Sind Ihre Einwilligungserklärungen DSGVO-konform?

Die Datenschutz-Grundverordnung (DSGVO) wird den Umgang mit personenbezogenen Daten auf Grundlage von Einwilligungserklärungen verändern. Vieles bleibt im Vergleich zur gegenwärtigen Rechtslage jedoch auch gleich. Wir schaffen einen kursorischen Überblick darüber, welche Änderungen künftig bei der Einholung von Einwilligung zu beachten sein werden und welche Schritte Unternehmen bereits jetzt ergreifen sollten, um eine zukünftige Wirksamkeit gegenwärtig erteilter Einwilligungserklärungen sicherzustellen.

Die Grundprinzipien: Was bleibt gleich?

Unverändert bleiben die Grundprinzipien der für die Erteilung einer Einwilligung:

  • Nach wie vor sind Einwilligungen inhaltlich bestimmt und umfassend zu gestalten, denn der Betroffene muss wissen, worin er einwilligt.
  • Ferner dürfen Einwilligungen weiterhin von der verarbeitenden Stelle vorformuliert werden. Diese Einwilligungstexte sind in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache abzufassen.
  • Sobald die Einwilligungen gemeinsam mit anderen Bestimmungen (etwa im Rahmen von AGB) eingeholt werden sollen, muss sich der Einwilligungstext klar von den restlichen Regelungen (drucktechnisch) abheben.
  • Wie auch zuvor müssen Einwilligungen freiwillig abgegeben werden. So muss die Erteilung frei von jeglichem Zwang erfolgen. Davon kann nicht ausgegangen werden, wenn der Einwilligende keine echte oder freie Wahl hatte. Aus der DSGVO sowie deren Erwägungsgründen geht dabei hervor, dass die Freiwilligkeit einer Einwilligung zum einen dann in Zweifel gezogen werden könne, wenn zwischen der verantwortlichen Stelle und dem Betroffenen ein „klares Ungleichgewicht“ besteht. Während in den Erwägungsgründen explizit als Beispiel das Verhältnis zwischen Bürger und Behörde als „ungleich“ angeführt wird, bleibt abzuwarten, wie die Datenschutzbehörden das Verhältnis ‚Arbeitgeber – Arbeitnehmer‘ oder ‚Verbraucher – Unternehmer‘ klassifizieren werden. Bei echter Wahlfreiheit für den Arbeitnehmer sollte dies aber möglich sein – dies entspricht auch der aktuellen BAG-Rechtsprechung (BAG, Urt. v. 19.2.2015 – 8 AZR 1011/13).
    Generell ist hierbei ist zu beachten, dass ein solches Ungleichgewicht nicht immer automatisch zu einer Unwirksamkeit einer Einwilligung führen wird. Ein solches Ungleichgewicht ist lediglich bei der Beurteilung, ob eine Einwilligung freiwillig erteilt worden ist, neben sämtlichen anderen Umständen des Einzelfalls zu berücksichtigen (vergleiche Erwägungsgrund 43).
  • Der Betroffene muss über das Bestehen seines Rechts zum jederzeitigen Widerruf seiner Einwilligung informiert werden. Die DSGVO stellt dabei nun klar, dass ferner über die Folgen eines Widerrufs (ausschließlich Wirkung für die Zukunft) belehrt werden muss.
  • Gemäß Art. 4 Nr. 11 DSGVO müssen Einwilligungen unmissverständlich abgegeben werden. Für elektronisch erteilte Einwilligungen spezifiziert dies Erwägungsgrund 32 dahingehend, dass „bereits angekreuzte Kästchen“ diese Anforderung nicht erfüllen. Dies entspricht derweil der herrschenden Meinung auch auf gegenwärtiger Rechtslage. Demnach wird zukünftig nach wie vor zwingend ein Opt-in-Verfahren bei einer elektronischen Einwilligungserteilung vorgesehen werden müssen. Ein bloßes Opt-out-Verfahren, d.h. das Abwählen einer bereits vorselektierten Tick-Box oder eine (nachträgliche) Widerspruchslösung, wird demgegenüber nicht genügen.
  • Da der Verantwortliche entsprechenden Nachweis darüber erbringen können muss, dass eine Einwilligung wirksam erteilt worden ist, wird wohl ohnehin weiterhin das Double-Opt-in-Verfahren eingesetzt werden müssen.

Die wichtigsten Änderungen: Was ist neu?

Die DSGVO wird darüber hinaus vereinzelte, jedoch äußerst praxisrelevante Änderungen einführen:

Koppelungsverbot

Die größte regulatorische Verschärfung der DSGVO im Zusammenhang mit Einwilligungen stellt die signifikante Ausweitung des Kopplungsverbotes dar. Dies umfasst Sachverhalte, in denen der Abschluss bzw. die Erfüllung eines Vertrags von der Erteilung einer datenschutzrechtlichen Einwilligung abhängig gemacht wird.

