Wien – Es ist ein Mythos, dass unter der Datenschutzgrundverordnung (DSGVO) die Betroffenen für die Verarbeitung persönlicher Daten immer zustimmen müssen. Viele Datenverarbeitungen können bereits aufgrund gesetzlicher Grundlagen oder gar Pflichten wie zur Vertragserfüllung oder der Wahrung berechtigter Interessen explizit ohne Einwilligung durchgeführt werden. Daran ändert sich nichts. Die Prüfung erfolgt jedoch in umgekehrter Reihenfolge: Erst wenn keiner der normierten Rechtfertigungsgründe greift, ist sie als Ultima Ratio notwendig.

Ist eine Einwilligung erforderlich, ist sie ausdrücklich und aktiv durch den Betroffenen zu erteilen. Schweigen, voraktivierte Kästchen oder sonstige Inaktivität reichen nicht aus. Zudem muss die Einwilligung nachweisbar eingeholt werden. In der Praxis ist daher auf eine saubere Dokumentation zu achten – z. B. Schriftlichkeit oder nachweisbare elektronische Abläufe.

Freiwilligkeit und Widerrufbarkeit

Wichtigste Voraussetzung für eine gültige Einwilligung ist dessen Freiwilligkeit und jederzeitige grund- und kostenlose Widerrufbarkeit. Bei bestehendem Ungleichgewicht der Parteien, wie z. B. zwischen dem Betroffenen und seinem Arbeitgeber oder einer Behörde, ist besonders ausgewogen vorzugehen.

Dabei kommt auch das Kopplungsverbot ins Spiel: Wird die Einwilligungserklärung vom Vertragsabschluss abhängig gemacht, ist dies in den meisten Fällen unzulässig. Hier besteht in der Praxis der größte Umstellungsaufwand, da bislang Marketingzustimmungen gerne in AGB versteckt waren. Sie sind nun herauszulösen und als separate, freiwillige Option anzubieten.

Die Einwilligung muss in einer klaren, einfachen Sprache erfolgen – mit zumindest diesen Inhalten:

• Name/Adresse des Verantwortlichen
• die verwendeten Datenarten
• detaillierte Zweckangabe
• Name/Adresse der Empfänger
• Übermittlungszweck
• Hinweis auf die jederzeitige, kostenlose, unkomplizierte Widerrufbarkeit
• Link zu weiterführenden Datenschutzhinweisen nach Art. 13 DSGVO.

Die Herausforderung ist, den Verarbeitungsumfang möglichst detailliert zu beschreiben, gleichzeitig den Betroffenen kurz, knapp und in einfacher Sprache aufzuklären. Darüber hinaus ist die jederzeitige Widerrufsmöglichkeit auch in den Prozessen und Systemen faktisch sicherzustellen.

Für Unternehmer bedeutet dies konkret, ihre Vertragsunterlagen und Einwilligungsprozesse anhand der neuen Kriterien abzugleichen und gegebenenfalls rechtzeitig eine neuerliche Einwilligung einzuholen – insbesondere wenn die bisherige Zustimmung nicht den DSGVO-Kriterien entspricht und daher im Worst Case mit 25. Mai als Rechtsgrundlage wegfällt.(Nino Tlapak, Alexandra Ciarnau, 23.4.2018)