Datenschutz und IT

Gerade im Bereich des Marketings und der Werbung müssen Unternehmen aufgrund der DSGVO die Einwilligung ihrer Kunden in die Verarbeitung der personenbezogenen Daten einholen. Wann sie darauf verzichten können und welche Anforderungen an die Einwilligungserklärung und das Widerrufsrecht gestellt werden, erfahren Sie in diesem Beitrag.

Anforderungen an die datenschutzrechtliche Einwilligungserklärung 

Kernanforderung an eine wirksame Einwilligung im Sinne der Europäischen Datenschutzgrundverordnung (DSGVO) ist gemäß Art. 4 Nr. 11, dass sie „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegeben wird. In diesem kurzen Satz stecken einige Informationen, die hier aufgeschlüsselt dargestellt werden: 

„Freiwillig“: Die Abgabe einer datenschutzrechtlichen Einwilligungserklärung gilt nur dann als freiwillig, wenn die betroffene Person eine echte und freie Wahl hat und die Möglichkeit bekommt, die Einwilligung zu verweigern oder zu widerrufen, ohne dass ihr ein Nachteil daraus entsteht. 

Hierbei ist auch das im neuen Datenschutzrecht verankerte Koppelungsverbot zu beachten. Das bedeutet, dass die Erfüllung eines Auftrags nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden darf. 

„Für den bestimmten Fall“: Für jede Verarbeitung müssen Unternehmen eine gesonderte Einwilligung einholen. Die datenschutzrechtliche Einwilligungserklärung darf also nicht die Datenverarbeitung zu verschiedenen Zwecken umfassen. Bei Einwilligungen in die Direktansprache des Kunden über unterschiedliche Kommunikationskanäle sollte zudem eine gesonderte Einwilligung für jeden potenziellen Kommunikationskanal erfolgen. 

„Informiert“: Grundvoraussetzung für die Abgabe einer gültigen Einwilligungserklärung ist die „Kenntnis der Sachlage“ (ErwG 42 Satz 3 DSGVO). Im Rahmen der Einwilligung werden daher besondere Transparenzanforderungen gestellt, die grundsätzlich unabhängig von den allgemeinen Informationspflichten nach Art. 13 und 14 DSGVO zu betrachten sind. 

Betroffene sollten gemäß ErwG 42 Satz 3 DSGVO und Artikel-29-Datenschutzgruppe folgende Informationen erhalten: 

  • Identität des Verantwortlichen 
  • Zwecke der Verarbeitung 
  • verarbeitete Datenkategorien 
  • Widerrufsrecht 

Praxisnahe Beispiele, die Ihnen die rechtssichere Umsetzung erleichtern, finden Sie im Buch „Datenschutz 2018“. Speziell gefilterte Informationen für den Internetauftritt sind in der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“ enthalten. 

Sichern Sie sich digitale Arbeitshilfen zur Umsetzung der DSGVO!

Datenschutz 2018

mehr erfahren

Passen Sie Ihre Webseite oder Ihren Shop an die neuen Datenschutzrichtlinien an!

Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop

mehr erfahren

„Unmissverständlich“: Damit die Einwilligungserklärung wirksam wird, muss eine eindeutige Handlung des Betroffenen erfolgen, mit welcher das Einverständnis in die Datenverarbeitung im jeweiligen Kontext unmissverständlich zum Ausdruck kommt. Nachdem die DSGVO im Gegensatz zum BDSG a. F. nicht verlangt, dass die Erklärung schriftlich (sie kann nun auch elektronisch oder mündlich erteilt werden) erfolgt, ist auch keine ausdrückliche Erklärung erforderlich. Es genügt eine eindeutige Verhaltensweise des Betroffenen.

Bleibt die betroffene Person dagegen untätig, reicht das nicht aus, um die Einwilligung als gegeben hinzunehmen. 

Hinweis: Das Mittel der Wahl ist in diesem Rahmen regelmäßig die Verwendung des Opt-in-Verfahrens. Hierbei muss der Betroffene im ersten Schritt ein Häkchen setzen oder eine E-Mail-Adresse angeben. Im zweiten Schritt bekommt er dann eine Bestätigungs-E-Mail an seine E-Mail-Adresse. 

Wenn die Einwilligung erteilt wurde

Zusammengefasst ist Folgendes zu beachten, nachdem die Einwilligung erfolgt ist:

elektronisch erteilt  telefonisch erteilt 
Nutzer muss seine Einwilligung bewusst und eindeutig erklären  Der Inhalt der Einwilligung muss dem Betroffenen noch einmal nachträglich schriftlich oder in Textform bestätigt werden
Die Einwilligung muss protokolliert werden Der Betroffene muss auf sein Widerrufsrecht hingewiesen werden
Der Betroffene muss den Inhalt der Einwilligung jederzeit aufrufen können Die Einwilligung wird meist nur telefonisch abgegeben, wenn der Kunde selbst anruft oder einen Rückruf wünscht. 
Die Einwilligung muss jederzeit widerrufen werden können  

Nachweisbarkeit der datenschutzrechtlichen Einwilligungserklärung

Im Rahmen der allgemeinen Rechenschaftspflicht des Verantwortlichen gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass der Nutzer wirklich in die Verarbeitung seiner Daten eingewilligt hat. Daher bleibt es – trotz des Wegfalls des Schrifterfordernisses – sinnvoll, eine perpetuierte Einwilligungserklärung einzuholen. 

Widerruf der Einwilligungserklärung 

Art. 7 Abs. 3 Satz 1 DSGVO räumt Betroffenen das Recht ein, ihre Einwilligung jederzeit zu widerrufen. Erfolgt ein Widerruf, wirkt er erst ab dem Zeitpunkt des Widerrufs. Die vor dem Widerruf erfolgte Datenverarbeitung bleibt davon unberührt. Wie schon die Einwilligungserklärung sollte der Widerruf auf einzelne Verarbeitungszwecke eingeschränkt werden. 

Hinweis: Die Erklärung des Widerrufs muss für den Betroffenen genauso einfach sein, wie die Erteilung der Einwilligung. 

Wann kann auf die Einwilligungserklärung verzichtet werden? 

Einwilligungen, die bereits vor der Anwendbarkeit der DSGVO erteilt wurden, sollen nach ErwG 171 Satz 3 DSGVO sowie der Ansicht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) weiterhin rechtmäßig sein, wenn die Art dieser Einwilligungen den Bedingungen des Art. 7 DSGVO entspricht. 

Quellen: „Datenschutz 2018“„Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“

War der Artikel hilfreich?
finde ich gut 0