CRM

DSGVO: Die Einwilligungserklärung, das unbekannte Wesen

Thiemo Sammern12.04.2017

Um Daten von Personen verarbeiten zu dürfen, muss die sogenannte „Rechtmäßigkeit der Verarbeitung“ vorliegen. Eine Möglichkeit zur Erlangung der Rechtmäßigkeit ist das Einholen einer entsprechenden Einwilligung bei der betroffenen Person.

Eine Einwilligung ist auch in den meisten Fällen notwendig, um mit der betroffenen Person telefonisch oder via E-Mail Kontakt aufzunehmen. Dies ist nicht direkt ein Datenschutzthema sondern wird in Österreich durch das Telekommunikationsgesetz bzw. in Deutschland durch das Telemediengesetz geregelt. Mit der kommenden ePrivacy Verordnung der EU wird auch dieser Bereich europaweit geregelt. Die bisher existierenden Entwürfe enthalten ebenfalls die Forderung zur Einwilligung durch die betroffene Person.

Wie sieht eine korrekte Einwilligungserklärung aus?

Eine korrekte Einwilligungserklärung wird also immer wichtiger. Daher ist es auch wichtig die formalen Kriterien zu kennen, die eine Einwilligungserklärung erfüllen muss. Diese erfordern durchaus etwas Überlegung bei der Umsetzung.

„Privacy by Default“ ist nicht erlaubt

Der Text der Einwilligungserklärung muss verständlich und in klarer, einfacher Sprache erfolgen und darf keine Voraussetzung zur Erfüllung eines Vertrages sein. So ist es auch nicht erlaubt bei Web-Formularen die entsprechende Checkbox bereits vorab anzuhaken, denn die Einwilligung muss eine eindeutige Willenserklärung der betroffenen Person sein. Diese Vorgabe ist in den Medien oft als „Privacy by Default“ beschrieben worden.

Nachweisbarkeit der Einwilligung

Das Unternehmen muss auch nachweisen können, dass eine Einwilligung abgegeben wurde. Dies sollte so umfangreich wie möglich geschehen, da es noch naturgemäß noch keine Rechtssprechung zu diesem Thema der DSGVO gibt. So ist in vielen CRM-Systemen (falls überhaupt) nur eine Checkbox „Einwilligung erhalten“ enthalten. Wichtig wäre aber auch die Information, wann und in welcher Form dies erfolgt ist. Idealerweise sollte diese Information auch nur unter genau definierten Bedingungen veränderbar sein und vom System protokolliert werden. Ebenso sollte ersichtlich sein, wie die entsprechende Einwilligungserklärung lautete. Daher sollte daran gedacht werden entsprechende Standardtexte zu formulieren, am besten in Zusammenarbeit mit einem Anwalt.

Wie ist mit bestehenden Einwilligungen umzugehen?

Bereits bestehende Einwilligungen von betroffenen Personen dürfen nur dann weiter verwendet werden, wenn sie die Kriterien der DSGVO erfüllen. Das dürfte bei vielen in Systemen gespeicherten Einwilligungen nicht der Fall sein. De facto bedeutet dies, dass Unternehmen möglichst rasch aktualisierte, der DSGVO entsprechende Einwilligungen bei den betroffenen Personen einholen sollten und diese Informationen korrekt abspeichern. Das erfordert auch oft technische Anpassungen an den beteiligten IT-Systemen wie z. B. zusätzliche Felder im CRM-System.

Informationsrecht der betroffenen Personen

Zusätzlich zu den Vorgaben für die Einwilligungserklärung ist das Unternehmen auch verpflichtet Informationen für die betroffene Person zur Verfügung zu stellen. Damit soll unter anderem sicher gestellt werden, dass die Person über ihre Rechte ausreichend informiert ist. Die Informationen müssen dabei bereits bei der Erhebung der Daten verfügbar bzw. einsehbar sein. Im Besonderen muss auch

  • über den Zweck der Datenverarbeitung,
  • die Dauer der Speicherung der Daten,
  • die allfällige Weitergabe von Daten an Dritte,
  • die Aufklärung über die Rechte,
  • Kontaktinformationen und
  • der Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Die Vielzahl von anzugebenden Informationen zeigt schon ein nächstes Problemfeld. Es wird recht schwer, die Informationen auf offline-Materialien wie z. B. Kärtchen zum händischen Ausfüllen vernünftig unterzubringen. Lösungen zur elektronischen Eingabe mit Tablets oder Websites können hier eine Alternative sein und erlauben darüber hinaus die automatische Prüfung der eingegebenen Daten und die Durchsetzung von Geschäftsregeln.

DSGVO: Ein Thema für das ganze Unternehmen

Das scheinbar einfache Thema der Einwilligungserklärung zeigt recht schön, wie viele verschiedene Stellen eines Unternehmens bzw. dessen Partner beim Thema Datenschutz zusammen arbeiten müssen. Von der Rechtsberatung für die Textierung und die Informationspflichten, über die Kreativabteilung zur Gestaltung, bis zu den IT-Partnern für Systemprozesse. Die Einwilligungserklärung ist aber natürlich nur ein (kleiner) Baustein in einem umfangreichen Konzept zur Erfüllung der Vorgaben der Datenschutzgrundverordnung. Es ist daher zu raten, das Thema Datenschutzgrundverordnung in einem Unternehmen als großes organisatorisches und technisches Projekt zu begreifen, für das möglichst bald Analysen und Umsetzungspläne erstellt werden sollten.

Mehr zur DSGVO

data.mill und COSMO CONSULT unterstützen Sie von beiden Seiten – rechtlich und systemseitig. Wir helfen Ihnen die rechtlichen Anforderungen praktisch im CRM-System umzusetzen und Ihr CRM DSGVO-fit zu machen. Fragen Sie jetzt einen kostenlosen Beratungstermin an.

Jetzt informieren

Über den Gastautor: Thiemo Sammern

COSMO CONSULT Blogautor Thiemo Sammern
COSMO CONSULT Blogautor Thiemo Sammern

Arbeitet seit mehr als 25 Jahren im IT-Bereich, davon die meiste Zeit im Bereich von Datenverarbeitungslösungen für Rechtsberufe, Direkt-Marketing und CRM und beschäftigt sich seit vielen Jahren mit allen Aspekten des Datenschutzes. Er ist Co-Founder der data.mill GmbH aus Salzburg, die unter anderem Kunden wie die BMW Group, RICOH, Physiotherm oder Atomic berät und betreut.

Beitrag teilen