Von der Wirksamkeit einer datenschutzrechtlichen Einwilligung kann der Erfolg eines gesamten Projekts abhängen – das zeigte sich zuletzt beim Pilotprojekt der Bundespolizei zur Gesichtserkennung. Es kommt deshalb wesentlich darauf an, Einwilligungserklärungen rechtswirksam zu formulieren. Welche Anforderungen mit der Geltung der Datenschutz-Grundverordnung (DSGVO) auf Sie zukommen, zeigt Ihnen unser Beitrag.
Vorformulierte Einwilligungserklärungen
In der Mehrzahl der Fälle verfasst der Betroffene die Einwilligungserklärung nicht selbst, sondern nutzt die von Ihnen zur Verfügung gestellte Einwilligungserklärung. Dabei müssen Sie unbedingt folgende Punkte berücksichtigen:
- Klare und eindeutige Formulierungen verwenden,
- Ihr Unternehmen als datenverarbeitende Stelle angeben und die Zwecke der Datenverarbeitung separat und möglichst exakt auflisten sowie
- auf das Widerrufsrecht hinweisen.
Um dies umzusetzen, sollten Sie die Einwilligungserklärung mit einer klaren Überschrift versehen (z.B. „Datenschutzrechtliche Einwilligungserklärung“) und nur eindeutige Formulierungen verwenden (z.B. „Ich willige ein, dass …“). Andere Formulierungsempfehlungen können Sie der Orientierungshilfe der Datenschutzbehörden entnehmen.
Jeder Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. Hierüber müssen Sie den Betroffenen vor Abgabe der Einwilligung informieren, weshalb es sich anbietet, diesen Hinweis in die Einwilligungserklärung aufzunehmen. Der Widerruf selbst muss formal so einfach wie die Einwilligung erfolgen können; wer also die Einwilligung per E-Mail einholt, muss auch den Widerruf per E-Mail ermöglichen. Bei Online-Einwilligungen muss dem Nutzer auch ein Online-Widerruf ermöglicht werden, beispielsweise bei den Einstellungen innerhalb seines Online-Accounts.
Freiwilligkeit und Kopplungsverbot
Eine Einwilligung ist nur wirksam, wenn sie vom Betroffenen freiwillig erklärt wurde. Dabei sollten Sie insbesondere das Kopplungsverbot beachten: Die Erfüllung eines Vertrages darf nämlich nicht von einer Einwilligungserklärung abhängig gemacht werden, wenn dies für die Vertragserfüllung nicht erforderlich ist. Sie dürfen beispielsweise den Abschluss eines Vertrages über die Nutzung eines Online-Dienstes nicht davon abhängig machen, dass der Nutzer auch in die Zusendung von Werbung einwilligt.
Online-Einwilligungen
Auch bei einer Online-Einwilligung muss die Erklärung durch eine aktive Handlung des Nutzers erfolgen. Diese Erklärung sollte in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen. Dies kann beispielsweise so umgesetzt werden, dass ein Kästchen angekreuzt oder innerhalb von Apps oder eines Online-Accounts ein Regler aktiviert werden muss. Unzulässig ist es unter anderem, ein Kästchen vorangekreuzt zur Verfügung zu stellen.
Minderjährige können erst ab 16 Jahren wirksam einwilligen; jüngere Kinder bedürfen der Einwilligung durch die Erziehungsberechtigten. Die EU-Mitgliedstaaten dürfen aber Regelungen erlassen, nach denen auch Kinder ab 13 Jahren wirksam die Einwilligung erklären können. Deutschland hat das Alter bislang nicht herabgesetzt. Wenn für einen Online-Dienst aber nicht deutsches Recht gilt, kann es zu unterschiedlichen Altersgrenzen kommen. Ob sich auch 13-Jährige bei Facebook ohne Zustimmung ihrer Eltern anmelden dürfen, ist deshalb noch nicht gesichert.
Form der Einwilligungserklärung
Die DSGVO schreibt keine besondere Form für Einwilligungserklärungen vor, insbesondere müssen Sie Einwilligungen nicht schriftlich einholen. Sie sollten aber sicherstellen, dass Sie nachweisen können, dass eine Einwilligung vom Betroffenen wirksam erklärt wurde. Deshalb ist es ratsam, die Einwilligung zu dokumentieren. Auf welche Weise diese Dokumentation erfolgt, können Sie selbst entscheiden.
Einwilligung für Newsletter
Für die Zusendung eines Newsletters bedarf es auch in Zukunft einer Einwilligung des Empfängers. Hierzu sollten Sie weiterhin das Double Opt-In-Verfahren verwenden.
Gelten die bisher eingeholten Einwilligungserklärungen fort?
Nur wenn die Alt-Einwilligung den Anforderungen der DSGVO entspricht. Wenn Sie Einwilligungen bislang im Einklang mit dem BDSG eingeholt haben, können Sie davon ausgehen, dass diese Einwilligungen auch nach dem 25. Mai 2018 gültig bleiben. Dies bestätigt ein Beschluss der Datenschutzbehörden.
Weitere Informationspflichten
Sobald die Datenverarbeitung nach Abgabe der Einwilligungserklärung beginnt, müssen Sie den Betroffenen über weitere Aspekte informieren. Dazu können Sie die Datenschutzerklärung nutzen. Die wesentlichen Anforderungen haben wir für Sie in einem anderen Beitrag zusammengefasst.
Fazit: Einwilligungserklärungen überprüfen
Sie sollten die Texte, die Sie bislang für Einwilligungserklärungen nutzen, vor dem Hintergrund der DSGVO überprüfen. Häufig wird es notwendig sein, die Zwecke der Datenverarbeitung genauer zu benennen und klarere Formulierungen zu verwenden. Dabei unterstützen wir Sie gerne.
Dr. Malte Kröger
Phillip Malinowski