserklärung der Betroffenen - das schreibt die DSGVO vor.

Wenn Sie personenbezogene Daten verarbeiten möchten, dann brauchen Sie dafür häufig eine Einwilligungserklärung der Betroffenen - das schreibt die DSGVO vor. © Sör Alex / photocase.de

Wer personenbezogene Daten verarbeiten will, der braucht häufig eine Einwilligungserklärung der Betroffenen. Was sich mit der Datenschutz-Grundverordnung geändert hat und wie eine Einwilligung nun aussehen muss.

Im Datenschutzrecht gilt, dass es grundsätzlich verboten ist, personenbezogene Daten zu verarbeiten, es sei denn:

  • die Datenverarbeitung ist durch Gesetze erlaubt. Darunter fallen beispielsweise Beschäftigungsunterlagen oder Arbeitschutzaufzeichnungen.
  • die Datenverarbeitung ist zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig.
  • derjenige, der personenbezogene Daten verarbeiten möchte, hat ein berechtigtes Interesse, das höher einzustufen ist als das des Betroffenen, seine Daten zu schützen. Ein solches Interesse kann auch wirtschaftlicher Natur sein. So können zum Beispiel Onlinemarketingmaßnahmen zulässig sein, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. Auch E-Mail-Werbung an Bestandskunden dürfte man so rechtfertigen können.
  • der Betroffene ist damit einverstanden, dass seine Daten verarbeitet werden.

Das heißt, Sie brauchen immer dann eine Einwilligung, wenn die Datenverarbeitung auf keinem der anderen Wege – gesetzliche Grundlage, notwendig zur Vertragserfüllung oder Interessensabwägung – erlaubt ist.

Anzeige

Welche Anforderungen müssen Einwilligungen erfüllen?

Eine Einwilligung wird in Art. 4 Nr. 11 DSGVO definiert als

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

In „Normaldeutsch“ übersetzt heißt das: Einwilligungen müssen mehrere Bedingungen erfüllen. Sie müssen vom Betroffenen …

  • freiwillig abgegeben worden sein, sonst ist die Einwilligung nicht wirksam. Man darf also niemanden unter Druck setzen oder zwingen, eine Einwilligung abzugeben. So darf man zum Beispiel potenzielle Kunden nicht zwingen, eine Einwilligungserklärung abzugeben, wenn die Datenverarbeitung gar nicht notwendig ist, um die Leistung anzubieten. Ein Frisör etwa darf nicht von seinen Kunden verlangen, dass sie einwilligen, dass ihre Daten in seine Kundendatenbank eingepflegt werden – schließlich kann er auch Haare schneiden, ohne dass das geschieht. (Mehr zum so genannten Kopplungsverbot weiter unten).
  • in informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn er klar und verständlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht.
  • unmissverständlich abgegeben worden sein. Das bedeutet, der Betroffene muss aktiv zustimmen. Wichtig: Aktiv zustimmen ist etwas anderes als „nicht zu widersprechen“. So genannte „Opt-Out Verfahren“, zum Beispiel Checkboxen, die schon abgehakt sind, sind also nicht mehr erlaubt.
  • immer nur für einen oder mehrere bestimmte Zwecke abgegeben werden. Eine Blanko-Einwilligung nach dem Motto „In die Verarbeitung meiner Daten durch den Datenverarbeiter willige ich generell ein“, ist unwirksam.

Der Betroffene muss zudem zur Einwilligung fähig sein. Das betrifft Minderjährige. Sie können erst ab 16 Jahren wirksam einwilligen. Bei jüngeren Kindern müssen die Erziehungsberechtigten einwilligen. Die EU-Mitgliedstaaten dürfen Regelungen erlassen, nach denen auch Kinder ab 13 wirksam einwilligen können. Deutschland hat das Alter bislang nicht herabgesetzt. Wenn für einen Online-Dienst aber nicht deutsches Recht gilt, kann es zu unterschiedlichen Altersgrenzen kommen.

Was hat es mit dem Kopplungsverbot auf sich?

