Einwilligungserklärung nach DSGVO Was Sie bei datenschutzrechtlichen Einwilligungen jetzt beachten müssen

© Sör Alex / photocase.de

Wer personenbezogene Daten verarbeiten will, der braucht häufig eine Einwilligungserklärung der Betroffenen. Was sich mit der Datenschutz-Grundverordnung geändert hat und wie eine Einwilligung nun aussehen muss.

Im Datenschutzrecht gilt, dass es grundsätzlich verboten ist, personenbezogene Daten zu verarbeiten, es sei denn:

Das heißt, Sie brauchen immer dann eine Einwilligung, wenn die Datenverarbeitung auf keinem der anderen Wege – gesetzliche Grundlage, notwendig zur Vertragserfüllung oder Interessensabwägung – erlaubt ist.

Welche Anforderungen müssen Einwilligungen erfüllen?

Eine Einwilligung wird in Art. 4 Nr. 11 DSGVO definiert als

Urteile, die Sie kennen sollten

Für Chefs, die keine Zeit haben, sich ständig mit der neuesten Rechtsprechung zu beschäftigen: Volljurist Andreas Kurz schreibt im kostenlosen Rechts-Newsletter für Unternehmer über aktuelle Gerichtsurteile, die Sie kennen sollten. Jetzt kostenlos anmelden!

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

In „Normaldeutsch“ übersetzt heißt das: Einwilligungen müssen mehrere Bedingungen erfüllen. Sie müssen vom Betroffenen …

Der Betroffene muss zudem zur Einwilligung fähig sein. Das betrifft Minderjährige. Sie können erst ab 16 Jahren wirksam einwilligen. Bei jüngeren Kindern müssen die Erziehungsberechtigten einwilligen. Die EU-Mitgliedstaaten dürfen Regelungen erlassen, nach denen auch Kinder ab 13 wirksam einwilligen können. Deutschland hat das Alter bislang nicht herabgesetzt. Wenn für einen Online-Dienst aber nicht deutsches Recht gilt, kann es zu unterschiedlichen Altersgrenzen kommen.

Was hat es mit dem Kopplungsverbot auf sich?

Artikel 7, Absatz 4 der DSGVO enthält das so genannte Kopplungsverbot: Betroffene müssen freiwillig in die Verarbeitung ihrer personenbezogenen Daten einwilligen, also frei von Zwängen. Wenn man die Einwilligung nun an andere Leistungen koppelt, dann ist das nicht mehr der Fall. Die Einwilligung wäre damit unwirksam.

Ein Beispiel: Damit ein Online-Händler seinem Kunden die bestellte Ware liefern und den Kaufpreis kassieren kann, benötigt er zwar dessen Adresse. Es ist aber nicht notwendig, dass er dem Kunden an diese Adresse Werbung schickt. Wenn der Kunde einwilligen muss, dass er Werbung erhält, und ansonsten nicht bestellen kann, dann hat er diese Einwilligung nicht freiwillig erteilt – sie ist somit unwirksam.

Das Kopplungsverbot ist auch für das Geschäftsmodell „Service gegen Daten“ relevant. Dazu zählen Online-Gewinnspiele, kostenfreie E-Mail-Konten, der Newsletterversand und Downloadmöglichkeiten kostenloser E-Books oder Videokurse (Freebie/Whitepaper). Die Leistung wird „kostenfrei“ erbracht, es wird kein Geld vom Nutzer verlangt. Will er die Leistung in Anspruch nehmen, dann muss er allerdings einwilligen, dass seine personenbezogenen Daten verarbeitet werden, denn diese Geschäftsmodelle werden mit den Daten „refinanziert“. Die Daten werden dann zu Werbezwecken genutzt und so zu Geld gemacht.

Unternehmen, deren Geschäftsmodell darauf beruht, Gratis-Inhalte anzubieten, um so an Nutzerdaten zu kommen, stehen somit vor einem Problem. Wenn das bei Ihnen der Fall ist, haben Sie folgende Lösungsmöglichkeiten.

Wege, um das Kopplungsverbot zu umgehen

Warum gibt es beim Thema Kopplungsverbot eine so große Unsicherheit?

Daran ist auch der Gesetzgeber schuld: Er hat den Vorschriften der DSGVO so genannte „Erwägungsgründe“ vorangestellt. Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, sollen also der Interpretation dienen. Allerdings widersprechen sich die Verordnung und der Erwägungsgrund 43: Die eigentliche Verordnung ist beim Thema Kopplungsverbot recht blumig formuliert; Erwägungsgrund 43 ist deutlich strenger.

Die Einwilligung zur Datenverarbeitung muss nachweisbar sein

In Artikel 7, Absatz 1 der DSGVO steht zudem, dass alle, die Daten verarbeiten, nachweisen können müssen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten auch wirklich eingewilligt hat. Laut Datenschutz-Grundverordnung müssen Einwilligungen nicht mehr unbedingt schriftlich erteilt werden, praktisch ist die Schriftform aber fast immer notwendig. Wenn jemand einem auf einer Veranstaltung eine Visitenkarte überreicht und sagt: „Senden Sie mir gerne Ihren Newsletter zu“, kann man später kaum nachweisen, dass derjenige seine Einwilligung erteilt hat – es sei denn, es gibt dafür Zeugen. (Natürlich muss man hier abwägen, wie wahrscheinlich es ist, in diesem Fall abgemahnt zu werden.)

Mit der DSGVO kommt auch die Beweislast. Der, der die Daten erhebt, verarbeitet oder nutzt, muss nachweisen können, dass er dazu befugt ist, weil die betroffene Person eingewilligt hat.

Online können Einwilligungshandlungen mit dem Zeitpunkt („timestamp“) protokolliert werden. Dazu werden am besten die gekürzte IP-Adresse und möglicherweise dem Zeitpunkt des so genannten Double-Opt-ins in einer Datenbank gespeichert.

Das Double-Opt-in-Verfahren

Beim Double-Opt-in setzt der Interessent ein Häkchen und willigt damit ein, dass das Unternehmen seine Daten verarbeiten darf. Danach erhält er eine E-Mail mit einem Bestätigungslink. Erst wenn er den Link anklickt, werden seine Daten verarbeitet. Das Double-Opt-in-Verfahren ist keine Pflicht, damit können Sie aber vermeiden, dass Dritte im Namen einer Person die Einwilligungserklärung abgeben. Außerdem hilft das Double-Opt-in-Verfahren, die Einwilligung nachzuweisen.

Elektronisch übermittelte Einverständniserklärungen müssen gespeichert werden und es muss möglich sein, sie jederzeit auszudrucken.

Achtung: Nachweisen muss man nicht nur, dass der Betroffene seine Einwilligung gegeben hat, sondern auch, dass er hinreichend darüber informiert wurde, was mit seinen Daten passiert. Das können Sie beispielsweise durch Screenshots erreichen oder indem Sie die Bestätigungs-E-Mail archivieren.

Die Einwilligung zur Datenverarbeitung muss widerrufbar sein

In Artikel 7 Abs. 3 der DSGVO steht, dass der Nutzer seine einmal erklärte Einwilligung jederzeit widerrufen kann. Über dieses Recht muss er informiert werden, bevor man seine Daten aufnimmt. Wer Daten verarbeitet, muss gewährleisten, dass der Nutzer seinen Widerruf genauso einfach erklären kann wie die ursprüngliche Einwilligung.

Es ist empfehlenswert, dazu eine E-Mail-Adresse einzurichten, über die der Nutzer direkt mit dem Datenschutzbeauftragten kommunizieren kann. So ist gewährleistet, dass Nutzer schnell und sicher qualifizierte Auskünfte zu Datenschutzanfragen erhalten.

Wie muss die Einwilligungserklärung konkret aussehen?

Die Einwilligungserklärung muss verständlich und transparent sein. Kurz: Der Betroffene muss wissen, worauf er sich einlässt.

