10.07.2018

Die Einwilligung in der DSGVO und ihre Mythen – was stimmt und was stimmt nicht?

Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz oder die betroffenen Personen erlauben es. Die Erlaubnis der betroffenen Person wird Einwilligung in der DSGVO genannt. Das Gesetz stellt strenge Anforderungen an die Einwilligung. Aber welche sind es genau und stimmt alles was man darüber hört? Wir erläutern 10 Fehlvorstellungen über Einwilligungen nach der DSGVO:

1. Einwilligungen müssen stets in Schriftform eingeholt werden!

Bei der Form der Einwilligung kommt die DSGVO den Verantwortlichen entgegen. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt, d.h. auch ein Kopfnicken würde theoretisch reichen. Allerdings nur theoretisch, denn Verantwortliche müssen nachweisen, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Dies wird bei einem Kopfnicken schwer. Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus. Ein vorangekreuztes Kästchen, welches deaktiviert werden muss (Opt-out) gilt hingegen nicht als wirksame Einwilligung.

Nicht ausreichend ist außerdem, wenn dem Nutzer einer Website der Hinweis eingeblendet wird, dass scrollen und wischen auf der Website eine Einwilligung in die Datenverarbeitung darstellen. Scrollt oder wischt der Nutzer schließlich auf der Website, so hat er nicht eindeutig gezeigt, dass er mit der Datenverarbeitung einverstanden ist. Hinweise wie „Mit dem Weitersurfen stimmen Sie der Datenverarbeitung zu“ sollten daher nicht verwendet werden.

2. Einwilligungen, die vor Geltung der DSGVO eingeholt wurden, sind hinfällig!

Das stimmt so nicht. Der europäische Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem 25.05.2018 eingeholt wurden, fortgelten sollen. Das heißt, dass einmal wirksam eingeholte datenschutzrechtliche Einwilligungen nicht noch einmal eingeholt werden müssen, sofern sie auch den Vorgaben der DSGVO entsprechen. Da die Anforderungen des alten Bundesdatenschutzgesetzes denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein.

Achtung: Für die Einwilligung Minderjähriger gelten nun besondere Voraussetzungen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 5 plus 9.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

3. Minderjährige können keine wirksame Einwilligung abgeben!

Es ist richtig, dass die DSGVO nun starre Altersgrenzen für die wirksame Abgabe einer Einwilligung vorsieht. Nach dem bisherigen deutschen Datenschutzrecht kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Die DSGVO sieht nun vor, dass Minderjährige erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche die Genehmigung des gesetzlichen Vertreters.

4. Einwilligungen können auch nachträglich eingeholt werden!

Der Mythos, dass es auf den Zeitpunkt der Einholung der Erlaubnis nicht ankommt, stimmt nicht. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.

5. Für Einwilligungen ist das Double-Opt-in-Verfahren zwingend!

Einwilligungen, die als Opt-in (also das Setzen eines Hakens in einem Kontrollkästchen) ausgestaltet sind, müssen aktiv erteilt werden. Die zur Verfügung Stellung einer Opt-out Möglichkeit ist nicht ausreichend. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Beim Double-Opt-in Verfahren wird auch zunächst der Haken gesetzt. Zusätzlich muss ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss. Allerdings kann festgehalten werden: Das Double-Opt-in bietet mehr Sicherheit vor Sanktionen und doppelt hält ohnehin immer besser!

6. E-Mail-Marketing ist nur mit einer Einwilligung zulässig!

Die Zulässigkeit des E-Mail-Marketings richtet sich nicht nur nach der DSGVO, sondern auch nach dem „Gesetz gegen unlauteren Wettbewerb“ (UWG). Danach kann E-Mail-Marketing grundsätzlich nur mit Einwilligung des Empfängers der Werbung betrieben werden. Allerdings kann das sog. Bestandskundenprivileg eingreifen. Dazu müssen die Voraussetzungen des § 7 Abs. 3 UWG gegeben sein, die u.a. fordern, dass der Werbetreibende die E-Mail-Adresse vom Adressaten selbst und im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat. Die E-Mail-Adresse darf dann ausschließlich für Werbung für ähnliche Waren oder Dienstleistungen verwendet werden, der Kunde muss darüber informiert worden sein und darf dem nicht widersprochen haben. Liegen diese Voraussetzungen vor, dann kann die Datenverarbeitung über das berechtigte Interesse des Verantwortlichen, Direktwerbung betreiben zu dürfen, gerechtfertigt sein. Allerdings muss der Kunde auf sein Widerspruchsrecht hingewiesen werden, das er auch jederzeit ausüben darf.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

7. Eine Einwilligung für alle Verarbeitungen reicht aus!

Die Vorstellung, eine pauschale Einwilligung für die unbeschränkte Verarbeitung von personenbezogenen Daten reiche für die Legitimierung aus, ist grob falsch. Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.

Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).

Beispiel: Ein Kunde bestellt Waren in einem Onlineshop. Während des Bestellprozesses wird der Kunde darauf hingewiesen, dass die eingegebenen Daten (z.B. Mail-Adresse, Anschrift, Telefonnummer) auch für Werbezwecke genutzt werden können. Um den Bestellprozess fortsetzen zu können, muss der Kunde seine Einwilligung in die Nutzung seiner Daten zu Werbezwecken geben. Da die Einwilligung in die Datenverarbeitung nicht notwendig für die Leistungserbringung – Versand des Produkts – ist, greift das Kopplungsverbot. Ebenso greift das Kopplungsverbot bei sog. „Cookie Walls“. Das Verweigern des Zugriffs auf eine Website, wenn der Websitebesucher mit den verwendeten Cookies und Trackern nicht einverstanden ist, wurde vom Europäischen Datenschutzausschuss als unzulässig erachtet.

Wann das Kopplungsverbot greift, ist jedoch immer im Einzelfall zu entscheiden. So hat das OLG Frankfurt 2019 die Freiwilligkeit in einem Fall als gegeben erachtet, wo die Teilnahme an einem Online-Gewinnspiel davon abhängig gemacht wurde, dass der Teilnehmer in Werbeanrufe des Gewinnspielanbieters einwilligt (OLG Frankfurt a.M. – Urt. v. 27.6.2019, Az. 6U 6/19) . Der Verbraucher könne immer noch selbst entscheiden, ob es ihm die Teilnahme am Gewinnspiel wert sei, seine Daten preiszugeben.

8. Der Widerruf der Einwilligung muss 1:1 der Erteilung gleichen!

Eine einmal erteilte Einwilligung muss für die Zukunft widerrufen werden können. Interessant ist in diesem Zusammenhang die Regelung des Art. 7 Abs. 3 S. 4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren dem der Erteilung eins zu eins entsprechen muss. Vor allem im Online-Handel wird die Einwilligung meist per Opt-in einmalig vor Beginn des Datenverarbeitungsvorganges erteilt, ohne dass die Möglichkeit der späteren Entfernung des Hakens besteht, es sei denn es besteht ein Kundenkonto. Das Stichwort lautet Simplizität. So lange eine einfache Möglichkeit zum Widerruf der Einwilligung geboten wird, ist dies ausreichend. In Newslettern ist dies beispielsweise durch einen Unsubscribe-Link am Ende der Mail möglich, oder eine Opt-out-Option in der Datenschutzerklärung.

Achtung: Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden.

9. Ohne Einwilligung kann ich keine Daten verarbeiten!

Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. a DSGVO, und besteht auch sonst keine Rechtsgrundlage aus dem Vertragsverhältnis mit dem Betroffenen nach Art. 6 Abs. 1 lit. b DSGVO, oder eine gesetzliche Erlaubnisnorm nach lit. c derselben Norm, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen. Generell gilt, dass die Anforderungen an das Vorliegen eines berechtigten Interesses von den Datenschutzbehörden hoch eingestuft werden. Werden allerdings sensible Daten aus Art. 9 Abs. 1 DSGVO verarbeitet, so stellt eine ausdrücklich erteilte Einwilligung im Regelfall, vorbehaltlich Ausnahmen, die rechtlich einzige Möglichkeit dar, diese Daten zu verarbeiten.

10. Für jedes Cookie benötige ich eine Einwilligung!

Achtung: Neues BGH-Urteil zur Cookie-Problematik!

Bei Cookies handelt es sich um personenbezogene Daten, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt ein anderer Erlaubnisgrund aus Art. 6 DSGVO vor. In der Praxis wird vor allem die Einwilligung relevant sein. Das gilt insbesondere seitdem der BGH am 28.05.2020 entschieden hat, dass für Cookies, die Nutzungsprofile für Werbung, Marktforschung oder bedarfsgerechte Gestaltung erstellen, ab sofort eine Einwilligungspflicht besteht (BGH Urt. v. 28.Mai 2020 – I ZR 7/16) . Für die Verwendung von Tracking Tools wie Google Analytics ist damit ab sofort eine Einwilligung einzuholen. Im Umkehrschluss bedeutet das Urteil allerdings, dass für Cookies, die für den Websitebetrieb erforderlich sind, keine Einwilligung notwendig ist. Wenn jedoch eine Einwilligung eingeholt werden muss, dann muss sie auch den o.g. Anforderungen entsprechen und per Opt-In eingeholt werden.

Die Datenverarbeitung durch Cookies aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO kommt in allen anderen Fällen, in denen keine Einwilligungspflicht besteht, ebenfalls als mögliche Rechtsgrundlage in Betracht. Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Allerdings hat die DSK (Datenschutzkonferenz), in welcher sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden.

Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …