Spätestens mit dem Start der neuen EU-DSGVO überschwemmen E-Mails oder Schreiben mit der Forderung nach Einwilligungserklärungen die Unternehmenslandschaft und viele Privatpersonen. Bei jeder Kleinigkeit wird eine Einwilligung erwünscht, obwohl dies rechtlich nicht korrekt bzw. notwendig ist. Oft ist der Weg auch der falsche und geht mit einem enormen Dokumentationsaufwand einher.

PANIK UND UNSICHERHEIT

Aktuell verwirren und verunsichern die Medien und die allgemeine Annahme dies alles mit Rundmail nachzuholen. Die Rechtsunsicherheit, die die DS-GVO mit sich brachte, verstärkt hier oft die Problematik. Auch das schnelle und unreflektierte Handeln vieler Unternehmen ist der weit verbreiteten Unsicherheit geschuldet. Der Markt wird überschwemmt mit Einwilligungserklärungen, wodurch nur noch mehr produziert werden und den Ofen weiter anschüren. Oft wird in diesem Zusammenhang völlig vergessen, warum man in vielen Fällen Daten speichern darf und kann. Oft wird die Rechtsgrundlage völlig außer Acht gelassen. Meistens ist die Datenerhebung vertraglich geregelt und beruht deswegen auf einer gültigen Rechtsgrundlage. Der Irrglaube mit einer erneuten Einwilligung gehe man auf Nummer sicher ist mittlerweile weit verbreitet und verunsichert noch mehr.

WARUM KÖNNEN EINWILLIGUNGSERKLÄRUNG NACH HINTEN LOSGEHEN?

Kopplungsverbot
Oberste Priorität muss das Prinzip der Freiwilligkeit sein. Hier gilt also das Kopplungsverbot. Das Kopplungsverbot war in § 28 Abs. 3b BDSG  normiert:

Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.

Liest man diese Norm aufmerksam, wird klar: Das Kopplungsverbot ist nicht absolut. Das derzeitige Kopplungsverbot soll lediglich die Marktmacht eines Unternehmens beschränken.
Die bisherige Rechtslage verschärft sich im Hinblick auf das Kopplungsverbot mit der DSGVO . Die Verarbeitung personenbezogener Daten ist weiterhin grundsätzlich verboten sein, es sei denn ein Erlaubnistatbestand greift ein oder es liegt eine Einwilligung vor. Auch die Einwilligung nach der DSGVO muss freiwillig erfolgen. Die Freiwilligkeit einer Einwilligung wird künftig anhand des Art. 7 Abs. 4 DSGVO zu beurteilen sein:

“Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”

 
Widerrufsrecht
Laut Art.7 Abs.4 EU-DSGVO hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Hier muss beachtet werden, dass eine Einwilligung, wie bereits oben erklärt, nicht lang von Dauer sein kann. Wer sich also auf die Einwilligung stützen würde, muss damit rechnen, dass diese auch zurückgezogen werden können. Deswegen sollte zuerst geprüft werden, ob eine Einwilligung vielleicht vorher bereits durch eine vertragliche Rechtsgrundlage gegeben ist.
 
Verschiedene Verarbeitungszwecke
Eine generelle allumfassende Einwilligung kann jedoch nicht eingeholt werden. Diese kann/darf nur für die einzelnen Verarbeitungszwecke separat erfolgen. Ergo sind hierfür unterschiedliche transparent herausgearbeitete Zwecke auszuarbeiten. Diese müssen auch durch separate Opt-In-Funktionen angeboten werden.
 

AB WANN SIND EINWILLIGUNGEN WIRKLICH ERFORDERLICH?

Rein datenschutzrechtlich betrachtet gibt es einige Fälle der Datenverarbeitung, die nur mittels einer gültigen Einwilligung stattfinden dürfen. Wann genau man diese braucht geht aus den Kurzpapieren der DSK und den Veröffentlichungen der Aufsichtsbehörden hervor (BayLDA-Kurpapier: Nr.9, DSK-Kurpapier: Nr.14
 

  • Telefonwerbung / E-Mail (Bei Bestandskunden handelt es sich um Ausnahmen)
  • Fotos/Videos von Mitarbeitern auf der Homepage oder im Intranet
  • Telefonaufnahmen aus dem Call-Center
  • E-Mail Weitergabe an Logistik-Unternehmen zum Sendungstracking

 
Datenverarbeitung finden in vielerlei Hinsicht statt: entweder durch die Kundebeziehung oder ein Beschäftigungsverhältnis. Eine allgemeine Einwilligung für alles ist kein Wundermittel und bitte meistens eher weniger Rechtssicherheit.