Datenschutzbehörde setzt strengen Maßstab bei Datenschutz-Einwilligung
DSGVO mit klaren Regeln zur Einwilligung der Datennutzung - in einem amtswegigen Prüfverfahren legt die Datenschutzbehörde (DSB) Einwilligung besonders streng aus - im Geschäftsverkehr auf Einwilligung verzichten - elektronische Werbung auch ohne Einwilligung möglich
DSGVO mit klaren Regeln zur Einwilligung der Datennutzung
Knapp vor dem 25. Mai 2018 waren überzogene Einwilligungserklärungen zur Datennutzung DER Aufreger der neuen Datenschutzgrund-Verordnung (DSGVO).
Privatpersonen und Firmen wurden überschwemmt mit neuen Einwilligungserklärungen. Berufen wurde auf die DSGVO, meist war die Einführung der DSGVO bloß Vorwand, neue Vereinbarungen mit neuen Rechten zu schließen. Die ARGE DATEN hatte damals vor Unterzeichnung derartiger Erklärungen abgeraten.
Hans G. Zeger, Obmann ARGE DATEN: "Wenn eine Geschäftsbeziehung vor dem 25. Mai 2018 korrekt war, ist sie es auch nach dem 25. Mai 2018. Das hat die DSGVO ausdrücklich geregelt. Neue Einwilligungserklärungen waren nicht erforderlich."
Die Einwilligung ist in der DSGVO im Art. 7 klar geregelt:
(a) der Datenverarbeiter muss eine Einwilligung nachweisen können
(b) wird die Einwilligung schriftlich gemeinsam mit anderen Vereinbarungen erteilt, muss die Einwilligung klar abgegrenzt sein
(c) es besteht ein unbegründetes Widerrufsrecht
(d) die Einwilligung muss sich klar von vertraglich notwendigen Datenverarbeitungen abgrenzen ("Koppelungsverbot")
(e) Formvorschriften, wie die Einwilligung zu geben ist, existieren nicht
Alle diese Punkte waren schon vor Einführung der DSGVO im "alten" Datenschutzgesetz verpflichtend.
Strenger Maßstab der Datenschutzbehörde (DSB)
In einer bislang wenig beachteten Entscheidung der DSB (DBS-D213.642/0002-DSB/2018) wurde eine Einwilligungs-Erklärung als DSGVO-widrig festgestellt.
Im Zuge des Beitritts zu einem Automobil-Club hatten angehende Mitglieder nicht nur den Mitgliedsantrag zu unterschreiben, sondern unterschrieben auch - schön im Gesamttext verpackt - , dass ihre Daten zu Marketingzwecken verwendet werden dürfen und an Landesorganisationen inklusive angeschlossene Unternehmen weitergegeben werden dürfen.
Die DSB sah darin einen Verstoß gegen Art. 7 DSGVO, weil die Einwilligung zu Marketingzwecken nicht ausreichend klar vom eigentlich Vertrag (Mitgliedschaft) getrennt war.
Amtswegiges Prüfverfahren
Besonders beachtenswert bei dieser Entscheidung ist, dass sie nicht auf Grund einer Einzelbeschwerde erfolgte, sondern in Form eines amtswegigen Prüfverfahren der DSB, also aus Eigeninitiative der Datenschutzbehörde.
Hans G. Zeger, "Jedes österreichische Unternehmen mit vergleichbaren Formulierungern muss damit rechnen ebenso einer amtswegigen Prüfung unterzogen zu werden."
Glimpflich weggekommen
Im Grunde ist der Automobil-Club glimpflich weggekommen. Ihm wurde nur aufgetragen derartige Einwilligungen in Zukunft nicht mehr zu verwenden. Für die Umstellung wurde ihm eine großzügige Frist von drei Monaten gewährt.
Die DSB hätte auch eine Strafe verhängen können. Abhängig von der Größe des Klubs und den durch die rechtswidrigen Formulierung erzielten Vorteil wären Strafen von 100.000 - 500.000 Euro argumentierbar gewesen.
Mitglieder könnten, sollten sie sich von der Werbung belästigt gefühlt haben, Schadenersatz nach der DSGVO verlangen. Ein Betrag von 1.000,- Euro pro Betroffenen wäre auch hier argumentierbar. Selbst Mitbewerber (andere Automobilklubs, Reiseveranstalter, KFZ-Ausrüster, ...) könnten im Rahmen eines UWG-Verfahrens Schadenersatz verlangen.
Einwilligung nur eine Form der zulässigen Datenverarbeitung
Neben der Einwilligung nennt die DSGVO fünf weitere Gründe, warum Daten verarbeitet werden können.
Erlaubnis-Gründe für die Verarbeitung persönlicher Daten:
- vertragliche Grundlagen ("Vertragserfüllung")
- gesetzliche Verpflichtungen
- im lebenswichtigen Interesse des Betroffene oder eines Dritten
- Verarbeitung ist im öffentlichen ("staatlichen") Interesse
- Verarbeitung dient berechtigten Interessen des Verarbeiters oder eines Dritten, ohne unzulässigen Eingriff in die Grundrechte des Betroffenen
Zusätzlich sind jedoch auch die ausdrücklichen Verbots-Gründe zu beachten. Diese finden sich nur zu einem geringen Teil in der DSGVO und sind oft Ursache von Missverständnissen.
Verbots-Gründe für die Verarbeitung persönlicher Daten (Beispiele):
- keine elektronische Werbung (Fax, Telefon, eMail) ohne ausdrückliche Zustimmung
- kein Ermitteln von Gen-Daten durch Versicherungen oder Arbeitgeber
Im Geschäftsverkehr auf Einwilligung verzichten
Im Grunde ist das Problem vom Automobil-Club selbst verschuldet. Für praktisch kein einziges Szenario benötigt der Automobil-Club die Einwilligung des zukünftigen Mitglieds.
Die Erhebung der Kontaktdaten, der KFZ-Daten können über die vertraglichen Verpflichtungen gestaltet werden. Hier könnten auch die Statuten wesentliche Klarstellungen schaffen, bei Firmen wären es die AGBs. Über diesen vertraglichen Umfang muss bloß ausreichend informiert werden, Zustimmung ist nicht erforderlich. Auch für Postwerbung ist keine Zustimmung erforderlich.
Einzig die elektronische Werbung bedarf im konkreten Fall einer ausdrücklichen Einwilligung. Diese sollte tatsächlich getrennt erfolgen.
elektronische Werbung auch ohne Einwilligung möglich
Die ARGE DATEN erhält zahllose Anfragen, wie in Zukunft preiswerte personenbezogene Werbung ohne teure Einwilligungsverfahren möglich sind.
Elektronische Werbung wird immer dann ohne Einwilligung erlaubt sein, wenn sie Teil einer sinnvollen vertraglichen Vereinbarung ist. So könnte eine Bank, ein Reisebüro oder eine Supermarktkette als Gegenleistung zur elektronischen Werbung Rabatte auf Produkte, die Teilnahme an VIP-Events oder ähnliches anbieten. Die einzige Einschränkung besteht nur in einer vernünftigen sachlichen Begründung bei der Verknüpfung von Werbung und Leistung.
Ist der Betroffene mit einer derartigen Vereinbarung einverstanden, muss er elektronische Werbung für die Dauer des Vertrages akzeptieren. Er kann zwar immer noch aus der Vereinbarung aussteigen, aber er verliert dann Vergünstigungen.
Rabatt bei Dienst-Nutzung als Gegengeschäft zur elektronischen Werbung
Geradezu zum Exzess haben die Internet-Riesen Google, Facebook und Co dieses Verfahren ausgereizt. Sie bieten 100% Rabatt ("Gratis-Dienst") gegen elektronische Werbung rund um die Uhr. Wem's gefällt, wer Werbe-Afin oder Werbe-Resistent ist, für den ist das die ideale Lösung.
Europäischen Unternehmen ist durch die DSGVO ein derartiges Geschäftsmodell nicht verboten, seit 25. Mai 2018 wurde es sogar noch erheblich erleichtert. Wenn man die DSGVO richtig liest.
Lösung für unseren Automobil-Club
Der gemaßregelte Automobil-Club hätte somit mehrere Alternativen DSGVO-konform zu agieren und trotzdem seinen Werbebedürfnissen nachzukommen
Version 1: Automobil-Club verzichtet auf elektronische Werbung
Vorteil:
Keinerlei Vertragsanpassungen erforderlich.
Nachteil:
Eine kostengünstige Werbeform kann nicht genutzt werden.
Version 2: Statuten-Anpassung
Der Automobil-Club legt in seinen Statuten fest, dass man nur Mitglied sein kann, wenn man elektronische Werbung akzeptiert. Begründbar ist das mit reduzierten Werbekosten, die dann allen Mitgliedern in Form von mehr Leistungen zugute kommen.
Vorteil:
Keine Zustimmung erforderlich, Betroffene müssen auf diesen Passus ausdrücklich hingewiesen werden.
Nachteil:
Betroffene die keine Werbung wollen, werden wohl nicht Mitglied werden.
Version 3: Rabatt-Lösung
Wer elektronische Werbung akzeptiert kann Mitglied zu verbilligten Konditionen werden oder er erhält ein zusätzliches Leistungsheft oder ...
Vorteil:
Keine Zustimmung erforderlich, elektronische Werbung ist Teil einer vertraglichen Vereinbarung.
Nachteil:
Die Zusatz-Leistungen/Rabatte verursachen Kosten.
Besonders Version 3 wird von immer mehr Unternehmen aufgegriffen. In vielen Fällen werden besonders günstige Stromlieferverträge, Internet-Abos, Versicherungen nur mehr mit gleichzeitigem Akzeptieren von Werbung angeboten.
mehr --> Prospekt "Ausbildungsreihe betrieblicher Datenschutzbeauftragter" 2019
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Was ist eine gültige Einwilligung (Zustimmung) gemäß DSGVO?
|
