Mitte September hat der Düsseldorfer Kreis sich mit der Thematik befasst, ob nach dem Bundesdatenschutzgesetz (BDSG) erteilte Einwilligung weiterhin unter dem Regime der Datenschutz-Grundverordnung (DSGVO) ihre Wirksamkeit behalten. Die dabei ausgearbeiteten Empfehlungen haben in den letzten Tagen starke Kritik erfahren müssen.
Der Inhalt im Überblick
Ausgangslage: Verbot mit Erlaubnisvorbehalt
An der bisherigen Situation im Datenschutz wird sich auch in Zukunft nicht viel ändern – das sog. Verbot mit Erlaubnisvorbehalt bleibt weiter bestehen (§ 4 Abs. 1 BDSG oder Artikel 6 Abs. 1 DSGVO).
Demnach ist die Datenverarbeitung generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat.
Viele Unternehmen, die personenbezogene Daten verarbeiten, beziehen sich bei der Legitimation einer Verarbeitung (bspw. Newsletter-Versand, Mitarbeiterfotos) auf die Einholung einer Einwilligung. Daher ist von großem Interesse, ob schon erhaltene Einwilligungen auch unter der DSGVO gelten oder diese alle neu eingeholt werden müssen.
Düsseldorfer Kreis: Einwilligung gelten weiterhin
Mit dieser Frage hat sich auch der Düsseldorfer Kreis beschäftigt. Dabei handelt es sich um den Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich. Dieser gibt in regelmäßigen Abständen Orientierungshilfen und Leitfäden heraus, um die Öffentlichkeit und Unternehmen bei der Umsetzung des Datenschutzes zu unterstützen. Gerade jetzt, beim größten Umbruch aller Zeiten im Datenschutz, erfahren diese besondere Beachtung.
Mitte September gab der Düsseldorfer Kreis nunmehr auch einen Beschluss zum Thema Einwilligung nach der DSGVO heraus. Demnach sind unter Bezug auf Erwägungsgrund 171 Satz 3 bereits erteilte rechtswirksame Einwilligungserklärungen weiterhin gültig, sofern diese der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen.
Kann dies jedoch aus rechtlicher Sicht so sein? Diese Frage stellen sich derzeit zahlreiche Datenschutzexperten.
Einwilligung nach dem BDSG
Sehen wir uns aber erst einmal die bisherigen Voraussetzungen der Einwilligung aus § 4 a BDSG im kurzen Überblick noch einmal an:
- die Einwilligung ist freiwillig
- die Einwilligung bedarf grundsätzlich der Schriftform (ggf. elektronische Einwilligung nach TMG)
- die Einwilligung muss sich auf den konkreten Verarbeitungsvorgang beziehen
- die Einwilligung ist widerruflich. Auf diesen Umstand ist der Betroffene hinzuweisen.
Bereits in der heutigen Praxis ist die Einwilligung nicht unbedingt das Beste, aber manchmal eben das einzige Mittel auf das man sich beziehen kann (bspw. Newsletter-Versand). Problempunkte nach der heutigen Praxis sind insbesondere die Widerruflichkeit und die Freiwilligkeit. Letztere ist gerade im Arbeitsverhältnis trotz der Rechtsprechung des BAG (Urteil vom 11.12.2014, Az.: 8 AZR 1010/13) weiterhin mit Vorsicht zu genießen.
Einwilligung nach der DSGVO
Wie wir bereits berichtet haben, bleiben die grundsätzlichen Anforderungen an eine Einwilligung auch nach der Legaldefinition der DSGVO gleich bzw. ähnlich (Artikel 4 Abs. 11 DSGVO):
„Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]
‘Einwilligung’ der Betroffenen Person jede freiwillige für den bestimmten, in informierter Weise und unmissverständlich abgegeben Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigten Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der die betroffenen personenbezogenen Daten einverstanden ist.“ (zzgl. Erwägungsgrund 32, 33)
Beschluss erntet redliche Kritik!
