Als Unternehmer unterscheiden Sie sich von der breiten Masse, wenn Datenschutz für Sie zu einem ernst zu nehmenden Thema geworden ist. Eine Datenschutzerklärung auf der Homepage abdrucken kann jeder, aber bei den Feinheiten trennt sich oft die Spreu vom Weizen. Wie Sie eine wirksame Einwilligungserklärung gestalten, lernen Sie hier:
Aber wozu überhaupt eine Einwilligung?
Gehen wir nochmal zurück zur Faustregel, die wir in meinem Beitrag „Kleines Einmaleins im Datenschutz“ gelernt haben:
Die Verarbeitung personenbezogener Daten ist nach aktueller Rechtslage, das heißt nach EU-DSGVO und BDSG (neu) grundsätzlich verboten. Aber da es sich um ein Verbot mit Erlaubnisvorbehalt handelt, gibt es davon Ausnahmen, die die Verarbeitung erlauben:
1. die betroffene Person willigt in die Verarbeitung ihrer personenbezogenen Daten ein (Art. 6 Abs. 1 lit. a) EU-DSGVO)
2. das Gesetz sieht einen Erlaubnisgrund vor (zB zur Erfüllung einer rechtlichen Verpflichtung) (Art. 6 Abs. 1 lit. b)-f) EU-DSGVO und/oder Spezialgesetze)
Heute möchten wir uns dem Punkt 1. „die betroffene Person willigt in die Verarbeitung ihrer personenbezogenen Daten ein“ widmen. Interessant ist dabei, dass die Schriftform für die Einwilligung nicht mehr zwingend ist. Jedoch ist der Verantwortliche, das heißt, derjenige, der die Daten verarbeitet, im Zweifelsfall für das Vorliegen der Einwilligung nachweispflichtig. Sinnvoll ist es deshalb in jedem Fall, sich die Einwilligung der betroffenen Person auf Papier oder per E-Mail einzuholen. Die Zulässigkeit der Einwilligung per E-Mail, also in elektronischer Form, wird vor allem bei Internetsachverhalten angenommen. Ein Internetsachverhalt liegt zum Beispiel dann vor, wenn der Kunde zum Unternehmer lediglich über das Internet Kontakt hat. Die Einwilligung muss zudem verständlich sein und in einer klaren, einfachen Sprache verfasst. Wesentliches Merkmal einer rechtswirksamen Einwilligungserklärung ist auch, dass darin eine Widerrufsbelehrung enthalten ist. Nach der EU-DSGVO hat die betroffene Person das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft gegenüber der verantwortlichen Person zu widerrufen und dies ganz formlos. Zwar stellt er keine Wirksamkeitsvoraussetzung dar, trotzdem empfiehlt sich, um Missverständnisse auf Betroffenenseite vorzubeugen, der Hinweis, dass ein Widerruf keinen Einfluss auf die Rechtmäßigkeit der bis dahin erfolgten rechtmäßigen Verarbeitungen hat. Das heißt im Klartext: Wenn ein Betroffener seine Einwilligung widerruft, war bis zu diesem Zeitpunkt alles, was Sie darauf gestützt verarbeiten durften, rechtmäßig verarbeitet, alles was folgt, muss eine andere Rechtsgrundlage finden. Und last but not least: Die Einwilligung darf nie von der Erfüllung eines Vertrages oder der Erbringung einer Dienstleistung abhängig sein. Vielmehr muss der Einwilligende frei in seiner Entscheidung sein und im Übrigen ein bestimmtes Alter erreicht haben. Ab Vollendung des 16. Lebensjahres dürfen Jugendliche in die Dienste der Informationsgesellschaft und sozialer Netzwerke einwilligen. Im Umkehrschluss ergibt sich daraus, das für Kinder und Jugendliche unter 16 Jahren ihre gesetzlichen Vertreter in die Datenverarbeitung einwilligen müssen.
Nun sind Sie möglicherweise schon jahrzehntelang als Unternehmer/in tätig und praktizieren womöglich schon länger Datenschutz. Sicher fragen Sie sich, wie es sich mit den vor der Zeit der EU-DSGVO eingeholten Einwilligungserklärungen verhält. Entwarnung hierzu gibt der Erwägungsgrund 171 der EU-DSGVO. Darin heißt es, dass die vor Geltung der DSGVO erteilten Einwilligungserklärungen weiterhin gelten, wenn sie den Bedingungen der EU-DSGVO entsprechen.
Sonderthema: elektronische Einwilligungserklärungen
Bitte Vorsicht vor Einwilligungserklärungen auf Webseiten unter der Überschrift „Datenschutzerklärung“. Solche Einwilligungserklärungen können als verschleiernd angesehen und für unzulässig erklärt werden, da sie in diesem Kontext nicht verständlich, leicht zugänglich und nicht in einer klaren Form und einfachen Sprache geschrieben sind.
Möglich dagegen ist es, aus dem Kontext der Datenschutzerklärung losgelöst, eine Einwilligung in elektronischer Form mittels Anklicken eines Kästchens (sprich „Opt-in“) anzubieten. Nicht wirksam ist eine Einwilligung mittels „Opt-Out“-Methode, bei der bereits ein Häckchen im Kästchen gesetzt ist und die betroffene Person von Ihrer Einwilligung nur noch absehen kann, wenn Sie das Häckchen wieder entfernt. Auch darf niemals die stillschweigende Nutzung einer Webseite als Einwilligung in die Datenverarbeitung gewertet werden. Genauso wenig wie die Untätigkeit der betroffenen Person. Hier unterscheidet sich das Datenschutzrecht maßgeblich vom BGB oder HGB, wo in bestimmten Verkehrskreisen Schweigen als Willenserklärung gedeutet werden darf.