Was ist eine gültige Einwilligung (Zustimmung) gemäß DSGVO?
DSGVO Art 6-9, 49, 82, 83, TKG 2003 §§ 107, 109
Einwilligung eine Variante personenbezogene Daten zulässigerweise zu verarbeiten - Einwilligung ist in vertraglichen Verhältnissen von geringer Bedeutung - Kriterien einer gültigen Einwilligung: dokumentiert, korrekte Information ("informed consent"), Freiwilligkeit, jederzeitige Widerrufbarkeit - Einwilligung bei elektronischen Marketingmaßnahmen wesentlich - DSGVO verlangt umfassende Dokumentationspflichten - bisherige Zustimmungen gelten auch nach 25. Mai 2018 - Empfehlungen für Versender und Bezieher
Einwilligung eine Form personenbezogene Daten zulässigerweise zu verarbeiten
Art. 6 DSGVO listet für "normale" personenbezogene Daten gültige Kriterien einer rechtmäßigen Verarbeitung auf, Art. 9 DSGVO für den Bereich der besonderen Datenkategorien (früher: "sensible Daten"). In beiden Fällen ist Einwilligung eine von mehreren Möglichkeiten zur rechtmäßigen Verarbeitung.
Darüber hinaus ist Einwilligung auch von wesentlicher Bedeutung, wenn Daten in unsichere Drittstaaten übermittelt werden sollen. Stimmt der Betroffene nach Aufklärung über alle Risken zu (Art. 49 DSGVO), kann die Übermittlung ohne weitere Sicherheitsvorkehrungen erfolgen.
Keine Formvorschriften für Einwilligung
Grundsätzlich gibt es keine Formvorschrift, wie eine Einwilligung einzuholen ist. Ausdrücklich lässt die DSGVO zu, dass die Einwilligung mündlich, schriftlich oder durch bestätigende Handlung erfolgt.
So kann das Anklicken eines Kästchens bei einem Online-Formular eine gültige Einwilligung darstellen. Sogar das Versenden eines vorausgefüllten Kästchens kann eine gültige Einwilligung darstellen, wenn das Gesamtdesign eines Formulars so gestaltet ist, dass die Willenserklärung des Betroffenen eindeutig erkennbar ist.
Sicher keine gültige Einwilligung sind Erklärungen in den AGBs oder auf irgendwelchen Neben-Webseiten, wenn deren Kenntnisnahme nicht gesichert wird. Auch keine Einwilligung sind Schilder beim Eingang, an denen ein Betroffener üblicherweise ohne Kenntnisnahme vorbeigeht (Beispiel: "Mit Betreten des Raumes stimmt der Betroffene der Videoüberwachug zu").
Auch nachträgliche Einwilligungserklärungen sind ungültig. So finden sich auf Konzertkarten auf der Rückseite Auszüge einer "Hausordnung", bei denen man Fotos, Filmaufnahmen oder dergleichen "zustimmt". Die Krux daran ist, dass diese Erklärungen erst nach Bezahlen, mit Zusendung der Karten zur Kenntnis gebracht werden. Das ist zu spät.
Ebenfalls keine gültige Einwilligung lässt sich aus "Gewohnheitsrecht" oder dergleichen ableiten. Etwa: weil ein Betroffener seit mehreren Jahren unverlangten eMails nicht widersprochen hat, habe er - quasi durch Duldung - seine Einwilligung gegeben. Nicht reagieren ist jedoch, entgegen den Meinungen der WKO, keine bestätigende Handlung im Sinne der DSGVO.
Auf Grund der enormen Möglichkeiten die Einwilligungen für Verantwortliche bieten, ist die Gültigkeit einer Einwilligung daher gemäß DSGVO an strenge Vorgaben gebunden:
- Nachweispflicht
- korrekte Information ("informed consent")
- Freiwilligkeit
- jederzeitige Widerrufbarkeit
Nachweispflicht der Einwilligung
Der Verantwortliche muss für die gesamte Dauer der Gültigkeit einer Einwilligung nachweisen können, dass er eine derartige Einwilligung erhalten hat. Gelingt der Nachweis nicht, drohen empfindliche Strafen. Es gibt jedoch auch keine Formvorschriften, wie dieser Nachweis auszusehen hat.
Hat jemand längere Zeit elektronische Zusendungen erhalten und darauf positiv reagiert, wird das auch als zustimmende Handlung anzusehen sein.
Bei unerwünschten Telefonanrufen oder bei Spam-Mails werden die Bestimmungen des TKG 2003 in Frage kommen, diese sehen Strafen bis 58.000,- Euro vor. In allen anderen Fällen werden die Strafen der DSGVO zur Anwendung kommen (bis 4% des Jahresumsatzes oder bis 20 Mio Euro).