Vergleicht man die DSGVO und das BDSG lassen sich diverse Unterschiede feststellen, die für die Zukunft entscheidend sein könnten. Weswegen der kurze Beschluss vom 13./14. September des Düsseldorfer Kreises erhebliche Kritik erfährt. Sind diese Unterschiede jedoch wirklich so dramatisch?
Informationspflichten nach Art. 13 DSGVO
Die DSGVO hält einen umfangreichen Katalog an Informationspflichten in Artikel 13 DSGVO vor. Dieser soll primär zu mehr Transparenz gegenüber dem Betroffenen führen. Die meisten Informationspflichten sind relativ neu und eine derzeitig rechtswirksam eingeholte Einwilligung wird diesen nicht nachkommen. Als ein Bespiel sei hier die Rechtsgrundlage einer Verarbeitung genannt.
Aber keine Sorge; sie müssen jetzt nicht gleich alle Einwilligungen neu einholen. Der Düsseldorfer Kreis hat eine pragmatische Sichtweise und stellt klar:
„Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.“
Problemfelder: Freiwilligkeit & Altersgrenze
Der Düsseldorfer Kreis legt allerdings ein besonderes Augenmerk auf die Problemfelder Freiwilligkeit („Koppelungsverbot“, Artikel 7 Abs. 4 i.V.m. Erwägungsgrund 43 DSGVO) und die Altersgrenze für rechtmäßige Einwilligungen von Kindern.
Weitere Kritik seitens Datenschutzexperten
Der Datenschutzbeauftragte Stephan Hansen-Oest sieht den Beschluss kritisch. Dieser weise nicht auf eine bereits heute oftmals vorliegende Problematik hin, die es bereits nach derzeit geltenden Recht gibt: Der Hinweis auf das Widerrufsrecht, welcher auch heute bereits bei vielen Einwilligungen fehlt. Gerade auf Grund des möglichen, hohen Bußgeldes, sei dies „sehr mutig“, so Hansen-Oest.
Auch Thilo Weichert vom Netzwerk Datenschutzexpertise und ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein äußerte sich bereits kurz nach Veröffentlichung des Beschlusses kritisch. Insbesondere kritisiert er, dass der Beschluss nicht auf das neue Konzept „Privacy by Design“ (Artikel 25 DSGVO) eingeht. Nach diesem soll Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Der Beschluss, so Weichert, würde fehlerhaft suggerieren, dass mit einer Einwilligung bereits alles getan sein. Dem ist gerade nicht so, da eine Datenverarbeitung die Grundsätze des Datenschutzes bereits von Anfang an berücksichtigen sollte, bevor ein Nutzer seine Einwilligung erteilt.
Bisherige Einwilligungen trotz strengeren Anforderungen wirksam
Abschließend können wir uns Herrn Weichert nur anschließen:
„Die alten rechtswirksamen Einwilligungen werden nicht unzulässig. Aber sämtliche neuen Datenerhebungen werden sich an den neuen Regeln orientieren [und messen lassen] müssen.“
Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung werden durch die DSGVO nicht verändert und der Schutz von Minderjährigen wird zusätzlich gestärkt. Die bisherigen Vorlagen für Einwilligungserklärungen sollten aber hinsichtlich der Anforderungen der DSGVO überarbeitet werden. Es bleibt also noch viel Arbeit für Unternehmen und Datenschutzbeauftragte!
Wie gesetzeskonform ist denn die Prüfung und Aussage der Datenschutzbehörde? Wenn die Datenschutzaufsicht geprüft hat, dabei einen Verstoß gegen § 4, Abs.1 BDSG festgestellt hat, gilt das auch vor dem Gericht? Oder kann jeder Richter in seiner Unabhängigkeit dagegen urteilen? Ich frage deshalb, weil ich den immensen Aufwand mit den Datenschutzgesetzen nicht verstehe, wenn praktisch ein Richter im Prozess das für unwirksam erklären kann, die Aussage der Datenschutzaufsicht als Meinungsäußerung abtun kann. MfG.
