Typische Praxisprobleme bei der datenschutzrechtlichen Einwilligungserklärung

Unternehmen sollten Mitarbeiter entsprechend schulen und sensibilisieren

Von unserem Gastautor Dr. Sami Bdeiwi

[datensicherheit.de, 06.12.2013] Bekanntlich gilt im deutschen Datenschutzrecht, gleich ob es sich um das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) oder das Telekommunikationsgesetz (TKG) handelt, das sog. Verbot mit Erlaubnisvorbehalt. D.h., das Erheben, Verarbeiten und Nutzen personenbezogener Daten – nach der Legaldefinition des § 3 Abs. 1 BDSG sind dies „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ – ist grundsätzlich verboten, es sei denn, es ist gesetzlich erlaubt oder die jeweils betroffene Person hat dazu eingewilligt. Eine datenschutzrechtliche Einwilligungserklärung ist also nur dann erforderlich, wenn kein gesetzlicher Erlaubnistatbestand vorliegt. Da in der Praxis häufig kein Erlaubnistatbestand (bspw. Datenerhebung und -speicherung für eigene Geschäftszwecke gem. § 28 BDSG) vorliegt, ist die praxisrelevanteste Frage, ob der jeweils Betroffene gemäß § 4a Abs. 1 BDSG wirksam in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten eingewilligt hat. Im nachfolgendem Kurzbeitrag werden typische Praxisprobleme einer solchen datenschutzrechtlichen Einwilligungserklärung aus rechtlicher Sicht aufgezeigt sowie hilfreiche Praxishinweise gegeben.

I. Die datenschutzrechtliche Einwilligungserklärung

Gemäß § 4a Abs. 1 BDSG ist eine Einwilligung nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, mithin freiwillig ist. Der Betroffene ist dabei auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Darüber hinaus bedarf die Einwilligung grds. der Schriftform – abgesehen bei Telemedien (dazu sogleich mehr) –, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

II. Typische Praxisprobleme

Typisches Praxisproblem ist eine sog. pauschale Einwilligungserklärung. Eine Einwilligungserklärung kann z.B. dann unwirksam sein, wenn sie Bereiche umfasst, die ohnehin erlaubt sind. Dies könnte im Einzelfall dann zum einen zur Wettbewerbswidrigkeit (Werbung mit Selbstverständlichkeiten) führen, zum anderen könnte eine solche (irreführende) Einwilligung mangels Transparenz nach AGB-rechtlichen Grundsätzen unwirksam sein (§ 307 Abs. 1 S. 2 BGB).
Ein weiteres Praxisproblem ist die Opt-In bzw. Opt-Out-Lösung. Zwar hat der Bundesgerichtshof zuletzt entschieden (BGH, Urteil v. 16. Juli 2008; Az.: VIII ZR 348/06 – Payback und BGH, Urteil v. 11. November 2009; Az.: VIII ZR 12/08 – Happy Digits), dass eine Opt-Out-Erklärung bei Beachtung des Hervorhebungserfordernisses des § 4 a Abs. 1 BDSG zulässig sein kann, jedoch kann eine Opt-Out-Erklärung gegen § 7 Abs. 2 Nr. 3 UWG („ausdrückliche Einwilligung“) verstoßen, mithin wettbewerbswidrig sein. Rechtsfolgen wären bereits deswegen Unterlassungs-, Auskunfts- und Schadensersatzansprüche.
Auch ist das sog. Koppelungsverbot ein typisches Praxisproblem. Bspw. nach § 28 Abs. 3 b BDSG darf generell kein Vertragsschluss davon abhängig gemacht werden, dass in die Verarbeitung oder Nutzung der Daten zu vertragsfremden Zwecken (Adresshandel oder Werbung) eingewilligt wird. Gesetzliche Koppelungsverboten finden sich auch in § 95 Abs. 5 TKG, § 41 Abs. 4 PostG und § 30 BbgDSG.
Darüber hinaus kommt in Betracht ein Verstoß wegen Verknüpfung mit einem Gewinnspiel, wenn bspw. eine pauschale Einwilligungserklärung vorliegt (so das OLG Köln, Urteil v. 29. April 2009, 6 U 218/08).

III. Einwilligung nach TMG und TKG

Sollte es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste (§ 1 Abs. 1 TKG) handeln, ist nach § 13 Abs. 2 TMG die datenschutzrechtliche Einwilligungserklärung entgegen § 4 a BDSG ausdrücklich elektronisch zulässig, wenn der Diensteanbieter sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer der Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dabei muss der Dienstanbieter nach § 13 Abs. 3 TMG auf die Rechte des Nutzers nach Abs. 3 Nr. 4 (Widerrufsmöglichkeit) hinweisen und der Hinweis muss für den Nutzer jederzeit abrufbar sein (Verschärfung gegen Nr. 4 a BDSG).

Praxishinweis: Hinsichtlich des TMG darf ferner nicht übersehen werden, dass § 13 Abs. 1 TMG dem Diensteanbieter Informationspflichten auferlegt, indem er den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies kann bspw. in einer Datenschutzerklärung geschehen, die dann auch, sollten die Voraussetzungen des § 13 Abs. 2 TMG eingehalten werden, die datenschutzrechtliche Einwilligung darstellt.

Bei einer Einwilligung nach TKG muss nach § 94 der Dienstanbieter sicherstellen, dass der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Teilnehmer oder Nutzer der Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

IV. Exkurs: Rechtsfolgen von Datenschutzverstößen

Neben Imageschäden (negative Presse / shitstorm) sowie Ansprüchen einzelner betroffener Personen (Auskunft und Datenkorrektur, namentlich Berichtigung, Löschung, Sperrung und Gegendarstellung, sowie Schadensersatz) drohen bei Datenschutzverstößen – Erheben, Verarbeiten oder Nutzen personenbezogene Daten (also keine Anonymisierung und keine Pseudonymisierung), kein Erlaubnistatbestand, keine datenschutzrechtliche Einwilligungserklärung –  insbesondere auch Bußgelder bis zu 300.000,00 EUR sowie ggf. auch die Einleitung eines Strafverfahrens, ferner droht auch eine Eigenhaftung der Unternehmensleistung.

Praxishinweis: Da das Oberlandesgericht in Hamburg mit Urteil vom 27. Juni 2013 (Az.: 3 U 26/12) entschieden hat, dass Datenschutzverstöße auch wettbewerbswidrig sein können, droht auch ein wettbewerbswidriges Handeln mit der Folge zusätzlich auf Unterlassung, Auskunft und Schadensersatz in Anspruch genommen zu werden.

V. Fazit

Sind die ersten beiden Stufen einer datenschutzrechtlichen Verletzung – Erheben, Verarbeiten oder Nutzen personenbezogene Daten (also keine Anonymisierung und keine Pseudonymisierung) sowie kein Erlaubnistatbestand – gegeben, ist in der Praxis besonderes Augenmerk auf die datenschutzrechtliche Einwilligungserklärung zu legen, unabhängig davon, ob das BDSG, das TMG oder das TKG einschlägig ist. Aus anwaltlicher Sicht bleibt daher schlichtweg zu empfehlen, die verantwortlichen Mitarbeiter entsprechend zu schulen und zu sensibilisieren. Zauberwort ist insofern Compliance. Schließlich ist zumindest aus wettbewerbsrechtlicher Sicht zwingend der Opt-In-Lösung mit einer nicht angekreuzten Checkbox der Opt-In-Lösung der Vorzug zu geben.

Foto: Kanzlei volke2.0., Lünen

Rechtsanwalt Dr. Sami Bdeiwi

Der Autor:

Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er berät u.a. Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®