DSGVO: „Zwangszustimmung“ keine Option mehr

5. Juni 2018

„Sie müssen unseren geänderten Datenschutzbestimmungen zustimmen.“

Solche Nachrichten überschwemmten die letzten Tage unsere Inboxen und Bildschirme. Außer verärgerte Kunden bringen diese Informationen rechtlich aber oft wenig, wenn damit eine Einwilligung zur Datenverarbeitung erreicht werden soll.

Verglichen mit den vorherigen europäischen Datenschutzregelungen definiert die mit dem 25. Mai in Kraft getretene neue Datenschutzgrundverordnung (DSGVO) die Einwilligung deutlich strenger. Unternehmen sollen nicht mehr mit „Friss oder Stirb“-Methoden die Nutzer zur Freigabe aller Daten drängen können. Die ist vor allem für dominante Konzerne relevant, die bisher allein aufgrund ihrer Marktmacht die Kunden in der Praxis zu jeder Art von Einwilligung drängen konnten.

Die Einwilligung kann zusammengefasst nur dann eine rechtmäßige Grundlage für die Verarbeitung sein, wenn betroffenen Personen eine echte Möglichkeit hatte zu jeder Verarbeitung „Ja“ oder „Nein“ sagen konnte – ohne irgendeinen Nachteil.

Dabei darf vor allem die Dienstleistung nicht von einer Zustimmung zur Datenverarbeitung abhängig gemacht werden („Koppelungsverbot“). Die DSGVO geht auch bei einem klaren Ungleichgewicht (z.B. Monopole oder Arbeitgeber) generell von keiner freiwilligen Zustimmung aus. Auch wenn sachlich nicht zusammenhängende Verarbeitungsvorgänge in eine Zustimmung gemeinsam verpackt werden (z.B. Verarbeitung für vom Nutzer gewollte Zwecke und Weitergabe an Dritte für andere Zwecke) ist diese nicht spezifisch genug und nicht in allen Teilen freiwillig. Ebenso muss der Betroffene seine Einwilligung jederzeit zurückziehen können, ohne dabei einen Nachteil zu haben.

Auch formell muss eine Einwilligung etwa leicht zu verstehen sein und sich klar, präzise und spezifisch auf einen bestimmten Verarbeitungsvorgang beziehen. Die Einwilligung darf sich ebenso nicht in anderen Texten (z.B. einer Datenschutzinformation nach Artikel 14 DSGVO oder „Allgemeinen Geschäftsbedingungen“) verstecken. Statt einem „Opt-Out“ oder vorausgefüllten Boxen muss nun auch ein eindeutiger Akt („Opt-In“) des Nutzers erfolgen, was die Wahrscheinlichkeit einer Einwilligung in vielen Fällen massiv heruntersetzt.

Die Verarbeitung aufgrund einer ungültigen Zustimmung fällt unter die Höchststrafen der DSGVO mit 4% des weltweiten Umsatzes oder € 20 Millionen.

Zusammenfassend bleibt die Einwilligung damit für zusätzliche Funktionen im Interesse des Nutzers eine sinnvoll nutzbare Option. So kann ein Nutzer etwa eine Einwilligung zu personalisierten Angeboten erteilen – was Nutzer mitunter auch gerne tun. Unternehmen könnten diese Optionen auch entsprechend bewerben oder vermarkten.

Alternativen zur Einwilligung prüfen

Die DSGVO verfolgt damit ein klares Ziel: Unternehmen sollen sich bei ihren Verarbeitungsvorgängen primär eine der anderen fünf Rechtsgrundlagen für die Datenverarbeitung suchen. Daten dürfen weiterhin – auch ohne jeder Einwilligung des Nutzers – etwa soweit dies zur Vertragserfüllung notwendig ist, um rechtlichen Verpflichtungen nachzukommen oder aus „legitimen Interessen“ (also etwa Sicherheitsinteressen) verarbeitet werden.

Mit der Zurückdrängung der Einwilligung ist zwar eine bisher oft genutzte Option für die Datenverarbeitung in vielen Fällen abhandengekommen, jedoch können die fünf anderen Rechtsgrundlagen oft eine ohnehin stabilere Rechtsgrundlage bilden, da diese weitestgehend unabhängig von der Einzelentscheidung eines Kunden genutzt werden können und – anders als die Einwilligung - beispielsweise nicht Zurückgezogen werden können.

Diese Alternativen haben auch den Vorteil diverse Abläufe nicht durch oft negativ empfundene Zustimmungs-Boxen unterbrochen werden. Ein sparsamer Umgang mit Einwilligungen kann damit auch die einfache Nutzung von Dienstleistungen verbessern und die Klicks am Weg zum Abschluss eines Prozesses minimieren.