Neue Anforderungen an die Einwilligung und Informationspflichten bei der Datenerhebung nach der DSGVO

Einwilligungen sind oftmals das einzige Mittel mit denen Newsletter versendet, Unterauftragnehmer eingebunden, Cloud-Dienste genutzt oder Kundendatenbanken aufgebaut werden können. Einwilligungen sind schlicht ein zentrales Element, um jegliche datenschutzrechtliche Hürde zu nehmen. Ab dem 25.05.2018 gilt bekanntlich anstatt des Bundesdatenschutzgesetzes (BDSG) die EU-Datenschutzgrundverordnung (DSGVO), die einige zentrale Änderungen hinsichtlich der Einwilligung mit sich bringt.

Warum eine Einwilligung?

Ebenso wie bislang das BDSG regelt auch die DSGVO ein Verbot jeglichen Umgangs mit personenbezogenen Daten. Von diesem Verbot bestehen nur einige, wenige Ausnahmen – darunter die Einwilligung. Ohne das Eingreifen einer solchen Ausnahme würden übliche Datenverarbeitungen wie das Erheben von Daten, das Speichern von Daten und das Übermitteln von Daten an Dritte unzulässig sein. Ein Erheben und Speichern ist dabei schon das Notieren von Informationen aus einem Gespräch mit dem Betroffenen in einem Computersystem. Eine Übermittlung von Daten geschieht ebenfalls rascher, als häufig gedacht. Speichert man einen neuen Kontakt in seinem Smartphone ab und wird das Adressbuch mit dem Cloud-System des Smartphone-Herstellers synchronisiert – das ist gegenwärtig übrigens die Standardeinstellung – liegt bereits eine Übermittlung vor, für die datenschutzrechtlich eine Erlaubnisnorm gefunden werden muss. Rein private Verwendungen zu persönlichen und familiären Zwecken unterfallen dabei nicht der DSGVO – anders jedoch geschäftliche oder berufliche Verarbeitungen.

Was sind personenbezogene Daten?

Wenn man von personenbezogenen Daten spricht, wird häufig nur an den Namen einer Person und vielleicht noch die Anschrift, an medizinische Unterlagen oder von einigen vielleicht auch noch an die Telefonnummer gedacht. Der Begriff der personenbezogenen Daten reicht jedoch – aus unternehmerischer Sicht: leider – deutlich weiter. Letztlich ist jede Information, die einer natürlichen Person zugeordnet werden kann, ein personenbezogenes Datum. Die Person muss dabei namentlich nicht bekannt sein. Es genügt vielmehr eine Identifizierbarkeit über einen Dritten. So hat der EuGH z. B. kürzlich die bislang sehr strittige Frage entschieden, ob dynamische IP-Adressen im Internet personenbezogen sind. Der EuGH hat dies – nach allgemeinem Verständnis der Entscheidung und mit Blick auf Deutschland – grundsätzlich bejaht (EuGH, Urt. v. 19.10.2016, Rs. C-582/14). Dies war schon in den Jahren davor die Auffassung der Datenschutzbehörden.

Dies ist auch der Grund, warum jeder Besuch einer Webseite im Internet datenschutzrechtlich relevant ist. Denn bei jedem Besuch wird technisch zwingend zugleich die IP-Adresse übertragen. Deshalb ist es – nach der Auffassung einiger – unzulässig, eine Webseite über einen bei einem Dritten angemieteten Internetserver zu betreiben. Denn in diesem Fall wird die IP-Adresse sogleich an einen Dritten übermittelt. Datenschutzrechtlich kann auch dies rechtskonform gelöst werden. Eine Einwilligung kommt hierbei jedoch nicht in Betracht, da die Einwilligung nicht vor dem Besuch der Webseite eingeholt werden kann. Datenschutzrechtlich ist daher eine sog. Auftragsverarbeitung mit dem Serverbetreiber abzuschließen. Eine Auftragsverarbeitung ist eine gesonderte Vereinbarung, die ebenfalls eine Erlaubnisnorm darstellt, die vom grundsätzlichen Verbot des Umgangs mit personenbezogenen Daten entbindet. Alternativ zur Auftragsverarbeitung kann überlegt werden, ob ein berechtigtes Interesse des Verantwortlichen gegeben ist.

Zu betonen ist, dass nur Daten von natürlichen Personen unter die DSGVO fallen, nicht auch solche von juristischen Personen. Die Verarbeitung der E-Mail-Adresse „info@unternehmen-xy.de“ ist daher unproblematisch – anders hinggen die Adresse „max.mustermann@unternehmen-xy.de“. Dies ist nicht selbstverständlich, da das Datenschutzrecht in Österreich und der Schweiz z. B. auch die Daten juristischer Personen schützen.

In welcher Form ist die Einwilligung zu erteilen?

Eine Einwilligung muss nach dem BDSG stets in Schriftform (also auf Papier) erteilt werden. Eine Ausnahme besteht lediglich für den Onlinebereich. Unter der Geltung der DSGVO gilt einheitlich kein Formerfordernis mehr. Der Verantwortliche muss jedoch einen Nachweis führen können, dass eine Einwilligung erteilt wurde. Erfolgt die Erteilung der Einwilligung schriftlich in einem Dokument, muss sich die Einwilligungserklärung deutlich von den übrigen Bestandteilen absetzen.

Für den Bereich des Arbeitsrechts gilt eine abweichende, nationale Sondervorschrift, wonach die Schriftform gewahrt werden muss.

Zur Aufklärung, Zweckbindung und zum Widerruf

Der Einwilligende muss vor seiner Einwilligung in äußerst klarer Weise und mit einfacher Sprache aufgeklärt werden. Die Aufklärung muss es dem Einwilligenden ermöglichen, die gesamte Tragweite seiner Entscheidung zu erkennen. In der Praxis bestehen hierbei erhebliche Schwierigkeiten. Denn es müssen zum Teil komplexe organisatorische und technische Vorgänge in einfachster Sprache beschrieben werden. Häufig kommt hinzu, dass der Sachverhalt zum Zeitpunkt der Einwilligung noch nicht genau feststeht. So mag etwa klar sein, dass ein Unterauftragnehmer eingebunden wird, es aber noch nicht feststellen welcher genau. Auch ein späterer Wechsel des Unterauftragnehmers mag zu bedenken sein. Die namentliche Nennung des Unterauftragnehmers ist daher nicht ohne Weiteres möglich.

Die Darstellung von technisch alltäglichen Vorgängen kann ebenfalls erhebliche Probleme bereiten. Soll etwa in die Verarbeitung für den Erhalt eines Newsletters eingewilligt werden, ist zu beachten, dass hierzu häufig Drittanbieter, teilweise auch mit Sitz außerhalb der EU, eingebunden werden. Sowohl über die Einbindung des Drittanbieters als auch über den Datentransfer ins Ausland ist daher aufzuklären, ebenso wie hinsichtlich von in der Regel hinzukommenden weiteren Besonderheiten, z. B. hinsichtlich der Umsetzung des Widerrufsrechts.

Ist die Aufklärung ungenügend, ist die Einwilligung unwirksam. Es kommt hinzu, dass personenbezogene Daten streng zweckgebunden sind. Das bedeutet, dass die für einen Zweck erhobenen Daten nicht nachträglich für einen anderen Zweck verwendet werden dürfen. Willigt ein Kunde z. B. in den Erhalt von Hinweisen auf eine bestimmte Veranstaltungsreihe ein, dürfen die Daten des Kunden nicht auch für den Unternehmensnewsletter verwendet werden.

Neu sieht die DSGVO vor, dass im Rahmen der Aufklärung auch auf das Widerrufsrecht und die Folge hinzuweisen ist, dass Verarbeitungen bis zum Zeitpunkt des Widerrufs durch den Widerruf unberührt bleiben. Diese neue Informationspflicht enthält zugleich die erfreuliche Klärung einer Streitfrage über den Umfang und die zeitliche „Reichweite“ eines Widerrufs. Unter der Geltung des BDSG wurde nämlich die Ansicht vertreten, dass ein Widerruf auch zeitlich zurückwirken kann.

Massive neue Informationspflichten

Die vorstehend genannte Aufklärung über das Widerrufsrecht und die Folgen der Ausübung ist eine Pflicht, die speziell für die Einwilligung zu beachten ist. In aller Regel werden jedoch im Zusammenhang mit einer Einwilligung auch Daten erhoben, also z. B. Namen und E-Mail-Adresse eines Kunden abgefragt. Dann sind auch die Informationspflichten für die Erhebung von Daten zu beachten. Dabei handelt es sich um zwölf Einzelpunkte, die in Art. 13 DSGVO aufgeführt sind. Einige Punkte sind einfach abzuhaken, z. B. die Namensnennung des Verantwortlichen. Aber schon die Aufzählung von weiteren, im jeweiligen Fall geltenden Betroffenenrechten (z. B. Recht auf Löschung, Einschränkung und Datenübertragbarkeit) kann Schwierigkeiten bereiten. Erhebliche Schwierigkeiten kann es zudem bereiten, die genaue Rechtsgrundlage zu nennen, die zu der Datenverarbeitung berechtigt. Dabei wird die jeweilige Rechtsnorm anzugeben sein. Werden sämtliche Verarbeitungen über eine Einwilligung abgedeckt, bereitet die Nennung zwar keinen weiteren Aufwand. Häufig sind jedoch weitere Verarbeitungsvorgänge zu bedenken, die nicht auf einer Einwilligung beruhen.

