rating service  security service privacy service
 
2018/05/22 Was ist eine gültige Zustimmung (Einwilligung) gemäß DSGVO?
DSGVO Art 6 - 9, 49, 82, 83, TKG 2003 §§ 107, 109
Zustimmung eine Form personenbezogene Daten zulässigerweise zu verarbeiten - Zustimmung ist in vertraglichen Verhältnissen von geringer Bedeutung - Kriterien einer gültigen Zustimmung: dokumentiert, korrekte Information ("informed consent"), Freiwilligkeit, jederzeitige Widerrufbarkeit - Zustimmung bei elektronischen Marketingmaßnahmen wesentlich - DSGVO verlangt umfassende Dokumentationspflichten - bisherige Zustimmungen gelten auch nach 25. Mai 2018 - Empfehlungen für Versender und Bezieher

Zustimmung eine Form personenbezogene Daten zulässigerweise zu verarbeiten

Art. 6 DSGVO listet für "normale" personenbezogene Daten gültige Kriterien einer rechtmäßigen Verarbeitung auf, Art. 9 DSGVO für den Bereich der besonderen Datenkategorien (früher: "sensible Daten"). In beiden Fällen ist Zustimmung eine von mehreren Möglichkeiten zur rechtmäßigen Verarbeitung.

Darüber hinaus ist Zustimmung auch von wesentlicher Bedeutung, wenn Daten in unsichere Drittstaaten übermittelt werden sollen. Stimmt der Betroffene nach Aufklärung über alle Risken zu (Art. 49 DSGVO), kann die Übermittlung ohne weitere Sicherheitsvorkehrungen erfolgen.


Keine Formvorschriften für Zustimmung

Grundsätzlich gibt es keine Formvorschrift, wie eine Zustimmung einzuholen ist. Ausdrücklich lässt die DSGVO zu, dass die Zustimmung mündlich, schriftlich oder durch bestätigende Handlung erfolgt.

So kann das Anklicken eines Kästchens bei einem Online-Formular eine gültige Zustimmung darstellen. Sogar das Versenden eines vorausgefüllten Kästchens kann eine gültige Zustimmung darstellen, wenn das Gesamtdesign eines Formulars so gestaltet ist, dass die Willenserklärung des Betroffenen eindeutig erkennbar ist.

Sicher keine gültige Zustimmung sind Erklärungen in den AGBs oder auf irgendwelchen Neben-Webseiten, wenn deren Kenntnisnahme nicht gesichert wird. Auch keine Zustimmung sind Schilder beim Eingang, an denen ein Betroffener üblicherweise ohne Kenntnisnahme vorbeigeht (Beispiel: "Mit Betreten des Raumes stimmt der Betroffene der Videoüberwachug zu").

Auch nachträgliche Zustimmungserklärungen sind ungültig. So finden sich auf Konzertkarten auf der Rückseite Auszüge einer "Hausordnung", bei denen man Fotos, Filmaufnahmen oder dergleichen "zustimmt". Die Krux daran ist, dass diese Erklärungen erst nach Bezahlen, mit Zusendung der Karten zur Kenntnis gebracht werden. Das ist zu spät.

Ebenfalls keine gültige Zustimmung lässt sich aus "Gewohnheitsrecht" oder dergleichen ableiten. Etwa: weil ein Betroffener seit mehreren Jahren unverlangten eMails nicht widersprochen hat, habe er - quasi durch Duldung - seine Zustimmung gegeben. Nicht reagieren ist jedoch, entgegen den Meinungen der WKO, keine bestätigende Handlung im Sinne der DSGVO.

Auf Grund der enormen Möglichkeiten die Zustimmungen für Verantwortliche bieten, ist die Gültigkeit einer Zustimmung daher gemäß DSGVO an strenge Vorgaben gebunden:
- Nachweispflicht
- korrekte Information ("informed consent")
- Freiwilligkeit
- jederzeitige Widerrufbarkeit


Nachweispflicht der Zustimmung

Der Verantwortliche muss für die gesamte Dauer der Gültigkeit einer Zustimmung nachweisen können, dass er eine derartige Zustimmung erhalten hat. Gelingt der Nachweis nicht, drohen empfindliche Strafen.

Bei unerwünschten Telefonanrufen oder bei Spam-Mails werden die Bestimmungen des TKG 2003 in Frage kommen, diese sehen Strafen bis 58.000,- Euro vor. In allen anderen Fällen werden die Strafen der DSGVO zur Anwendung kommen (bis 4% des Jahresumsatzes oder bis 20 Mio Euro).

