Korrekter Newsletter-Versand nach DSGVO: Wann muss man E ... / 2 Was sind "eindeutig bestätigende Handlungen"?

In den Erklärungen zur DSGVO Ziffer 32 werden auch praktische Beispiele genannt. Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dabei sind folgende Formen möglich:

• Eine schriftliche Erklärung, die auch elektronisch erfolgen kann.
• Das Anklicken eines Kästchens beim Besuch einer Internetseite oder eine sonstige Auswahl technischer Einstellungen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Es ist dabei das sogenannte Opt-In-Verfahren notwendig, der Betreffende muss aktiv zustimmen.

Achtung

Keine Einwilligung über Opt-Out-Verfahren

Bereits angekreuzte Kästchen, bei denen man zum Verweigern der Zustimmung das Häkchen löschen muss (Opt-out-Verfahren), gelten nicht als Einwilligung.

• Empfohlen wird von Fachleuten das Double-Opt-In-Verfahren, bei dem eine Bestätigung per E-Mail eingeholt wird. Dabei wird in der Mail ein Link versendet, auf den der Betroffene zur Bestätigung der Einwilligung klicken muss.
• Eine mündliche Erklärung, was aber wegen der fehlenden Dokumentation (Beweismöglichkeit) nicht zu empfehlen ist. Höchstens wenn man die Leute persönlich kennen lernt, kann man beim Austausch von Visitenkarten anfragen, ob man auch einen Newsletter schicken darf.

Nach Art. 7 DSGVO und DSGVO-Erklärungen Ziffer 32 gelten zusätzlich folgende Voraussetzungen:

• Das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.^[1]
• Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und muss auf dieses Recht hingewiesen werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.^[2]
• Bei der Anfrage muss man auf das Recht zum Widerruf hinweisen.
• Wenn die Verarbeitung mehreren Zwecken dient, muss für jeden einzelnen Verarbeitungszweck eine Einwilligung erteilt werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen.

Wichtig

Einwilligung muss dokumentiert werden

Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.^[3]

[1] Art. 7 Abs. 2 DSGVO.

[2] Art. 7 Abs. 3 DSGVO.

[3] Art. 7 Abs. 1 DSGVO.