Neben Facebook hat
jetzt auch die Deutsche Post ein Problem bekommen. Es geht zwar hier
wieder um den Verkauf von personenbezogenen Daten, doch diese sollen wohl
anonymisiert worden sein. Verkauft wurden also nur „Wahrscheinlichkeiten“. Wozu
dann noch die Aufregung? – Man wird sehen, wie die Sache ausgeht, und welche Entwicklungen
es bei Facebook geben wird (Wird MZ zurücktreten?).
Zurzeit bemüht man
sich um neue Einwilligungserklärungen, weil man es in der Vergangenheit wohl
nicht so genau genommen hat. Es gibt hier die unterschiedlichsten
Ausgestaltungen, die aber alle zeigen, dass die Anforderungen der DSGVO
peinlich genau, und doch wiederum mit gewissen Freiheitsgraden, befolgt werden.
An einem Beispiel sollte jetzt mal untersucht werden, wie man eine
datenschutzrechtliche Einwilligungserklärung „gut“ gestaltet.
Man darf jetzt nicht vergessen: Es geht an dieser Stelle nicht
um die Einholung einer Erlaubnis zur Verarbeitung von personenbezogenen Daten,
die mit der Erfüllung eines Vertrags, einer rechtlichen Verpflichtung, lebenswichtige
oder berechtigten Interessen der betroffenen Person wie auch das öffentliche
Interesse betreffend, zu tun haben. Es geht um die übrigen personenbezogenen
Daten.
Ein Beispiel für
eine datenschutzrechtliche Einwilligungserklärung
Eine Bank bittet im Anschreiben um Erneuerung der datenschutzrechtlichen
Einwilligungserklärung. Es sei „notwendig“ und „Falls [die Bank] … die neue
Einwilligungserklärung nicht [zurückerhält], wird [der Berater den Kunden]
zukünftig … nicht mehr wie gewohnt betreuen und beraten können.“ Es können dann
nur die Daten „im gesetzlich jeweils zulässigen Umfang verarbeitet werden“. Im
Anhang zum Schreiben wird ein Formular für die Kunden mitgeschickt.
Die Einwilligungserklärung ist schlecht zu lesen. Die
Größe der Schriftzeichen entspricht vielleicht einem Schriftgrad von „5“, das
Formular scheint im Entwurfsmodus ausgedruckt worden zu sein.
Es gibt vier Abschnitte, die einzeln unterschrieben /
angekreuzt werden können:
- Im ersten Abschnitt werden die zur Analyse
bestimmten Daten genannt und der Zweck der Analyse beschrieben. Man
gibt hier sein Einverständnis ab zur „Verknüpfung, Auswertung und Verwendung“
dieser Daten zu den „vorgenannten Zwecken“. Es wird allerdings nur eingewilligt
in die Verarbeitung der personenbezogenen Daten. Damit nicht gemeint ist der
Austausch dieser Daten mit Dritten.
- Im zweiten Abschnitt erklärt man sich als Kunde
einverstanden mit dem „wechselseitigen Datenaustausch“ der Bank mit weiteren,
verbundenen Konzern-Unternehmen. Gleichzeitig entbindet man die beteiligten
Organisationen vom „Bankgeheimnis“.
- Im dritten Abschnitt kann man freiwillig weitere
Kontaktdaten mitteilen, damit sich das Service-Angebot der Bank, d.h. die
Beratung und die Erstellung von speziellen Angeboten (meistens Zertifikate und
Fonds), auch über diese Kanäle erstrecken kann. Man spricht in diesem
Zusammenhang ebenfalls von „elektronischen Vertriebswegen“, meint im Gespräch jedoch
das „Online-Banking“.
- Im letzten Abschnitt willigt man ein in den
Datenaustausch zwischen der Bank und den rechtlich selbständigen Filial-Organisationen.
Und auch hier wird die Entbindung vom „Bankgeheimnis“ verlangt – dies erscheint
„doppelt“, ist allerdings aufgrund der komplexen Organisationsstruktur
erforderlich.
Im Anschreiben und auf dem Formular für den Kunden wird
an verschiedenen Stellen darauf hingewiesen, dass die Angaben natürlich „freiwillig“
sind und man jederzeit „widerrufen“ kann. Die Erklärung kann vom Kunden bei jeder „Filiale“ einfach abgegeben werden.
Einwilligungen
wirksam gestalten
Wie schon gesagt, es geht um die Einholung einer
Erlaubnis zur Verarbeitung von solchen Daten, für die es ansonsten keine
rechtliche oder andere nachvollziehbare Grundlage gibt (siehe auch noch einmal
oben bzw. Art. 6 Abs. 1 DSGVO). Von daher benötigt man eine Einwilligung der
Person, deren Daten man als datenverarbeitende Stelle gerne verarbeiten
möchte. Um nun eine solche Einwilligung „wirksam“ zu erhalten, bedarf es gem.
Art. 4 Nr. 11 DSGVO folgender Kriterien:
Freiwilligkeit
Dieser Aspekt ist besonders wichtig, weil sich hieraus
eine bestätigende Willensbekundung seitens des Kunden ableiten lassen kann. Mit
der Abgabe seines Einverständnisses erklärt der Kunde seinen Willen, dass die
datenverarbeitende Stelle seine personenbezogenen Daten (unentgeltlich)
verarbeiten kann.
Was kritisch anzumerken ist, betrifft im Anschreiben die
Aussage, dass ohne Einwilligung die „gewohnte“ Beratung und Betreuung durch den
Bankberater nicht möglich sei. Eine Drohung soll dies nicht sein, weil man
diese besonderen Bankleistungen als einen Mehrwert betrachtet. Dem Kunden
entgeht eine individuelle, auf seine Bedürfnisse ausgerichtete Beratung. Der
Kunde erhält nur eine Konten- und Depotführung, die sehr maschinell und
standardisiert erfolgt – man kann auch sagen, es geht dann nur noch eine
niedrigschwellige Leistung.
Übrigens muss die Bank bei einer gewünschten
Anlageberatung ohnehin bestimmte Faktoren abfragen, z.B. Risikoneigung und
Bereitschaft zum Aushalten von Verlustsituationen, und protokollieren (vgl. §
82 Abs. 1 WpHG).
Bestimmtheit
Die Einwilligung soll sich auf etwas Bestimmtes,
Konkretes beziehen.
Informierung
Eine Willensbekundung kann man allerdings nur dann
unterstellen, wenn über die zu verarbeitenden personenbezogenen Daten
informiert wird und zu welchem Zweck die
Verarbeitung geschehen soll. Es geht also um das WAS und das WARUM.
Dieser Zweck der Datenverarbeitung findet sich in Art. 5
Abs. 1 lit. b) und Art. 6 Abs. 1 Unterabsatz 1 lit. a) DSGVO. Ein solches Prinzip
der Zweckbindung ist deswegen besonders wichtig, weil damit eine Festlegung
erfolgt. Die datenverarbeitende Stelle muss offen darlegen, was mit der
Verarbeitung der Daten halt eben bezweckt werden soll. Und ein Kunde könnte dann
abschätzen, ob er diesem Zweck zustimmt. Im konkreten Fall wird als Zweck nur
die Beratung benannt, was vielleicht auch tatsächlich der Fall sein könnte. Man
kann aber auch annehmen, dass sehr viele weitere statistische Daten erhoben
werden zu reinen Werbezwecken – will man sich als Kunde wirklich einem
zielgerichteten, eventuell sogar manipulierenden Marketing aussetzen?
Unmissverständlichkeit
Was bezweckt werden soll, muss eigentlich klar und
deutlich beschrieben stehen. Mit der begrifflichen Einfügung in Art. 4 Abs. 11
DSGVO will man vermeiden, dass eine pauschale Einwilligung abgegeben wird. Der eindeutig
bestimmte Zweck gibt der betroffenen Person die Möglichkeit, selektiv,
bestimmten Bereichen der Datenverarbeitung zuzustimmen.
Der Erteilung einer „Blanko-Einwilligung“ wird damit ein
Riegel vorgeschoben.
Erklärung
Der Kunde soll sich erklären. Seinen Willen bekunden.
Sich eindeutig und bestätigend verhalten.
Einverstanden sein.
Jeder Abschnitt soll erläutern, was beabsichtigt ist.
Darunter findet sich dann fettgedruckt und deutlich eine unmissverständliche
Formulierung über die abzugebende Einwilligung. Als Kunde der Bank
unterschreibt man diesen Satz, was somit einer klaren Willensbekundung
entspricht, die eindeutig und bestätigend ist.
Gleichzeitig wird betont, dass die Einwilligung jederzeit
widerrufen werden kann, so wie es nach Art. 7 Abs. 3 S. 1 DSGVO verlangt wird. Doch
der Widerruf an sich greift nur auf die Verarbeitung ab Eingang des Widerrufs,
nicht rückwirkend. Zwar muss der Widerruf so einfach wie die Erteilung der
Einwilligung sein, es muss aber unterstellt werden, dass die Beweislast darüber
der Kunde selbst tragen muss.
Und was wenn
nicht?
Weil alles das gegeben ist, vielleicht nur nicht in der
leserlichsten Form angeboten wurde, ist diese datenschutzrechtliche
Einwilligungserklärung dennoch rechtsgültig.
Wenn nun diese Einwilligung nicht abgegeben wird, kann
eine Verarbeitung nur noch im „gesetzlich jeweils zulässigen Umfang“ erfolgen.
Daraus könnte man ableiten, dass die bisher vorhandenen Daten, insbesondere
Statistiken und Vertragsverhältnisse zu anderen Beteiligten, gelöscht werden.
Das muss allerdings nicht so geschehen. Die bisher erteilten Einwilligungen der
Vergangenheit verlieren nicht ihre Gültigkeit – sie gelten fort, wenn sie den
Bedingungen der DSGVO entsprechen (vgl. Erwägungsgründe 32 und 171).
Das kann vielleicht in Teilen so gewesen sein. Um sicher
zu sein, müsste man jetzt als Kunde den früheren Einwilligungen widersprechen,
damit wirklich nur eine Datenverarbeitung für die reine Vertragsverwaltung und
Abwicklung geschehen kann. Als datenverarbeitende Stelle muss man sich wiederum
klar machen, welche Daten tatsächlich gebraucht werden. Die Einholung einer
Einwilligung über diese Daten sollte unterbleiben, damit bei einem Widerruf
keine Missverständnisse aufkommen.
Wofür braucht man also noch eine Einwilligung? Immerhin
gibt es bereits jetzt sehr viele Fälle, die als rechtmäßige
Verarbeitungs-Tatbestände anerkannt sind (vgl. Art. 6 Abs. 1 DSGVO). Die
Einwilligung bedient lediglich einen Bereich an personenbezogene Daten, die von
diesen übrigen rechtmäßigen Tatbeständen nicht abgedeckt ist.
CGS
Quelle:
Information des Bayerischen Landesbeauftragten für
Datenschutz
zum Thema Datenschutzreform 2018, vom 24.7.2017
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen? Empfehlen Sie ein//gegliedert weiter.
Wollen Sie Ihre Meinung sagen? Ihre Kritik interessiert
mich. Vielleicht können Sie mir sogar eine neue Perspektive aufzeigen. Darüber
würde ich mich freuen. Meine Email-Adresse finden Sie auf der Seite Über mich.
Datenschutz – Mit der DSGVO wird es jetzt anders – Teil 5
– eingegliedert.blogspot.com