Es gibt zwar keine Formvorschriften zum Nachweis der Zustimmung, langfristig werden jedoch revisionssichere Formen erforderlich sein, etwa durch Signatur der elektronischen Nachweise oder durch Verwendung qualifizierter Zeitstempel. Nur auf diese Weise können nachträgliche Manipulationen verhindert werden.

Einmal erteilte Zustimmungen können so lange aufbewahrt werden, als es für den Nachweis der Gültigkeit der Zustimmung erforderlich ist. Dies kann auch nach Widerruf einer Zustimmung notwendig sein.


Zustimmung erfordert korrekte Information ("informed consent")

Eine Zustimmung ist nur dann gültig, wenn der Betroffene tatsächlich über den vollen Umfang welche Daten zu welchen Zweck verarbeitet werden informiert wurde. Er muss auch über alle möglichen Konsequenzen seiner Zustimmung, insbesonders über Sicherheitsrisken informiert werden.

Ein "Ersuchen um Einwilligung [muss] in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden [ist]" verlangt konkret Art. 7 Abs 2 DSGVO.

Damit wird eine Zustimmung auch dann ungültig, wenn sie langatmig in "Juristen-Kauderwelsch" abgefasst ist. 20 und mehr Seiten lange Erklärungen sind zumindest gegenüber Privatpersonen keine gültige Zustimmung. Es ist grundsätzlich zulässig über Datenschutzrechte und Verarbeitungen auch in einem langen Dokument zu informieren. Wesentliche Punkte, wie Zustimmung sollten jedoch gesonder, zu beginn oder sehr deutlich hervorgehoben zusamamengefasst dargestellt werden.


Zustimmung muss freiwillig erfolgen

Es ist ebenfalls unzulässig eine Zustimmung mit anderen, sachfremden Sachverhalten zu verknüpfen. Auch derartige Erklärungen sind ungültig. Derzeit besteht jedoch große Unsicherheit, wann eine Verknüpfung einer Zustimmung mit anderen Sachverhalten sachlich gerechtfertigt ist und wann nicht.

So kann argumentiert werden, dass eine kostenlose Restaurant-App, die mir zeit- und ortsabhängige Restaurantvorschläge liefert, nur durch Nutzung der Standortdaten für Werbezwecke organisiert und finanziert werden kann. Die Zustimmung zur Nutzung persönlicher Daten zu Werbezercken kann daher nach genauer Information gültig sein.

Nicht gültig wäre jedoch eine Zustimmung, bei der eine Bank ein Girokonto nur dann eröffnet, wenn der Betroffene seine Sozialversicherungsnummer und seinen Familienstand bekannt gibt. Beides steht in keinem sachlichen Zusammenhang mit einem Girokonto.


Zustimmung kann jederzeit widerrufen werden

Hat ein Verantwortlicher eine - nach den strengen Kriterien der DSGVO - gültige Zustimmung erwirkt, dann muss er mit dem jederzeitigen WIderuf einer Zustimmung rechnen. Derartige Widerrufe können völlig unbegründet und jederzeit erfolgen.


Zustimmung kein geeignetes Mittel Prozesse zu steuern

Auf Grund dieser strengen Vorgaben sind Zustimmung ungeeignet Pozesse zu steuern, seien das Arbeitsprozesse, Kunden-Lieferanten-Beziehungen, sonstige Industrie- oder Geschäftsprozesse, weder Bankkonten, noch Telekommunikationsdienste, Krankenbehandlungen oder Bestellungen könnten auf Basis von Zustimmung organisiert werden.

Faktum ist, dass in diesen Bereichen Zustimmung keine Bedeutung hat und vielmehr die vertragliche Gestaltung der beziehung zwischen Verantwortlichen und Betroffenen im Vordergrund steht.

Im Rahmen von vertraglichen Vereinbarungen kann Widerruf ausgeschlossen werden oder führt schlicht zur Kündigung des Vertrages, mit beiderseitigen Konsequenzen. Gültig sind derartige Verträge jedoch ebenfalls nur dann, wenn sie nur die Verwendung notwendiger Daten vereinbaren. Auch bei Verträgen ist das Minimalitätsprinzip gemäß Art 6 DSGVO zu beachten. In welchem Umfang personenbezogene Daten "notwendig" sind, hängt von der Gestaltung einer Leistung ab.

So darf eine Versicherung den Abschluss einer Lebensversicherung nicht an der Zustimmung der Bekanntgabe von Sport- oder Rauchgewohnheiten binden. Es wäre aber sehr wohl zulässig, spezielle Sport- oder Raucherprodukte mit besonderen Konditionen anzubieten, bei denen die Bekanntgabe der Sport- oder Rauchgewohnheiten Teil des Versicherungsvertrages sind.


