Tobias Rothkegel - Praxishandbuch DSGVO

290

Der Widerruf der Einwilligung muss so einfach wie die Erteilungder Einwilligung sein, Art. 7 Abs. 3 S. 4 DSGVO. Gegen diese Bestimmung würde etwa verstoßen, wer für den Widerruf einer elektronisch im Internet gegebenen Einwilligung die strenge Schriftform verlangte. Für den Widerruf muss genau das gleiche Medium/Mittel bereitgestellt werden, welches für die Einholung der Einwilligung zum Einsatz kam.503

291

Art. 5 Abs. 2 DSGVO und Art. 7 Abs. 1 DSGVO erlegen dem Verantwortlichen eine Pflicht zum Nachweis der Einwilligung in die Verarbeitung der personenbezogenen Daten der betroffenen Person auf, sog. „ Rechenschaftspflicht“. Der Verantwortliche muss technische und organisatorische Maßnahmen treffen, mittels derer die Einholung der Einwilligung unter Einhaltung der in diesem Kapitel beschriebenen Rechtsmäßigkeitsanforderungen vollständig dokumentiertwird, Art 24 Abs. 1 S. 1 DSGVO.

292

Die grundsätzliche Formfreiheit einer Einwilligung wird in der Praxis somit faktisch erheblich eingeschränkt. Einer bloß mündlich erteilten Einwilligung zu vertrauen, wäre ohne geeignete Beweissicherungfahrlässig. Es genügt vor diesem Hintergrund auch nicht, in einem Customer-Relationship-Management-System nur zu vermerken, dass eine Einwilligung zu einem bestimmten Zeitpunkt gegeben wurde. Der Systemeintrag sollte vielmehr von vornherein mit dem jeweiligen Beleg verknüpft werden. Das könnten sein:

– Scans der unterzeichneten Einwilligungserklärungen und Verweis auf den Fundort des jeweiligen Originals,

– unterzeichnete Vertragsurkunden mit enthaltenen (angekreuzten) Einwilligungsklauseln und Verweis auf den Fundort des jeweiligen Originals,

– mit vorheriger Zustimmung der betroffenen Person aufgezeichnete telefonische Einwilligungen („Voice Recordings“), ggf. schriftliche Bestätigung,

– Protokoll einer elektronisch ereilten Einwilligung.

292a

Weitere technisch-organisatorische Maßnahmen sind angebracht, wenn man den EuGH im „Orange România“-Urteil504 beim Wort nimmt. Danach soll es für den Nachweis einer Einwilligungserteilung nicht ausreichen, dass ein Vertrag mit einer angekreuzten Einwilligungsklausel unterzeichnet wird, „ sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist “. Hielte man dies für relevant, müssten Verantwortliche Betroffene dazu anhalten, den Einwilligungstext laut vorzulesen und sich anschließend einem Verständnistestzu stellen. Der sorgfältige Beweissicherer würde diese Prozedere zumindest per Audioaufzeichnung dokumentieren. Hierfür wäre wiederum eine Einwilligung einzuholen, die ihrerseits dokumentiert werden müsste. Dass solche Anforderungen an den Beweis einer Einwilligung überzogen sind und auch nicht im Sinne des Datenschutzes sein können, liegt auf der Hand. Der Nachweis, dass ein Betroffener eine vorformulierte Einwilligung gelesen und verstandenhat, ist in der Praxis nicht zu führen. Zu berücksichtigen ist hier vielmehr der Rechtsgedanke, dass die Unterschrift einer Vertragsurkundefür deren Vollständigkeit und Richtigkeitstreitet und etwa vor deutschen Gerichten auch den vollen Beweis dafür begründet, dass die im Vertrag enthaltenen Erklärungen von den Unterzeichnern abgegeben sind, §§ 416, 440 Abs. 2 ZPO. Es ist zu hoffen, dass der EuGH diese fehlgeleitete Rechtsprechung bei nächster Gelegenheit entsprechend korrigieren wird.

Praxishinweis

Wer offline im Rahmen von Vertragsformularen Einwilligungen einholt, sollte die Einwilligungsklausel:

– in hervorgehobener Weise unmittelbar vor das Unterschriftsfeld setzen505 und

– nicht vom eigenen Personal für den Betroffenen, sondern von diesem selbst ankreuzen lassen506 oder

– von den anderen Vertragserklärungen isoliert in einem gesonderten Dokument mit eigenem Unterschriftsfeld platzieren (optimale Variante) und – vorsichtshalber mit dem Hinweis versehen, ob die Einwilligung für die Vertragserfüllung erforderlich ist oder nicht.507

293

In Zeiten der Digitalisierung ist die elektronische Einholungvon Einwilligungen von besonderer praktischer Bedeutung, aber mit Blick auf die Rechenschaftspflicht auch von hoher Fehleranfälligkeit geprägt. So reicht es nicht, aufzuzeigen, dass ein Nutzer mit einer IP-Adresse zu einem bestimmten Zeitpunkt eine Webseite besucht hat, auf der eine Einwilligung erteilt werden konnte.508 Voraussetzung für das Gelingen eines Nachweises und in Deutschland bisher auch für die Wirksamkeit elektronisch erklärter Einwilligungen509 ist vielmehr deren technische Protokollierung,510 d.h. die Speicherung von folgenden Parametern in einer Logdatei:

– Einwilligungstext und

– Anklicken einer Checkbox oder Schaltfläche und

– eingegebener Name des Einwilligenden oder ein sonstiges Identifikationsmerkmal und

– Eingabezeitpunkt („Timestamp“).

294

Zusätzlich empfiehlt sich eine Verifikation der Identität des Einwilligenden durch ein sog. Double-Opt-in-Verfahren.511 Dabei wird der betroffenen Person je nach konkretem Kontakt eine E-Mail oder eine SMS mit der Bitte um Bestätigung der online gegebenen Einwilligung geschickt und diese erst nach einer entsprechenden Reaktion als erteilt angesehen.

295

Die Gültigkeitsdauer der Einwilligung ist nach der Verordnung nur durch einen Widerrufbzw. bei Einwilligungen für Direktwerbung auch durch einen Widerspruch gemäß Art. 21 Abs. 2 DSGVO begrenzt. Einige Entscheidungen deutscher Gerichte,512 die nach altem Recht einen Verfall durch bloßen Zeitablauffür möglich gehalten haben, waren offensichtlich weniger rechtsdogmatisch, sondern überwiegend vom gewünschten Ergebnis eines möglichst hohen Betroffenenschutzes auf dem Gebiet der Belästigung durch Werbung geleitet. Davon abgesehen gibt es aber keine Grundlage für die Annahme, dass einmal gegebene Einwilligungen im Grundsatz nicht unbefristet gelten.513 Wer dennoch weitere Vorsorge treffen möchte, sollte in eine vorformulierte Erklärung ausdrücklich aufnehmen, dass die Einwilligung „ bis auf Widerruf“ erteilt wird. Der Europäische Datenschutzausschuss empfiehlt als überobligatorische „best practice“, die Einwilligung in angemessenen Zeitabständen zu erneuern.514 Aus verhaltensökonomischerPraktikersicht ist die Befolgung dieses Ratschlags jedoch keine allzu gute Idee. Denn wie Studien bewiesen haben, neigen Menschen in Entscheidungsprozessen irrationalerweise dazu, diejenige Option übermäßig zu bevorzugen, bei der sie keine aktive oder neue Entscheidung treffen müssen, sog. „Default Effect“ beziehungsweise „Status Quo Bias“.515 Die Wahl fiele somit bei einer Vielzahl der erneut Befragten auf ein Schweigen, mit dem die vormals noch in voller Kraft bestehende Einwilligung auf einen Schlag verloren wäre.

Checkliste Einwilligungserklärung516

– Auf klare Überschriften achten: „Einwilligung“ statt „Datenschutz“;

– keinen Raum für Missverständnisse geben: Opt-in statt Opt-out;

– Einwilligungen wenn möglich nicht an die Vertragserfüllung koppeln: Gewissheit statt Zweifel in Bezug auf die Wahlfreiheit des Betroffenen;

– Raum für Einwilligungen in verschiedene Verarbeitungsvorgänge geben: gesonderte statt General-Zustimmung;

– einfache Sätze ohne Fremdwörter bilden: Klartext statt „Fachchinesisch“;

– eindeutige Formulierungen verwenden: „Ich bin einverstanden“ statt „Mir ist bekannt“;