Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Die Zukunft der Einwilligungserklärung

30. August 2017

Bereits vor etwa neun Monaten sind wir in einem Artikel ausführlich auf die Handhabung und die Rahmenbedingungen von Einwilligungserklärungen unter der DS-GVO eingegangen. Worauf dieser Artikel nicht einging, waren die Konsequenzen, die sich aus der Nutzung von Einwilligungserklärungen ergeben.

Nutzbarkeit ändert sich deutlich

Diese Konsequenzen sind in unseres Erachtens signifikant und daher einen eigenen Artikel wert, den wir hiermit nachholen. Eingehen wollen wir hauptsächlich auf die Fragestellung, ob und wie Einwilligungserklärungen zukünftig sinnvoll nutzbar sein werden.

Die Nutzbarkeit ist durch die DS-GVO deutlich eingeschränkt. Zunächst sind Einwilligungen zukünftig an strengere Voraussetzungen geknüpft (Stichwort: Informationspflichten). Darüber hinaus – und das ist in unseren Augen wirklich ein Show-stopper – sind Einwilligungserklärungen zukünftig durch den Betroffenen jederzeit und ohne Ausnahmen widerrufbar.

Jederzeit widerrufbar

Das hat zur Folge, dass eine Einwilligung eigentlich nicht mehr als dauerhafte und verlässliche Rechtsgrundlage angesehen werden kann. Natürlich ist sie eine valide Rechtsgrundlage, wird sie doch also solche in Art. 6 Abs. 1 Satz 1 lit. a DS-GVO also solche definiert. Nur kann man sich als für die Verarbeitung Verantwortlicher zukünftig nicht mehr darauf verlassen, dass sie nicht widerrufen wird. Basiert eine Verarbeitung nur auf einer Einwilligung als Rechtsgrundlage, so kann diese von jetzt auf gleich unzulässig werden.

Werbung? Bayern äußert sich

An dieser Stelle ein kurzer Einwurf zum Thema Werbung: Bislang war Werbung explizit im Bundesdatenschutzgesetz (BDSG) geregelt. In der DS-GVO sind hierzu nun keine spezifischen Regelungen enthalten. Damit kann auch für Werbung von der Einwilligung als bislang einzige Rechtsgrundlage abgewichen und beispielsweise auch eine Interessenabwägung genutzt werden. Das LDA Bayern hat sich hierzu bereits geäußert.

Nur noch Notlösung

Aber nicht nur für Werbung kann und sollte die Nutzung alternativer Rechtsgrundlagen in Betracht gezogen werden. Letztlich muss – soll eine dauerhaft valide Rechtsgrundlage existieren – die Einwilligung zukünftig zurücktreten und kann nur noch als Notlösung genutzt werden, sofern alle restlichen möglichen Rechtsgrundlagen nicht nutzbar sind. Für diese (vermutlich wenigen) Fälle werden zukünftig auch zusätzliche Mechanismen geschaffen werden müssen, um eingehende Widersprüche zuverlässig und dauerhaft zu beachten.

Das Risiko steigt

Aufgrund der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) wird in diesem Zusammenhang auch erhöhter Prüf- und Dokumentationsbedarf bestehen. Nicht beachtete Widerrufe von Einwilligungen werden zukünftig nicht mehr mit dem hohen Aufwand für deren unverzügliche Berücksichtigung begründet werden können. Nicht einmal, wenn nur Stunden zwischen Widerruf und dessen Nichtbeachtung liegen, sofern es sich um einen Online ausgeübten Widerspruch handelt.

Einwilligungen, die nicht nötig wären

An dieser Stelle noch ein Hinweis: Viele Unternehmen haben in Informationsblättern und Datenschutzerklärungen, welche in Papierform an betroffene Personen herausgegeben werden, am Ende eine Einwilligung der Form „Ich habe die Informationen zur Kenntnis genommen und bin einverstanden / Datum / Unterschrift“ integriert.

Diese bei reinen Informationsblättern eigentlich überflüssige Einwilligung könnte nun zum Problem werden, wenn betroffene Personen auf die Idee kommen sollten, sie zu widerrufen. In diesem Fall kann nämlich die betroffene Person davon ausgehen, dass der Widerruf auch wirksam ist und beachtet wird. Jetzt plötzlich auf eine andere Rechtsgrundlage „umzuschalten“ ist unseres Erachtens nicht zulässig. Der Grund dafür ist Art. 5 Abs. 1 lit. a („Verarbeitung nach Treu und Glauben“). Die Verarbeitung wäre in einem solchen Fall nicht mehr für die betroffene Person transparent und nachvollziehbar. 

Falls Sie mit Einwilligungen arbeiten ist jetzt der Zeitpunkt zum Handeln. Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Ausgestaltung der Einwilligungserklärungen.