Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz oder die betroffenen Personen erlauben es. Die Erlaubnis der betroffenen Person wird Einwilligung in der DSGVO genannt. Das Gesetz stellt strenge Anforderungen an die Einwilligung. Aber welche sind es genau und stimmt alles was man darüber hört? Wir erläutern 10 Fehlvorstellungen über Einwilligungen nach der DSGVO:
1. Einwilligungen müssen stets in Schriftform eingeholt werden!
Bei der Form der Einwilligung kommt die DSGVO den Verantwortlichen entgegen. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt, d.h. auch ein Kopfnicken würde theoretisch reichen. Allerdings nur theoretisch, denn Verantwortliche müssen nachweisen, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Dies wird bei einem Kopfnicken schwer. Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus. Ein vorangekreuztes Kästchen, welches deaktiviert werden muss (Opt-out) gilt hingegen nicht als wirksame Einwilligung.
Nicht ausreichend ist außerdem, wenn dem Nutzer einer Website der Hinweis eingeblendet wird, dass scrollen und wischen auf der Website eine Einwilligung in die Datenverarbeitung darstellen. Scrollt oder wischt der Nutzer schließlich auf der Website, so hat er nicht eindeutig gezeigt, dass er mit der Datenverarbeitung einverstanden ist. Hinweise wie „Mit dem Weitersurfen stimmen Sie der Datenverarbeitung zu“ sollten daher nicht verwendet werden.
2. Einwilligungen, die vor Geltung der DSGVO eingeholt wurden, sind hinfällig!
Das stimmt so nicht. Der europäische Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem 25.05.2018 eingeholt wurden, fortgelten sollen. Das heißt, dass einmal wirksam eingeholte datenschutzrechtliche Einwilligungen nicht noch einmal eingeholt werden müssen, sofern sie auch den Vorgaben der DSGVO entsprechen. Da die Anforderungen des alten Bundesdatenschutzgesetzes denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein.
Achtung: Für die Einwilligung Minderjähriger gelten nun besondere Voraussetzungen.
3. Minderjährige können keine wirksame Einwilligung abgeben!
Es ist richtig, dass die DSGVO nun starre Altersgrenzen für die wirksame Abgabe einer Einwilligung vorsieht. Nach dem bisherigen deutschen Datenschutzrecht kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Die DSGVO sieht nun vor, dass Minderjährige erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche die Genehmigung des gesetzlichen Vertreters.
Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil – mit Whitepaper
Google Analytics: Rechtskonformer Einsatz nur mit Einwilligung des Nutzers?
4. Einwilligungen können auch nachträglich eingeholt werden!
Der Mythos, dass es auf den Zeitpunkt der Einholung der Erlaubnis nicht ankommt, stimmt nicht. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.
5. Für Einwilligungen ist das Double-Opt-in-Verfahren zwingend!
Einwilligungen, die als Opt-in (also das Setzen eines Hakens in einem Kontrollkästchen) ausgestaltet sind, müssen aktiv erteilt werden. Die zur Verfügung Stellung einer Opt-out Möglichkeit ist nicht ausreichend. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Beim Double-Opt-in Verfahren wird auch zunächst der Haken gesetzt. Zusätzlich muss ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss. Allerdings kann festgehalten werden: Das Double-Opt-in bietet mehr Sicherheit vor Sanktionen und doppelt hält ohnehin immer besser!
6. E-Mail-Marketing ist nur mit einer Einwilligung zulässig!
Die Zulässigkeit des E-Mail-Marketings richtet sich nicht nur nach der DSGVO, sondern auch nach dem „Gesetz gegen unlauteren Wettbewerb“ (UWG). Danach kann E-Mail-Marketing grundsätzlich nur mit Einwilligung des Empfängers der Werbung betrieben werden. Allerdings kann das sog. Bestandskundenprivileg eingreifen. Dazu müssen die Voraussetzungen des § 7 Abs. 3 UWG gegeben sein, die u.a. fordern, dass der Werbetreibende die E-Mail-Adresse vom Adressaten selbst und im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat. Die E-Mail-Adresse darf dann ausschließlich für Werbung für ähnliche Waren oder Dienstleistungen verwendet werden, der Kunde muss darüber informiert worden sein und darf dem nicht widersprochen haben. Liegen diese Voraussetzungen vor, dann kann die Datenverarbeitung über das berechtigte Interesse des Verantwortlichen, Direktwerbung betreiben zu dürfen, gerechtfertigt sein. Allerdings muss der Kunde auf sein Widerspruchsrecht hingewiesen werden, das er auch jederzeit ausüben darf.
7. Eine Einwilligung für alle Verarbeitungen reicht aus!
Die Vorstellung, eine pauschale Einwilligung für die unbeschränkte Verarbeitung von personenbezogenen Daten reiche für die Legitimierung aus, ist grob falsch. Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.
Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).
Beispiel: Ein Kunde bestellt Waren in einem Onlineshop. Während des Bestellprozesses wird der Kunde darauf hingewiesen, dass die eingegebenen Daten (z.B. Mail-Adresse, Anschrift, Telefonnummer) auch für Werbezwecke genutzt werden können. Um den Bestellprozess fortsetzen zu können, muss der Kunde seine Einwilligung in die Nutzung seiner Daten zu Werbezwecken geben. Da die Einwilligung in die Datenverarbeitung nicht notwendig für die Leistungserbringung – Versand des Produkts – ist, greift das Kopplungsverbot. Ebenso greift das Kopplungsverbot bei sog. „Cookie Walls“. Das Verweigern des Zugriffs auf eine Website, wenn der Websitebesucher mit den verwendeten Cookies und Trackern nicht einverstanden ist, wurde vom Europäischen Datenschutzausschuss als unzulässig erachtet.
Wann das Kopplungsverbot greift, ist jedoch immer im Einzelfall zu entscheiden. So hat das OLG Frankfurt 2019 die Freiwilligkeit in einem Fall als gegeben erachtet, wo die Teilnahme an einem Online-Gewinnspiel davon abhängig gemacht wurde, dass der Teilnehmer in Werbeanrufe des Gewinnspielanbieters einwilligt (OLG Frankfurt a.M. – Urt. v. 27.6.2019, Az. 6U 6/19) . Der Verbraucher könne immer noch selbst entscheiden, ob es ihm die Teilnahme am Gewinnspiel wert sei, seine Daten preiszugeben.
8. Der Widerruf der Einwilligung muss 1:1 der Erteilung gleichen!
Eine einmal erteilte Einwilligung muss für die Zukunft widerrufen werden können. Interessant ist in diesem Zusammenhang die Regelung des Art. 7 Abs. 3 S. 4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren dem der Erteilung eins zu eins entsprechen muss. Vor allem im Online-Handel wird die Einwilligung meist per Opt-in einmalig vor Beginn des Datenverarbeitungsvorganges erteilt, ohne dass die Möglichkeit der späteren Entfernung des Hakens besteht, es sei denn es besteht ein Kundenkonto. Das Stichwort lautet Simplizität. So lange eine einfache Möglichkeit zum Widerruf der Einwilligung geboten wird, ist dies ausreichend. In Newslettern ist dies beispielsweise durch einen Unsubscribe-Link am Ende der Mail möglich, oder eine Opt-out-Option in der Datenschutzerklärung.
Achtung: Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden.
9. Ohne Einwilligung kann ich keine Daten verarbeiten!
Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. a DSGVO, und besteht auch sonst keine Rechtsgrundlage aus dem Vertragsverhältnis mit dem Betroffenen nach Art. 6 Abs. 1 lit. b DSGVO, oder eine gesetzliche Erlaubnisnorm nach lit. c derselben Norm, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen. Generell gilt, dass die Anforderungen an das Vorliegen eines berechtigten Interesses von den Datenschutzbehörden hoch eingestuft werden. Werden allerdings sensible Daten aus Art. 9 Abs. 1 DSGVO verarbeitet, so stellt eine ausdrücklich erteilte Einwilligung im Regelfall, vorbehaltlich Ausnahmen, die rechtlich einzige Möglichkeit dar, diese Daten zu verarbeiten.
10. Für jedes Cookie benötige ich eine Einwilligung!
Achtung: Neues BGH-Urteil zur Cookie-Problematik!
Bei Cookies handelt es sich um personenbezogene Daten, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt ein anderer Erlaubnisgrund aus Art. 6 DSGVO vor. In der Praxis wird vor allem die Einwilligung relevant sein. Das gilt insbesondere seitdem der BGH am 28.05.2020 entschieden hat, dass für Cookies, die Nutzungsprofile für Werbung, Marktforschung oder bedarfsgerechte Gestaltung erstellen, ab sofort eine Einwilligungspflicht besteht (BGH Urt. v. 28.Mai 2020 – I ZR 7/16) . Für die Verwendung von Tracking Tools wie Google Analytics ist damit ab sofort eine Einwilligung einzuholen. Im Umkehrschluss bedeutet das Urteil allerdings, dass für Cookies, die für den Websitebetrieb erforderlich sind, keine Einwilligung notwendig ist. Wenn jedoch eine Einwilligung eingeholt werden muss, dann muss sie auch den o.g. Anforderungen entsprechen und per Opt-In eingeholt werden.
Die Datenverarbeitung durch Cookies aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO kommt in allen anderen Fällen, in denen keine Einwilligungspflicht besteht, ebenfalls als mögliche Rechtsgrundlage in Betracht. Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Allerdings hat die DSK (Datenschutzkonferenz), in welcher sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden.
Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.
