Viele Firmen aus den verschiedensten Industriezweigen setzten die Vorgaben nicht um, wie der Düsseldorforfer Kreises sagt und wie wir in unserer alltäglichen Praxis immer wieder erfahren - sei es aus mangelnder Bereitschaft oder Ignoranz. Diese Einwilligungserklärung des Betreffenden muss auf freiwilliger Basis abgegeben werden. Der Betroffene muss die Freiheit der Wahl haben, d.h. es muss eine wirkliche Möglichkeit sein.
Vor der Einwilligungserklärung ist der Betreffende ausführlich über den beabsichtigten Verwendungszweck der erhobenen, verarbeiteten oder genutzten persönlichen Angaben zu informieren. Eine Pauschalzusage darf in absehbarer Zeit nicht für unbefristete Dauer erwirkt werden. Die Zustimmung nach 4a Abs. 1 BDSG bedarf prinzipiell der schriftlichen Form.
Ein elektronisches Einverständnis im Rahmen von E-Mail und Web ist nach § 13 Abs. 2 TMG möglich. Dabei ist sicherzustellen, dass der Betreffende seine Zustimmung zu jedem Zeitpunkt mit sofortiger Wirkung für die Zukunft wiederrufen kann. Allein die Schlagzeile sollte deutlich machen, dass es sich um eine Einverständniserklärung und nicht um einen anderen Wortlaut im Rahmen des Datenschutzes handele.
Es ist klarzustellen, dass der Betreffende der Verarbeitung zustimmt, d.h. diese nicht nur zur Kenntnis genommen hat. Die betreffende Person sollte selbst tätig werden, so dass bei Checkbox-Formularen nur ein Opt-in und kein Opt-out im Sinn einer gegebenen Einverständniserklärung möglich ist. Sie muss auf Freiwilligkeit beruhen, d.h. der Betreffende muss eine wirkliche Wahl haben, darf nicht unter Zwang stehen und muss seine Genehmigung zu jeder Zeit ohne Angst vor Vergeltungsmaßnahmen zurückziehen können.
Wenn die Einwilligungserklärung in einem umfangreicheren Wortlaut enthalten ist, muss sie besonders gut aufgedruckt werden, damit sie die Aufmerksamkeit des Lesers auf sich zieht. Diese Einverständniserklärung sollte immer direkt vor der Unterzeichnung auf dem Anmeldeformular erscheinen. Eine Kurzversion mit dem Inhalt der Einverständniserklärung vor der Unterzeichnung mit Verweis auf einen an anderer Stelle befindlichen Erläuterungstext ist ebenfalls möglich.
Die Einwilligungserklärung ist gesondert zu unterzeichnen. Der reine Hinweis auf die Verarbeitung der Angaben und die Einwilligungserklärung sind gesondert in Textform vorzulegen. Eine eindeutige Zuweisung sollte auf der einen Seite an die Zustimmung und auf der anderen Seite an die Datenschutzhinweise erfolgen. In der Einwilligungserklärung sind die Art der speziellen Personendaten anzugeben und für diese explizit anzugeben.
Es ist nicht nur möglich, die Empfänger der Daten als Pauschale anzuzeigen. Die Zustimmungen zu werblichen Zwecken behandelt der Düsseldorforfer Kreis in einem weiteren Orientierungsleitfaden, der auch im Internet aufrufbar ist. Der Orientierungsleitfaden verweist nur auf die Vorschriften des BDSG und des TMG. Diejenigen, die schon jetzt über die Zustimmung nach dem DSGVO informiert werden möchten, können dies in unserem Blog-Artikel Grundverordnung: Voraussetzungen für eine Zustimmung tun.
Sinnvolle Zeit der Einführungshilfe? Es stellt sich die Frage, ob die Zeit reif ist, den Orientierungsleitfaden zu veröffentlichen. Das DSGVO steht in den Startblöcken und vieles wird sich durch die neuen Vorschriften verändern. Müsste sich der Düsseldorforfer Kreis also nicht etwa zwei Jahre vor der Ersetzung des BDSG durch die DSGVO mit mehr rechtsunabhängigen oder neuen Fragen auseinandersetzen?
Die DSGVO wird erfreulicherweise keine schwerwiegenden Veränderungen im Zustimmungsbereich bewirken. Wir sind Spezialisten für Datenschutz, IT-Sicherheit und IT-Forensik und beraten in Deutschland.