Es gibt zwar keine Formvorschriften zum Nachweis der Einwilligung, langfristig werden jedoch revisionssichere Formen erforderlich sein, etwa durch Signatur der elektronischen Nachweise oder durch Verwendung qualifizierter Zeitstempel. Nur auf diese Weise können nachträgliche Manipulationen verhindert werden.
Einmal erteilte Einwilligungen können so lange aufbewahrt werden, als es für den Nachweis der Gültigkeit der Einwilligung erforderlich ist. Dies kann auch nach Widerruf einer Einwilligung notwendig sein.
Einwilligung erfordert korrekte Information ("informed consent")
Eine Einwilligung ist nur dann gültig, wenn der Betroffene tatsächlich über den vollen Umfang welche Daten zu welchen Zweck verarbeitet werden informiert wurde. Er muss auch über alle möglichen Konsequenzen seiner Einwilligung, insbesonders über Sicherheitsrisken informiert werden.
Ein "Ersuchen um Einwilligung [muss] in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden [ist]" verlangt konkret Art. 7 Abs 2 DSGVO.
Damit wird eine Einwilligung auch dann ungültig, wenn sie langatmig in "Juristen-Kauderwelsch" abgefasst ist. 20 und mehr Seiten lange Erklärungen sind zumindest gegenüber Privatpersonen keine gültige Einwilligung. Es ist grundsätzlich zulässig über Datenschutzrechte und Verarbeitungen auch in einem langen Dokument zu informieren. Wesentliche Punkte, wie Einwilligung sollten gesondert, zu Beginn oder deutlich hervorgehoben zusammengefasst dargestellt werden.
Einwilligung muss freiwillig erfolgen
Es ist ebenfalls unzulässig eine Einwilligung mit anderen, sachfremden Sachverhalten zu verknüpfen. Auch derartige Erklärungen sind ungültig. Derzeit besteht jedoch große Unsicherheit, wann eine Verknüpfung einer Einwilligung mit anderen Sachverhalten sachlich gerechtfertigt ist und wann nicht.
So kann argumentiert werden, dass eine kostenlose Restaurant-App, die mir zeit- und ortsabhängige Restaurantvorschläge liefert, nur durch Nutzung der Standortdaten für Werbezwecke organisiert und finanziert werden kann. Die Einwilligung zur Nutzung persönlicher Daten zu Werbezercken kann daher nach genauer Information gültig sein.
Nicht gültig wäre jedoch eine Einwilligung, bei der eine Bank ein Girokonto nur dann eröffnet, wenn der Betroffene seine Sozialversicherungsnummer und seinen Familienstand bekannt gibt. Beides steht in keinem sachlichen Zusammenhang mit einem Girokonto.
Einwilligung kann jederzeit widerrufen werden
Hat ein Verantwortlicher eine - nach den strengen Kriterien der DSGVO - gültige Einwilligung erwirkt, dann muss er mit dem jederzeitigen Wideruf einer Einwilligung rechnen. Derartige Widerrufe können völlig unbegründet und jederzeit erfolgen.
Einwilligung kein geeignetes Mittel Prozesse zu steuern
Auf Grund dieser engen Vorgaben sind Einwilligungen ungeeignet Pozesse zu steuern, seien das Arbeitsprozesse, Kunden-Lieferanten-Beziehungen, sonstige Industrie- oder Geschäftsprozesse, weder Bankkonten, noch Telekommunikationsdienste, Krankenbehandlungen oder Bestellungen könnten auf Basis von Einwilligung organisiert werden.
Faktum ist, dass in Bereichen mit hoher Qualität, hoher Betriebssicherheit oder Vertrauenswürdigkeit Einwilligung keine Bedeutung hat und vielmehr die vertragliche Gestaltung der Beziehung zwischen Verantwortlichen und Betroffenen im Vordergrund steht.
Im Rahmen von vertraglichen Vereinbarungen kann Widerruf ausgeschlossen werden oder führt schlicht zur Kündigung des Vertrages, mit beiderseitigen Konsequenzen. Gültig sind derartige Verträge jedoch ebenfalls nur dann, wenn sie nur die Verwendung notwendiger Daten vereinbaren. Auch bei Verträgen ist das Minimalitätsprinzip gemäß Art 6 DSGVO zu beachten. In welchem Umfang personenbezogene Daten "notwendig" sind, hängt von der Gestaltung einer Leistung ab.
So darf eine Versicherung den Abschluss einer Lebensversicherung nicht an der Einwilligung der Bekanntgabe von Sport- oder Rauchgewohnheiten binden. Es wäre aber sehr wohl zulässig, spezielle Sport- oder Raucherprodukte mit besonderen Konditionen anzubieten, bei denen die Bekanntgabe der Sport- oder Rauchgewohnheiten Teil des Versicherungsvertrages sind.