Die Funktion und der Aufgabenbereich der Aufsichtsbehörden ist in § 38 BDSG geregelt. Demnach haben die Aufsichtsbehörden lediglich eine Kontrollfunktion und keine Gesetzgebungsfunktion. Ein Richter nimmt eine unabhängige Prüfung der Sachlage vor. Er muss sich daher an etwaige Stellungnahmen oder Feststellungen der Aufsichtsbehörden nicht zwingend halten. Ist eine Voraussetzung des § 4 Abs. 1 BDSG nicht gegeben, ist jedoch anzunehmen, dass der Richter zum gleichen Ergebnis kommen wird wie die Aufsichtsbehörde.
Ohne jetzt auf die rechtlichen Einzelheiten einzugehen, scheint es mir doch wohl sehr mutig zu sein, ab Stichtag 25.05.2018 keine nach DSGVO konform gestaltete DE zu verwenden!
Das bedeutet aber, dass alle bisher in den Systemen gespeicherten „alten“ DE Erklärungen ungültig sind, auch die für die es mit Dritten einen Auftragsdatenverarbeitungsvertrag z.B. für Kundenzufriedenheitsabfragen gibt, durch neue ersetzt werden müssen! Wenn das so ist, brechen die Rechneranlagen wohl zusammen und es wird ein wahnsinniges Chaos werden! ( Stichwort, Bonus, Vergütungssysteme die damit gekoppelt sind?) Hier ist dringender rechtlicher Klärungsbedarf eindeutig schnellstens angebracht.
Hallo, müssen wir als Zimmervermittlung (ohne Newsletterversand) die Kunden (Gäste die vor dem 25.05. gebucht haben) per Email oder Post um ein erneutes Einverständnis der Nutzung Ihrer Daten bitten? Ohne die Datennutzung kann ich den Urlaub ja nicht buchen? Ich habe diese Kunden nur angeschrieben und über die veränderte Datenschutzrichtlinien informiert und einen Abmeldepink beigefügt, keinen erneuten Anmeldepink. Ist das falsch? LG
Nähres zu der Frage, ob mit dem 25.05 eine erneute Einwilligung in die Nutzung von personenbezogene Daten eingeholt werden muss, entnehmen Sie bitte diesem Blog Artikel. Zusätzlich verweise ich auf den Beitrag Datenschutz-Grundverordnung: Rechtmäßigkeit der Datenverarbeitung, welcher erklärt, dass nicht jede Datenverarbeitung einer Einwilligung bedarf, und welche weiteren Rechtsgrundlagen es für eine Verarbeitung noch gibt.
[Die VORGESCHICHTE (zum besseren Verständnis):
Seit meiner letzten OP (2015) habe ich mehrere Erhöhungsanträge wegen Verschlimmerung beim ZBFS (Versorgungsamt) gestellt. Die angeforderten Einverständniserklärungen habe ich – einmal – eingereicht (und nie widerrufen). Meine Anträge wurden – wenn auch abschlägig – beschieden. Nach meinem letzten Erhöhungsantrag (Okt. 2018) forderte das Versorgungsamt neuerliche Einverständniserklärungen an.]
Das ist m. E. ein – lupenreines – Verschleppungsmanöver. Gegebene Einverständniserklärungen (zu Arztauskünften, Kontoeinzugs-Aufträgen, usw.) behalten ihre Gültigkeit, bis sie widerrufen wurden! Neue Einverständniserklärungen müssen erst nach weiteren ärztlichen Behandlungen (insbes. OPs) bzw. für neue Abbuchungsaufträge abgegeben werden!
Die neue DSGVO ändert an diesem Sachverhalt nichts!