Für die meisten IT- und Datenschutz-Experten ist die EU-Datenschutz-Grundverordnung keine "Wundertüte" voller Überraschungen. Etliche der Regelungen der DSGVO, die seit dem 25. Mai 2018 umgesetzt werden müssen, sind in ähnlicher Form bereits im alten Bundesdatenschutzgesetz enthalten. Es gibt aber auch Neuerungen, die auf das "digitale Alltagsgeschäft" eines Unternehmens durchschlagen. Das gilt beispielsweise für die "Opt-in-/Opt-out"-Frage. Bei ihr geht es darum, in welcher Form eine Person ihre Einwilligung geben muss, dass ihre Daten von einem Unternehmen verarbeitet werden dürfen.

Beim Opt-in-Verfahren muss der Betreffende aktiv seine Zustimmung bekunden. Das erfolgt häufig, indem er in einem Web-Formular einen Haken beim Feld "Ja, ich stimme der Verarbeitung zu ..." setzt. Opt-out dagegen funktioniert exakt anders herum: Ein Unternehmen geht davon aus, dass eine Person der Verarbeitung zustimmt, es sei denn, sie widerspricht dediziert dieser Vorgehensweise. Dann entfernt sie den Haken.

Einwilligung weit verbreitet

Die Einwilligung in die Verarbeitung von personenbezogenen Daten spielt vor dem Hintergrund der Digitalisierung eine zentrale Rolle. Wenn ein User bei einem Online-Shop einkauft, einen Social-Media-Dienst wie Facebook nutzt oder einen E-Mail-Newsletter ordert, gibt er eine solche Einwilligung. Ohne das Speichern und Verarbeiten sind viele "digitale" Geschäfte nicht möglich. Ein Beispiel: Ein Online-Versandhändler muss Daten eines Kunden speichern, damit er die Bestellung aufnehmen und abrechnen kann. Außerdem ist es notwendig, dass der Händler die Adressdaten des Kunden an ein Logistikunternehmen weitergibt. Denn schließlich muss das Paket ja ausgeliefert werden.

Auch die DSGVO erkennt das an. So ist in Artikel 6, Absatz 1 festgelegt, dass ein Unternehmen nicht in jedem Fall eine Einwilligung einholen muss, wenn es personenbezogene Daten von Kunden oder Interessenten verarbeitet. Das ist etwa dann der Fall, wenn das Unternehmen ansonsten einen Vertrag nicht erfüllen könnte. Solche berechtigten Interessen lassen sich jedoch nicht pauschal auf alle Geschäftsvorgänge ausweiten. Juristen gehen davon, dass der Gesetzgeber Unternehmen nur einen engen Spielraum einräumt.

Der Schlüssel: Artikel 7 der DSGVO

Die DSGVO hat in Artikel 7 die Vorgaben aufgeführt, die mit einer Einwilligung verbunden sind. Sie muss:

• von einer einwilligungsfähigen Person,

• freiwillig,

• nur für einen bestimmten Fall, also nicht pauschal,

• in informierter Weise und unmissverständlich sowie

• in Form einer Erklärung oder anderen eindeutigen Handlung erfolgen.

Freiwillig heißt beispielsweise, dass die betreffende Person nicht gezwungen oder genötigt wird, der Verarbeitung ihrer personenbezogenen Daten zuzustimmen. Darüber, wo die Grenze zum "Zwang" zu ziehen ist, streiten sich die Experten. Unklar ist beispielsweise, ob es bereits eine Art Nötigung ist, wenn eine Krankenkasse nur denjenigen Mitgliedern Rabatte einräumt, die Daten von ihren Fitness-Trackern an die Kasse weitergeben.

Außerdem enthält die DSGVO in Artikel 7, Absatz 4 ein Kopplungsverbot: Ein Online-Versender darf beispielsweise die Erfüllung eines Vertrags nicht daran binden, dass der Kunde zusätzlich einen Newsletter abonniert. Denn das ist nicht erforderlich, damit der Kunde online Waren bestellen kann.

Allerdings ist auch das Kopplungsverbot ein juristisches "Minenfeld". Denn etliche Betreiber von Online-Diensten und Social-Media-Plattformen stellen ihre Dienste nur dann bereit, wenn der Nutzer ihnen dafür Daten als "Bezahlung" überlässt. Es ist absehbar, dass künftig in vielen Fällen Gerichte entscheiden müssen, wann die Überlassung von personenbezogenen Daten notwendig ist, damit ein Unternehmen gegenüber Kunden seine vertraglichen Verpflichtungen erfüllen kann.

Opt-in wird zur Normalität

Auf welche Weise eine Einwilligung in eindeutiger und unmissverständlicher Weise erfolgt, erläutert der "Erwägungsgrund 32" des Artikels 7 der DSGVO. Darin heißt es: "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten ... keine Einwilligung darstellen." Das heißt, eine Person muss aktiv zustimmen. Opt-out-Formulare sind nicht mehr ausreichend. Vielmehr muss ein Kunde oder der Nutzer eines Angebots aktiv sein Häkchen in einem Feld setzen, wenn er mit der Weitergabe seiner Daten einverstanden ist. Ein "Nicht-Wegklicken" eines Hakens erfüllt laut der DSGVO diese Anforderungen nicht.

Kein Wunder, dass diese Regelung Online-Marketiers Kopfzerbrechen bereitet. Beliebte Vermarktungsmethoden werden damit obsolet. Eine besteht darin, die Teilnahme an einem Gewinnspiel mit der Zusendung von Werbe-E-Mails zu kombinieren. Künftig gilt es nicht als Zustimmung, wenn das entsprechende Kontrollkästchen bereits mit einem Kreuz oder Häkchen versehen ist.

Auch das "Soft-Opt-in" ist mit der DSGVO nicht vereinbar. Dabei ist ebenfalls in einem Kontrollfeld bereits ein Haken gesetzt. Außerdem wird der Nutzer explizit darauf hingewiesen, dass er mit der Weitergabe seiner Daten einverstanden ist. Die aktive Zustimmung beschränkt sich darauf, dass ein Nutzer das Formular abschickt. Das ist laut DSGVO keine aktive Einverständniserklärung.

Alternativen: Opt-in und "Double Opt-in"

Doch wie kann ein Unternehmen nun von Kunden oder Interessenten eine Einwilligung einholen, die den Vorgaben der Datenschutz-Grundverordnung entspricht? Eine Option ist das Double Opt-in. In diesem Fall kreuzt der Interessent beispielsweise in einem Web-Formular an, dass er einen Newsletter oder Informationen zu bestimmten Produkten erhalten möchte. Anschließend erhält er eine E-Mail mit einem Bestätigungs-Link. Erst nach Anklicken des Links durch wird der Interessent auf die Verteilerliste gesetzt.

Zu beachten ist allerdings, dass der Nutzer diese Einwilligung jederzeit widerrufen kann. Erhält er anschließend weiterhin Werbenachrichten oder Newsletter, kann er juristisch dagegen vorgehen. Finger weg heißt es außerdem bei Angeboten, bei denen Händler oder Agenturen E-Mail-Adressen mit "integriertem" Opt-in oder Double-Opt-in offerieren. In solchen Fällen fehlt die explizite Einwilligung der Inhaber der Adressen, Werbe-Informationen eines bestimmten Anbieters zu erhalten.

Wichtig: Die Nachweispflicht

Eine Neuerung der DSGVO im Zusammenhang mit der Einwilligung betrifft die Form, in der eine Person die Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben kann. Die Schriftform ist nicht bindend. Es genügt auch eine mündliche Bestätigung oder ein Kopfnicken. In der Praxis dürften diese beiden Methoden eher selten zum Zuge kommen. Dies umso mehr, als ein Unternehmen nachweisen muss, dass eine Person der Verarbeitung von Daten zugestimmt hat. Das ist auf elektronischem Wege möglich, etwa per E-Mail, oder in Form einer schriftlichen Bestätigung.

Die Nachweispflicht ist in Artikel 7, Absatz 1 der DSGVO festgelegt. Fachleute raten im Online-Bereich dazu, eine Einwilligung per Double Opt-in einzuholen. Diese Bestätigung sollte mit einem Zeitstempel versehen und einer Datenbank abgelegt werden.

Was ist mit "alten" Einwilligungen?

Übrigens ist es nicht erforderlich, vorhandene Kunden und Empfänger von Informationsmaterial nochmals um eine Einwilligung zur Datenverarbeitung zu ersuchen. Das sieht auch der Düsseldorfer Kreis so, ein Gremium der Datenschutzbehörden des Bundes und der Länder. Nach Auffassung der Fachleute gelten bereits erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen. Bisher wirksame Einwilligungen erfüllen diese Vorgaben.

Fazit

Zusammenfassend lässt sich sagen, dass die Datenschutz-Grundverordnung in puncto Einwilligung keine drastischen Umwälzungen bringt. Allerdings gibt es sehr wohl einige Aufgaben, die in Unternehmen anfallen können. Dazu zählt beispielsweise die Umstellung vom Opt-out- auf das Opt-in-Verfahren, noch besser auf Double Opt-in. Auch bei den Nachweispflichten, dem Kopplungsverbot und der Freiwilligkeit bezüglich der Herausgabe personenbezogener Daten gibt es einige Klippen.

In diesem Zusammenhang ein Tipp: Unternehmen, die keine eigenen Fachkräfte zu DSGVO-Zwecken abstellen können, haben die Option, ein IT- oder Systemhaus damit zu beauftragen. Bechtle stellt seinen Kunden beispielsweise geprüfte Datenschutzbeauftragte zur Verfügung. Sie unterstützen Unternehmen dabei, der DSGVO mit einem Minimum an Reibungsverlusten gerecht zu werden. Das gilt auch für das gesetzeskonforme Einholen der Einwilligung, wenn personenbezogene Daten verarbeitet werden müssen. Das Geld für solche externen Fachleute ist gut angelegt. Denn die Strafen, welche die DSGVO bei Verstößen vorsieht, sind deutlich höher als diejenigen, die bislang verhängt wurden.