Die richtige Ausgestaltung einer Einwilligungserklärung

    Wie ist eine Einwilligungserklärung nach der DSGVO zu gestalten. Die Experten Axel Anderl und Nino Tlapak geben Auskunft.

    Der datenschutzrechtlichen Einwilligung kommt in der Praxis für die Verarbeitung von Daten eine zentrale Rolle zu. Bereits nach der noch geltenden Rechtslage unterliegt sie einem strengen Regime. Mit der ab 25.05.2018 anwendbaren DSGVO sowie der in den Startlöchern stehenden ePrivacy-Verordnung werden die Anforderungen weiter verschärft.

    Notwendigkeit der Erklärung

    Eine datenschutzrechtliche Einwilligung ist dann erforderlich, wenn die Datenverarbeitung auf keinen anderen Rechtfertigungsgrund gestützt werden kann. Daher ist in der Praxis in einem ersten Schritt zu prüfen, ob die Daten bereits auf Basis (i) einer ausdrücklichen gesetzlichen Ermächtigung/Verpflichtung, (ii) zur Vertragserfüllung oder (iii) aufgrund überwiegender berechtigter Interessen verarbeitet werden dürfen (§ 8 DSG beziehungsweise Art. 6 DSGVO).Während die ersten beiden Rechtfertigungsgründe in der Praxis häufig vorkommen, ist die Spruchpraxis der Datenschutzbehörde („DSB“) zum überwiegenden Interesse zurückhaltend: Wirtschaftliche Interessen – wie zum Beispiel eine Verarbeitung mit dem Ziel personalisierte Werbung auszusenden – oder effizienzsteigernde Maßnahmen im Konzern durch gruppenweit einheitliche Datenverarbeitungen wurden bislang nicht anerkannt. Die DSGVO ist diesbezüglich liberaler und sieht die Verarbeitung von Daten zum Zweck der Direktwerbung durch berechtigtes Interesse gedeckt (ErwG 47). Dennoch wird hier in der Praxis oftmals ein Rückgriff auf eine gültige Zustimmung erforderlich bleiben. Eine datenschutzrechtliche Einwilligung muss nach der DSGVO in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen (Art. 7 Abs. 2 DSGVO). Sie muss (i) auf einer umfassenden Information des Betroffenen beruhen, (ii) vom Betroffenen freiwillig erteilt werden und (iii) den Betroffenen über die jederzeitige, grundlose Widerrufbarkeit aufklären.Nach der Rechtsprechung sind diese Voraussetzungen streng auszulegen: Der Betroffene muss im Detail informiert werden, (i) welche seiner Daten (ii) für welche Art von Kontaktaufnahmen (also welche Kommunikationsform) (iii) zu welchen Zwecken (möglichst detaillierte Beschreibung der zu erwartenden Werbeinhalte) und (iv) von welcher Gesellschaft verwendet werden sollen. So ist zum Beispiel die in der Praxis gebräuchliche bloße Angabe, dass die Daten „zu Werbezwecken“ verwendet oder „an andere Unternehmen des Konzerns“ weitergegeben werden, zu unklar und damit unzulässig. Auch das Fehlen des Hinweises auf die jederzeitige Widerrufbarkeit oder Angaben zu – nicht bestehenden – Formvorschriften, wie „Die Zustimmung kann jederzeit per E-Mail widerrufen werden“, führen zur Unzulässigkeit der Erklärung.

    Strittig ist, in wie weit Einwilligungserklärungen (weiter) rechtsgültig in AGB aufgenommen werden können. Die DSGVO fordert, dass die Einwilligungserklärung von „anderen Sachverhalten klar zu unterscheiden“ ist (Art. 7 Abs. 2 DSGVO). Die enge Auslegung wird auch durch die ErwG 42 und 43 gestützt: Danach muss davon ausgegangen werden, dass keine freiwillige Zustimmung erfolgt, wenn (i) unterschiedliche Sachverhalte mit einer statt mit separaten Erklärungen abgedeckt werden oder (ii) die Vertragserfüllung von einer Zustimmung abhängig gemacht wird, obwohl sie dafür gar nicht erforderlich ist (Kopplungsverbot). Das entspricht auch der schon jetzt der von der DSB vertretenen Ansicht in einer – nicht verbindlichen – Empfehlung, wonach eine Einwilligung in AGB nicht freiwillig erfolge. Der bisherigen marktüblichen Praxis der Integration von Zustimmungen in AGB hat dies bislang keinen Abbruch getan. Freilich wurde nunmehr aber durch Unternehmen zumindest verstärkt auf ihre Datenschutzklauseln – sei es durch Fettdruck im Text oder Hinweise auf die Datenschutzbestimmung im Zustimmungstext der AGB –aufmerksam gemacht. Angesichts der der viel höheren Strafdrohung unter der DSGVO ist fraglich, ob diese Praxis bis zur Klärung durch den EuGH aufrecht erhalten wird.