Was gelten soll, wenn zwei Normen parallel eingreifen können oder was die Rechtsfolge ist, wenn die Nennung einer möglichen Rechtsnorm vergessen wird, ist bislang ungeklärt.

Ferner ist die Dauer der Speicherung anzugeben. Dies wird dazu zwingen, bestehende Prozessabläufe zu überdenken, zumal in vielen Unternehmen E-Mails aus dem Posteingang nicht innerhalb der datenschutzrechtlich geltenden Fristen gelöscht werden dürften. Nach der verschärften Regelung in der DSGVO sind personenbezogene Daten zu löschen, sobald sie für den jeweiligen Geschäftsvorfall nicht mehr benötigt werden.

Freiwilligkeit

Die DSGVO verschärft das Erfordernis der Freiwilligkeit einer Einwilligung (sog. Koppelungsverbot). Immer dann, wenn eine Einwilligung zwingend zu erteilen ist, kann es zukünftig an einer Freiwilligkeit fehlen. Dies gilt umso mehr, je weiter der Sachverhalt, in den einzuwilligen ist, von dem eigentlichen Geschäftsvorfall entfernt ist. Muss z. B. im Rahmen eines Kaufs zwingend eine Einwilligung in den Erhalt eines Newsletters erteilt werden, dürfte die Einwilligung mangels Freiwilligkeit unwirksam sein.

Gelten Alt-Einwilligungen fort?

Da sich die Anforderungen an die Einwilligungen ändern, stellt sich die Frage, ob die bestehenden Alt-Einwilligungen sämtlich erneuert werden müssen. Die DSGVO erläutert in einem (nicht verbindlichen) Erwägungsgrund, dass Alt-Einwilligungen weiterhin gelten, wenn diese die Anforderungen der DSGVO bereits erfüllen. Damit ist leider wenig gesagt. Denn es ist eher selbstverständlich, dass Einwilligungen, die den Anforderungen der DSGVO entsprechen, wirksam bleiben. Was ist aber, wenn dies nicht der Fall ist, z. B. im Hinblick auf die oben dargestellten Informationspflichten?

Erfreulicherweise hat der Düsseldorfer Kreis, ein gemeinsames Gremium der deutschen Datenschutzbehörden, beschlossen, dass Alt-Einwilligungen auch dann gelten sollen, wenn die Informationspflichten aus Art. 13 DSGVO bislang nicht eingehalten wurden. Das bringt etwas Klarheit. Allerdings stellen sich zwei Probleme: Zum einen stellt sich die Frage, ob die Auffassung der deutschen Datenschutzbehörden europaweit von den Gerichten bestätigt werden. Zum anderen nennt der Düsseldorfer Kreis nur die Informationspflichten aus Art. 13 DSGVO. Die Aufklärung über das Widerrufsrecht und dessen Folgen ist jedoch nicht in Art. 13 DSGVO geregelt, sondern zentral in der Norm mit den Anforderungen an eine Einwilligungserklärung. Die wenigsten bisherigen Einwilligungserklärungen enthalten jedoch eine solche Aufklärung. Es dürfte somit eine Unsicherheit hinsichtlich der Wirksamkeit von Alt-Einwilligungen bestehen.

Auch wenn aufgrund alter Einwilligungstexte erteilte Einwilligungen wirksam bleiben können, dürfen diese alten Einwilligungstexte ab dem 25.05.2018 nicht mehr verwendet werden. Denn der „Bedstanddschutz“ gilt für die erteilte Einwilligung, nicht für die alte Textformulierung. Sowohl Formulareinwilligungen in Papierform als auch Einwilligungtexte auf Webseiten sind daher zu überprüfen und – höchst wahrscheinlich – anzupassen.

E-Privacy-Verordnung

Die DSGVO soll durch eine E-Privacy-Verordnung flankiert werden, die zahlreiche der DSGVO vorgehende Regelungen zu Internet- und Techniksachverhalten enthält. Insbesondere sind auch Einwilligungen im Hinblick auf das Tracking von Webseitenbesuchern und Regelungen zu Cookie-Bannern enthalten. Die E-Privacy-Verordnung liegt gegenwärtig nur im Entwurfsstadium vor und wird vermutlich verspätet in Kraft treten. Dies ist auch nicht verwunderlich, da die E-Privacy-Verordnung zahlreiche Sachverhalte deutlich verschärft regelt und deshalb Widerstand entstanden ist. So sollen etwa Cookies nur noch mit Einwilligung gesetzt werden dürfen. Allerdings sind mit Blick auf die Einwilligung auch Vereinfachungen geplant, z. B. über allgemein im Internetbrowser hinterlegte Voreinstellungen. Es bleibt abzuwarten, welche konkrete Form die E-Privacy-Verordnung annehmen wird.