Die DSGVO ist seit dem 25.05.2018 wirksam. Davor und danach war einiges los. Über kaum ein anderes Thema wurde so viel geredet und publiziert. Leider haben die zahlreichen Veröffentlichungen mit den angeblich „besten“ Hinweisen und Empfehlungen nicht dazu geführt, dass alle „Verantwortlichen“ verstanden haben, worum es geht. Im Gegenteil, es herrscht noch immer allgemeine Verwirrung über die Umsetzung der DSGVO. Bestes Beispiel: Die Flut von Newsletter-Mails vor und nach dem 25.05.2018, mit der Bitte erneut (oder erstmalig) eine Einwilligung abzugeben oder schlicht mit der Info, dass Newsletter aufgrund fehlender Einwilligung in Zukunft nicht mehr verschickt werden. Was stimmt denn nun? Fragen über Fragen, aber keine befriedigenden Antworten. Mit dieser Reihe wollen wir diese Antworten geben:
Welche Mythen gibt es zur DSGVO? Was stimmt und was kann widerlegt werden?
Die größten DSGVO-Mythen zur Einwilligung:
Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz oder die betroffenen Personen erlauben es. Diese Erlaubnis wird Einwilligung genannt und ist der Dreh- und Angelpunkt der DSGVO. Das Gesetz stellt strenge Anforderungen an die Einwilligung. Aber welche sind es genau und stimmt alles was man darüber hört? 9 Fehlvorstellungen über Einwilligungen nach der DSGVO:
1. Einwilligungen müssen stets in Schriftform eingeholt werden!
Bei der Form der Einwilligung kommt die DSGVO den Verantwortlichen entgegen. Bisher war in § 4a BDSG-alt, die Schriftform für Einwilligungen in die Verarbeitung personenbezogener Daten angeordnet. Nach der DSGVO ist dies nun nicht mehr erforderlich. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt, d.h. auch ein Kopfnicken würde theoretisch reichen. Allerdings nur theoretisch, denn Verantwortliche müssen nachweisen, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Dies wird bei einem Kopfnicken schwer. Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus.
Achtung: Ein vorangekreuztes Kästchen, welches deaktiviert werden muss (Opt-out) gilt nicht als wirksame Einwilligung.
2. Einwilligungen, die vor Geltung der DSGVO eingeholt wurden, sind hinfällig!
Das stimmt so nicht. Der europäische Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem 25.05.2018 eingeholt wurden, fortgelten sollen. Das heißt, dass einmal wirksam eingeholte datenschutzrechtliche Einwilligungen nicht noch einmal eingeholt werden müssen, sofern sie auch den Vorgaben der DSGVO entsprechen. Da die bisherigen Anforderungen denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein.
Achtung: Für die Einwilligung Minderjähriger gelten nun besondere Voraussetzungen.
3. Minderjährige können keine wirksame Einwilligung abgeben!
Es ist richtig, dass die DSGVO nun starre Altersgrenzen für die wirksame Abgabe einer Einwilligung vorsieht. Nach dem bisherigen deutschen Datenschutzrecht kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Die DSGVO sieht nun vor, dass Minderjährige erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche die Genehmigung des gesetzlichen Vertreters.
4. Einwilligungen können auch nachträglich eingeholt werden!
Der Mythos, dass es auf den Zeitpunkt der Einholung der Erlaubnis nicht ankommt, stimmt nicht. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.
5. Für Einwilligungen ist das Double-Opt-in-Verfahren zwingend!
Zunächst kann mit Sicherheit festgehalten werden: Das Opt-out hat mit der DSGVO ausgedient! Einwilligungen, die als Opt-in (also das Setzen eines Hakens in einem Kontrollkästchen) ausgestaltet sind, müssen aktiverteilt werden. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Beim Double-Opt-in Verfahren wird auch zunächst der Haken gesetzt. Zusätzlich muss ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss. Allerdings kann festgehalten werden: Das Double-Opt-in bietet mehr Sicherheit vor Sanktionen und doppelt hält ohnehin immer besser!
6. Eine Einwilligung für alle Verarbeitungen reicht aus!
Die Vorstellung, eine pauschale Einwilligung für die unbeschränkte Verarbeitung von personenbezogenen Daten reiche für die Legitimierung aus, ist grob falsch. Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.
Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).
Beispiel: Ein Kunde bestellt Waren in einem Onlineshop. Während des Bestellprozesses wird der Kunde darauf hingewiesen, dass die eingegebenen Daten (z.B. Mail-Adresse, Anschrift, Telefonnummer) auch für Werbezwecke genutzt werden können. Um den Bestellprozess fortsetzen zu können, muss der Kunde seine Einwilligung in die Nutzung seiner Daten zu Werbezwecken geben. Da die Einwilligung in die Datenverarbeitung nicht notwendig für die Leistungserbringung – Versand des Produkts – ist, greift das Kopplungsverbot.
7. Der Widerruf der Einwilligung muss 1:1 der Erteilung gleichen!
Eine einmal erteilte Einwilligung muss für die Zukunft widerrufen werden können. Das war schon im BDSG-alt so geregelt und das gilt auch für die DSGVO. Neu ist in diesem Zusammenhang die Regelung des Art. 7 Abs. 3 S.4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren demjenigen der Erteilung eins zu eins entsprechen muss. Vor allem im Online-Handel wird die Einwilligung meist per Opt-in einmalig vor Beginn des Datenverarbeitungsvorganges erteilt, ohne dass die Möglichkeit der späteren Entfernung des Hakens besteht, es sei denn es besteht ein Kundenkonto. Das Stichwort lautet Simplizität. So lange eine einfache Möglichkeit zum Widerruf der Einwilligung geboten wird, ist dies ausreichend. In Newslettern ist dies beispielsweise durch einen Unsubscribe-Link am Ende der Mail möglich, oder eine Opt-out-Option in der Datenschutzerklärung.
Achtung: Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden.
8. Ohne Einwilligung kann ich keine Daten verarbeiten!
Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. b und c DSGVO, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen.
9. Für jedes Cookie benötige ich eine Einwilligung!
Das Thema Cookies und Einwilligung war nach alter Rechtslage verwirrend und ist es leider auch nach neuem Datenschutzrecht noch immer. Fest steht in jedem Fall, dass es sich bei Cookies um personenbezogene Daten handelt, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt einer der Erlaubnisgründe des Art. 6 DSGVO vor. Wie oben bereits beschrieben, kann die Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f) DSGVO auch dann erlaubt sein, wenn dafür ein berechtigtes Interesse besteht. Dazu zählen u.a. wirtschaftliche Unternehmensinteressen (z.B. Werbung). Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Die DSK (Datenschutzkonferenz), in der sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, hat diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden. Wer auf Nummer sicher gehen möchte sollte daher eine Einwilligung einholen.
Allerdings kann man mit guten Gründen das Setzen von Cookies zu Werbezwecken auch auf ein überwiegendes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, solange die Daten nur pseudonymisiert gesammelt werden. Durch die Pseudonymisierung würde den schutzwürdigen Interessen der Nutzer Rechnung getragen. Im Ergebnis wäre man dann wieder beim Opt-out. Sinnvoll ist aber auch in dieser Konstellation die Nutzung eines Cookie-Banners, über den der Website User über das Setzen von Cookies und deren Zwecke informiert wird.
Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.
