Datenschutz-Grundverordnung: Was passiert mit Alt-Einwilligungen?

Die Beschäftigung mit der Frage, ob bestehende Einwilligungen nach Inkrafttreten der DSGVO fortgelten, ist sicherlich sinnvoll. Jedoch hat die BiPRO-Tagung schon im letzten Jahr gezeigt, dass der Beschluss des Düsseldorfer Kreises Versicherer und Vermittler fälschlicherweise zu der Annahme verleiten kann, bisher erteilte Einwilligungserklärungen bedürften keiner weiteren Prüfung.

Damit werden nicht nur die Risiken einer weiteren Verwendung betagter Einwilligungen erheblich unterschätzt. Der Beschluss wird auch missverstanden.

Folgendes steht im Beschluss:

„Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (Erwägungsgrund 171 Satz 3 DSGVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.“

Hier werden gleich zwei Einschränkungen gemacht:

Einerseits muss es sich um „bisher rechtswirksame Einwilligungen“ handeln. Wer bisher datenschutzrechtlich ungeprüfte Einwilligungserklärungen verwendet, kann aus dem Beschluss nicht herleiten, dass diese rechtwirksam sind. Andererseits offenbart sich in der Verwendung des Adjektivs „grundsätzlich“, dass nicht im Allgemeinen von der Wirksamkeit ausgegangen werden darf. Ausnahmen sind demnach durchaus möglich, auch wenn der Beschluss diese nicht genauer definiert.

Auch der folgende Satz kann Unternehmen teuer zu stehen kommen, wenn sie glauben, der Düsseldorfer Kreis habe damit einen Freibrief für veraltete Einwilligungen gegeben: „Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DSGVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort ... .“

Gemeint sind damit die Bedingungen der Freiwilligkeit der Einwilligung („Kopplungsverbot“, Art. 7 Abs. 4 i.V.m. Erwägungsgrund 43 DSGVO) und der Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. mit Erwägungsgrund 38 DSGVO). Denn die Verwendung des Adjektivs „besondere“ bedeutet nicht weniger, als dass auch die übrigen Bedingungen der DSGVO in Bezug auf die Einwilligungserklärungen beachtet werden müssen.

Der Beschluss scheint zumindest in einem Punkt Klarheit für die Frage der Wirksamkeit bereits erteilter Einwilligungen zu geben. Dort heißt es: „Informationspflichten nach Art. 13 DSGVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen i.S. des genannten Erwägungsgrundes sind.“ Bei genauerer Ansicht der DSGVO kommen aber auch hier Zweifel auf.

Rechtsanwalt Jürgen Evers rät:

„Bisher eingeholte Datenschutz- Einwilligungserklärungen sollten noch vor dem 25. Mai geprüft und an die Vorgaben der Datenschutz-Grundverordnung angepasst werden.“

Denn in Art. 4 Nr. 11 DSGVO wird die Art der wirksamen Einwilligung definiert. Danach wird vorausgesetzt, dass der Betroffene „in informierter Weise“ seine Einwilligungserklärung abgibt. Die Informationspflichten nach Art. 13 DSGVO können somit nicht einfach als irrelevant für eine wirksame Einwilligungserklärung abgetan werden.

Der Beschluss erörtert die einzelnen Informationspflichten nicht auf ihre Relevanz für die Wirksamkeit der Einwilligung. Außerdem entsteht durch die Annahme, die Informationserteilung sei für diejenigen, die bereits Einwilligungserklärungen abgegeben haben, nicht notwendig, ein unterschiedlicher Rechtsmaßstab für zwei gleich schutzwürdige Personengruppen. Wer bereits eine Einwilligung nach dem alten Recht abgegeben hat, genießt danach weniger Schutz als derjenige, der sie erst unter Geltung der DSGVO abgibt.

Wenn also der Verpflichtete – zum Beispiel viele Versicherungsvermittler – erst unter Geltung der DSGVO einen Datenschutzbeauftragten bestellen müsste, an den sich der Betroffene wenden kann, erfahren Betroffene mit Alt-Einwilligung hiervon gar nichts. Denn gemäß Art. 13 Abs. 1 lit. b) DSGVO müssten sie nicht über den Datenschutzbeauftragten informiert werden (entsprechend dem Beschluss des Düsseldorfer Kreises). Folglich könnten Betroffene ihre Rechte gemäß Art. 38 Abs. 4 DSGVO unter Umständen nicht oder nur eingeschränkt wahrnehmen. Es ließe sich zwar vertreten, dass der Erwägungsgrund 171 der DSGVO nicht zwingend die Einhaltung der neuen Informationspflichten aus Art. 13, 14 DSGVO für die Fortgeltung von bestehenden Einwilligungserklärungen voraussetzt. Da bestehende Einwilligungserklärungen nach Erwägungsgrund 171 der DSGVO aber nur dann unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht, dürfte jedenfalls ein entsprechender Hinweis zum Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO) in Einwilligungserklärungen notwendig sein.

Auch stellt die DSGVO der Art nach weitere Anforderungen an die Einwilligungserklärungen, mit denen sich der Beschluss des Düsseldorfer Kreises nicht befasst. Zu nennen sind hier zum einen die Möglichkeit für den Betroffenen, unterschiedliche Erklärungen zu unterschiedlichen Vorgängen der Datenverarbeitung abgeben zu können; zum anderen das mögliche Ungleichgewicht zwischen Unternehmen und Betroffenem, wenn die Einwilligungserklärung als AGB vorgegeben ist. Dies kann dazu führen, dass die Einwilligung als unwirksam anzusehen ist.

Der Freude über den Beschluss des Düsseldorfer Kreises folgt also Ernüchterung. Denn über die Rechtswirksamkeit bestehender Einwilligungserklärungen sagt er gar nichts aus. Versicherer und Vermittler sollten daher eingeholte Einwilligungserklärungen unbedingt und vor dem Inkrafttreten der DSGVO an die Vorgaben der Verordnung anpassen. Hierfür bieten sich anstehende Kundentermine an oder aber, aufgrund der formalen Erleichterungen, die die DSGVO schafft, Lösungen online oder über mobile Endgeräte, zum Beispiel per App.

Jürgen Evers, Fon: 0421 696 77 0; Mail 

Bilder: (1) © Daniel Krasoń / fotolia.com (2) © EVERS Rechtsanwälte für Vertriebsrecht (3) © experten-netzwerk GmbH