Angaben bei Einwilligung und Datenschutzerklärung

RA Cornelius Matutis: Jede Website erhebt automatisch personenbezogene Daten (min. IP-Adresse und Uhrzeit des Website-Besuchs). Und jeder Unternehmer muss die Nutzer (Betroffene genannt) über die Daten, welche er erhebt, warum er diese erheben darf und die Rechte, welche der Betroffene hat, informieren. Bei einer Internetseite ist diese Information idealerweise durch eine von jeder Unterseite aus leicht erreichbare Datenschutzerklärung zu geben. Soweit darüber hinaus weitere Daten (z.B. ein Kontaktformular oder die Nutzung von Analysetools) erhoben oder verarbeitet werden, sind diesbezüglich zusätzliche Informationen zu geben.

Und da die Rechte der Betroffenen durch die DSGVO erweitert wurden und zugleich nun die Verpflichtung besteht die Rechtsgrundlage für die Datenverarbeitung anzugeben, ist jede alte Datenschutzerklärung am 25.5. Mai veraltet. Und nicht vorhandene oder veraltete Datenschutzerklärungen sind ein sehr einfach festzustellender Wettbewerbsverstoß. Hier liegt daher auch das größte Abmahnrisiko auf Grund der DSGVO.

RA Cornelius Matutis:  Die Datenschutzerklärung hat alle Angaben, die sich auf die Verarbeitung seiner personenbezogenen Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu enthalten. Das Muster einer solchen einfachen Datenschutzerklärung habe ich auf meiner Website unter https://agb-erstellen.eu/mustertext-datenschutz hinterlegt. Hier sind die Pflichtangaben aufgeführt, aber je nach Website und Datennutzung sind hier noch weitere Informationen zu geben.

RA Fabian Braches: Eine Datenverarbeitung darf nur dann erfolgen, wenn eine gesetzliche Norm es erlaubt, oder der Betroffene eingewilligt hat. In der Praxis sollte stets geprüft werden, ob die geplante Datenverarbeitung auf eine gesetzliche Norm gestützt werden kann. So kann die Datenverarbeitung zum Beispiel zulässig sein, wenn sie zur Durchführung eines Vertrages erforderlichist (Art. 6 Abs. 1 lit. b DSGVO) oder das Unternehmen berechtigte Interessen an der Verarbeitung hat und dabei schutzwürdige Interessen der Betroffenen nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Die Einwilligung (Art. 4 Nr. 11 DSGVO) kann ebenfalls eine Datenverarbeitung rechtfertigen (Art. 6 Abs. 1 lit. a DSGVO). Dennoch ist die Einwilligung in der Praxis das eher schlechtere Mittel der Wahl. Zu beachten ist, dass die Einwilligung regelmäßig mit Wirkung für die Zukunft widerrufen werden kann und daher eine spätere Datenverarbeitung unzulässig werden kann. Darüber hinaus muss eine Einwilligung ausdrücklich erklärt werden. Diese ausdrückliche Erklärung muss von dem Unternehmen dokumentiert werden und bei Anfragen nachgewiesen werden können. Das Unternehmen trifft also eine erhebliche Nachweispflicht. Weitere Problembereiche ergeben sich möglicherweise daraus, dass eine Einwilligung nicht freiwillig abgegeben wurde oder von Minderjährigen abgegeben wurde. Eine Einwilligung von Minderjährigen unter 16 Jahren ist jedoch nicht möglich. Auf das Mittel der Einwilligung sollte daher erst dann zurückgegriffen werden, wenn sich die Datenverarbeitung nicht auf eine gesetzt und stützen lässt.

RA Fabian Braches:  Die Einwilligung ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, das mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Aus dieser Definition ergeben sich die erforderlichen Inhalte:

• Hinweis auf die Freiwilligkeit (ohne Zwang oder Druck)
• Beschreibung des bestimmten Falles (Einwilligung zur Datenverarbeitung zu allen heute und in Zukunft relevanten Zwecke wäre unbestimmt und unwirksam)
• Klare und verständliche Information des Betroffenen (Wer möchte die Einwilligung haben? Für welchen konkreten Zweck sollen die Daten verarbeitet werden; Wann werden die Daten gelöscht, An wen werden die Daten weitergegeben etc.)
• Hinweis auf die Widerrufbarkeit der Einwilligung (Information des Betroffenen über jederzeitigen Widerruf der Einwilligung mit Wirkung für die Zukunft; ohne Angabe eines Grundes)
• Erfordernis einer eindeutig bestätigenden Handlung zur Einwilligung (z.B. schriftliche Erklärung, Ankreuzen einer Erklärung im Internet [sog. Opt-In]; ACHTUNG: Das Stehenlassen eines vorangehakten Kästchens im Internet [sog. Opt-Out] reicht nicht aus.)