DSGVO: So holst du Einwilligungen richtig ein (Teil 3)
Im zweiten Teil der Beitragsreihe habe ich erklärt, wann Daten personenbezogen sind und in welchen Fällen diese Daten verarbeitet werden dürfen. Dabei stach ganz besonders die neue Erlaubnis der Verarbeitung von Daten auf Grundlage berechtigter (auch wirtschaftlicher) Interessen heraus.
Trotz dieser neuen Generalerlaubnis, dürfte die Einwilligung der Betroffenen auch in der DSGVO eine weiterhin sehr wichtige Rolle spielen. Dabei wird deren Einholung durch den Wegfall der Schriftform, zumindest auf den ersten Blick leichter.
Die Schriftform entfällt, die Nachweispflicht bleibt
Theoretisch ist die Schriftform nicht erforderlich, praktisch schon.
Im Internet durften Einwilligungen schon vor der Datenschutzreform elektronisch abgegeben werden, hier ändert sich insoweit wenig. Neu ist, dass auch außerhalb des Internets Einwilligungen durch mündliche Erklärungen oder schlüssige Handlungen (zum Beispiel das Nicken) ohne Weiteres zulässig sind.
Allerdings müssen Datenverarbeiter Einwilligungen nachweisen und alle Zweifel gehen zu ihren Lasten (Art. 7 Abs. 1 DSGVO). Daher sollte für Nachweisbarkeit gesorgt werden, was außerhalb des Internets doch wieder zur Schriftform führt.
Online können Einwilligungshandlungen mit dem Zeitpunkt („timestamp“), am besten mit gekürzter IP-Adresse und immer wenn möglich mit einem Double-Opt-In bestätigt und in einer Datenbank protokolliert werden.
Im Fall von Beschäftigten bleibt die Schriftform nach § 26 Abs 2 S. 3 BDSG-Neu ohnehin grundsätzlich vorgeschrieben (wenn zum Beispiel Mitarbeiter sich mit deren Fotos auf der Firmenhomepage einverstanden erklären sollen).
In der Praxis wird der Wegfall der Schriftform daher eher weniger Vorteile bringen. Das vor allem, weil nicht nur die Einwilligungserklärung nachgewiesen werden muss. Nachweisen muss man auch deren nachfolgend genannte Voraussetzungen, vor allem, dass die Nutzer hinreichend informiert wurden.
DSGVO: Voraussetzungen der Einwilligung
Wichtig: Alle Voraussetzungen müssen nachgewiesen werden!
Eine Einwilligung muss von einer einwilligungsfähigen Person, freiwillig für den konkreten Fall und in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben sein.
Die Frage, ob eine Person überhaupt fähig ist eine Einwilligung abzugeben, wird vor allem bei Minderjährigen relevant.
Minderjährige können erst ab 16 Jahren einwilligen
Erst ab 16 wirksam – Einwilligungen von Minderjährigen.
Art. 8 der DSGVO sagt, dass Minderjähige überhaupt erst ab dem 16ten Lebensjahr fähig sind, eine Einwilligung abzugeben (einzelne EU-Länder dürfen diese Grenze bis auf 13 Jahre senken, was in Deutschland jedoch nicht passiert ist). Dies gilt zwar nur, wenn sie „Dienste der Informationsgesellschaft“ in Anspruch nehmen, doch wird das zumindest im Internet der Regelfall sein.
Das heißt unter 16 Jahren müssen die Eltern einwilligen. Hierzu existieren keine einfachen und praktikablen Mechanismen, wie zum Beispiel ein Double-Opt-In, bei dem mit hinreichender Sicherheit nur die Eltern zustimmen können. Es ist daher damit zu rechnen, dass viele Onlinedienste das Mindestalter schlicht auf 16 Jahre erhöhen werden.
Die Grenze von 16 Jahren bedeutet jedoch nicht, dass Daten Minderjähriger sonst nicht verarbeitet werden dürfen. Die Einwilligung ist nur einer der vielen Erlaubnisse der Verarbeitung von Daten (die anderen wurden in Teil 2 dieser Beitragsreihe besprochen). Das heißt auch wenn Minderjährige keine Einwilligungen abgeben können, dürfen zum Beispiel Onlinehändler deren Adressen an Spediteure weiterleiten (Art. 6 Abs. 1 lit. b DSGVO) oder deren Bewegungen auf der Website mit Google Analytics analysieren (Art. 6 Abs. 1 lit. f DSGVO).
Freiwilligkeit setzt eine Wahlmöglichkeit voraus
Freiwillig handelt nur, wer ohne Konsequenzen Nein sagen kann.
