Zusammenfassung

 
Überblick

Viele Organisationen stellen sich die Frage: Sind nach dem 25. Mai 2018 die bisherigen Einwilligungen zum Versand von Newslettern noch gültig? Oder muss man die Betroffenen neu informieren und die Einwilligung neu beschaffen? Der Beitrag erläutert die Kriterien für die korrekte Entscheidung und ihrer Umsetzung.

 
Gesetze, Vorschriften und Rechtsprechung

1 Definition: Was ist eine Einwilligung?

Gemäß Art. 4 Ziff. 11 DSGVO gilt als Einwilligung der betroffenen Person "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."

2 Was sind "eindeutig bestätigende Handlungen"?

In den Erklärungen zur DSGVO Ziffer 32 werden auch praktische Beispiele genannt. Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dabei sind folgende Formen möglich:

  • Eine schriftliche Erklärung, die auch elektronisch erfolgen kann.
  • Das Anklicken eines Kästchens beim Besuch einer Internetseite oder eine sonstige Auswahl technischer Einstellungen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Es ist dabei das sogenannte Opt-In-Verfahren notwendig, der Betreffende muss aktiv zustimmen.
 
Achtung

Keine Einwilligung über Opt-Out-Verfahren

Bereits angekreuzte Kästchen, bei denen man zum Verweigern der Zustimmung das Häkchen löschen muss (Opt-out-Verfahren), gelten nicht als Einwilligung.

  • Empfohlen wird von Fachleuten das Double-Opt-In-Verfahren, bei dem eine Bestätigung per E-Mail eingeholt wird. Dabei wird in der Mail ein Link versendet, auf den der Betroffene zur Bestätigung der Einwilligung klicken muss.
  • Eine mündliche Erklärung, was aber wegen der fehlenden Dokumentation (Beweismöglichkeit) nicht zu empfehlen ist. Höchstens wenn man die Leute persönlich kennen lernt, kann man beim Austausch von Visitenkarten anfragen, ob man auch einen Newsletter schicken darf.

Nach Art. 7 DSGVO und DSGVO-Erklärungen Ziffer 32 gelten zusätzlich folgende Voraussetzungen:

  • Das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.[1]
  • Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und muss auf dieses Recht hingewiesen werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.[2]
  • Bei der Anfrage muss man auf das Recht zum Widerruf hinweisen.
  • Wenn die Verarbeitung mehreren Zwecken dient, muss für jeden einzelnen Verarbeitungszweck eine Einwilligung erteilt werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen.
 
Wichtig

Einwilligung muss dokumentiert werden

Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.[3]

3 Frühere Einwilligungen über Opt-Out-Verfahren neu einholen

Zumindest die Einwilligungen, die früher auf passivem Weg eingeholt wurden, z. B. durch Opt-Out-Verfahren, muss man neu beantragen. Die Fachleute empfehlen, den Newsletter-Empfängern gleich die vorgeschriebenen Informationen über die Verwendung der Daten mitzuteilen.[1]

Für Kinder und Jugendliche gilt, dass die Verarbeitung der personenbezogenen Daten des Kindes nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Bei jüngeren Kindern müssen die Träger der elterlichen Verantwortung zustimmen.[2]

Neu ist die Bestimmung des BDSG über die Verarbeitung der Daten von Beschäftigten.[3] Der Arbeitgeber muss sicherstellen, dass die Einwilligung trotz des Abhängigkeitsverhältnisses freiwillig abgegeben wird.

4 Meinung der Aufsichtsbehörden

Im Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom Düsseldorfer Kreis am 13./14. September 2016 wurde die folgende Meinung vertreten:

  • Bisher erteilte Einwilligungen gelten weiterhin, sofern sie den Bedingungen der Datenschutz-Grundverordnung entsprechen. Das gilt normalerweise für die Einwilligungen, die bereits vor dem 25.05.2018 rechtswirksam waren.
  • Informationspflichten nach Art. 13 DSGVO müssen für bisherige Einwilligungen nicht erfüllt sein.

Auch nach der DSGVO besteht keine Informationspflicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt.[1]

5 Spezielle Vorsicht bei Werbemails und Telefonanrufen

Bei ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge