Skip to main content

Was Einwilligungen wert sind

Der Begriff der „Einwilligung" spielt im Datenschutzrecht eine besondere Rolle. Denn das Bundesdatenschutzgesetz sieht für das Nutzen personenbezogener Daten anderer ein Verbot mit Erlaubnisvorbehalt vor. D.h. das Nutzen solcher Informationen ist grundsätzlich unzulässig, kann aber im Einzelfall und zu festgelegten Zwecken erlaubt sein. Erlaubt ist eine Nutzung personenbezogener Daten nur, wenn es dafür eine gesetzliche Grundlage gibt (z.B. eine Erfassungs- und Dokumentationspflicht) oder die Betroffenen der Nutzung zugestimmt haben; wenn sie also eine Einwilligung i.S.d. Datenschutzes abgegeben haben.

Hintergrund dafür ist das Recht auf informationelle Selbstbestimmung. Jeder soll über Speicherung und Nutzung seiner Daten frei entscheiden können.

Diese Einwilligung hat daher auf einer freien Entscheidung des Betroffenen zu beruhen und muss im Regelfall schriftlich sowie bezogen auf einen bestimmten Zweck abgegeben werden (§4a BDSG). Auch die Folgen einer Nicht-Einwilligung (z.B. das Nichtzustandekommens eines Geschäftes oder Vertrages) müssen aufgezeigt werden. Und hier beginnen die Dinge heikel zu werden. Denn wenn etwas Wichtiges wie z.B. ein Mietvertrag, eine neue Stelle usw. von dieser Einwilligung abhängt, kann ihre „Freiwilligkeit" rechtlich durchaus bezweifelt werden.

 Und so hat die Rechtsprechung auch im Laufe der Zeit den Standpunkt entwickelt, dass es z.B. Einwilligungen von Arbeitnehmern regelmäßig an der Freiwilligkeit mangelt, da sie in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Hier ist der Arbeitgeber auf der sicheren Seite, wenn er sich auf die Daten beschränkt, deren Erhebung und Nutzung für den Beginn, die Fortführung oder die Beendigung der Beschäftigung erforderlich sind (§ 32 BDSG). Dazu dürften Kontonummern, Adress- und Sozialversicherungsdaten mit Bestimmtheit zählen. Weniger jedoch umfängliche Persönlichkeitsprofile oder die Ergebnisse mal mehr, mal weniger seriöser psychologischer Tests. Ebenso kritisch ist der Umgang mit Bewerberdaten zu sehen, da auch hier (vorvertragliche) Abhängigkeitsverhältnisse und Machtungleichgewichte vorliegen. Der Bewerber will den Job – notfalls auch mit Abgabe umfangreicher medizinischer Testdaten und sachfremder Analysen ohne Bezug zur konkreten Tätigkeit.

Die Sache wird nicht unbedingt einfacher dadurch, dass es die Einwilligung auch an anderer Stelle in anderen Gesetzen gibt. So z.B. im § 13 des Telemediengesetzes (TMG), wo es allerdings um den speziellen Fall der Nutzung von elektronischen Informations- und Kommunikationsdiensten geht. Hier greift die Gesetzesrangfolge: Das Datenschutzgesetz regelt für Datenfragen das, was nicht in anderen spezielleren Normen geregelt ist. Es ist ein „Gesetz der letzten Instanz".

Datenschutzrechtliche Einwilligungen kommen im Geschäftsverkehr häufig durch schlüssiges (konkludentes) Handeln zustande. Da wird z.B. etwas in einem Online-Shop bestellt und dazu die Bestelladresse sowie Bankdaten zum Zweck der Bestellabwicklung und Bezahlung angegeben. Das sieht an sich bereits wie eine datenschutzrechtliche Einwilligung aus. Sie würde allerdings wegen der fehlenden Schriftlichkeit im Falle rechtlicher Probleme nicht als solche akzeptiert werden, auch wenn so tagtäglich Hunderttausende Geschäfte getätigt werden. Rechtliche Probleme – das können auch Abmahnungen und Unterlassungsklagen von Wettbewerbern oder Abmahnvereinen sein.

Worin besteht nun eigentlich das Problem mit diesen Einwilligungen? Nun, wenn die Einwilligung unwirksam weil nicht ordentlich zustande gekommen ist, ist auch die Verarbeitung und Nutzung der entsprechenden Daten illegal. Die zahlreichen Datenschutzverstöße der letzten eineinhalb Jahre sowie die Verschärfungen des gesetzlichen Datenschutzes zeigen, dass diesem Problem langsam aber zunehmend mehr öffentliche Aufmerksamkeit zukommen wird.

Dabei muss man sich bei der Planung entsprechender Geschäftsabläufe lediglich Folgendes vergegenwärtigen und es richtig umsetzen:

  1. Die Einwilligung wird vom Betroffenen freiwillig abgegeben.

  2. Er wurde klar auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten sowie die Folgen der Nichterteilung der Einwilligung hingewiesen.

  3. Er gibt seiner Einwilligung dazu schriftlich ab.

  4. Die Einwilligung zur Nutzung personenbezogener Daten ist in den Vertragsdokumenten oder geschäftlichen Unterlagen besonders hervorgehoben.

 

Diese Einwilligung kann vom Betroffenen natürlich später widerrufen werden. Um damit verbundene organisatorische Probleme zu vermeiden, sollten Geschäftsabläufe grundsätzlich datenarm organisiert werden (Prinzip der Datensparsamkeit und Datenvermeidung).

Für denjenigen, der eine solche Einwilligung abgibt, sollten sich aus den begleitenden Informationen die „6 W-Fragen der datenschutzrechtlichen Einwilligung" beantworten lassen:

 

  1. Willige ich in etwas ein?

  2. Warum mache ich das?

  3. Welche Daten werden dafür erhoben?

  4. Wozu werden diese erhoben?

  5. Was geschieht, wenn ich ablehne?

  6. Wer erhält die Daten und wozu?

 

Ein datenschutztechnisches Qualitätsmerkmal im Geschäftsleben besteht darin, dass Kunden, die Einwilligungen abgeben sollen, diese Fragen ohne weiteres Nachfragen aus den ihnen zur Verfügung gestellten Begleitinformationen beantworten können.

Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Prüfer und Spezialist für Softwarequalität.

 

Kontakt: http://www.guidostrunck.de/oder per Mail: Guido.Strunck@gmx.net



Ähnliche Beiträge



Keine Kommentare vorhanden


Sie haben eine Frage oder eine Meinung zum Artikel? Teilen Sie sie mit uns!

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*