SBS Firmengruppe Logos

| Datenschutzrecht

Datenverarbeitung nach DSGVO: Was ist eine wirksame Einwilligung?


Bei der Verarbeitung personenbezogener Daten muss man sich vorher die Einwilligung dafür einholen – und das den Aufsichtsbehörden nachweisen können.

Laut europäischer Datenschutzgrundverordnung (DSGVO) gilt das Verbotsprinzip: Personenbezogene Daten dürfen eigentlich überhaupt nicht gespeichert und verarbeitet werden. Eigentlich. Denn: Mit entsprechender Rechtsgrundlage können Ausnahmen von dem Verbot gemacht werden. So ist die Datenverarbeitung gemäß Artikel 6 (DSGVO) erlaubt, wenn damit ein Vertrag mit der betroffenen Person erfüllt wird; wenn es einer rechtlichen Verpflichtung dient; wenn es erforderlich ist, um lebenswichtige Interessen zu schützen; wenn es dem öffentlichen Interesse oder einer öffentlichen Gewalt dient oder wenn ein berechtigtes Interesse des Verantwortlichen die schutzwürdigen Interessen des Betroffenen überwiegt (z.B. bei der Verhinderung von Betrug).

Oder eben auch, wenn die betroffene Person eingewilligt hat, dass ihre Daten für einen bestimmen Zweck verarbeitet werden. Dabei ist die Form der Einwilligung äußerst wichtig. Sie muss im Zweifelsfall nämlich nachgewiesen werden können. Das heißt: Als Verantwortlicher einer Datenverarbeitung sollte man die Einwilligung dokumentieren. In der Praxis ergibt sich daraus, dass ein einfaches single-opt-in nicht genügt. Stattdessen braucht man ein wirksames double-opt-in oder gar eine Unterschrift der Person, um ihre personenbezogenen Daten verarbeiten zu dürfen. Was heißt das genau?


Wann liegt eine wirksame Einwilligung für die Nutzung von personenbezogenen Daten vor?

Im Gegensatz zur Genehmigung, die eine nachträgliche Zustimmung ist, wird die Einwilligung als „ausdrücklich vorher erteilte Zustimmung [der betroffenen Person]“ definiert. Auf Grundlage dieser vorherigen Zustimmung dürfen personenbezogene Daten erhoben, verarbeitet und genutzt werden. Die Details dafür sind in Artikel 7 und im Erwägungsgrund 32 (DSGVO) geregelt. Demnach muss die Zustimmung „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ bekundet werden. Soll heißen: Die Person muss eine echte Wahl haben und darf sich also nicht dazu gezwungen sehen, zustimmen zu müssen, obwohl das z.B. für die gewünschte Dienstleistung gar nicht unbedingt nötig wäre (Kopplungsverbot). Sie muss widersprechen können dürfen – und zwar auch nachträglich, d.h. die erteilte Zustimmung später einfach widerrufen dürfen.

Zudem muss die Person in einer klaren und einfachen Sprache darüber aufgeklärt werden, für welchen Zweck, für wie lange und von wem ihre Daten denn genau gespeichert bzw. verarbeitet werden sollen. Werden die Daten womöglich gar an Dritte weitergegeben?

Und (ganz wichtig!): „Die Einwilligung sollte durch eine eindeutig bestätigende Handlung erfolgen […] etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“. Diese bestätigende Handlung kann z.B. sein, dass eine Einwilligungserklärung unterschrieben oder ein entsprechendes Kästchen selbstständig angeklickt wird (opt-in). Im Gegensatz dazu gelten u.a. Stillschweigen, Weiternutzung mit der Möglichkeit abzulehnen (opt-out) oder ein bereits angekreuztes Kästchen nicht als wirksame Einwilligung – da das bestätigende Element fehlt.


Was sollte man der Aufsichtsbehörde nachweisen können?

Derjenige, der Daten anderer Personen verarbeitet, unterliegt der Beweispflicht. Er muss auf Nachfrage nachweisen können, dass die entsprechenden Personen tatsächlich zugestimmt hatten. Dafür sollte er also den Zustimmungsprozess dokumentieren. In der Praxis ergibt sich so: Man braucht eine schriftliche Einwilligung. Denn nur mit der Unterschrift der betroffenen Person lässt sich die Zustimmung haptisch nachweisen.

