In seiner Reihe zur Umsetzung der EU-Datenschutzgrundverordnung hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nun mit dem Thema „Einwilligungen nach der DS-GVO“ beschäftigt und auch hierzu wieder ein informatives Whitepaper veröffentlicht.

AKTUELLE SITUATION

Das BDSG schreibt vor, dass die Einwilligung sowohl freiwillig als auch informiert erfolgen muss, um wirksam zu sein. Das heißt der Einwilligende muss Kenntnis vom geplanten Zweck der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten haben – und die Einwilligung hat schriftlich zu erfolgen. Für besondere Arten personenbezogener Daten, wie ethinische Herkunft, Gesundheitsdaten usw. muss sich die Einwilligung sogar ausdrücklich auf diese Daten beziehen.

WIE SIEHT ES AB 2018 AUS?

Auch dann gilt, die Einwilligung ist nur wirksam, wenn sie freiwillig und informiert abgegeben wird. Die Schriftform ist dann nicht mehr zwingend erforderlich, stattdessen reicht eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.“

NACHWEIS

Eine weitere Neuerung besteht darin, dass Verantwortliche nach Art. 5 Abs. 2 DSGVO, die Einhaltung der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung nachweisen müssen. Das BAyLDA empfiehlt deshalb auch in Zukunft „eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail)“ einzuholen. Im Falle einer im Internet einzuholenden Einwilligung dürfte laut dem Whitepaper „wie bisher auch, als Nachweis eine entsprechende Dokumentation des ‚Einwilligungs-Klickverhaltens‘ der betroffenen Person ausreichen. Im letzteren Fall wird jedoch der Informiertheit wieder eine größere Bedeutung beizumessen sein, d. h., dass der Verantwortliche auf seinen Webseiten sehr deutlich und transparent darstellt, zu welchem von ihm geplanten Datenumgang die betroffene Person einwilligen ’soll'“ Die Aufsichtsbehörde stellt aber auch klar, dass im Falle einer fehlenden oder unwirksamen Einwilligung und somit folgendem unzulässigen Umgang mit den Daten der Betroffenen auch mit einem Bußgeld geahndet werden kann.

FORTGELTUNG BESTEHENDER EINWILLIGUNGEN

„Nach EW 171 der DS-GVO ist es nicht erforderlich, dass die betroffene Person zu einer gleichartigen fortgesetzten Datenverarbeitung, zu
der sie gemäß der Datenschutz-Richtlinie 95/46/EG bzw. der entsprechenden Umsetzung durch das BDSG, eingewilligt hat, erneut einwilligt, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DS-GVO entspricht.“ Eine typische Einwilligung nach BDSG enthält jedoch regelmäßig nicht alle Informationen, die ab 2018 nach Art. 13 DSGVO gefordert sind. Hierzu heißt es im Whitepaper: „In EW 42 der DS-GVO wird als Kern-Informationsgehalt von Einwilligungen darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln beinhaltet und die betroffene Person mindestens darüber informiert, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen.“ Alt-Einwilligungen werden also nur dann fortgelten, wenn dafür nur der in EW 42 genannte Mindestgehalt an Information gefordert wird und die vielfach eher formalen neuen Informationspflichten nach Art. 13 DS-GVO nicht erfüllt sein müssen. Eine Frist für die Fortgeltung solcher Alt-Einwilligungen lässt sich im Gesetz nicht finden. Man kann also davon ausgehen, dass diese unbegrenzt weiter gültig bleiben sofern sie nicht aus anderen Gründen unwirksam werden – z. B. wenn jahrelang von einer erteilten Einwilligung kein Gebrauch gemacht wird.