Zustimmung im Marketingbereich von zentraler Bedeutung

Von Bedeutung sind Zustimmungen im Sinne der DSGVO eigentlich nur im Werbe- und Marketingbereich. So dürfen Werbe-eMails und Massen-eMails nur mit Zustimmung des Betroffenen zugesandt werden. Eine Verknüpfung mit anderen Diensten ist unzulässig.

Ausschließlich bestehende Kunden, die im Zusammenhang mit einer Bestellung ihre eMail-Adresse bekannt gegeben haben, dürfen Werbung zu ähnlichen Produkten erhalten. Zumindest solange sie nicht widersprechen und sie nicht auf einer Sperrliste der RTR stehen.

Nur für diesen Bereich kann die Zustimmung durch Widerspruch ersetzt werden, ansonsten gelten: Verwendung von Daten zur elektronischen Werbung nur durch dokumentierte, informierte und freiwillige Zustimmung mit jederzeitiger Widerufsmöglichkeit.


Bisherige Zustimmungen bleiben gültig

Die gute Nachricht vornweg. Wer heute Werbemails und Newsletter mit einer gültigen Zustimmung verschickt, muss wegen der DSGVO nichts machen. Faktum ist, dass die "neuen" DSGVO-Bestimmungen nicht neu sind, sondern schon seit mehr als 10 Jahren im Rahmen der Anti-Spambedingungen des Telekommunikationsgesetzes (TKG 2003) gelten.

Im Zusammenhang mit den - scheinbar neuen und strengen - Zustimmungskriterien der DSGVO wurden viele Betreiber von eMail-Newslettern verunsichert.

"Habe ich wirklich eine ausreichend dokumentierte Zustimmung im Sinne der DSGVO", fragen sich viele. Manche Anwälte und die WKO empfehlen "zur Sicherheit" eine neue Zustimmung einzuholen.


Ist es sinnvoll nachträglich Zustimmungen einzuholen?

Faktum ist jedoch, in vielen Fällen bestand zu keinem Zeitpunkt eine gültige Zustimmung. Fehlt eine derartige Zustimmung, ist es auch nicht erlaubt jemanden per eMail / Telefon nur zum Zweck der Zustimmung zu kontaktieren.

Schon ein derartiges eMail/Telefonat wäre eine Verletzung der Spam-Bestimmungen und sollte unterbleiben.


Empfehlung ARGE DATEN für Newsletter-Versender

Die ARGE DATEN empfiehlt KEINE neue Zustimmungsversuche zu starten, sondern darauf zu vertrauen, dass die bisherigen Zustimmungen ausreichen.

Nach bisherigen Erfahrungen ist die Rücklaufquote für derartige Zustimmungs-Spam-Mails weniger als 5%. Gleichzeitig gibt man jedoch einer sehr großen Zahl von Personen zu verstehen, dass man keine gültige Zustimmung hat. Dies könnte ab den 25. Mai 2018 etliche Personen motivieren Anzeigen nach §109 TKG 2003 oder Art. 83 DSGVO einzubringen oder Schadenersatzforderungen nach Art. 82 DSGVO zu erheben.

Wer ernsthaft an der Gültigkeit seiner eMail-/Telefonlisten zweifelt, sollte die entsprechende Personengruppe streichen und auf dem Postweg, durch Webformulare, durch Preisausschreiben oder sonstige Aktivitäten motivieren, sich neu anzumelden.


Empfehlung ARGE DATEN für Newsletter-Bezieher

Die ARGE DATEN empfiehlt keine Zustimmungs-eMails zu beantworten, oft ist in den Zustimmungen zum Newsletterbezug auch der Versuch formuliert, andere Teile einer Geschäftsbeziehung zu "sanieren".

Wer ab 25. Mai 2018 unerwünschte eMails erhält, sollte dasselbe wie vorher tun, sich vom Newsletterbezug abmelden. Nur dort, wa das nicht funktioniert ist eine Anzeige sinnvoll. Bei besonders hartnäckigen Fällen ist auch eine Schadenersatzforderung in der Höhe von etwa 1.000,- Euro ("Missachtung der DSGVO") sinnvoll.

Bei einer Schadenersatzklage muss dem Betroffenen jedoch bewusst sein, dass diese kostenpflichtig ist und er zum Teil juristisches Neuland mit ungewissem Ausgang betritt.

mehr --> Wann ist die Zulässigkeit der Datenverarbeitung gemäß DSGVO...
mehr --> Widerruf gemäß DSGVO Art 6,9 - doc-Version allgemein
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
Archiv --> Gültigkeit von Zustimmungserklärungen zur Datenweitergabe

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster