Was passiert 2018 mit den Einwilligungen zum Datenschutz?

Ab Mai 2018 wird die DSGVO wirksam. Hinter diesem Kürzel verbirgt sich die "Datenschutzgrundverordnung der EU". Welche Auswirkungen werden sich daraus für die Shopbetreiber ergeben? Betrachten wir dazu zum Beispiel den Versand des Newsletters. Die Einwilligung dazu müssen die Empfänger (nach wie vor) freiwillig erteilen. Die Gestaltung dessen nach neuem Datenschutzrecht ist aber alles andere als einfach. Deshalb möchten wir an dieser Stelle versuchen zu erklären, worauf Sie dann achten müssen, um Abmahnungen und Bußgeldern aus dem Wege zu gehen.

Einwilligung zum Erhalt des Newsletters nach aktuellem Recht
Die Erhebung, Nutzung oder (Weiter)Verarbeitung personenbezogener Daten ist nur im Fall einer entsprechend geltenden Rechtsnorm oder dann, wenn die betreffende Person explizit darin einwilligt, zulässig. Dieses Prinzip wird als "Erlaubnisvorbehalt" bezeichnet. Dennoch sieht der Gesetzgeber heute durchaus auch einige Ausnahmeregelungen von diesem Grundsatz vor.

Ein ganz typischer Anwendungsfall für das Erfordernis der Einholung der Einwilligung im Online-Handel ist zum Beispiel die Bonitätsprüfung im Zuge der Auswahl der Zahlungsart. Die Voraussetzungen für die Wirksamkeit der Einwilligung werden heute durch den § 4a des Bundesdatenschutzgesetzes (BDSG) geregelt. Darin heißt es, dass es sich dabei um eine freie Entscheidung des Betroffenen, der zuvor über die genaue, geplante Verwendung seiner Daten informiert worden sein muss, handeln muss. Darüber hinaus bedarf die Einwilligung immer der Schriftform. Im Fall der sogenannten Telemedien wie Webseiten ist aber auch eine elektronische Einwilligung vorgesehen. Diese wird in § 13 Abs. 2 des Telemediengesetzes (TMG) genau formuliert.

Etwas anders und strenger verhält es sich übrigens bei der Einwilligung für den Erhalt von Werbung, die in § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) geregelt ist. Bei der ausschließlich datenschutzrechtlichen Einwilligung ist es dagegen nicht erforderlich, dass diese unbedingt von anderen Erklärungen getrennt abgegeben werden muss. So kann eine solche Einwilligung beispielsweise auch in den AGB enthalten sein, wobei deren Formulierungen und Gestaltung transparent und für jeden verständlich sein müssen.

Neue Voraussetzungen für eine rechtlich wirksame Einwilligung
Hinsichtlich des Begriffs der Freiwilligkeit in der DSGVO besteht schon jetzt eine kontroverse Diskussion und daher Klärungsbedarf. Der Tatbestand der Freiwilligkeit darf nun nicht mehr pauschal von vornherein ausgeschlossen werden, sondern er muss stets an den Umständen des konkreten, vorliegenden Falls bemessen werden. Nachdem die betroffene Person ihre Einwilligung gegeben hat, kommt gemäß Art. 7 Abs. 3 DSGVO ein Widerrufsrecht zur Anwendung. Darüber ist die Person zum Zeitpunkt der Einholung der Einwilligung zu belehren.

Die aktuellen Einwilligungen gelten unter der DSGVO fort
Werfen wir einen Blick auf all jene Einwilligungen, die bereits vor geraumer Zeit eingeholt worden sind. Werden diese ihre Gültigkeit nach dem Inkrafttreten der DSGVO behalten? Falls dies nicht der Fall ist, würde dies bedeuten, dass sehr viele Kundendatenbanken ab Mai 2018 hinsichtlich von Werbezwecken, für die eine erneute, dem aktuellen Stand angepasste Einwilligung erforderlich ist, nicht mehr nutzbar wären.

Hinsichtlich der Erwägungsgründe findet man in der Datenschutzgrundverordnung die folgende Information. Der Erwägungsgrund Nummer 171 beschäftigt sich mit dem Übergang von der heute noch geltenden Rechtslage zur DSGVO. Wenn eine Datenverarbeitung noch mit einer Einwilligung nach der alten Rechtslage versehen ist, ist es dann nicht erforderlich, eine erneute Einwilligung nach neuem Recht zu erteilen, sofern die Art der schon erteilten Einwilligung die Bedingungen der neuen Verordnung erfüllt.

