Alles neu macht der Mai 2018 - jedenfalls was das Datenschutzrecht angeht. Denn dann wird die EU Datenschutzgrundverordnung (DSGVO) wirksam. Doch bedeutet das gleichzeitig, dass auch die Shopbetreiber alles neu gestalten müssen? Wie dies im Hinblick auf vor Start der DSGVO eingeholte Einwilligungen zu beurteilen ist, erfahren Sie hier.
Künftig wie heute ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit eine Rechtsnorm dies vorsieht oder die betroffene Person, um deren Daten es geht, hierin eingewilligt hat. Dieses Prinzip nennt sich Verbot mit Erlaubnisvorbehalt.
Ausgehend von jenem Grundsatz normieren die aktuellen Gesetze zwar einige Ausnahmen, in denen die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung rechtmäßig ist. In allen anderen Fällen ist der Betroffene jedoch um seine Zustimmung zu bitten. Ein gängiger Anwendungsfall für das Erfordernis einer Einwilligung im Onlinehandel ist beispielsweise die Verwendung personenbezogener Daten für eine Bonitätsprüfung bei Bestellung vor Auswahl der Zahlungsart.
Heute regelt § 4a Bundesdatenschutzgesetz (BDSG) die Voraussetzungen für eine wirksame Einwilligung. Diese muss auf der freien Entscheidung des Betroffenen beruhen, der vorher über die geplante Verwendung seiner Daten nach Einwilligung informiert wurde.
Außerdem bedarf die Einwilligung grundsätzlich der Schriftform, für Telemedien wie Webseiten, formuliert § 13 Abs. 2 Telemediengesetz (TMG) jedoch die Möglichkeit einer elektronischen Einwilligung.
Anders als die Einwilligung in den Erhalt von Werbung nach § 7 UWG ist bei der rein datenschutzrechtlichen Einwilligung nicht erforderlich, dass diese getrennt von anderen Erklärungen abgegeben wird. So kann eine Einwilligung zum Beispiel auch in AGB enthalten sein - soweit die Gestaltung und Formulierung ansonsten transparent und erkennbar ist.
Darüber, ob und inwiefern sich die Voraussetzungen zur Einholung einer wirksamen Einwilligung künftig ändern, haben wir bereits berichtet. Damit sie wirksam ist, hat die Einwilligung unter der DSGVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich zu erfolgen.
Insbesondere der Begriff der Freiwilligkeit in der DSGVO wird kontrovers diskutiert - auch hierzu finden Sie näheres in einem vorangegangenem Beitrag. Letztlich ist die Freiwilligkeit nicht aufgrund bestimmter Gegebenheiten von vornherein pauschal auszuschließen, sondern an den im konkreten Fall vorliegenden Umständen zu bemessen.
Hat die betroffene Person eingewilligt, so hat sie ein Widerrufsrecht, Art. 7 Abs. 3 DSGVO. Hierüber ist sie bei Einholung der Einwilligung zu belehren.
Doch was ist mit den zahlreichen Einwilligungen, die schon heute eingeholt wurden? Gelten Sie ab Wirksamwerden der DSGVO nicht weiter? Das hätte zur Folge, dass zahlreiche Kundendatenbanken ab Mai 2028 zum Beispiel im Hinblick auf Werbezwecke, für die eine Einwilligung erforderlich ist, nicht weiter nutzbar wären.
Die Datenschutzgrundverordnung gibt hierauf in den Erwägungsgründen eine Antwort: Erwägungsgrund 171 beinhaltet Vorgaben für den Übergang zwischen der heutigen Rechtslage und der DSGVO. Beruht eine Datenverarbeitung demnach auf einer Einwilligung nach alter Rechtslage,
"so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung [Anm. d. Autorin: der DSGVO] entspricht, (...)."
Grundsätzlich soll es also möglich sein, mit Daten auch nach dem 25.05.2018 weiter zu arbeiten, auch wenn die Einwilligung hierzu noch nach den Kriterien der alten Rechtslage erteilt wurde. Ausschlaggebend ist jedoch, dass sie den Bedingungen der DSGVO entspricht. Doch was heißt das konkret, gerade in Bezug auf das vieldiskutierte und künftig wohl strengere Merkmal der Freiwilligkeit?
Für Onlinehändler ist die Klärung dieser Fragen bereits heute enorm wichtig - schließlich sollen die Geschäfte nach dem Startdatum der DSGVO unverändert weiterlaufen können. Soweit Änderungen umzusetzen oder Einwilligungen neu einzuholen sind, wird die verbleibende Zeit benötigt.
Diese Dringlichkeit haben auch die deutschen Datenschutzbehörden erkannt. In einem Beschluss vom 13./14. September 2016 nimmt der Düsseldorfer Kreis zu dieser Frage Stellung. Dieses Gremium ist die Gesamtheit aller Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, also aller Aufsichtsbehörden der Bundesländer in Deutschland.
Das Dokument umfasst nur eine knappe Seite. Es gibt im ersten Absatz zunächst den Text des Erwägungsgrundes wieder, um anschließend knapp festzustellen:
"Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen."
Dies weckt den Eindruck, als gebe es keinerlei Anlass zur Sorge um die bestehenden Datensammlungen. Der Beschluss weist weiter darauf hin, dass insbesondere die Hinweispflichten, die sich im Hinblick auf die Datenschutzerklärung für Einwilligungen aus Art. 13 DSGVO ergeben, nicht erfüllt sein müssen. Sie stellen demnach keine Bedingungen der Einwilligung im Sinne der DSGVO dar.
Wer sich nun aber in Sicherheit wägt, sollte nicht zu früh seine Aufmerksamkeit wieder spannenderen Dingen zuwenden.
Denn in seinem letzten Absatz relativiert der Düsseldorfer Kreis letztlich das bis dahin Gesagte:
"Besondere Beachtung verdienen allerdings die folgenden Bedingungen der Datenschutz-Grundverordnung; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:- Freiwilligkeit („Kopplungsverbot“, Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43 Datenschutz-Grundverordnung), (...)"
Offizielle Stellungnahmen und Beschlüsse der Aufsichtsbehörden im Datenschutz sind in der Regel sehr hilfreich, weil sie den Unternehmen eine gute Leitlinie bieten. Aus diesem Grund wurde der Beschluss des Düsseldorfer Kreises zur Fortgeltung bisher erteilter Einwilligung unter der DSGVO mit großem Interesse wahrgenommen.
Bei näherer Betrachtung hilft das Dokument hier jedoch nur bedingt, da es sich zur Frage, inwieweit die Voraussetzungen der DSGVO tatsächlich Neuerungen im Verhältnis zur bisherigen Rechtslage enthalten, nicht äußert.
Unser Tipp: Soweit Sie sich unter der DSGVO auf Einwilligungen, die unter der aktuellen Rechtslage wirksam eingeholt wurden, stützen möchten, sollten sie die Umstände der Einholung im Hinblick auf die Voraussetzungen der DSGVO prüfen. Halten die Einwilligungen diesen Kriterien nicht stand, kann die Verarbeitung unter DSGVO nicht mehr über sie rechtfertigt werden.
Bildnachweis: Bloomicon/shutterstock.com