Einigermaßen überraschend hat der Düsseldorfer Kreis, der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, eine Orientierungshilfe zur Einwilligung nach § 4a BDSG und § 13 Abs. 2 und 3 TMG herausgebracht. Man könnte meinen, zu diesem allgemeinen Thema sei bereits alles gesagt, genug Beispielstexte seien vorhanden und jeder kenne die Anforderungen und wie man diese umsetze. Weit gefehlt.
Der Inhalt im Überblick
Die Anforderungen an eine wirksame Einwilligung gemäß § 4a BDSG
Wie der Düsseldorfer Kreis feststellt und wir auch immer wieder in unserer täglichen Arbeit erleben, setzen viele Unternehmen aus den unterschiedlichsten Branchen die Anforderungen nicht um – sei es aus Unwillen oder Unwissenheit. Diese umfassen folgende Aspekte:
Freiwilligkeit
Die Abgabe der Einwilligungserklärung des Betroffenen muss freiwillig erfolgen. Es muss Wahlfreiheit für den Betroffenen bestehen, d.h. es muss ihm eine echte Alternative geboten werden.
Transparente Information
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Alle für den konkreten Fall entscheidungsrelevanten Informationen müssen enthalten sein. Es darf keine pauschale Einwilligung für unbestimmte, in der Zukunft liegende Zwecke eingeholt werden.
Schriftform
Grundsätzlich muss gemäß § 4a Abs. 1 BDSG die Einwilligung in Schriftform erfolgen. Eine elektronische Einwilligung im Bereich Internet und E-Mail kommt gemäß § 13 Abs. 2 TMG in Betracht.
Widerruflichkeit der Einwilligungserklärung
Es muss sichergestellt sein, dass der Betroffene seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Forderungen des Düsseldorfer Kreises
Aussagekräftige Überschriften
Schon aus der Überschrift soll klar hervorgehen, dass es sich um eine Einwilligungserklärung handelt und nicht um einen sonstigen Text, der im Zusammenhang mit Datenschutz steht.
Eindeutige Erklärung
Dem Betroffenen muss deutlich gemacht werden, dass er in die Datenverarbeitung einwilligt, sie also nicht lediglich zur Kenntnis nimmt. Dies soll aus dem Wortlaut der Erklärung hervorgehen.
Bewusste Erklärung
Der Betroffene soll selbst handeln, so dass bei Ankreuzformularen nur ein Opt-In und kein Opt-Out im Sinne einer vorgegebenen Zustimmung möglich ist.
Freiwilligkeit
Die Erklärung muss freiwillig sein, d.h. der Betroffenen muss eine real bestehende Wahlmöglichkeit haben, darf nicht unter Druck gesetzt werden und muss die Einwilligung jederzeit widerrufen können, ohne Repressalien befürchten zu müssen.
Drucktechnische Hervorhebung
Ist die Einwilligungserklärung in einen weitergehenden Text eingebunden, muss sie drucktechnisch besonders hervorgehoben sein, damit sie dem Leser ins Auge fällt.
Platzierung
Die Einwilligungserklärung soll grundsätzlich auf dem Antragsformular unmittelbar vor der Unterschrift stehen. Möglich ist auch eine Kurzfassung mit den wesentlichen Inhalten der Einwilligungserklärung vor der Unterschrift mit einem Hinweis auf einen an anderer Stelle enthaltenen erläuternden Text. In Sonderfällen (z.B. Übermittlung von Gesundheitsdaten) muss für die Einwilligungserklärung eine separate Unterschrift abgegeben werden.
Trennung und klare Zuordnung
Die reinen Informationen über Datenverarbeitung und die Einwilligungserklärung müssen textlich getrennt dargestellt werden. Es soll eine klare Zuordnung zur Einwilligung einerseits und zu den Datenschutzinformationen andererseits vorgenommen werden.
Einwilligung bei besonderen personenbezogenen Daten
Die Einwilligung muss die Arten der besonderen personenbezogenen Daten benennen und ausdrücklich für diese erklärt werden.
Inhalt
Der Inhalt muss klar und verständlich sein, vollumfänglich informieren und transparent gestaltet sein. Die Datenempfänger dürfen nicht nur pauschal dargestellt werden. Es muss auf die Folgen der Verweigerung und die Möglichkeit zum Widerruf hingewiesen werden.
Einwilligung bei Telemedienangeboten gemäß § 13 TMG
- Bewusste und eindeutige Einwilligung
- Protokollierung der Einwilligung
- Jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer
- Hinweis auf Möglichkeit zum jederzeitigen Widerruf mit Wirkung für die Zukunft
Werbeeinwilligungen
Auf Einwilligungen zu Werbezwecken geht der Düsseldorfer Kreis in einer anderen Orientierungshilfe ein, die auch online abrufbar ist.
Einwilligung in der DSGVO
Die Orientierungshilfe bezieht sich nur auf die Regelungen des BDSG und des TMG. Wer sich bereits jetzt über die Einwilligung unter der DSGVO informieren möchte, kann dies in unserem Blogartikel Grundverordnung: Anforderungen an eine Einwilligung tun.
Sinnvoller Zeitpunkt der Orientierungshilfe?
Man könnte sich die Frage stellen, ob der Zeitpunkt, die Orientierungshilfe herauszubringen, günstig gewählt ist. Die DSGVO steht in den Startlöchern, vieles wird sich durch die neuen Regelungen ändern. Sollte sich der Düsseldorfer Kreis daher etwa zwei Jahre vor der Ablösung des BDSG durch die DSGVO dann nicht eher mit gesetzesunabhängigeren oder neu auftauchenden Themen befassen? Andererseits – wer legt fest, welches Thema Vorrang haben sollte?
Glücklicherweise wird die DSGVO keine gravierenden Änderungen im Bereich der Einwilligungen mit sich bringen. Die hier aufgestellten Grundsätze wird man also auch noch nach der Gesetzesänderung anwenden können.
Aus der Rechtvorschrift der EU L116 von 2016 Amtsblatt zur DSGVO entnehme ich im Gegensatz zum „alten“ BDSG nicht, dass eine wirksame Einwiligung unbedingt der Schriftform bedarf. Die Rechtmäßigkeit der Verarbeitung kann lt. Abs 47 durch eine berechtigtes Interesse begründet sein, als Beispiel wird eine Kundenbeziehung aufgeführt. Weiter noch „Die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
Wie legen Sie das aus?
Grundsätzlich bedarf eine Erhebung/ Nutzung/ Verarbeitung von personenbezogenen Daten einer Rechtsgrundlage. Dies ist nach BDSG so und auch nach der DSGVO. Rechtsgrundlage können z.B. das sog. berechtigte Interesse nach Art. 6 f (auf das der Erwägungsgrund 47 zur DSGVO Bezug nimmt) oder auch die Einwilligung nach Art. 7 DSGVO der betroffenen Person sein. Vor jeder Erhebung etc. muss also das Vorhandensein einer rechtlichen Grundlage geprüft und bejaht werden.
Wenn es um den Spezialfall der Einwilligung geht, ist nach Art. 7 Abs. 1 DSGVO der Verantwortliche (also derjenige, der die Daten erhebt) beweispflichtig. Er muss nachweisen können, dass die Einwilligung vorliegt. Dies ist am sinnvollsten und einfachsten über die Schriftform zu gewährleisten. Zwar gibt es keine Pflicht zur Wahrung der Schriftform; allerdings ist sie das beste Mittel, den Beweis zu erbringen. Praktisch kommt man an ihr also nicht vorbei. Erwägungsgrund 42 enthält noch weitere Konkretisierungen.
Hallo, ich habe eine (vielleicht dumme) Frage: Jemand schreibt mir eine E-Mail, ohne sich vorher über meine Datenschutzbestimmungen informieren zu können (z. B. weil er meine E-Mail-Adresse noch von früher her im Kopf hat). Wenn ich ihm nun per E-Mail antworte, liegt dafür ja nun keine von der DSGVO verlangte dokumentierte Einwilligungserklärung für die Kontaktaufnahme per E-Mail vor. Wie verhält sich dann in diesem Fall die Rechtslage?
Besten Dank für eine Antwort
Wenn Ihnen jemand von sich aus eine Mail schickt und Sie lediglich darauf antworten, benötigen Sie dafür keine gesonderte Einwilligung – der Empfänger hat ja durch seine E-Mail-Anfrage ganz klar den Willen zum Ausdruck gebracht, mit Ihnen über dieses Medium zu kommunizieren. Sie dürfen allerdings in der Antwort-E-Mail keine Werbung mitschicken ohne dafür die Einwilligung zu haben.
Außerdem könnten Sie in der Mail Ihre Informationen nach Art. 13, 14 DSGVO bereitstellen; ob das in diesem Fall sinnvoll ist, hängt aber von vielen Faktoren ab, die ich so nicht beurteilen kann.
Besten Dank für die Auskunft!
Hallo, inwieweit ist eine Kommunikation per Email von Sebststämdigen zu Privatpersonen überhaupt noch DSGVO-konform, wo doch der kleine Selbstständige, der seinen Email-Account z.B. bei Strato, gmx.de, web.de, 1&1 oder t-online.de betreibt, nicht weiß ob die Email zum Empfänger (der vielleicht einen gmail oder msn account hat) in irgendeiner Art verschlüsselt übermittelt wird ?