Damit öffnet der Gesetzgeber die Tür für die Möglichkeit, auch nach dem 25. Mai 2018 mit den bestehenden Einwilligungen nahtlos weiter operieren zu können. Ausschlaggebend ist aber, dass die alten Einwilligungen auch den neuen Bedingungen der DSGVO genügen. Aber was bedeutet das konkret mit Blick auf das in Zukunft strenger formulierte Merkmal der Freiwilligkeit?

Die genaue Klärung derartiger Fragen ist für Online-Händler schon heute von großem Interesse, damit die Geschäfte mit Start der DSGVO ungehindert weitergehen können. Falls Änderungen oder sogar das erneute Einholen von Einwilligungen erforderlich werden, besteht jetzt die Chance, die noch verbleibende Zeit konstruktiv zu nutzen.

Die Stellungnahmen der Datenschutzbehörden dazu
Den schon jetzt bestehenden Handlungsbedarf haben die deutschen Datenschutzbehörden durchaus erkannt. Deshalb nimmt dazu zum Beispiel der "Düsseldorfer Kreis" im Rahmen seines Beschlusses vom 13. und 14. September 2016 Stellung. Es handelt sich dabei immerhin um das Gremium, das alle nicht-öffentlichen Aufsichtsinstitutionen für den Datenschutz repräsentiert. Dieses Dokument ist allerdings nicht größer als eine knappe DIN-A4-Seite. Darin wird im ersten Absatz der Text des Erwägungsgrundes wiedergegeben und sogleich danach festgestellt:

"Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen."

Dies klingt erst mal so, als bestünde für Online-Händler gar kein Anlass zur Sorge. Und tatsächlich weist dieser Beschluss noch darauf hin, dass auch die Hinweispflichten, die in Art. 13 DSGVO explizit genannt werden, nicht einmal erfüllt sein müssen.

Die schlechte Nachricht liegt aber in einer Relativierung der bisherigen Aussage im
letzten Absatz des Beschlusses des Düsseldorfer Kreises, darin heißt es nämlich, dass bestimmte Bedingungen in der neuen Datenschutz-Grundverordnung einer besonderen Beachtung wert sind. Wenn diese Bedingungen nicht erfüllt sind, sind die bisher erteilten Einwilligungen null und nichtig. Dabei geht es zum Beispiel im Zusammenhang mit der Freiwilligkeit um ein "Kopplungsverbot" im Sinne von Artikel 7 Absatz 4, das in Verbindung mit dem Erwägungsgrund Nummer 43 der Datenschutz-Grundverordnung zu sehen ist.

Wir entnehmen dem, dass die Einwilligungen nach altem Recht eben nur dann weiterhin gelten, wenn sie bereits zum Zeitpunkt ihrer Einholung die strengeren Anforderungen der DSGVO beinhalteten. Der Düsseldorfer Kreis gibt aber leider keine genaue Definition der Freiwilligkeit ab.

Fazit
Der aktuelle Beschluss des Düsseldorfer Kreises mit Blick auf die Fortgeltung der bisher erteilten Einwilligungen im Rahmen der DSGVO wurde im Sinne einer offiziellen Stellungnahme einer Aufsichtsbehörde im Datenschutz mit großem Interesse wahrgenommen.
Studiert man das Papier etwas genauer, ist man aber eher enttäuscht darüber, dass darin keine klaren Aussagen darüber, welche konkreten Neuerungen in der DSGVO im Vergleich zur bisherigen Rechtslage zu beachten sind, enthalten sind.

In der Konsequenz heißt unser Tipp:
Wenn Sie sich zukünftig weiterhin auf die unter aktuellem Recht eingeholten Einwilligungen zum Datenschutz stützen möchten, sollten sie unbedingt die Umstände derer Einholungen im Fokus der neuen Voraussetzungen der DSGVO prüfen beziehungsweise prüfen lassen, denn diesen neuen Kriterien müssen die bisherigen Einwilligungen nun standhalten, ansonsten kriegen Sie unter der DSGVO wahrscheinlich ein Problem.

Lass uns in Kontakt bleiben!

  Hier geht's zu meiner Facebook Seite  

leidenschaftliche Bloggerin & Autorin, seit November 2017 bei der Area52 Group als Consultant und Berater für Amazon SEO, Facebook Advertising und B2b Sales tätig. Dadurch musste ich mir auch eine neue Facebook Seite zulegen, aber ich denke mal, die bekommen wir schnell wieder aufgebaut ;)