Artikel 7, Absatz 4 der DSGVO enthält das so genannte Kopplungsverbot: Betroffene müssen freiwillig in die Verarbeitung ihrer personenbezogenen Daten einwilligen, also frei von Zwängen. Wenn man die Einwilligung nun an andere Leistungen koppelt, dann ist das nicht mehr der Fall. Die Einwilligung wäre damit unwirksam.

Ein Beispiel: Damit ein Online-Händler seinem Kunden die bestellte Ware liefern und den Kaufpreis kassieren kann, benötigt er zwar dessen Adresse. Es ist aber nicht notwendig, dass er dem Kunden an diese Adresse Werbung schickt. Wenn der Kunde einwilligen muss, dass er Werbung erhält, und ansonsten nicht bestellen kann, dann hat er diese Einwilligung nicht freiwillig erteilt – sie ist somit unwirksam.

Das Kopplungsverbot ist auch für das Geschäftsmodell „Service gegen Daten“ relevant. Dazu zählen Online-Gewinnspiele, kostenfreie E-Mail-Konten, der Newsletterversand und Downloadmöglichkeiten kostenloser E-Books oder Videokurse (Freebie/Whitepaper). Die Leistung wird „kostenfrei“ erbracht, es wird kein Geld vom Nutzer verlangt. Will er die Leistung in Anspruch nehmen, dann muss er allerdings einwilligen, dass seine personenbezogenen Daten verarbeitet werden, denn diese Geschäftsmodelle werden mit den Daten „refinanziert“. Die Daten werden dann zu Werbezwecke genutzt und so zu Geld gemacht.

Unternehmen, deren Geschäftsmodell darauf beruht, Gratis-Inhalte anzubieten, um so an Nutzerdaten zu kommen, stehen somit vor einem Problem. Wenn das bei Ihnen der Fall ist, haben Sie folgende Lösungsmöglichkeiten.

Wege, um das Kopplungsverbot zu umgehen

  • Entkoppeln: Sie bitten den Nutzer erst nach dem erfolgreichen Download/Kauf um die Einwilligung in die Verarbeitung seiner Daten. So werden Sie allerdings sehr viel weniger Einwilligungen erhalten als zuvor.
  • Integrieren: Die Datenverarbeitung zum Zwecke der Werbung wird zum Bestandteil des Vertrags gemacht. Der Nutzer muss klar und verständlich darüber informiert werden, dass seine Gegenleistung darin besteht, dass er seine Daten für Werbezwecke hergibt. Diese Möglichkeit ist laut einer Stellungnahme des Bayrischen Landesamt für Datenschutz und laut der Datenschutzkonferenz zulässig.
  • Alternative: Bieten Sie Ihr Whitepaper oder Ihr Freebie gegen Daten oder gegen Bezahlung an – der Nutzer hat dann die Wahl, ob der mit Geld oder mit seinen Daten bezahlen möchte.

Warum gibt es beim Thema Kopplungsverbot eine so große Unsicherheit?

Daran ist auch der Gesetzgeber schuld: Er hat den Vorschriften der DSGVO so genannte „Erwägungsgründe“ vorangestellt. Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, sollen also der Interpretation dienen. Leider widersprechen sich jedoch die Verordnung und der dazugehörige Erwägungsgrund 43. Die eigentliche Verordnung ist beim Thema Kopplungsverbot recht blumig formuliert. Der Erwägungsgrund 43 ist deutlich strenger.

Die Einwilligung zur Datenverarbeitung muss nachweisbar sein

In Artikel 7, Absatz 1 der DSGVO steht zudem, dass alle, die Daten verarbeiten, nachweisen können müssen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten auch wirklich eingewilligt hat. Laut Datenschutz-Grundverordnung müssen Einwilligungen nicht mehr unbedingt schriftlich erteilt werden, praktisch ist die Schriftform aber fast immer notwendig. Wenn jemand einem auf einer Veranstaltung eine Visitenkarte überreicht und sagt: „Senden Sie mir gerne Ihren Newsletter zu“, kann man später kaum nachweisen, dass derjenige seine Einwilligung erteilt hat – es sei denn, es gibt dafür Zeugen. (Natürlich muss man hier abwägen, wie wahrscheinlich es ist, in diesem Fall abgemahnt zu werden.)

