Auch nach dem Wirksamwerden der DSGVO herrscht allgemeine Verunsicherung über die Umsetzung der neuen Regelungen: das gilt auch und insbesondere um das sensible Thema Einwilligungen. So gab es z.B. eine Flut von Newsletter-Mailings vor und nach dem 25. Mai 2018, mit der Aufforderung erneut eine Einwilligung abzugeben oder sogar schlicht mit der Information, dass Newsletter aufgrund fehlender Einwilligung in Zukunft nicht mehr verschickt werden. Wahr ist, dass das Gesetz strenge Anforderungen an die Einwilligung stellt.
In unserer Aufzählung erfahren Sie, was die größten Unwahrheiten über die Einwilligung sind, die im Zusammenhang mit der Datenschutz-Grundverordnung kursieren:
- Einwilligungen müssen ausschließlich in Schriftform eingeholt werden!
Bisher war in § 4a BDSG-alt, die Schriftform für Einwilligungen in die Verarbeitung personenbezogener Daten angeordnet. Nach der Datenschutz-Grundverordnung ist dies nun nicht mehr erforderlich. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt – theoretisch. Verantwortliche müssen nachweisen können, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus.
- Einwilligungen, die vor dem 25.5.2018 erteilt wurden, müssen nun erneut eingeholt werden!
Das ist falsch! Der Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem Wirksamwerden der DSGVO eingeholt wurden, fortgelten sollen. Vorher eingeholte Einwilligungen müssen selbstverständlich den Vorgaben der DSGVO entsprechen. Da die bisherigen Anforderungen denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein. Es gelten jedoch besondere Voraussetzungen für die Einwilligung von Minderjährigen!
- Minderjährige können keine wirksame Einwilligung abgeben!
Die DSGVO sieht strengere Altersgrenzen für die wirksame Abgabe einer Einwilligung vor. Nach dem BDSG-alt kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Nach der Datenschutz-Grundverordnung dürfen Minderjährige erst ab 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche stets die Genehmigung des gesetzlichen Vertreters. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden.
- Einwilligungen können auch später eingeholt werden!
Das ist nicht richtig. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.
- Das Double-Opt-in-Verfahren ist Pflicht!
Einwilligungen, die als Opt-in ausgestaltet sind, müssen aktiv erteilt werden. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Neben dem Ankreuzen eines Kästchens muss außerdem ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss.
- Eine Einwilligung für alle Verarbeitungen reicht aus!
Das ist falsch! Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.
Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).
- Das Widerrufsverfahren muss eins zu eins der Erteilung entsprechen!
Es bleibt dabei: Eine einmal erteilte Einwilligung muss auch widerrufen werden können. Neu ist jedoch die Regelung des Art. 7 Abs. 3 S.4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren demjenigen der Erteilung eins zu eins entsprechen muss. Es reicht, eine einfache Möglichkeit zum Widerruf der Einwilligunganzubieten. Dies geht in Newsletter z.B. durch einen Unsubscribe-Link am Ende der Mail, oder eine Opt-out-Option in der Datenschutzerklärung. Wichtig ist es, stets auf die Möglichkeit des Widerrufs hinzuweisen.
- Ohne Einwilligung kann ich keine Daten verarbeiten!
Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. b und c DSGVO, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen.
- Man benötigtes für jedes Cookie eine eigene Einwilligung!
Fest steht, dass es sich bei Cookies um personenbezogene Daten handelt, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt einer der Erlaubnisgründe des Art. 6 DSGVO vor. Wie oben bereits beschrieben, kann die Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f) DSGVO auch dann erlaubt sein, wenn dafür ein berechtigtes Interesse besteht. Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Die DSK (Datenschutzkonferenz), in der sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, hat diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden. Wer auf Nummer sicher gehen möchte sollte daher eine Einwilligung einholen.
Allerdings kann man mit guten Gründen das Setzen von Cookies zu Werbezwecken auch auf ein überwiegendes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, solange die Daten nur pseudonymisiert gesammelt werden. Durch die Pseudonymisierung würde den schutzwürdigen Interessen der Nutzer Rechnung getragen. Im Ergebnis wäre man dann wieder beim Opt-out. Sinnvoll ist aber auch in dieser Konstellation die Nutzung eines Cookie-Banners, über den der Website User über das Setzen von Cookies und deren Zwecke informiert wird.
Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.