In der Einwilligungserklärung muss stehen, welche personenbezogenen Daten (Name, E-Mail-Adresse, Postadresse etc.) verarbeitet werden, warum sie verarbeitet werden (Zweck) und wer sie verarbeitet. Wenn die Daten an Dritte weitergegeben werden, muss auch das in der Einwilligungserklärung stehen. Außerdem müssen die Nutzer über ihre Rechte, insbesondere über ihr Widerrufsrecht aufgeklärt werden.

Das alles muss nicht unter jedem Formular stehen, man kann auch durch einen Link auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen dann aber ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen.

Wie detailliert man den Zweck der Datenverarbeitung beschreibt, hängt davon ab, wie tief der Eingriff in das Persönlichkeitsrecht ist: Je tiefer der Eingriff, desto genauer muss die Einwilligungserklärung sein.

Muster-Formulierungen für Einwilligungserklärungen

Schon aus der Formulierung muss hervorgehen, dass die Person mit ihrer Zustimmung in die Datenerhebung und Datenverarbeitung einwilligt. Korrekte Überschriften sind zum Beispiel:

Formulierungen wie „Mir ist bekannt, dass …“, „Ich bin mir bewusst, dass …“, sind meist ungenügend. Bessere Alternativen:

Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

Was ist mit bisher erteilten Einwilligungen?

Das ist eine rechtliche Grauzone. Der Düsseldorfer Kreis – das ist ein Gremium aus den Landesdatenschutzbeauftragten – sagt, alte personenbezogene Daten dürfen dann weiter verwendet werden, wenn sie unter dem bisher geltenden Bundesdatenschutzgesetz (BSDG) rechtmäßig erhoben wurden. Allerdings hat dieses Gremium ab dem 25. Mai 2018 nicht mehr so viel zu sagen. Dann sind ihm Gremien auf europäischer Ebene übergeordnet.

Die DSGVO ist diesbezüglich strenger. Sie besagt, alte Daten dürfen nur dann weiter genutzt werden, wenn die Einwilligung den Anforderungen der DSGVO entspricht. „Aber dann wäre so gut wie kein E-Mail-Verteiler mehr rechtmäßig“, sagt Rechtsanwältin Swantje Wallbraun. Sie berät Unternehmen in Sachen Datenschutz. Unternehmen müssten hier das Risiko abwägen. „Wenn man bis jetzt ordentlich gearbeitet hat, ist das Risiko tragbar“, meint die Anwältin. Wer sich unsicher sei, der solle zur Sicherheit den Betroffenen eine E-Mail schicken und um eine erneute Einwilligung bitten.

Richard Heyer, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, weist allerdings darauf hin, dass man nachweisen können muss, dass die Betroffenen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu gab es in der Vergangenheit bereits ein BGH-Urteil und auch die DSGVO pocht auf die Nachweispflicht.

Nachteile von Einwilligungen

Viele Unternehmen meinen nun, sie gingen auf Nummer sicher, wenn sie für alles Mögliche die Einwilligung der Nutzer einholen. Einwilligungen sollte man allerdings nur dann einholen, wenn die Datenverarbeitung nicht zur Erfüllung eines Vertrags oder zur Vertragsanbahnung notwendig ist und man sich nicht auf ein berechtigtes Interesse berufen kann. Der Nachteil von Einwilligungen ist nämlich, dass sie jederzeit widerrufen werden können – und dann muss man sämtliche Daten löschen.

Umstritten ist zum Beispiel, ob man bei Kontaktformularen eine Einwilligung zur Verarbeitung personenbezogener Daten einholen muss. Die dienen entweder der Vertragsanbahnung oder das Unternehmen kann sich auf ein berechtigtes Interesse berufen und das mit den Interessen des Betroffenen abwägen. Und der wird wohl kaum etwas gegen die Verarbeitung seiner Daten haben, sonst würde er das Kontaktformular ja nicht ausfüllen.