Die rechtmäßige Datenverarbeitung ist nach der Datenschutz-Grundverordnung das Gebot der Stunde. Hohe Strafen drohen.
Jeden Tag willigen Personen in die Verarbeitung ihrer Daten ein - sei es bei der Anmeldung einer Kundenkarte oder beim Abonnement eines Newsletters. In all diesen Fällen sind ab 25. Mai 2018 die Vorgaben der Datenschutz-Grundverordnung der EU (DSGVO) zu beachten.
Fehler bei der Einholung einer solchen Einwilligung können Unternehmen künftig teuer zu stehen kommen. Wird nämlich gegen die DSGVO verstoßen, ist nicht nur die Einwilligung ungültig, es drohen auch Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes (je nachdem, welcher Betrag höher ist). Auch Unterlassungs- und Schadenersatzansprüche können folgen, sodass die Datenverarbeitung gegebenenfalls zum Minusgeschäft wird. Das Ersuchen um Einwilligung hat in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu erfolgen. Was das im Detail heißt, sagt die DSGVO nicht. Klar ist aber, dass bei der Gestaltung der Einwilligungserklärung sowohl auf eine konzise, verständliche Formulierung als auch auf eine geeignete Positionierung zu achten ist.
Eine Schlüsselstellung nimmt die Information der Betroffenen ein. Es kann nur jene Person wirksam einwilligen, der die Bedeutung ihrer Erklärung klar ist. Wer für die Datenverarbeitung verantwortlich ist, muss daher dafür sorgen, dass jeder Betroffene insbesondere darüber aufgeklärt wird, warum und wofür seine Daten verarbeitet werden.
Ferner sind Betroffene vor Abgabe der Einwilligung über alle Rechte zu informieren, die ihnen nach der DSGVO zustehen. Dazu zählt auch das Recht, eine Einwilligung jederzeit widerrufen zu können. Die bis zum Widerruf erfolgten Verarbeitungen bleiben aber rechtmäßig. Der Widerruf muss so einfach wie die Einwilligung sein und darf nicht mit Nachteilen für den Betroffenen verbunden werden. Die DSGVO stellt klar, dass Stillschweigen oder Untätigkeit nicht als Einwilligung gelten - hier mangelt es an der Freiwilligkeit. Bedeutung hat dies etwa für die bekannten Kästchen, die aktiv anzukreuzen sind, wenn man seine Einwilligung in eine Datenverarbeitung geben möchte. Diese dürfen nicht standardmäßig vorab angekreuzt sein. Für Kinder bestehen im Onlinebereich Sonderregeln: Erst ab 16 Jahren können diese selbst in eine Datenverarbeitung einwilligen. Davor ist die Zustimmung der Eltern nötig. Vor allem Social-Media-Plattformen sollten also künftig besonderes Augenmerk auf das Alter ihrer Nutzer legen. Die DSGVO lässt hier sogar eine Absenkung auf 13 Jahre zu, was bedeutet, dass die Situation in jedem EU-Mitgliedstaat anders sein kann. Nach aktuellem Stand nimmt der österreichische Gesetzgeber eine Absenkung auf 14 Jahre vor.
Angesichts der großen praktischen Bedeutung von Einwilligungserklärungen sollten Unternehmen diese prüfen und gegebenenfalls an die DSGVO anpassen.