Zwar kennt das geltende Datenschutzrecht eine ähnliche Regelung für Einwilligungen zur werblichen Verwendung personenbezogener Daten (Paragraf 28 Abs. 3b BDSG), welche es verbietet, den Abschluss eines Vertrags von der Erteilung einer entsprechenden Einwilligung abhängig zu machen. Das Verbot greift gegenwärtig jedoch nur, wenn für den Betroffenen keine andere Möglichkeit besteht, eine vergleichbare Leistung von einem anderen Anbieter zu erhalten, mithin die jeweilige verantwortliche Stelle eine Monopolstellung besitzt. In der Praxis findet das Koppelungsverbot demnach kaum Anwendung.

Aller Erwartung nach wird sich dies jedoch unter der DSGVO erheblich ändern. Insofern statuiert Art. 7 Abs. 4 DSGVO, dass bei der Beurteilung der Freiwilligkeit einer Einwilligung unter anderem dem Umstand in größtmöglichen Umfang Rechnung getragen werden muss, ob die verpflichtend abzugebende Einwilligung für die Erfüllung des an sie „gekoppelten“ Vertrags erforderlich ist. In Konsequenz umfasst dies letztlich nahezu sämtliche verpflichtende Einwilligungserklärungen, da diejenigen personenbezogenen Daten, die zur Vertragsdurchführung erforderlich sind, ohnehin gemäß Art. 6 Abs. 1 lit. b DSGVO (ohne gesonderte Einwilligung) verarbeitet werden dürfen.

Altersgrenze / Einwilligungen Minderjähriger

Die DSGVO wird zudem eine Altersgrenze für die Wirksamkeit einer Einwilligung einführen. So statuiert Art. 8 Abs. 1 DSGVO, dass zukünftig Betroffene das 16. Lebensjahr vollendet haben müssen, um wirksam in eine Datenverarbeitung einwilligen zu können. Bei jüngeren Betroffenen ist es erforderlich, dass deren Eltern eingewilligt oder zugestimmt haben. Die Mitgliedstaaten haben sogar die Möglichkeit, die Altersgrenze auf bis zu 13 Jahre herunterzusetzen.

Selbst wenn der deutsche Gesetzgeber von dieser Möglichkeit keinen Gebrauch macht (wovon auszugehen ist), ergeben sich somit für manche Verwendungszusammenhänge Erleichterungen bei der Einholung von Minderjährigen; verlangt der BGH derzeit doch in bestimmten Konstellationen Volljährigkeit für die Wrksamkeit von Einwilligungen (BGH, Urteil vom 22.01.2014 – I ZR 218/12).

Erleichterter Widerruf

Gemäß Art. 7 Abs. 3 S. 4 DSGVO muss der Widerruf der Einwilligung zukünftig so einfach wie deren Erteilung erfolgen können. Je nach elektronischem, schriftlichem oder mündlichem Einwilligungsformat muss auch in gleicher Weise die Ausübung des Widerrufs erleichtert werden. Soweit die Einwilligung per Mausklick erteilt wird, ist davon auszugehen, dass dies in Zukunft auch für den Widerruf verlangt werden wird. Insofern wird eine pauschale Verweisung auf eine Kontaktmöglichkeit etwa per E-Mail im Gegensatz zum geltenden Recht wohl nicht mehr genügen.

Fortgeltung bisheriger Einwilligungserklärungen

Zur Frage der Fortgeltung bisheriger Einwilligungserklärungen bestand zunächst große Unsicherheit. Gemäß Erwägungsgrund 171 ist die Erneuerung einer Einwilligung nur dann entbehrlich, wenn „die Art der bereits erteilten Einwilligung“ den Bedingungen der DSGVO entspricht. Hieraus wurde gefolgert, dass nur solche Einwilligungen fortwirken, die sämtlichen DSGVO-Anforderungen genügen. Nicht ganz so streng scheinen dies die Aufsichtsbehörden zu beurteilen: Laut eines Beschlusses des sog. Düsseldorfer Kreises (das gemeinsame Koordinationsgremium der deutschen Datenschutzbehörden) werden bisher wirksam erteilte Einwilligungen auch unter der DSGVO grundsätzlich fortgelten. Vor allem verlangen die Aufsichtsbehörden nicht, dass bei Einholung der Einwilligung die Informationspflichten nach Artikel 13 DSGVO erfüllt sind, da sie nach deren Einschätzung keine Bedingungen im Sinne des genannten Erwägungsgrundes seien.

Gleichwohl stellten die Datenschutzbehörden klar, dass nur solche Einwilligungen fortgelten, die unter Beachtung des Kopplungsverbots nach Art. 7 Abs. 4 DSGVO sowie der Altersgrenze gemäß Art. 8 Abs. 1 DSGVO erteilt worden sind. Alteinwilligungen müssen also auf den Prüfstand gestellt warden.

Sie haben Fragen? Dann wenden Sie sich jederzeit gerne an einen unserer Experten.

Tobias Rothkegel
Geposted von Tobias Rothkegel

Tobias Rothkegel ist Rechtsanwalt in unserem Büro in Hamburg. Der Schwerpunkt seiner Tätigkeit liegt im IT- und Datenschutzrecht. Hierbei berät er sowohl führende Unternehmen als auch Start-ups im Digital-Business-Sektor.

Kommentieren

Pflichtfelder sind markiert*