,

#DSGVO, Teil 2: Klare Einwilligung als Eckpfeiler

Bild: Rawpixel.com

Die EU-Datenschutzgrundverordnung in 10 Punkten, Teil 2

Der zweite wichtige Eckpfeiler der Datenschutzgrundverordnung ist die Einwilligung. Im Datenschutzrecht gilt: Nur wer eine rechtliche Grundlage vorweisen kann, darf personenbezogene Daten verarbeiten. Eine solche rechtliche Grundlage kann die Einwilligung der betroffenen Person darstellen. Hierdurch wird der Einzelne in die Lage versetzt, selbst zu entscheiden, wer welche Daten von ihm oder ihr erhalten, nutzen und speichern dürfen soll.
Neu sind die hohen Anforderungen, die an diese Einwilligung gestellt werden. Bisher war es so, dass Unternehmen gerne eine stillschweigende Einwilligung der Nutzer fingiert haben: Facebook hat beispielsweise das simple Anmelden auf der Plattform als Einwilligung in zwischenzeitlich geänderte Nutzungs- und Datenschutzerklärungen interpretiert. Auch wurden Einwilligungen durch voreingestellte Haken in Kästchen erhascht, welche die Nutzer bisher erst aufmerksam wieder entfernen mussten. Solche Praktiken sind fortan nicht mehr möglich. Die Einwilligung der betroffenen Person muss – als Ausdruck ihres Selbstbestimmungsrechts – informiert, freiwillig und eindeutig durch eine Zustimmungshandlung erklärt worden sein:

1. Informiertheit
Um eine Einwilligung zu erteilen, muss die betroffene Person wissen, worein sie überhaupt einwilligen soll. Dafür muss in klarer und verständlicher Sprache erklärt werden, wer zu welchen Zwecken die Daten verarbeitet. Darüber hinaus müssen umfangreiche Informationen etwa über die Speicherdauer der Daten und die Rechte der betroffenen Person bereitgestellt werden. Vorformulierte Einwilligungserklärungen dürfen zudem keine missbräuchlichen Klauseln enthalten.

2. Eindeutige Zustimmungshandlung
Jede Einwilligung bedarf zudem einer klaren zustimmenden Handlung. Eine stillschweigende Einwilligung eines Nutzers, die er oder sie im Zweifel also gar nicht mitbekommen hat, wie etwa im Facebook-Beispiel, ist somit nicht mehr möglich. Um eine wirksame Einwilligung in eine Datenverarbeitung zu erteilen muss die betroffene Person fortan aktiv beteiligt werden, etwa durch das eigenständige Setzen eines Hakens in einem Kästchen (sogenanntes „Opt-in“). Auch die heutige Praxis, Cookie-Banner einzublenden und bereits ohne den Klick auf „ok“ personenbezogene Daten der Website-NutzerInnen zu verarbeiten, genügt den Anforderungen an eine wirksame Zustimmungshandlung nicht.¹

3. Freiwilligkeit
Die betroffene Person muss außerdem eine echte Wahl haben, ob sie einwilligen möchte, oder nicht. Aufgrund des sogenannten „Kopplungsverbots“ darf daher auch das Erbringen einer Leistung nicht von einer Einwilligung in Datenverarbeitungen abhängig gemacht wird, die für die Abwicklung des Geschäfts überhaupt nicht benötigt werden. Dies soll verhindern, dass Betroffene oft Angebote im Internet nur dann nutzen können, wenn sie Daten von sich Preis geben, die für den Dienst überhaupt nicht erforderlich sind. Die verbreitete Praxis, bei der Installation von beispielsweise einer Taschenlampen-App eine Einwilligung die Übermittlung der Standortdaten des Smartphone-Nutzers zu erzwingen, ist deshalb fortan nicht mehr möglich.

4. Form
Die Datenschutzgrundverordnung sieht keine spezielle Form der Einwilligungserklärung vor, und stellt klar, dass die Einwilligung auch elektronisch und beispielsweise durch Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen im Browser möglich ist.

5. Widerruflichkeit
Die Möglichkeit des Widerrufs einer einmal erteilten Einwilligungserklärung war bisher zwar allgemein anerkannt, jedoch nicht ausdrücklich geregelt. Dies ist nun anders: Die Datenschutzgrundverordnung legt eindeutig fest, dass eine Einwilligung jederzeit und ohne Einschränkungen frei widerruflich ist. Der Widerruf der Einwilligung  muss der betroffenen Person dabei genauso leicht gemacht werden, wie die vormalige Erteilung der Einwilligung. Lässt sich ein Online-Portal also beispielsweise Einwilligungen durch das Setzen eines Hakens auf ihrer Webseite erteilen, kann es für den Widerruf der Einwilligung nicht auf das Ausfüllen eines komplizierten Formulars bestehen.

Eine Einwilligung, die gegen einen der genannten Punkte verstößt, ist unwirksam und das Unternehmen, welches die Daten dennoch verarbeitet, täte dies ohne Rechtsgrundlage und würde sich somit empfindlichen Geldbußen aussetzen. Mehr zu den harten Sanktionen der Datenschutzgrundverordnung erfahrt ihr im sechsten Beitrag unserer Reihe.

Zurück zur Übersicht zur Datenschutzreform


¹ Demnächst wird der Bereich des Online-Trackings unter der sogenannten ePrivacy-Verordnung geregelt, welche jedoch voraussichtlich nicht vor 2019 Anwendung finden wird und momentan noch in den Verhandlungen steckt. Der Parlamentsentwurf sieht allerdings auch unter der ePrivacy-Verordnung eine Unzulässigkeit der gelebten Cookie-Banner Praxis vor. Details zur ePrivacy-Verordnung und zum aktuellen Verfahrensstand findet ihr hier.

Kommentare sind geschlossen.

  1. Guten Morgen, und was ist mit den Hobbyfotografen die die Veranstaltung und feste in einer Stadt fotografieren? Was mit den Eltern die ihre Kinder bei der Siegerehrung oder Mannschaftssport fotografieren? Was mit den Lehrern oder Schülern die Bildern von der Klassenfahrt Abschlussfahr oder Schulfest machen?
    Kleine Vereine die die Stadtviertel mit Veranstaltungen beleben und Fotos Zweck Marketing beleben? Man kann nicht nur das Grösse gefährliche sehen , man muss auch die bunte Vielfalt denken. Aber man kann sich jetzt nicht aus der Verantwortung Stellen und sagen das überlassen wir jetzt den Ländern.
    Es gibt jetzt schon genug Fotografen die Stadt Zeitgeschichte für immer löschen , Vereine die feste nicht mehr Buntfotografieren und dann auf FB strahlende Lebens frohe feste zeigen. Die Unsicherheit des denuziaten Tums ist riesig.

Mehr zum Thema