Das Datenschutzrecht setzt in erster Linie auf die Einwilligung der sogenannten Betroffenen. Dabei ist häufig auf Unternehmensseite unklar, wie ein solches Einverständnis wirksam eingeholt werden kann. Genügen Hinweise in der Datenschutzerklärung oder den AGB? Oder müssen höhere Anforderungen erfüllt werden? Welche Forderungen die deutschen Aufsichtsbehörden stellen, lässt sich einer kürzlich veröffentlichen Orientierungshilfe entnehmen. Der folgende Beitrag zeigt auf, was Unternehmen beachten müssen und gibt ihnen Ansatzpunkte für die praktische Umsetzung.

einwilligung

Die Einwilligung im Datenschutz
Eine gültige Einwilligung im Datenschutzrecht ist leider nicht ganz einfach. Nicht selten erklären Gerichte vorformulierte Einwilligungserklärungen für unwirksam, da die strengen Voraussetzungen des Datenschutzrechts nicht beachtet werden. Im einen Fall seien sie zu unbestimmt, im anderen unverständlich und im dritten nicht deutlich genug als Erklärung zu erkennen. Die hohen Anforderungen an wirksame Einwilligungserklärungen führen dazu, dass Unternehmen immer wieder gegen das Datenschutzrecht verstoßen. Bußgelder oder Abmahnungen (zukünftig auch von Verbraucherverbänden) sind mögliche Folgen.

Einwilligungen in Formularen
In der im März 2016 veröffentlichten Orientierungshilfe stellen die Datenschutzbehörden zunächst dar, wie Einwilligungserklärungen in Formularen aussehen sollten. Dabei heben die Behörden hervor, dass Einwilligungserklärungen in AGBs, die zum Abschluss des Vertrages angenommen werden müssen, nicht wirksam seien, weil der Betroffene seine Erklärung nicht freiwillig abgebe.

Großen Wert legen die Behörden darauf, dass für den Einzelnen unzweifelhaft erkennbar ist, dass eine Einwilligungserklärung abgegeben werde. Dafür müssen die Überschriften eindeutig sein (z.B. „Datenschutzrechtliche Einwilligungserklärung“), ebenso wie die Formulierungen des Einwilligungstextes. Ferner muss die Einwilligung meist sichtbar hervorgehoben werden, beispielsweise durch Fettdruck, farbliche Gestaltung oder Umrahmung. Es wird auch empfohlen, die Einwilligung unmittelbar vor der Unterschrift zu platzieren. Informationen über die Verarbeitung der Daten und die Einwilligungserklärung sollten nicht vermengt werden.

Darüber hinaus ist es wichtig, dass die Art der Daten (Name, Anschrift, E-Mail-Adresse, etc.), der Zweck der Datenverarbeitung und die datenverarbeitenden Stellen genau bezeichnet werden. Von allzu pauschalen Formulierungen (z.B. „für die Vertragsdurchführung“), sollte abgesehen werden, um das Risiko einer unwirksamen Einwilligung gering zu halten.

Einwilligungen im Marketing
Bereits im Jahr 2014 haben die Behörden Hinweise für Einwilligungserklärungen bei Nutzung der Daten zu Werbezwecken veröffentlicht. Eine wirksame Einwilligung ist insbesondere wichtig, um nicht bei der Zusendung von Werbe-E-Mails gegen das Wettbewerbsrecht zu verstoßen. Ebenso wie bei Formularen müssen auch Werbe-Einwilligungen aus Sicht des Verbrauchers vor allem verständlich, eindeutig und klar erkennbar sein. Dabei ist insbesondere auch das Werbemedium (E-Mail, Telefon, Post) konkret zu benennen. Jede Einwilligungserklärung muss sich zudem explizit auf das einzelne Medium beziehen (z.B. „Ich bin mit der telefonischen Kontaktaufnahme für Werbezwecke einverstanden“).

Einwilligungen im Online-Bereich
Anbieter von Telemedien wie Websites oder Smartphone-Apps müssen ebenfalls Einwilligungen einholen, wenn sie personenbezogene Daten würde Werbezwecke erheben oder verarbeiten. Da das Gesetz eine schriftliche Einwilligungserklärung fordert, ist häufig fraglich, wie eine elektronische Erklärung bewiesen werden kann. Im Rahmen der Einwilligung für E-Mail-Newsletter hat sich deshalb das Double-Opt-In-Verfahren etabliert, bei welchem die E-Mail-Adresse durch den Besteller zunächst verifiziert werden muss. Die Einwilligungserklärung muss zudem protokolliert werden, nicht zuletzt, weil es im Falle einer gerichtlichen Auseinandersetzung dem Unternehmen obliegt, die Einwilligung zu beweisen. Dem Nutzer muss es darüber hinaus möglich sein, jederzeit die Einwilligung zu widerrufen.

Aber auch außerhalb von Newsletter muss das Datenschutzrecht beachtet werden. Bereits der Einsatz von Cookies kann eine Einwilligung erforderlich machen. Gleiches gilt für Social Media Plugins wie dem Like-Button von Facebook  Hinweise zu den unterschiedlichen Pflichten hat die niedersächsische Datenschutzbehörde veröffentlicht. Danach müssen Anbieter ihre Nutzer vor Erklärung der Einwilligung auf das Recht zum Widerruf nach § 13 Absatz 2 Nr. 4 TMG hinweisen. Zudem muss der Inhalt der Unterrichtung für die Nutzer jederzeit abrufbar sein. spätestens, wenn der Nutzer seine persönlichen Daten eingibt, muss eine Belehrung akzeptiert werden.

Was bedeutet die Orientierungshilfe in der Praxis?
Auch wenn die Hinweise der Datenschutzbehörden die Gerichte nicht binden können, sind sie ein wichtiger Anhaltspunkt für datenschutzkonforme Einwilligungen. Unternehmen sollten ihre vorformulierten Einwilligungserklärungen anhand dieser Hinweise überprüfen. Ergeben sich hierzu oder zu weiteren Aspekten des Datenschutzes Fragen, helfen die Experten der Datenschutzkanzlei, um Abmahnungen und Bußgelder zu vermeiden.

Malte Kröger
David Oberbeck