Ist die Person einwilligungsfähig, dann muss sie eine echte Wahl haben, was das „Ob“ und das „Wie“ der Einwilligung angeht. Nur dann ist die Einwilligung freiwillig. Das heißt die Person darf sich nicht gezwungen fühlen, eine Einwilligung abgeben zu müssen.
Hier ist zum einen auf die bereits erwähnten Minderjährigen zwischen 16 und 18 Jahren zu achten (zum Beispiel, wenn sie sich wegen übertriebener Anpreisung und zeitlicher Verknappung gezwungen fühlen, an einem Gewinnspiel teilzunehmen). Ähnlich wie Minderjährige, hinterfragt das Gesetz die Freiwilligkeit ganz besonders bei Beschäftigten.
Freiwilligkeit bei Beschäftigten
Einwilligungen Beschäftigter sind wegen der Abhängigkeit zum Arbeitgeber häufig unfreiwillig.
Da Beschäftigte sich aus Angst um den Job von Natur aus eher zu Einwilligungen gezwungen fühlen, werden sehr hohe Anforderungen an die Freiwilligkeit gestellt. Die schriftliche Einwilligungserklärung der Beschäftigten sollte daher eine ausführliche Belehrung über die Freiwilligkeit und fehlende Folgen der Weigerung enthalten.
Dabei werden an vorteilhafte Einwilligungen (zum Beispiel Beteiligung am Bonusprogramm des Unternehmens) geringere Anforderungen gestellt, als an nur benachteiligende Einwilligungen (zum Beispiel Teilnahme am Arbeitnehmer-Bewertungsprogramm).
Freiwilligkeit bei drohenden Nachteilen durch entgangene Vorteile
Nicht nur direkte Nachteile, auch entgangene Vorteile können die Freiwilligkeit verhindern.
Eine Zwangslage kann sich auch mittelbar aufgrund des möglichen Verlusts von in Aussicht gestellten Vorteilen ergeben. Etwa wenn Krankenkassen Rabatte für das Tracking mit Wearables bieten oder es nicht möglich ist, sich einem sozialen Netzwerk zu entziehen, weil es quasi ein Monopolist ist.
Diese mittelbaren Nachteile müssen jedoch eine gewisse Spürbarkeitsgrenze überschreiten. Wo diese liegt, dürfte wiederum zwischen Datenschützern und der Wirtschaft sehr kontrovers diskutiert werden. Das gilt auch für das neue Koppelungsverbot.
Koppelungsverbot untersagt eine Einwilligung als Zugangsschranke
Das neue Kopplungsverbot wird vor allem Anbieter von Onlineplattformen und Apps treffen.
Ein Novum der DSGVO ist ein strenges Koppelungsverbot (Art. § 7 Abs. 4 DSGVO). Es trifft auf Fälle zu, in denen eine Leistungserbringung von einer dafür nicht erforderlichen Einwilligung abhängig gemacht (also an die Einwilligung gekoppelt) wird.
Um beispielsweise ein soziales Netzwerk zu nutzen, ist es nicht erforderlich in die Verarbeitung der eigenen Daten zu Werbezwecken einzuwilligen. Das bedeutet aber auch hier nicht, dass das soziale Netzwerk die Daten gar nicht zu Werbezwecken verarbeiten darf. Es kann sich auf seine, im letzten Teil dieser Beitragsreihe erwähnten, berechtigten Interessen berufen (Art. 6 Abs. 1 lit. f DSGVO).
Wie streng das Koppelungsverbot in der Praxis ausgelegt wird, bleibt abzuwarten. Zum Beispiel werden viele E-Books gegen die Anmeldung zum Newsletter heruntergeladen. Warum dieser deutlich erkennbare Vorgang für die Nutzer nicht freiwillig sein und Zwang ausüben sollte, dürfte m.E. nicht ohne Weiteres zu begründen sein.
Keine Freiwilligkeit ohne Widerrufsbelehrung
Nutzer müssen Einwilligungen für die Zukunft widerrufen können.
Eine Einwilligung ist nur dann freiwillig, wenn Nutzer wissen, dass sie die Einwilligung widerrufen können. Aus diesem Grund empfehle ich den Widerrufs- und Widerspruchshinweis direkt neben der Einholung der Einwilligung, zum Beispiel in einem Onlineformular wie folgt zu platzieren und auf die Datenschutzerklärung zu verlinken: „Hinweise zum Datenschutz und Widerrufsrecht“.
In der Datenschutzerklärung musst du dann mitteilen, wie der Widerruf erfolgen kann, also zum Beispiel die Kontaktdaten mitteilen.
DSGVO: Einwilligung muss informiert erfolgen
Nutzer müssen Zwecke, Art und Umfang der Datenverarbeitung kennen und verstehen.
