Opt in Datenschutz

DSGVO: Opt-in statt Opt-out

Die EU-Grundverordnung zum Datenschutz ist für die meisten IT- und Datenschutzexperten keine "Überraschungstüte". Mehrere Vorschriften der DSGVO, die seit dem 2. April 2018 umzusetzen sind, sind bereits in vergleichbarer Weise im bisherigen Datenschutzgesetz wiedergegeben. Es geht um die Art und Weise, in der eine bestimmte Personen ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Angaben durch ein bestimmtes Unterfangen erteilen.

Mehr dazu: Die Wolke, die auch den Bestimmungen der Grunddatenschutzverordnung (Artikel 28) unterworfen ist, zählt heute zum Tagesgeschäft der meisten Firmen. Bei der Auswahl eines Anbieters sollten Firmen auf geeignete Datenschutzzertifizierungen achten. Dies geschieht oft durch Ankreuzen des Kästchens "Ja, ich bin mit der Bearbeitung einverstanden...." in einem Webformular.

Das Opt-out hingegen ist genau umgekehrt: Ein Betrieb geht davon aus, dass eine bestimmte Personen der Bearbeitung zustimmen, es sei denn, sie widersprechen diesem Verfahren. Im Rahmen der digitalen Datenverarbeitung kommt der Zustimmung zur Datenverarbeitung eine wichtige Bedeutung zu. Kauft ein Nutzer in einem Online-Shop ein, benutzt er einen Social Media Service wie z. B. Google oder bestellt einen E-Mail-Newsletter, erklärt er sich damit einverstanden.

Beispielsweise muss ein Online-Versandhaus die Informationen eines Bestellers für die Bearbeitung und Abrechnung der Bestellungen aufzeichnen. Zudem ist es erforderlich, dass der Einzelhändler die Adressangaben des Auftraggebers an ein Transportunternehmen mitteilt. Die DSGVO anerkennt dies. Beispielsweise sieht Art. 6 Abs. 1 vor, dass ein Betrieb nicht immer eine Zustimmung einzuholen braucht, wenn er persönliche Kundendaten oder Interessentendaten auswertet.

Dies ist z.B. der Fall, wenn die Gesellschaft sonst nicht in der Lage wäre, einen Auftrag zu erfullen. Anwälte gehen davon aus, dass der Gesetzgeber den Betrieben nur einen geringen Handlungsspielraum gibt. Das DSGVO hat in 7 die mit der Zustimmung verbundenen Anforderungen auflistet. Es muss sein: von einer natürlichen oder juristischen Persönlichkeit, die in der Lage ist, ihre Zustimmung nur für einen konkreten Einzelfall, d.h. nicht flächendeckend, in Gestalt einer Deklaration oder einer anderen unzweideutigen Maßnahme zu erteilen.

Freiwilligkeit bedeutet zum Beispiel, dass die betroffene Partei nicht dazu verpflichtet ist, der Bearbeitung ihrer persönlichen Angaben beizutreten. So ist es zum Beispiel nicht klar, ob es bereits eine Form von Zwang für eine Krankenversicherung ist, nur solchen Versicherten Preisnachlässe zu gewähren, die ihre Fitnesstracker an die Versicherung weiterleiten. Darüber hinaus beinhaltet 7 Abs. 4 DSGVO ein Kopplungsverbot: So darf z.B. ein Online-Absender die Vertragserfüllung für den Kunden nicht verbindlich machen, um einen zusätzlichen Bezug eines Newsletters zu erhalten.

Schließlich bieten viele Anbieter von Online-Diensten und Social -Media-Plattformen ihre Leistungen nur dann an, wenn der Benutzer ihnen Angaben als "Payment" zur Verfügung stellt. In vielen Faellen ist abzusehen, dass die Justiz ueber die Notwendigkeit der Weitergabe personenbezogener Informationen entscheidet, damit ein Betrieb seine Vertragsverpflichtungen gegenueber den Abnehmern erfuellen kann.

In Erwägung 32 des 7 DSGVO wird dargelegt, wie die Zustimmung klar und eindeutig erteilt wird. Sie besagt: "Schweigen, bereits angekreuztes Kontrollkästchen oder Inaktivität der betreffenden Personen sollte.... stellen keine Zustimmung dar. "Das heisst, eine einzige muss ihnen tatkräftig beipflichten. Stattdessen muss ein Interessent oder der Benutzer eines Angebotes einen Haken machen, wenn er der Übermittlung seiner Angaben zustimmt.

Nicht wegklicken " ein Haken entspricht nicht diesen Forderungen der DSGVO. Das Soft-Opt-In ist ebenfalls nicht mit der DSGVO kompatibel. Ferner wird der Benutzer ausdrücklich darauf aufmerksam gemacht, dass er mit der Weiterleitung seiner Angaben übereinstimmt. Nach der DSGVO ist dies keine Einwilligungserklärung. Oft wird gesagt: "Die DSGVO ist umfassend und gleichzeitig wenig detailliert".

Aber wie kann ein Betrieb die Zustimmung von Auftraggebern oder Interessierten bekommen, die den Anforderungen der grundlegenden Datenschutzverordnung nachkommt? Der Interessierte gibt in diesem Falle z. B. in einem Web-Formular an, dass er einen Rundbrief oder eine Information über bestimmte Produkte wünschen würde. Es ist jedoch zu berücksichtigen, dass der Benutzer diese Zustimmung zu jedem Zeitpunkt wiederrufen kann.

Die ausdrückliche Genehmigung der Adressinhaber, Werbeinformationen von einem konkreten Anbieter zu beziehen, entfällt in diesen FÃ?llen. Die Änderung der DSGVO im Rahmen der Einwilligungserklärung bezieht sich auf die Art und Weise, in der eine natürliche oder juristische Personen der Datenverarbeitung zustimmen können. Das gilt um so mehr, als ein Betrieb beweisen muss, dass eine bestimmte Personen der Datenverarbeitung zustimmen.

Nachweispflichtig ist § 7 Abs. 1 DSGVO. Experten empfehlen im Online-Bereich, die Zustimmung durch Doppel-Opt-In zu erwirken. Die Rückmeldung sollte einen Echtzeitstempel haben und in einer Datei gespeichert werden. Im Übrigen ist es nicht notwendig, bestehende Auftraggeber und Adressaten von Informationsmaterialien erneut um Zustimmung zur Verarbeitung zu bitten.

Dies ist auch die Ansicht des DÃ??sseldorfer Kreises, eines Gremiums der Datenschutzbehörden von Bund und LÃ?ndern. Die bereits erteilten Zustimmungen bleiben nach Ansicht der Sachverständigen bestehen, sofern sie der Bauart nach den Bestimmungen der DSGVO genügen. Zusammengefasst bedeutet die grundlegende Datenschutzverordnung keine einschneidenden Änderungen in Bezug auf die Einverständniserklärung. Es gibt jedoch einige Aufgabenstellungen, die in Betrieben auftreten können.

Einige Fallstricke gibt es auch in Bezug auf die Beweispflicht, das Verbot der Verknüpfung und die freiwillige Offenlegung persönlicher Angaben. Vor diesem Hintergrund ein Tipp: Wer keine eigenen Spezialisten für die DSGVO einsetzen kann, hat die Möglichkeit, ein IT- oder Systemhaus damit zu betrauen. So bietet Bechtle seinen Kundinnen und Kunden zertifizierte Datenschützer.

Diese helfen den Betrieben, die DSGVO mit einem Mindestmaß an Reibungsverlust einzuhalten. Gleiches trifft auf die Einholung der gesetzlichen Zustimmung zu, wenn persönliche Angaben zu verarbeiten sind. Die vom DSGVO für Verstöße vorgesehenen Sanktionen sind wesentlich strenger als die bisher verhängten.