    Kontakt zu Werbezwecken 

    Bei Sendung von Werbenachrichten sind neben der datenschutzrechtlichen Tangente aber auch die Beschränkungen des § 107 Telekommunikationsgesetz (TKG) zu berücksichtigen. Die sogenannte Spam-Bestimmung ist sehr streng und regelt sowohl das Senden von Massensendungen, Direktwerbung und Kontaktaufnahmen per Telefon und Fax. Die telefonische Kontaktaufnahme sowie auch Faxe zu Werbezwecken erfordern ohne Ausnahme eine aktive Einwilligung des Empfängers, unabhängig davon, ob dieser bereits Kunde oder noch bloßer Interessent ist. Auch die Zusendung von elektronischen Nachrichten (wie E-Mails und SMS) zu Werbezwecken oder an mehr als 50 Empfänger (Massenmail) ist ohne vorherige Zustimmung unzulässig. Direktwerbung umfasst jeden Inhalt, der für ein bestimmtes Produkt, aber auch für eine bestimmte Idee einschließlich bestimmter politischer Anliegen wirbt oder dafür Argumente liefert. Auch eine E-Mail an einen Nicht-Kunden, in der dieser um seine Zustimmung zum Erhalt von Direktwerbung gebeten wird, ist bereits unzulässiger Spam. Es gibt eine enge Ausnahme vom Zustimmungserfordernis für bestehende Kunden: Das Unternehmen kann bestehende Kunden anschreiben, deren Kontaktinformation er (i) im Zusammenhang mit der Erbringung einer Dienstleistung beziehungsweise einem Warenverkauf erhalten hat, (ii) er den Kunden bei der Datenerhebung eine klare Möglichkeit eines Widerspruchs gegen Werbesendungen gegeben hat, (iii) diese auch mit jeder konkreten Zusendung gewährt wird und (iv) der Kunde dem Soft-Opt-in nicht durch Eintragung in die § 7 Abs. 2 ECG Liste widersprochen hat; (§ 107 Abs. 3 Z 3 TKG). Die Kontaktaufnahme muss sich diesfalls aber auf Werbung für eigene, ähnliche Waren oder Dienstleistungen beschränken. Angesichts der strengen, vom VwGH auch so judizierten Rahmenbedingungen ist nicht verwunderlich, dass das Soft-Opt-in in der Praxis kaum einen Anwendungsbereich gefunden hat. In der Onlinewelt hat sich stattdessen die explizite Zustimmung durch eine Checkbox (wie „Ich stimme der Zusendung von Newslettern zu“) durchgesetzt.

    Folgen unzulässiger Erklärungen

    Eine fehlende oder ungültig eingeholte Einwilligung führt in der Praxis zur Unzulässigkeit der Datenverarbeitung und/oder einem Verstoß gegen die Spam-Bestimmung des TKG. Letzterer wird im Rahmen eines Verwaltungsstrafverfahrens aktuell (i) bei elektronischer Post mit bis zu 37.000 Euro und (ii) bei Werbeanrufen mit bis zu 58.000 Euro sanktioniert. Die Strafen liegen bei Ersttätern deutlich unter der Höchststrafe, können aber bei wiederholten Verstößen deutlich höher ausfallen. Hier wird es nach dem (noch nicht finalen) Entwurf der ePrivacy-Verordnung zu einer Erhöhung auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes kommen. Dies ist die mit der DSGVO bereits etablierte, ab 25.05.2018 auch für Datenschutzverstöße anwendbare Strafbestimmung. Daneben bestehen Schadenersatzansprüche von Betroffenen und drohen auch PR-Schäden. Angesichts der bald doch stark ansteigenden Strafen ist es daher sehr zu empfehlen, die bestehenden Zustimmungserklärungen zu überprüfen und bei Bedarf anzupassen.


    Axel Anderl ist Partner und Head des IT, IP und Media Desk bei Dorda. Er leitet zudem gemeinsam mit Felix Hörlsberger das Dorda-Datenschutzteam.

    Nino Tlapak ist Rechtsanwalt im Team von Axel Anderl und auf Datenschutzrecht spezialisiert. 

    Daten­schutz 2018: Die 10 wichtigsten Punkte

    Im Mai 2018 tritt die neue Datenschutz-­Grundverordnung europaweit in Kraft, Unternehmen müssen dafür schon jetzt die Weichen stellen. Wir beleuchten, was das für die Medien- und Werbebranche bedeutet.

    Kommentare

    0 Postings

    Keine Kommentare gefunden!

    Diskutieren Sie mit

    Neuen Kommentar schreiben

    * Pflichtfelder
    Netiquette auf HORIZONT online