Mit der DSGVO kommt auch die Beweislast. Der, der die Daten erhebt, verarbeitet oder nutzt, muss nachweisen können, dass er dazu befugt ist, weil die betroffene Person eingewilligt hat.

Online können Einwilligungshandlungen mit dem Zeitpunkt („timestamp“) protokolliert werden. Dazu werden am besten die gekürzte IP-Adresse und möglicherweise dem Zeitpunkt des so genannten Double-Opt-Ins in einer Datenbank gespeichert.

Das Double-Opt-in-Verfahren

Beim Double-Opt-in setzt der Interessent das Häkchen bei der Einwilligung in die Verarbeitung seiner Daten. Danach erhält er eine E-Mail mit einem Bestätigungslink. Erst das Anklicken des Links bewirkt, dass seine Daten verarbeitet werden. Das Double-Opt-in-Verfahren ist keine Pflicht, damit können Sie aber vermeiden, dass Dritte im Namen einer Person die Einwilligungserklärung abgeben. Außerdem hilft das Double-Opt-in-Verfahren, die Einwilligung nachzuweisen.

Elektronisch übermittelte Einverständniserklärungen müssen gespeichert werden und es muss möglich sein, sie jederzeit auszudrucken.

Achtung: Nachweisen muss man nicht nur, dass der Betroffene seine Einwilligung gegeben hat, sondern auch, dass er hinreichend darüber informiert wurde, was mit seinen Daten passiert. Das können Sie beispielsweise durch Screenshots erreichen oder indem Sie die Bestätigungs-E-Mail archivieren.

Die Einwilligung zur Datenverarbeitung muss widerrufbar sein

In Artikel 7 Abs. 3 der DSGVO steht, dass der Nutzer seine einmal erklärte Einwilligung jederzeit für die Zukunft widerrufen kann. Über dieses Recht muss er informiert werden, bevor man seine Daten aufnimmt. Wer Daten verarbeitet, muss gewährleisten, dass der Nutzer seinen Widerruf genauso einfach erklären kann, wie die ursprüngliche Einwilligung.

Es ist empfehlenswert, dazu eine E-Mail-Adresse einzurichten, über die der Nutzer direkt mit dem Datenschutzbeauftragten kommunizieren kann. So ist gewährleistet, dass Ihre Nutzer schnell und sicher qualifizierte Auskünfte zu Datenschutzanfragen erhalten.

Wie muss die Einwilligungserklärung konkret aussehen?

Die Einwilligungserklärung muss verständlich und transparent sein. Kurz: Der Betroffene muss wissen, worauf er sich einlässt.

In der Einwilligungserklärung muss stehen, welche personenbezogenen Daten (Name, E-Mail-Adresse, Postadresse etc.) verarbeitet werden, warum sie verarbeitet werden (Zweck) und wer sie verarbeitet. Wenn die Daten an Dritte weitergegeben werden, muss dies auch in der Einwilligungserklärung stehen. Außerdem müssen die Nutzer über ihre Rechte, insbesondere über ihr Widerrufsrecht aufgeklärt werden.

Sie müssen das alles nun nicht unter jedes Formular schreiben, Sie können auch durch Links auf die Datenschutzerklärung oder auf Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen dann aber ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen.

Wie detailliert man den Zweck der Datenverarbeitung beschreibt, hängt davon ab, wie tief der Eingriff in das Persönlichkeitsrecht ist: Je tiefer der Eingriff, desto genauer muss die Einwilligungserklärung sein.

Muster-Formulierungen für Einwilligungserklärungen

Schon aus der Formulierung muss hervorgehen, dass die Person mit ihrer Zustimmung in die Datenerhebung und Datenverarbeitung einwilligt. Korrekte Überschriften sind zum Beispiel:

  • Einverständniserklärung zur Erhebung personenbezogener Daten
  • Datenschutzrechtliche Einwilligungserklärung nach der DSGVO

Formulierungen wie „Mir ist bekannt, dass …“, „Ich bin mir bewusst, dass“, sind meist ungenügend. Schreiben Sie besser:

  • Mit meiner Unterschrift willige ich ein, dass …
  • Ich erteile meine Einwilligung, dass …
  • Ich bin damit einverstanden, dass …“
  • Mit der Unterschrift geben Sie Ihre Einwilligung, dass …
  • Durch Ihre Unterschrift wird die vorstehende Einwilligungserklärung mit den auf der Rückseite abgedruckten näheren Erläuterungen zur Datenverarbeitung und Datennutzung für … (Zweck) Bestandteil des Antrages.

Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

Was ist mit bisher erteilten Einwilligungen?

Das ist eine rechtliche Grauzone. Der Düsseldorfer Kreis – das ist ein Gremium aus den Landesdatenschutzbeauftragten – sagt, alte personenbezogene Daten dürfen dann weiter verwendet werden, wenn Sie unter dem bisher geltenden Bundesdatenschutzgesetz (BSDG) rechtmäßig erhoben wurden. Allerdings hat dieses Gremium ab dem 25. Mai 2018 nicht mehr so viel zu sagen. Dann sind ihm Gremien auf europäischer Ebene übergeordnet.

Die DSGVO ist diesbezüglich strenger. Sie sagt, nur wenn die Einwilligung den Anforderungen der DSGVO entsprächen, dann dürften alte Daten weiter genutzt werden. „Aber dann wäre so gut wie kein E-Mail-Verteiler mehr rechtmäßig“, sagt Rechtsanwältin Swantje Wallbraun. Sie berät Unternehmen in Sachen Datenschutz. Unternehmen müssten hier das Risiko abwägen. „Wenn man bis jetzt ordentlich gearbeitet hat, ist das Risiko tragbar“, meint die Anwältin. Wer sich unsicher sei, der solle zur Sicherheit den Betroffenen eine E-Mail schicken und um eine erneute Einwilligung bitten.

Richard Heyer, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, weist allerdings darauf hin, dass man nachweisen können muss, dass die Betroffenen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu gab es in der Vergangenheit bereits ein BGH-Urteil und auch die DSGVO bringt die Nachweispflicht.

Nachteile von Einwilligungen

Viele meinen nun, sie gingen auf Nummer sicher, wenn sie für alles Mögliche die Einwilligung der Nutzer einholen. Sie sollten Einwilligungen allerdings wirklich nur dann einholen, wenn die Datenverarbeitung nicht zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig ist und Sie sich auch nicht auf ein berechtigtes Interesse berufen können. Der Nachteil von Einwilligungen ist nämlich, dass sie jederzeit widerrufen werden können – und dann müssen Sie sämtliche Daten löschen.

Es ist zum Beispiel sehr umstritten, ob man bei Kontaktformularen wirklich eine Einwilligung zur Verarbeitung personenbezogener Daten einholen muss. Sie dienen entweder der Vertragsanbahnung oder Sie können sich auf Ihr berechtigtes Interesse berufen und das mit den Interessen des Betroffenen abwägen. Und der wird wohl kaum etwas gegen die Verarbeitung seiner Daten haben, sonst würde er das Kontaktformular ja nicht ausfüllen.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
2 Kommentare
  • Thomas Gontarski 1. Juni 2018 13:19

    Sehr geehrte Damen und herren,
    vielen Dank für Ihren Artikel, der mich sher unterstützt.
    Mir sei allerdings der Hinweis erlaubt, das Ihre Formulierung „AGBs“ NICHT korrekt ist. Allgemeine Geschäftsbedingungen sind schon Mehrzahl, das plural „s“ dahinter ist also falsch. Es scheint sich vielleicht umgangssprachlich so einzuschleichen, was es jedoch nicht minder falsch macht.
    Nur als kleine Randnotiz.
    Vielen Dank
    MFG
    Thomas Gontarski

    • Augenzwinker 2. Juni 2018 12:53

      Ihr Kommentar ringt mir schon ein kleines Lächeln ab:

      – Zeile 1: in der Anrede schreiben Sie das Wort „Herren“ falsch
      – Zeile 2: „sher“ statt „sehr“
      – Zeile 3: „das“ statt „dass“
      – Zeile 4: Plural …

      So ist das mit den „Schreifehlern“ *lach

      P. S. Vielen Dank an die Redaktion für diesen Beitrag. Wieder etwas mehr Licht in’s Dunkel der DSGVO gebracht.

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)