Einwilligung erforderlich?

Einwilligung – ja oder nein, und wenn ja, wie?

Einwilligung – nur eine der möglichen Rechtsgrundlagen

Warum benötigt die Verarbeitung personenbezogener Daten überhaupt eine Einwilligung?

Hinweis: Eine Einwilligung wird nicht regelmäßig benötigt!

Die Frage „Wann benötige ich eine Einwilligung?“ wäre eigentlich zielführender. Artikel 6 der EU DS-GVO fordert, dass die Verarbeitung personenenbezogerner Daten auf einer legitimen Rechtsgrundlage beruhen muss und zählt dabei verschiedene Optionen auf, die an dieser Stelle wegen ihrer Bedeutung in einer anderen Reihenfolge als im Artikel der DS-GVO dargestellt werden:

  1. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (lit. e)
  2. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (lit. d)
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (lit. c)
  4. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (lit. b)
  5. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. (lit a)
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (lit f)

Praxis-Beispiel: Augenoptiker

Optiker - schau doch mal nach!

Datenverarbeitung beim Optiker

Der Fall: Ein Augenoptiker schiebt beim Kauf der neuen optischen Brille neben der Rechnung noch ein Formular zur Einwilligung über den Kassentisch.

Die Analyse: Genau genommen verarbeitet der Optiker u.a. Gesundheitsdaten, die die DS-GVO unter besonderen Schutz stellt. Eine Verarbeitung gesundheitsbezogener Daten ist grundsätzlich untersagt (Art. 9 Abs. 1 DS-GVO) und nur in Ausnahmefällen möglich. Von zentraler Bedeutung ist dabei der Fall, dass der Betroffene unter Umständen in die Datenverarbeitung ausdrücklich eingewilligt hat. Weitere Erlaubnistatbestände regelt Art. 9 Abs. 2 DS-GVO. So ist eine Verarbeitung von Gesundheitsdaten zulässig, wenn …
lit h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich.
Was den primären Zweck der Datenverarbeitung beim Augenoptiker – die Versorgung der Kunden mit Brillen und Kontaktlinsen – betrifft, so spricht Einiges dafür, dass dieser von der DS-GVO gedeckt ist. Außerdem gelten für Mitarbeiter im augenoptischen Bereich (insbesondere mit Blick auf die datenschutzrechtlichen Vorgaben im Sozialrecht und in Kassenverträgen regelmäßig enthaltene Geheimhaltungsvereinbarungen) Geheimhaltungspflichten, die laut § 22 BDSG (neue Fassung) einen Erlaubnistatbestand darstellen; dazu heißt es im § 22 Abs. 1 Nr. 1 b), die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO ist zulässig, …
zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden
Zu beachten sind jedoch die Auflagen (TOM’s, technisch- organisatorischen Maßnahme), die § 22 BDSG Abs. 2 fordert, um die Rechte und Interessen der Betroffenen zu wahren.
Das Fazit:
  1. Die Einforderung einer Einwilligung nach Abschluss der Beratung und eines Kaufvertrags erfolgt zu spät und ist unwirksam, weil eine Einwilligung nicht rückwirkend erfolgen kann.
  2. Die Einforderung einer Einwilligung kann sinnvoll sein, wenn es Zweifel hinsichtlich der künftigen Auslegung der neuen Datenschutzgesetze gibt. Die Einwilligung wäre dann jedoch vor Beginn der Beratung einzuholen.
  3. Andere Umstände erfordern keine Einwilligung, da z.B. die Erhebung von Daten zur Abwicklung des Kaufvertrags erforderlich sind. Zusätzlichen ergeben sich gesetzlichen Anforderungen zur Erhebung von Daten aus der Abgabenordnung (§ 146 AO) und dem Handelsgesetzbuch (§ 257 HGB).

Checkliste zur Einwilligung

Einwilligung checken

Checkliste – erst prüfen, dann Einwilligung einfordern

Von der Einwilligung muss man wissen: Einwilligungen können schriftlich, elektronisch, mündlich, sogar durch schlüssiges Verhalten erteilt werden. Man muss jedoch nach Art. 7 Abs. 1 DSGVO nachweisen, dass der Betroffene eingewilligt hat und diesem die nötigen Informationen erteilt hat. Jeder Zweifel geht zu Lasten des Verantwortlichen. Im Zweifel also besser schriftlich! Online erteilte Einwilligungen sind konkret zu protokollieren und per Double-Opt-In zu bestätigen.

Aspekt: Fragestellung:
Einwilligung überhaupt erforderlich? Bezieht sich die Einwilligung nur auf Datenverwendungen, die nicht bereits auf gesetzlicher Grundlage erlaubt sind?
Vorformulierter Text konkret genug? Bezieht sich die Einwilligung auf einen oder mehrere konkret benannte Fälle der Datenverarbeitung?
Freie Entscheidung, Kopplungsverbot? Hat der Betroffene die Einwilligung aufgrund einer freien Entscheidung erteilt? (Art. 4 Nr. 11 DS-GVO)? Hatte sie eine echte Wahl zwischen Zustimmung und Ablehnung, ohne Nachteile zu erleiden? (ErwG 42 S. 5 DS-GVO)
Betroffener ist minderjährig? Einwilligung nur rechtmäßig, wenn der Betroffene das sechzehnte Lebensjahr vollendet hat. Sonst nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. (Art. 8 Nr. 1 DS-GVO)
Informierte Einwilligung? Hat die betroffene Person alle erforderlichen Informationen erhalten, um die Vor- und Nachteile einer Einwilligung bewerten zu können? (Art. 4 Nr. 11 DS-GVO)
Nachweisbarkeit gegeben? Kann der Verantwortliche nachweisen, dass die betroffene Person ihre Einwilligung wirksam erteilt hat?
Angemessene Verständlichkeit? Ist die Sprache klar, verständlich und einfach? (§§ 32, 33 BDSG n.F.)
Opt-in? Ist die Einwilligung unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung erteilt? (Art. 4 Nr. 11 DS-GVO)
Sensitive Daten? Wenn besondere Kategorien personenbezogener Daten (Art. 9 DS-GVO) verarbeitet werden sollen: Bezieht sich die Einwilligungserklärung ausdrücklich auf diese, zumindest durch Nennung von Oberbegriffen wie „Gesundheitsdaten“? Ist die Einwilligung ausdrücklich erteilt?
Hinweis auf möglichen Widerruf? Wurde die betroffene Person vor Abgabe ihrer Einwilligung informiert, dass sie ihre Einwilligung jederzeit widerrufen kann? Ist der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung?

Abwägung der berechtigten Interessen des Verantwortlichen mit denen des Betroffenen

Eine entscheidende Rolle spielt der s.g. Erwägungsgrund 47 (ErwG) der DS-GVO. Danach kann die Rechtmäßigkeit der Verarbeitung durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.

Fortgeltung von Einwilligungen

Bisher erteilte Einwilligungen gelten nach Erwägungsgrund 171 der DS-GVO weiterhin, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen. Die im Wirtschaftsleben EU-weit vorhandenen Einwilligungen sind jedoch auf ihre Wirksamkeit hin zu überprüfen. Dabei ist u.a. von Bedeutung, ob auf Grundlage der neuen Anforderungen nach Art. 7 Nr. 4 der DS-GVO eine freiwillige Erklärung abgegeben und dass die Altersgrenze für die Einwilligungsfähigkeit bei Inanspruchnahme von Angeboten nach Art. 8 Nr. 1 der DS-GVO berücksichtigt wurde.

Werbung

Die vernünftigen Erwartungen der betroffenen Person werden bei Maßnahmen zur werblichen Ansprache maßgebend durch die Informationen nach Art. 13, 14 DS-GVO zu den Zwecken der Datenverarbeitung bestimmt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene werbliche Nutzung der Daten, geht die Erwartung der betroffenen Person in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden. Insoweit ist im Rahmen der Interessenabwägung zu berücksichtigen, dass die von Werbung betroffenen Personen ein jederzeitiges und umfassendes Widerspruchsrecht haben (Art. 21 Abs. 2 DS-GV0), auf das sie ausdrücklich hinzuweisen sind (Art. 21 Nr. 4 DS-GVO).

Ohne Einwilligung keine werbliche Nutzung besonderer Datenkategorien

Art. 9 DS-GVO enthält keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung. Dies ist nur bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person zulässig. Von Relevanz ist dies z. B. für Unternehmen und Berufe des Gesundheitswesens (Apotheken, Sanitätshäuser, Optiker, Orthopäden usw.).

§ 7 UWG setz Werbung Grenzen

Werbung per E-Mail, Telefon, Telefax – aufgepasst!

Werbung per E-Mail, Telefon und Telefax – die Schranken des § 7 UWG

Selbst wenn nun die Abwägung der berechtigten Interessen des Verantwortlichen dafür spricht, es der unaufgeforderte Versand von E-Mails und Telefaxen, sowie ein Telefonanruf nicht rechtskonform.

§ 7 UGW – Unzumutbare Belästigungen

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

(2) Eine unzumutbare Belästigung ist stets anzunehmen
1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz geeigneten Mittels der kommerziellen Kommunikation, durch die ein Verbraucher hartnäckig angesprochen wird, obwohl er dies erkennbar nicht wünscht;
2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,
3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder
4. bei Werbung mit einer Nachricht,
a) bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder
b) bei der gegen § 6 Absatz 1 des Telemediengesetzes verstoßen wird oder in der der Empfänger aufgefordert wird, eine Website aufzurufen, die gegen diese Vorschrift verstößt, oder
c) bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

(3) Abweichend von Absatz 2 Nr. 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn
1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Heißt für die Praxis:

  • Werbung per E-Mail ist nur dann zulässig, wenn die E-Mail-ID im Rahmen eines Vertrags bereitgestellt wurde UND für ähnliche Waren oder Dienste geworben werden soll UND der Kunde nicht widersprochen hat UND den Informationspflichten nachgekommen wurde.
  • Werbung per Telefonanruf, Telefax oder Sprachcomputer nur, wenn eine Einwilligung vorliegt.

Die Einwilligung zum Empfang von Werbung, z.B. per E-Mail,  ist eine eigenständige Erklärung und hat zunächst keinen direkten Bezug zur Einwilligung der Verarbeitung personenbezogener Daten. Heißt: Mehrere ausdrückliche Einwilligungen des Betroffenen sind erforderlich um die Vearbeitungs DS-GVO-konform zu gestalten.