Anforderungen an vorformulierte Einwilligungserklärungen
Entscheidung der DSB vom 31. Juli 2018, GZ: DSB-D213.642/0002-DSB/2018,
rk
(Quelle: Newsletter der DSB, 4/2018)
Autor: Michael Schweiger, zert DSBA
Oft nutzen Firmen und Vereine „vermeintliche Grauzonen“ der DSGVO aus, um Marketing betreiben zu können. Ob die "Grauzone" dann grau bleibt, oder tatsächlich zur roten Ampel wird, und eine datenschutzwidrige Verarbeitung der personenbezogenen Daten vorliegt, stellt sich dann uU in einem amtswegigen Prüfverfahren vor der DSB heraus.
Die Österreichische Datenschutzbehörde hat im Juli 2018 in einem amtswegigen Prüfverfahren zu einem dieser Fälle entschieden, bei dem es um eine vorformulierte Einwilligungserklärung ging, die eine Datenverwendung für Marketingzwecke gestattete.
Das Formular.
Es wurden von einer Organisation (Verein) Formulare ausgeschickt, um neue Mitglieder
anzuwerben, welche in zwei Teile gegliedert waren:
1. personenbezogene Daten des neuen Mitglieds
2. betitelt mit „Ich werde neues Mitglied“
Im zweiten Teil findet sich unter dem Punkt „Information und Datenschutz“ eine vorformulierte Einwilligungserklärung, die (vermutlich von einem Verein) verwendet wurde, um von Mitgliedern die Einwilligung zur Zusendung von Informationen zu Marketingzwecken zu erhalten.
Die Entscheidung.
Eine vorgefertigte Einwilligung stellt grundsätzlich kein Problem dar, solange sie den Normen der DSGVO für (nachweisebare) Einwilligungserklärungen entspricht. Diese Kriterien finden sich u.a. in Art. 4 Z. 11 DSGVO und in Art. 7 Abs. 2 DSGVO:
„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.“
Die vorformulierte Einwilligung (im Text des Mitgliederaufnahmeformulars integriert) war wie folgt gestaltet:
Die Datenschutzbehörde stellt in der Entscheidung vor allem auf die Verständlichkeit ab:
„Da es sich um eine schriftliche Einwilligungserklärung handelt ist Art. 7 Abs. 2 Satz 1 DSGVO anwendbar und muss das Ersuchen um Einwilligung daher in verständlicher und leicht zugänglicher Form, in einer klaren Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist…“
Wenn man sich jedoch obige vorgefertigte Erklärung ansieht, bekommt man den Eindruck, dass man sich nur entscheiden kann, auf welche Art und Weise (Post, elektronisch, Telefon) man Werbung bekommt und nicht, ob man Werbung bekommt.
Dadurch, dass die Erläuterung der Möglichkeit eines Widerrufs direkt unter der Einwilligung platziert wurde, bekommt man als Leser erst recht den Eindruck,
dass man zustimmen muss und, wenn man will, später seine Einwilligung widerrufen kann. Eine solche „opt-out“- Lösung ist durch die DSGVO nicht gestattet. So kam die Datenschutzbehörde auch zum
Schluss, dass auch die Freiwilligkeit fragwürdig ist, und damit die Einwilligung
unzulässig ist.
Der Auftrag der DSB.
Die DSB hat sich entschieden, dem Beschwerdegegner, der das Formular benutzt hat, eine drei-monatige Frist zu gewähren, den datenschutzkonformen Zustand herzustellen.
Eine sehr einfache Lösung für dieses Problem wäre eine vierte Option mit „keine Werbung“ hinzuzufügen oder zu ergänzen: „Wenn ich keine Auswahl treffe, erhalte ich keine Werbezusendungen“, oder auch die Einwilligung zur Verwendung für Marketingzwecke separat von der Stammdatenerhebung der Mitglieder zu gestalten.
Kommentar schreiben