Datenschutzrechtliche Probleme mit der Einwilligung gemäß Art. 7 DSGVO
Im Zusammenhang mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung am 25.05.2018 hat in vielen Unternehmen eine starke Verunsicherung eingesetzt, die unter anderem dazu geführt hat, dass für personenbezogene Datenverarbeitungen unterschiedlichster Art Einwilligung eingeholt wurden, die häufig weder korrekt eingeholt noch datenschutzrechtlich erforderlich sind.
Da nahezu jedes Unternehmen überarbeitete Einwilligungsklauseln an Geschäftspartner versendet, ist dies für viele andere Unternehmen Anlass gewesen, in diesem Punkt gleichzuziehen. Übertriebene und oft auch fehlerhafte Berichte in den Medien verstärken diesen Effekt. Ein weit verbreiteter Irrglaube ist darüber hinaus, mit einer Einwilligung „gehe man auf Nummer sicher“. Dieser Einwilligungstrend zeichnet sich speziell durch Klauseln der folgenden Art aus:
„Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu.“
„Ich stimme der Datenschutzerklärung und den AGB zu.“
„Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu.“
Das Ergebnis dieser Einwilligungsschwemme ist schließlich das Fehlen von Rechtskonformität in der personenbezogenen Datenverarbeitung, denn die Einwilligung ist durchaus nicht immer die beste Lösung, weil sie in der Wirkung doch einige Schwachstellen hat:
1. Die Einwilligung muss ausdrücklich, konkret und für unterschiedliche Verarbeitungszwecke getrennt erfolgen. Das erfordert, dass die jeweiligen Verarbeitungszwecke konkret benannt und – wenn erforderlich – durch separate Opt-in-Optionen angeboten werden müssen.
2. Die Forderung der Freiwilligkeit muss gewahrt werden. Das bedeutet z. B., dass sich eine Einwilligung nicht auf personenbezogene Datenverarbeitungen im Rahmen eines Vertragsverhältnisses oder zur Erfüllung rechtlicher Pflichten beziehen darf, weil die betroffene Person in diesem Zusammenhang nicht freiwillig handeln kann, denn sie ist durch Vertrag oder Gesetz gebunden.
3. Das Widerrufsrecht muss eingeräumt werden. Wer als Unternehmen seine Datenverarbeitung auf eine Einwilligung der betroffenen Personen stützt, muss deshalb damit rechnen, dass dies möglicherweise nicht von Dauer ist, wenn betroffene Personen ihre Einwilligungen zurückziehen.
4. Es muss über die Folgen des Widerrufs informiert werden. Unterbleibt eine Belehrung, mangelt es an der Freiwilligkeit und die Einwilligung ist ungültig. Welche Folgen sollte aber ein Widerruf haben, der sich auf eine personenbezogene Datenverarbeitung bezieht, die auf Grund eines Vertragsverhältnisses oder zur Erfüllung einer rechtlichen Pflicht notwendig oder vorgeschrieben ist?
An Einwilligungen im Beschäftigungsverhältnis sind – insbesondere bezüglich der Freiwilligkeit – strenge Anforderungen gestellt, und sie sollten deshalb unbedingt die Ausnahme bleiben. Gut verständlich sind die Beispiele im Kurzpapier Beschäftigtendatenschutz, z. B. für Zusatzleistungen des Arbeitgebers wie die private Nutzung dienstlicher Fahrzeuge, von Telefon und EDV-Anlagen. Weitere Beispiele finden Sie im Ratgeber Beschäftigtendatenschutz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (z. B. zur Veröffentlichung von Mitarbeiterfotos).
Außerdem sollte beachtet werden: Wenn eine Einwilligung widerrufen wurde, ist ein Rückgriff auf einen gesetzlichen Tatbestand ausgeschlossen.
Wann ist eine Einwilligung erforderlich?
Es gibt Fälle personenbezogener Datenverarbeitung, die nur auf Basis einer Einwilligung datenschutzrechtlich möglich sind, weil andere Erlaubnistatbestände nicht vorliegen. Beispiele, bei denen eine Einwilligung erforderlich ist, liefern u.a. die aktuellen Tätigkeitsberichte der Aufsichtsbehörden und DSK-Kurzpapiere:
– Werbung per Telefon / E-Mail
– Tonbandaufnahmen im Call-Center
– Veröffentlichung von Fotos von Mitarbeiter im Intranet oder im Internet
– Weitergabe von E-Mail-Adressen zur Sendungsverfolgung an Transportdienstleister
Personenbezogene Datenverarbeitungen sollten daher wenn immer möglich auf gesetzliche Erlaubnisse (in den meisten Fällen sind das Vertragsverhältnisse oder -Anbahnungen gemäß Art. 6 Abs. 1 lit. b DSGVO oder die Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO) gestützt werden und nur dann auf eine Einwilligung, wenn sie anders nicht möglich sind.
Weitere Informationen zur Einwilligung mit Links zu Meinungen von Datenschutzbehörden und Fachbeiträgen finden Sie hier: Einwilligung