Die Verschlimmbesserung der Einwilligung nach DSGVO

Fachbeitrag

Die aktuelle allgemeine Verunsicherung rund um die Datenschutz-Grundverordnung führt in letzter Zeit dazu, dass Unternehmen für Datenverarbeitungen jeglicher Art eine Einwilligung einfordern. In vielen Fällen sind die Einwilligungen jedoch weder korrekt eingeholt, noch rechtlich erforderlich. Folge der Einwilligungsschwemme ist ein erheblicher Organisations- und Dokumentationsaufwand, eine Einwilligungsmüdigkeit bei den Betroffenen und im Ergebnis keine rechtskonforme Datenverarbeitung.

Anlass und Ausmaß der Einwilligungsschwemme

Anlass der zahlreichen Einwilligungen ist sicherlich die große Rechtsunsicherheit der DSGVO und damit einhergehend eine Art „Massenpanik“. Da nahezu jedes Unternehmen überarbeitete Einwilligungsklauseln an Geschäftspartner versendet, ist dies für viele weitere Unternehmen Anlass, hier gleich zu ziehen. Überspitzte und sogar fehlerhafte Medienberichte tun ihr übriges. Ein weit verbreiteter Irrglaube ist außerdem, mit einer Einwilligung „gehe man auf Nummer sicher“. Dieser Einwilligungstrend zeichnet sich speziell durch folgende Klauseln aus:

„Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu“

„Ich stimme der Datenschutzerklärung und den AGB zu“

„Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu“.

Die Einwilligung ist nicht unbedingt die bessere Lösung, …

… denn sie hat einige Fallstricke und Schwachstellen. Diese wären:

  • Die Einwilligung muss konkret und für verschiedene Verarbeitungszwecke separat erfolgen. Das erfordert, dass die jeweiligen Verarbeitungszwecke transparent herausgearbeitet und wenn erforderlich durch separate Opt-in-Optionen angeboten werden müssen. An die richtige Darstellung der Einwilligungserklärung sind damit mitunter hohe Hürden gesteckt.
  • Das Erfordernis der Freiwilligkeit muss gewahrt werden. Das bedeutet u.a. auch, dass die Erfüllung eines Vertrages nicht von einer Einwilligung abhängig sein darf (Koppelungsverbot).
  • Es muss das Widerrufsrecht eingeräumt werden. Wer seine Datenverarbeitung auf eine Einwilligung stützt, muss also damit rechnen, dass dies nicht von Dauer ist. Es müssen außerdem Möglichkeiten und Prozesse zur Ausübung und Dokumentation der Widerrufsmöglichkeit geschaffen werden.
  • Es muss auch über die Folgen des Widerrufs informiert werden. Unterbleibt eine Belehrung, mangelt es an der Freiwilligkeit.
  • An Einwilligungen im Beschäftigungsverhältnis sind strengere Anforderungen gesetzt. Eine Einwilligung ist die Ausnahme! Gut verständlich sind die Beispiele im Kurzpapier Beschäftigtendatenschutz, z.B. für Zusatzleistungen des Arbeitgebers, wie die private Nutzung  dienstlicher Fahrzeuge, von Telefon und EDV-Anlagen. Weitere Beispiele finden Sie im Ratgeber Beschäftigtendatenschutz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (z.B. zur Veröffentlichung von Mitarbeiterfotos).
  • Und das Wichtigste zum Schluss: Ist eine Einwilligung widerrufen worden oder nicht rechtskonform eingeholt, ist ein Rückgriff auf einen gesetzlichen Tatbestand ausgeschlossen.

Beispiele für die Anforderungen an die Einwilligung finden Sie im WP259 der Artikel-29-Datenschutzgruppe.

Wann ist eine Einwilligung erforderlich?

