17. November 2014
Finger zeigt auf Tablet
Datenschutzrecht

Datenschutz-ABC: E wie Einwilligung

Die Einwilligung in Datenverarbeitung ist schnell gegeben. Doch das Recht über die Verwendung seine Daten zu bestimmen sollte nicht übergangen werden.

Datenverarbeitungen werden nicht nur im Online Bereich oder Mobile Business regelmäßig auf Einwilligungen gestützt. Doch wann ist eine Einwilligung überhaupt wirksam? Was muss beachtet werden, wenn Datenverarbeitungsprozesse auf Einwilligungen gestützt werden?

Einwilligung analog und digital möglich

Durch anklicken des Bestätigungskästchens willige ich ein, dass das XY Unternehmen mir unbegrenzt Werbung auf allen erdenklichen Wegen zukommen lässt, meine Daten mit jedem X-beliebigen teilt und im Übrigen befugt ist, sie auf ein großes Werbeplakat zu drucken und am Hochhaus gegenüber aufzuhängen.

Die Abgabe von Einwilligungserklärung in die Verarbeitung von personenbezogenen Daten gehört für die Digital Natives schon zum Standardprogramm. App herunterladen, öffnen, Häkchen setzen bei „ich stimme zu″ und los geht’s.

Jeder hat das Recht über die Verwendung seine Daten zu bestimmen

Die Möglichkeit zur Einwilligung in die Verarbeitung personenbezogener Daten folgt aus dem grundrechtlich geschützten allgemeinen Persönlichkeitsrecht, das insbesondere das Recht auf informationelle Selbstbestimmung umfasst.

Hinter diesem etwas sperrigen Begriff verbirgt sich das Recht jedes Einzelnen, über die Verwendung seiner personenbezogenen Daten selbst zu bestimmen. Dementsprechend bestimmt § 4 Abs. 1 BDSG, dass die Einwilligung eines Betroffenen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt.

Auch außerhalb des BDSG erfordert der mit der Verarbeitung solcher Daten einhergehende Eingriff in das allgemeine Persönlichkeitsrecht häufig eine ausdrückliche Einwilligung des Betroffenen (wie z.B. im Falle von Eingriffen in das Recht am eigenen Bild).

Voraussetzungen für eine wirksame Einwilligung

Im BDSG sind die Voraussetzungen, unter denen jemand in die Verarbeitung seiner personenbezogenen Daten einwilligen kann, in § 4a BDSG geregelt. § 4a BDSG statuiert zunächst formale Anforderungen. So hat die Einwilligung grundsätzlich schriftlich zu erfolgen.

Die wichtigste Ausnahme von diesem Schriftformerfordernis stellt § 13 Abs. 2 TMG dar, der die elektronische Einwilligung regelt. Unter den Voraussetzungen des § 13 Abs. 2 TMG ist auch eine elektronische Einwilligung wirksam, wenn der Anbieter die dortigen Anforderungen zu Protokollierung und Abruf der Erklärung erfüllt. Zudem muss der Anbieter sicherstellen, dass die Einwilligung aufgrund einer bewussten und eindeutigen Handlung erfolgt.

Zu beachten ist außerdem, dass Einwilligungen nicht unbegrenzt als Rechtsgrundlage für Datenverarbeitungen herhalten können. So sind elektronische Einwilligungen aufgrund der Bestimmung des § 13 Abs. 2 TMG grundsätzlich frei widerruflich.

Eine Einwilligung ist außerdem nur wirksam, wenn sie freiwillig erteilt wird. Das schließt die Einwilligung als Rechtsgrundlage in den Fällen aus, in dem Betroffenen aufgrund einer Zwangslage nichts anders übrig bleibt, als die Einwilligung abzugeben.

Gleichzeitig kann eine Einwilligung nicht wirksam erfolgen, wenn der Betroffene die Lage nicht überblickt. Die Einwilligung eines fünf-jährigen Kindes wäre unter dem Gesichtspunkt der Einwilligungsfähigkeit also unwirksam.

Mit einer Einwilligung können auch keine gesetzlichen Datenerhebungs- oder Verarbeitungsverbote ausgehebelt werden. So kann sich der Arbeitgeber nicht etwa im Wege einer Einwilligung ein weitergehendes Fragerecht einräumen lassen, als es arbeitsrechtliche Anforderungen erlauben.

Opt-in erforderlich

Das Erfordernis der eindeutigen und bewussten Handlung birgt in der Praxis Herausforderungen. Anbieter sollten unbedingt eine aktive Handlung ihrer Nutzer für die Einwilligung verlangen (Opt-in) und die Nutzer umfassend über die geplante Datenverwendung informieren.

Besondere Vorsicht ist bei der Abfrage von Einwilligungen in die Zusendung von Werbung, insbesondere von Werbemails geboten. Aufgrund der diffizilen Rechtsprechung zum sogenannten Double-Opt-in Verfahren lauern hier bedenkliche Abmahnfallen. Beim Double-Opt-in erklärt der Kunde zunächst durch Anklicken eines Kästchens, dass er die Zusendung von Werbung wünscht. Anschließenden muss er die Erklärung z. B. durch Anklicken eines Links in einer Bestätigungsmail bestätigen.

Der eingangs erwähnte Anbieter, der die Daten seiner Nutzer auf Werbeplakate druckt, dürfte sich nach all dem schwer tun, sich auf eine wirksame Einwilligung seiner Nutzer zu berufen.

Es sei denn natürlich, er hätte sie über dieses Vorhaben im Vorhinein ausführlich aufgeklärt und sie hätten sich freiwillig dafür entschieden. Das wäre angesichts der Freigiebigkeit mancher Zeitgenossen im Umgang mit ihren personenbezogenen Daten immerhin nicht von vorneherein von der Hand zu weisen.

Dies ist der vierte Teil unser Serie „Datenschutz-ABC“. Hier erläutern wir in loser Folge Grundbegriffe des Datenschutzrechts. Auch erschienen sind Artikel zur AuftragsdatenverarbeitungBinding Corporate Rules, Datenschutzerklärungen, Einwilligung und Fernmeldegeheimnis.

Tags: Double Opt-in Einwilligung Opt in Voraussetzungen