Einwilligung im Marketingbereich von zentraler Bedeutung
Von Bedeutung sind Einwilligungen im Sinne der DSGVO eigentlich nur im Werbe- und Marketingbereich. So dürfen Werbe-eMails und Massen-eMails nur mit Einwilligung des Betroffenen zugesandt werden. Eine Verknüpfung mit anderen Diensten ist unzulässig.
Ausschließlich bestehende Kunden, die im Zusammenhang mit einer Bestellung ihre eMail-Adresse bekannt gegeben haben, dürfen Werbung zu ähnlichen Produkten erhalten. Zumindest solange sie nicht widersprechen und sie nicht auf einer Sperrliste der RTR stehen.
Nur für diesen Bereich kann die Einwilligung durch Widerspruch ersetzt werden, ansonsten gelten: Verwendung von Daten zur elektronischen Werbung nur durch dokumentierte, informierte und freiwillige Einwilligung mit jederzeitiger Widerufsmöglichkeit.
Bisherige Einwilligung bleiben gültig
Die gute Nachricht vornweg. Wer heute Werbemails und Newsletter mit einer gültigen Einwilligung verschickt, muss wegen der DSGVO nichts machen. Faktum ist, dass die "neuen" DSGVO-Bestimmungen nicht neu sind, sondern schon seit mehr als 10 Jahren im Rahmen der Anti-Spambedingungen des Telekommunikationsgesetzes (TKG 2003) gelten.
Im Zusammenhang mit den - scheinbar neuen und strengen - Einwilligungskriterien der DSGVO wurden viele Betreiber von eMail-Newslettern verunsichert.
"Habe ich wirklich eine ausreichend dokumentierte Einwilligung im Sinne der DSGVO", fragen sich viele. Manche Anwälte und die WKO empfehlen "zur Sicherheit" eine neue Einwilligung einzuholen.
Ist es sinnvoll nachträglich Einwilligungen einzuholen?
Faktum ist jedoch, in vielen Fällen bestand zu keinem Zeitpunkt eine gültige Einwilligung. Fehlt eine derartige Einwilligung, ist es auch nicht erlaubt jemanden per eMail / Telefon nur zum Zweck der Einwilligung zu kontaktieren.
Schon ein derartiges eMail/Telefonat wäre eine Verletzung der Spam-Bestimmungen und sollte unterbleiben.
Empfehlung ARGE DATEN für Newsletter-Versender
Die ARGE DATEN empfiehlt KEINE neuen Einwilligungsversuche zu starten, sondern darauf zu vertrauen, dass die bisherigen Einwilligungen ausreichen.
Nach bisherigen Erfahrungen ist die Rücklaufquote für derartige Einwilligungs-Spam-Mails weniger als 5%. Gleichzeitig gibt man jedoch einer sehr großen Zahl von Personen zu verstehen, dass man keine gültige Einwilligung hat. Dies könnte ab den 25. Mai 2018 etliche Personen motivieren Anzeigen nach §109 TKG 2003 oder Art. 83 DSGVO einzubringen oder Schadenersatzforderungen nach Art. 82 DSGVO zu erheben.
Wer ernsthaft an der Gültigkeit seiner eMail-/Telefonlisten zweifelt, sollte die entsprechende Personengruppe streichen und auf dem Postweg, durch Webformulare, durch Preisausschreiben oder sonstige Aktivitäten motivieren, sich neu anzumelden.
Empfehlung ARGE DATEN für Newsletter-Bezieher
Die ARGE DATEN empfiehlt keine Einwilligungs-eMails zu beantworten, oft ist in den Einwilligungen zum Newsletterbezug auch der Versuch formuliert, andere Teile einer Geschäftsbeziehung zu "sanieren".
Wer ab 25. Mai 2018 unerwünschte eMails erhält, sollte dasselbe wie vorher tun, sich vom Newsletterbezug abmelden. Nur dort, wo das nicht funktioniert, ist eine Anzeige sinnvoll. Bei besonders hartnäckigen Fällen ist auch eine Schadenersatzforderung in der Höhe von etwa 1.000,- Euro ("Missachtung der DSGVO") sinnvoll.
Bei einer Schadenersatzklage muss dem Betroffenen jedoch bewusst sein, dass diese kostenpflichtig ist und er zum Teil juristisches Neuland mit ungewissem Ausgang betritt.
mehr --> Datenschutzbehörde setzt strengen Maßstab bei Datenschutz-Einw...
mehr --> Was bedeutet das 'Recht auf Widerruf'?
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Widerrufsbegehren gemäß DSGVO Art 7 (allgemeine Version) - V1.0
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
Archiv --> Gültigkeit von Zustimmungserklärungen zur Datenweitergabe
|