Es gibt Fälle, die nur auf Basis einer Einwilligung datenschutzrechtlich möglich sind. Oftmals kommt es jedoch auch auf die individuelle Datenverarbeitung an. Beispiele, bei denen eine Einwilligung erforderlich ist, liefern u.a. die aktuellen Tätigkeitsberichte der Aufsichtsbehörden und DSK-Kurzpapiere:

  • Werbung per Telefon / E-Mail (Ausnahme Bestandskundenwerbung)
  • Tonbandaufnahmen im Call-Center
  • Fotos der Mitarbeiter im Intranet
  • Weitergabe von E-Mail-Adressen zur Sendungsverfolgung an Transportdienstleister

Datenverarbeitungen wenn möglich auf gesetzliche Erlaubnisse stützen

In der Regel existieren für eine Vielzahl an Datenverarbeitungen – sei es im Rahmen der Kundenbeziehung oder des Beschäftigungsverhältnisses – schon gesetzliche Erlaubnistatbestände. Die Einwilligung ist hingegen kein Allheilmittel und bietet wegen ihrer hohen Formanforderung nicht unbedingt mehr Rechtssicherheit.

In vielen Fällen ist es daher die bessere Option, die Datenverarbeitung auf eine Rechtsgrundlage zu stützen. Da vieles im Datenschutz eine Einzelfallentscheidung ist, dürfe für die Zulässigkeit eher entscheidend sein, ob die Grundsätze der Transparent, Datensparsamkeit sowie Löschfristen eingehalten werden.

Weitere Informationen zur Einwilligung mit Links zu Meinungen von Datenschutzbehörden und Fachbeiträgen finden Sie hier:
dsgvo-gesetz.de/themen/einwilligung

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

12 Kommentare zu diesem Beitrag

  1. Leider scheinen viele Firmen übervorsichtig oder einfach nur schlecht beraten zu sein.
    Anders kann ich es mir nicht erklären, dass viele nur noch Verarbeitungen im Auftrag oder die Einwilligung als Rechtsgrundlage sehen.

    Das nervt einfach nur noch, wenn man ständig mit den Anfragenden diskutieren muss, warum die denn jetzt ernsthaft der Meinung sind, dass wir explizit für die Verarbeitung unserer Daten bei einem normalen Handelsgeschäft einwilligen müssen oder warum für so ein Geschäft auf einmal ein AV-Vertrag notwendig ist.

    Damit tut man dem Datenschutz einen Bärendienst.

  2. Hallo, meistens geht es doch bei den Kontaktaufnahmen um die dokumentierte Informationspflicht nach Art. 13/14. Da herrscht bei Vielen Unsicherheit, wie sie die schon vorhandene Verarbeitung nur mit dem ersten Argument aus Erwägungsgrund 62, „…erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat…“, ggf. nachweisen können.

  3. Hallo Dr. Datenschutz.

    Den Punkt verstehe ich nicht ganz:
    „Und das wichtigste zum Schluss: Ist eine Einwilligung widerrufen worden, oder nicht rechtskonform eingeholt, ist ein Rückgriff auf einen gesetzlichen Tatbestand ausgeschlossen.“

    Würde das bedeuten, dass dann Aufbewahrungspflichten aus HGB, etc. nicht mehr einzuhalten wären? Oder sind diese dann durch andere Tatbestände begründet?

    Danke für die Klärung.

    • Nein, diese Aussage bezieht sich nur auf den Verarbeitungszweck, für den die Einwilligung ursprünglich eingeholt wurde. Wenn Sie z.B. eine Einwilligung für einen konkreten Verarbeitungsvorgang widerrufen wurde oder rechtlich nicht haltbar ist, können Sie die Datenverarbeitung z.B. nicht alternativ auf das berechtigte Interesse stützen..

      Davon unabhängig ist jedoch die Frage der gesetzlichen Aufbewahrungspflichten. Hierzu sind Sie bereits nach Art. 6 Abs. 1 lit c DSGVO berechtigt. Eine Einwilligung ist hier nicht erforderlich.

  4. Brauche ich als Heilpraktikerin von dem Patienten eine „Einwilligungserklärung in die Datenverarbeitung“, wenn ich die Patientenakten, und die Kontaktdaten nicht an dritte weiterleite?
    Sollte ein Patient diese Einwilligungserklärung wiederrufen, muß ich dann die Akten trotzdem 10 Jahre aufheben, oder alles Löschen?

    • Grundsätzlich ist eine Einwilligung nicht erforderlich, wenn die Datenverarbeitung zum Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik oder Behandlung und Versorgung im Gesundheitswesen erfolgt (Art. 9 Abs. 2 lit h DSGVO). Die Datenverarbeitung ist dann schon aufgrund des Behandlungsvertrages zulässig. Die Patientenakten müssen auch nach Widerruf einer Einwilligung aufbewahrt werden. Die Aufbewahrungspflicht ist gesetzlich geregelt und damit verpflichtend.

      Konkretere Informationen und Handlungsempfehlungen finden Sie sicherlich bei den Berufsverbänden der Heilpraktiker.

    • In Abschnitt II des Kurzpapieres steht, dass die Einwilligung überwiegend dann zum Einsatz kommt, wenn Gegenstand der Datenverarbeitung nicht das Arbeitsverhältnis als solches betrifft, sondern eine freiwillige Zusatzleistung des Arbeitgebers, wie z.B. die private Nutzung von Telefon und EDV-Anlagen. Unter die private Nutzung von Telefon-und EDV-Anlagen fällt üblicherweise die Privatnutzung von Internet-und E-Mail am Arbeitsplatz. Bei der Nutzung von Fotos im Beschäftigtenverhältnis handelt es sich in der Regel auch um einen klassischen Fall, in dem es an der Erforderlichkeit des § 26 BDSG fehlt, und daher nur eine Einwilligung in Betracht kommt. Natürlich kommt es aber auch hier immer auf dem Einzelfall an. Da es sich hier nicht um ein wörtliches Zitat des Kurzpapieres handelt, haben wir die Textpassage zur Vermeidung von Missverständnissen angepasst.

  5. Hallo Dr. Datenschutz,
    „Werbung per Telefon / E-Mail (Ausnahme Bestandskundenwerbung)“: Bedeutet das, dass ich für meinen Newsletter an Bestandskunden keine Double-Opt-In-Einwilligung hätte einholen müssen?

    • Das kommt darauf an, was mit dem Newsletter beworben wird. Lässt sich der Inhalt des Newsletters unter § 7 Abs. 3 UWG subsumieren (eigene ähnliche Produkte und Dienstleistungen) und sind auch die übrigen Voraussetzungen erfüllt ( Bestandskunde, kein Werbewiderspruch, Hinweispflicht bei Erhebung und in jeder werblichen Ansprache), ist keine Einwilligung erforderlich. Ein Double-Opt-In ist auch nur zur Verifizierung der E-Mail-Adresse erforderlich.

  6. Hallo Dr.Datenschutz,
    unser Arbeitgeber hat eine Information versendet, in der er bekannt gibt, dass die Kollegen ihre Einwilligung zu Fotoaufnahmen auf der Betriebsfeier schon mit ihrer Teilnahme an der Feier geben.Wer damit nicht einverstanden ist sollte dieser Feier gleich ganz fernbleiben. Ist das ausreichend und rechtssicher? Vielen Dank im Voraus!

    • Ich bezweifele, dass hier von einer rechtskonformen Einwilligung ausgegangen werden kann. Der Einwilligungstext scheint nicht hinreichend konkret. Es müsste zumindest noch angegeben werden, wo und wie die Fotos anschließend verwendet werden. In der hier beschriebenen Form wäre, wenn überhaupt, nur das Fotografieren zulässig, nicht jedoch das Veröffentlichen.
      Außerdem müssten Sie darauf hingewiesen werden, dass Sie selbstverständlich die Möglichkeit haben, Ihre Einwilligung zu widerrufen.
      Davon abgesehen ist sehr fraglich, ob alleine die Teilnahme an der Feier schon als Einverständnis gewertet werden kann und die Anforderungen des Erwägungsgrundes 32 erfüllt. Zudem erfordert § 26 Abs. 3 BDSG-Neu grundsätzlich die Schriftform für Einwilligungen im Beschäftigungsverhältnis. Es ist demnach problematisch, ob und wie eine Einwilligung in diesen Fällen taugliche Rechtsgrundlage sein kann.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.