Und wenn ja, dürfen da dann z.B. persönliche Daten wie ein Geburtsdatum oder eine Vertragskopie geschickt werden?
Darf der Selbstständige überhaupt noch per Email kommunizieren, auch wenn er dafür das Einverständnis der Kunden hat?
Darf ich whatsapp nutzen, wenn in meinem Telefonadressbuch ausschließlich Kontakte gespeichert sind, die auch whatsapp nutzen?
Vielen Dank
Hallo
ich habe eine wichtige Frage, ich betreibe eine Tierpraxis und lasse jeden patienten die Datenschutzerklärung unterschreiben usw. in wie weit kann ich das Unterzeichnen dieser Erklärung Papierlos gestalten ? Mein Gedanke ein Unterschriftenpad an den Rechner anschliessen und die Datenschutzerklärung direkt im Rechner unterschreiben lassen, müsste dann ja Original sein, denn jede Versicherung schließt so auch Verträge ab. Nun ich weis nun nicht ob es rechtlich aus Datenschutzgründen konform ist oder nicht, wenn mir jemand hier helfen könnte wäre dies echt klasse vielen dank
Sie müssen die Datenschutzerklärung überhaupt nicht unterschreiben lassen, da es sich bei der Datenschutzerklärung ausschließlich um eine Information an die Tierhalter handelt.
Hallo :-), wir haben im Betrieb die unterschriebenen Einwilligungserklärungen eingescannt. Muss man diese in Papierform noch aufbewahren? Wenn ja, wie lange – 10 Jahre? Oder genügen die gespeicherten PDF’s? Vielen Dank für eine Antwort schon im Voraus.
Sofern es sich um Einwilligungen für den Newsletterversand oder sonstige Werbeaktionen handelt, reicht es aus, wenn Sie die pdf Dateien speichern. Diese sollten Sie jedenfalls so lange vorhalten, wie Sie sich auf die Einwilligung zur Datenverarbeitung stützen wollen.
Hallo =)
Sehr hilfreiche Seite! Eine Frage hätte ich: ich sammle für meine Abschlussarbeit an der Hochschule personenbezogene Daten (in Form von Protokollen) und Online-Fragebögen. Reicht es wenn die Probanden mir eine schriftliche Einwilligungserklärung unterschreiben und einscannen/mir per Mail schicken, oder muss diese postalisch gesendet werden, damit ich dir ORIGINAL-Version habe?
Vielen Dank im Voraus!
Es sei zunächst darauf hingewiesen, dass sich die Rechtslage mit Inkrafttreten der DSGVO seit dem 25.05.2018 geändert hat. Der obige Artikel ist vor dem Inkrafttreten entstanden und bezieht sich daher noch auf die alte Rechtslage.
Die DSGVO selbst sieht keine besondere Form der Einwilligung vor. Die Einwilligung könnte demnach theoretisch auch mündlich erteilt werden. Der Verantwortliche (= Datenverarbeiter) muss allerdings die Einwilligung im Zweifel nachweisen können. Dies ist bei einer mündlichen Form der Einwilligung natürlich schwierig. Die Schriftform (= eigenhändig unterschriebene Erklärung im Original) ist am rechtssichersten, allerdings kann auch eine ausgedruckte Fotokopie zunächst für den Beweis genügen.
Zudem gilt es natürlich, spezielle Gesetze des deutschen Gesetzgebers (z. B. § 26 Abs. 2 S. 3 BDSG) zu beachten, soweit diese anwendbar sind.
Bei Fragen hinsichtlich dem Erfordernis und notwendigen Inhalt einer Einwilligung kann eine individuelle Rechtsberatung ratsam sein, da die Antworten hierzu vom Einzelfall abhängen. Dies kann hierüber leider nicht erfolgen.
Hallo,
ich hoffe mir kann hier geholfen werden. ich arbeite im getränkehandel, unser chef kam letztens mit einer einwilligungserklärung die wir bitte unterschreiben sollen! da fühlten wir uns schon etwas hintergangen. die kameras sollen logischerweise im kassenbereich installiert werden, d.h. wir werden natürlich auch überwacht. bei uns ist nicht immer betrieb, deswegen haben wir die befürchtung das unser chef uns dann die aufnahmen vorhällt, wenn wir auch mal nichts zu tun haben. kann er das? wir sollen ihm wenn dann einen schriftlichten widerspruch vorlegen. hat sich die sache dann erledigt? wir konnten darüber nichts im internet finden.
Das Vorhaben Ihres Chefs erscheint auf den ersten Blick rechtswidrig aus mehreren Gründen. Da wir im Rahmen des Blogs keine Einzelfallbeurteilung vornehmen und keine Rechtsberatung erteilen können, empfehle Ihnen daher, sich direkt an einen Rechtsanwalt zu wenden. Im Regelfall ist die Ersteinschätzung kostenlos.
Alternativ können sich Privatpersonen bei dem/r für Sie zuständigen Landesdatenschutzbeauftragten / Aufsichtsbehörde kostenlos beraten lassen. Eine Übersicht inklusive Telefonnummern finden Sie hier: Datenschutzbeauftragte von Bund und Ländern
Hallo,
wir haben die Herausforderung, ein Gebäudeinformationssystem aufzusetzen, bei dem sämtliche Mitarbeiter der in dem Gebäude sitzenden Unternehmen namentlich über eine Suchfunktion ausfindig gemacht werden sollen können. Eine Einwilligung ist hier die Rechtsgrundlage. Muss die Einwilligung jedes Einzelnen bei dem Betreiber des Gebäudeinformationssystems und damit bei dem Datenverarbeiter direkt vorliegen oder würde es ausreichen, wenn die Unternehmen jeweils eine zentrale Person bestimmen, die die Daten aller Mitarbeiter in das System einpflegt. Diese würde dann dem Betreiber/Datenverarbeiter bestätigen, alle erforderlichen Einwilligungen eingeholt zu haben.
Die datenschutzrechtlich Verantwortlichen müssen die Einwilligungen der Personen einholen, deren Daten sie verarbeiten, sofern keine andere Rechtsgrundlage gegeben ist. Das ist wahrscheinlich nicht der Betreiber des Gebäudeinformationssystems sondern die jeweiligen Unternehmen. Der Betreiber des Gebäudeinformationssystems könnte Auftragsverarbeiter sein. Die Konstellation können wir mit den wenigen Angaben jedoch nicht vollumfänglich beurteilen; darüber hinaus dürfen wir in diesem Rahmen keine Einzelfallberatung bieten.
Hallo, als Arztpraxis scannen wir Datenschutzerklärungen in pdf Form; muss diese in Papierform aufgehoben werden? Wenn ja, wie lange?
MfG
Bitte haben Sie Verständnis dafür, dass wir in unserem Blog keine Rechtsberatung anbieten können. Gerne gehe ich aber allgemein auf die Anfrage ein. Ihre Ausführungen interpretiere ich dergestalt, dass Sie datenschutzrechtliche Einwilligungen (wahrscheinlich der Patienten) einholen, diese einscannen und als pdf speichern. Die Originale sollen hingegen (bestenfalls) nicht zusätzlich aufbewahrt bzw. abgelegt werden.
In einer Arztpraxis stellt sich bereits die Frage, in welchen Fällen überhaupt Einwilligungen erforderlich sind. Oftmals wird die Datenverarbeitung zur Erfüllung des Vertrages erforderlich sein. Sollten tatsächlich Einwilligungen benötigt werden, ist gesetzlich nicht ausdrücklich geregelt, wie diese aufzubewahren sind. Grundsätzlich sollte die Einwilligung den Nachweis erbringen können, dass und wann sie erteilt wurde (vgl. Art. 7 Abs. 1 DSGVO). Insofern ist entscheidend, welchen Beweiswert man einem Scan im Gegensatz zu einem Original beimisst. In der Regel wird man die Beweiskraft zwar als geringer ansehen können. Allerdings können Einwilligungen aus datenschutzrechtlicher Sicht in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung abgegeben werden (vgl. Art. 4 Nr. 11 DSGVO), mithin auch in elektronischer Form oder gar konkludent. In Zeiten von papierlosen Kanzleien und Büros, wird es daher regelmäßig ausreichen, die Einwilligung lediglich in digitaler Form vorzuhalten.
Hinsichtlich der Speicherfrist ist eine pauschale Antwort ebenfalls nicht möglich. Grundsätzlich zumindest für die Dauer der Verarbeitung. Je nach Ansicht auch (deutlich) darüber hinaus. Denkbar wäre bspw. die Speicherung für die Dauer der regelmäßigen Verjährungsfrist von 3 Jahren nach Ende der Verarbeitungstätigkeit, da bis dahin eine gerichtliche Auseinandersetzung nicht ausgeschlossen werden kann. Einige Aufsichtsbehörden halten dies indes (aus m.E. nicht überzeugenden Gründen) für zu lange und fordern eine Abwägung im jeweiligen Einzelfall. Dies ist indes kaum praxistauglich. Zumal man Verfahren niemals im Vorfeld wird ausschließen können. Sofern aber gesetzliche Aufbewahrungspflichten zu beachten sind, sollten diese jedenfalls nicht unterschritten werden (so z.B. bei klinischen Studien).