Nutzer müssen immer verständlich darüber informiert werden, zu welchem Zweck ihre Daten verarbeitet werden, auf welche Art, in welchem Umfang, ob deren Daten an Dritte weitergegeben und wann sie gelöscht werden. Im Regelfall ist es ausreichend, wenn diese Hinweise in der Datenschutzerklärung platziert werden. Die Datenschutzerklärung muss in der Sprache des übrigen Angebots abgefasst sein (wird zum Beispiel eine App auf Englisch angeboten, muss auch die Datenschutzerklärung in englischer Sprache vorliegen).
Handelt es sich um eine Einwilligung, die besondere Beeinträchtigungen oder Belästigungen nach sich ziehen kann, sollte jedoch schon im Rahmen der Einwilligung hierauf hingewiesen werden. Dazu lässt sich der oben genannte Hinweis erweitern, etwa im Fall einer Newslettereinwilligung: (Hinweise zum Datenschutz, Leseranalyse, Versanddienstleister und Widerrufsrecht).
Einwilligungen die zudem zwischen anderen Klauseln stehen (wenn zum Beispiel Teilnahmebedingungen Einwilligungen in die Veröffentlichung der Namen der Gewinner enthalten), sollten beispielsweise durch Fettschrift, Rahmen oder Schriftfarbe besonders hervorgehoben werden.
Unmissverständliche Erklärung oder sonstige Handlung
Bloßes Schweigen oder Untätigkeit können nicht zu einer wirksamen Einwilligung führen (das heißt reine Opt-Out-Lösungen stellen keine Einwilligung dar). Vielmehr ist eine eindeutige Erklärung/Handlung erforderlich (ein sogenanntes Opt-In).
So werden zum Beispiel bereits vorangehakte Kontrollkästchen (etwa zum Einverständnis mit Newsletterzusendung im Rahmen eines Gewinnspiels) nicht für eine Einwilligung ausreichen. Deren Nicht-Weg-Klicken ist eine bloße Untätigkeit, die keine Einwilligung begründen kann.
Zwischen dem „Opt-Out“ und einem „Opt-In“ gibt es noch ein „Soft-Opt-In“. Dabei wird zum Beispiel ein Kontrollkästchen vorangehakt und die Nutzer werden aufgeklärt: „Mit dem Absenden des Formulars erklären Sie sich mit den angekreuzten Einwilligungen einverstanden“. Die Nutzer sind dabei nicht völlig untätig, da sie immerhin das Formular aktiv absenden. Datenschutzbehörden und viele Juristen lehnen diese Zwischenlösung jedoch ab, weswegen deren Einsatz ein hohes Risiko mit sich bringt.
Fazit
Eine Einwilligung sollte erst dann in Betracht gezogen werden, wenn andere Erlaubnisse der Datenverarbeitung nicht greifen.
Eine Einwilligung wird auch nach der Datenschutzreform bedeutend bleiben. Sie ist allerdings kein Allheilmittel. Zum einen sind die Anforderungen an deren Wirksamkeit sehr hoch. Zum anderen kann eine Einwilligung jederzeit widerrufen werden.
Aus diesem Grund solltest zuerst immer geprüft werden, ob nicht eine der im Teil 2 dieser Beitragsreihe genannten gesetzlichen Erlaubnisgrundlagen greift und man selbst von den Nutzern, bzw. Kunden weniger abhängig ist. Angesichts der Bußgelder von bis zu vier Prozent des Jahresumsatzes, solltest hier sehr sorgfältig gearbeitet oder eine rechtliche Beratung herangezogen werden.
Was Einwilligungen und gesetzliche Erlaubnisse jedoch gemeinsam haben, sind die hohen Anforderungen an deren Dokumentation und Nachweis. Um diese „Rechenschaftspflicht“, bzw. „Accountability“ wird es dann im nächsten Teil dieser Beitragsreihe gehen.
Checkliste Einwilligung:
- Brauche ich eine Einwilligung oder greift eins der anderen Erlaubnisse des Art. 6 DSGVO?
- Einwilligungsfähige Person? (Minderjährige ab 16)
- Freiwillig abgegeben? (Beschäftigte, soziale Zwänge oder Nachteile bei Nichtabgabe)
- Koppelungsverbot nicht einschlägig? (Erbringung vertraglicher Leistung wird von der Einwilligung abhängig gemacht, obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist)
- Über Widerrufsrecht belehrt?
- Über Zweck der Datenverarbeitung, Art und Umfang, Weitergabe sowie Löschung der Daten belehrt?
- Unmissverständliche Erklärung? (Schlüssige Erklärung, Opt-In, nicht lediglich Opt-Out)
- Nachweis (Schriftform, elektronisch protokolliert)
Zum Weiterlesen:
- DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)
- DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)
Danke sehr für die ganze Aufklärung, die Beitragsreihe hilft mir sehr.