Oder man nutzt das sogenannte double-opt-in. Hier muss die entsprechende Person ihre E-Mai-Adresse angeben und erhält dann eine Mail mit einem Link. Wenn sie diesen anklickt, gibt sie ihre definitive („doppelte“) Zustimmung zur Datenverarbeitung. Auch wenn theoretisch ein single-opt-in genügen würde, empfiehlt sich dieses double-opt in. Denn es erleichtert den Nachweis über die Einwilligung. So können nämlich der Einwilligungstext, das erfolgte double-opt-in (mit der E-Mail-Adresse des Betroffenen als eindeutiges Identifizierungsmerkmal) sowie der Einwilligungszeitpunkt (elektronischer Zeitstempel gemäß eIDAS) dokumentiert werden.


Der Fall Telefonwerbung (OVG Saarland):

Das Oberverwaltungsgericht des Saarlandes hatte sich mit einem Fall befasst, bei dem an einem Gewinnspiel im Internet teilgenommen und damit zugleich die Einwilligung für Telefonwerbung erteilt wurde (OVG Saarland, Beschluss vom 16.02.2021, 2 A 355/19). Die betroffenen Personen, die also angerufen wurden, meinten, sie hätten sich nie für ein Gewinnspiel angemeldet, nie ihre Telefonnummer angegeben und vor allem nie zugestimmt, dass diese Telefonnummer zu Marketingzwecken verwendet wird.

Die werbende Firma meinte: Die angerufenen Personen hätten sich für das Gewinnspiel eingetragen und dabei auch ein Kästchen angekreuzt, mit dem sie die Nutzung ihrer Telefonnummer für Werbezwecke erlaubten (single-opt-in). Darüber hinaus hätten sie sogar noch eine E-Mail mit einem entsprechenden Bestätigungslink erhalten, den sie auch anklickten (double-opt-in). Zudem hätten sie zu Anfang des Anrufs dann auch gefragt, ob man denn richtig verbunden sei und Interesse an Werbung hätte.

Die Saarländer Richter befanden: Einwilligung in Telefonwerbung kann nicht online oder per Mail geschehen

Ein single-opt-in reiche jedenfalls nicht aus. Es sei nämlich unklar, ob die Personen, die letztlich angerufen wurden, sich auch wirklich selbst eingetragen hatten. Vielleicht hatte ja stattdessen auch einfach jemand anderes ihre Telefonnummer angegeben? Selbst das double-opt-in per Mail reiche hier nicht als Nachweis. Hier sei ebenfalls unklar, ob die Telefonnummer auch wirklich zu der angeschriebenen E-Mail-Adresse gehört. Und auch das erste Anrufen zum Validieren der Nummer und dem Abfragen der Einwilligung sei nicht legitim – da dafür dann ja schon die Telefonnummer gespeichert wurde.

Die Einwilligung in die Verwendung der Telefonnummer als personenbezogene Date war also nicht wirksam. Und auch sonst gebe es kein berechtigtes Interesse daran, Daten für Direktwerbung zu verarbeiten. Denn die Interessenabwägung ergebe: Der Schutz personenbezogener Daten und die Achtung des Privat- und Familienlebens überwiegt die unternehmerische Freiheit und das Recht zu arbeiten (hier: zu werben). So sei ein Werbeanruf ohne vorherige Einwilligung schlicht unzumutbare Belästigung – und damit wettbewerbswidrig, also laut §7 (UWG) verboten.

Was heißt das für Datenverarbeitung zu Werbezwecken insgesamt?

Wichtig bei diesem Beschluss ist: Es handelt sich hier um einen ganz konkreten Fall – die Einwilligung zu Telefonwerbung über ein double-opt-in per E-Mail. Es geht nicht um andere Marketingkanäle oder andere Einwilligungen in Telefonwerbung. Wäre es nicht um Telefonwerbung, sondern um E-Mail-Werbung gegangen, hätte die vorgenommene Einwilligung nämlich ausgereicht (Bestätigungslink per Mail). Für das erfolgte telefonische Direktmarketing hingegen hätte anders zugestimmt werden müssen – und zwar nicht über E-Mail, sondern bspw. über einen Code per SMS. Denn dann wäre ja klar gewesen, dass die Telefonnummer, die man anruft, tatsächlich zu der Person gehört, die sich für das Gewinnspiel eingetragen und dafür eben die Nummer angegeben hatte.




SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS Legal Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.

Sie brauchen Hilfe im Datenschutzrecht?

Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht