Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 europaweit. Auf alle Unternehmen, die personenbezogenen Daten verarbeiten, kommen einige Neuregelungen zu. Seien es das Verzeichnis der Verarbeitungstätigkeiten, die Auftragsverarbeitung oder die Verschwiegenheitsverpflichtungen von Mitarbeitern. Es gibt viel zu tun bis Mai. In Bezug auf Einwilligungen zur Datenverarbeitung zum Zweck der Werbung oder für den Versand von Newsletter stellt sich für viele die Frage: Kann ich die alten Einwilligungen auch nach der DSGVO noch nutzen oder muss ich sämtliche Einwilligungen neu einholen?
_____________________________________________________________________
Hintergrund
Mit der europaweiten Vereinheitlichung des Datenschutzrechts durch die Datenschutzgrundverordnung (DSGVO) gehen zahlreiche Neuerungen einher. Unternehmen müssen ihre Datenschutzerklärung anpassen, die technisch-organisatorischen Maßnahmen zum Schutz der Daten prüfen und gegebenenfalls erweitern, das Verzeichnis der Verarbeitungstätigkeit muss den Vorgaben der DSGVO genügen und, und, und.
Wer zudem auch Werbung und/ oder Newsletter an seine Kunden verschickt, egal ob online oder in Printform, muss sich hierfür eine wirksame Einwilligung der Adressaten vorab besorgen. Das gilt auch unter der DSGVO weiter. Der Grundsatz „Verbot mit Erlaubnisvorbehalt“ ist also nach wie vor gültig. Es ist alles (datenschutzrechtlich) verboten, es sei denn es liegt eine Erlaubnis vor. Die Erlaubnis kann kraft Gesetz oder aber eben durch eine Einwilligung bestehen.
Was ist eine Einwilligung?
Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO
„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“
Alles neu durch die DSGVO?
Nach der aktuellen Regelung des Bundesdatenschutzgesetzes (BDSG) müssen Einwilligungen grundsätzlich schriftlich eingeholt werden, wobei auch die elektronische Form durch das Telemediengesetz (TMG) ausdrücklich zulässig ist. Zudem kann eine Einwilligung nach dem BDSG unter Umständen auch mit anderen Einwilligungen zusammen erteilt, das heißt gekoppelt werden. Das ändert sich mit der DSGVO.
Einwilligung sind gesondert einzuholen und dürfen nicht gekoppelt werden.
Hat man sich nun eine Einwilligung wirksam nach dem BDSG eingeholt, muss diese nicht nochmal neu eingeholt werden, wenn die Art der bereits erteilten Einwilligung, den Vorgaben der DSGVO entspricht.
Da die Anforderungen nach dem aktuellen Datenschutzrecht in Deutschland schon sehr streng sind, genügen die Einwilligungen nach den bisherigen Vorgaben in der Regel auch denen der DSGVO. Das heißt, wer eine wirksame Einwilligung hat, die auch nicht mit anderen gekoppelt ist, kann von deren Fortgeltung in der Regel ausgehen.
Achtung: Gleichwohl sollten Einwilligungen dahingehend genau geprüft werden.
Welchen Anforderungen muss die Einwilligung genügen?
Nach der DSGVO müssen Einwilligungen klar und verständlich und leicht zugänglich sein. Es muss zudem der Hinweis auf die jederzeitige Möglichkeit eines Widerrufs hingewiesen werden.
Das alles muss das datenverarbeitenden Unternehmen auch nachweisen können. Die Einwilligung muss zudem auch freiwillig erfolgen.
Achtung: Ob das im Arbeitsverhältnis problemlos möglich ist, ist umstritten. Im Arbeitsverhältnis bleibt es zudem bei dem Schriftformerfordernis der Einwilligung.
Fazit
Spätestens bis zum 25. Mai 2018 sollten alle Einwilligungen dahingehend überprüft werden, ob sie den Anforderungen der DSGVO genügen. Falls nicht, sollte sich Unternehmen entsprechend neue Einwilligungen von den betroffenen Personen einholen. Denn mit der DSGVO sind auch neue (erhöhte) Bußgelder für Verstöße verbunden.
Bei Rückfragen stehe ich gerne zur Verfügung.
Anna Rehfeldt, LL.M.
Rechtsanwältin & externe Datenschutzbeauftragte