Die Einwilligung zur Datenverarbeitung beschäftigt Unternehmen und Datenschützer gleichermaßen. Regelmäßig besteht der Irrglaube, hat man einmal die Unterschrift des Betroffenen, könne damit jede Datenverarbeitung gerechtfertigt werden. Doch dass Einwilligung nicht gleich Einwilligung ist, zeigt die folgende Entscheidung der österreichischen Datenschutzbehörde zu der vom jö Bonus Club genutzten Einwilligungserklärung für das Profiling seiner Teilnehmer.
Der Inhalt im Überblick
Die Einwilligung und der Datenschutz
Dreh- und Angelpunkt der Verarbeitung von personenbezogenen Daten ist in vielen Fällen die Einwilligung i.S.d. Art. 6 Abs. 1 S.1 lit. a DSGVO. Das liegt daran, dass die Ausgangslage im Datenschutzrecht ein Verbot mit Erlaubnisvorbehalt ist. Die Datenverarbeitung ist also generell verboten und nur erlaubt, wenn eine gesetzliche Vorschrift die Verarbeitung ausdrücklich erlaubt oder der Betroffene in die Verarbeitung eingewilligt hat. Da Erlaubnistatbestände rar gesät sind, bleibt insbesondere in Sachen Marketing oft nur die Einwilligung als rettender Strohhalm. Dabei sind aber insbesondere die Anforderungen des Art. 7 DSGVO nicht außer Acht zu lassen.
Dass beim Einholen der Einwilligung einiges schiefgehen kann, hat sich bereits in der Vergangenheit gezeigt. So erging gegenüber der AOK Baden-Württemberg ein Bußgeld in Höhe von 1.2 Mio. Euro, da die Einwilligungen durch die Kunden teilweise nicht eindeutig abgegeben und deren Daten von der AOK dennoch verarbeitet wurden. Und auch die Sparkasse hat so ihre Probleme mit der Einwilligung. Hier seien die Kunden unter Druck gesetzt worden. Die Einwilligungen sollen ihnen buchstäblich aufgeschwatzt worden sein. Eine ähnliche Strategie, nämlich das heimliche Unterjubeln von Einwilligungen, hatte netzpolitik jüngst bei Mobilfunkanbietern aufgedeckt. Auch alle diese Einwilligungen sind logischerweise unwirksam.
Wann liegt eine informierte Einwilligung vor?
Art 7 Abs. 2 der DSGVO regelt die Anforderungen, die an das Ersuchen der Einwilligung gestellt werden:
„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“
Entscheidend ist also, dass für den Einwilligenden verständlich ist, worin er einwilligt. Erwägungsgrund 32 der DSGVO spezifiziert dies weiter:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“
Wichtig ist also nicht nur, dass die Einwilligung freiwillig ist, sondern dass die Erklärung auch unmissverständlich ist. Dabei ist der gesamte Einwilligungsprozess relevant. Von dem Einwilligungsersuchen, das eindeutig und verständlich sein muss bis hin zur Erklärung selbst, die in informierter und unmissverständlicher Weise erfolgen soll.
Was schiefgehen kann
Die österreichische Datenschutzbehörde verhängte vor kurzem ein Bußgeld über 2 Mio. Euro gegenüber der zu Rewe gehörenden jö Bonus Club GmbH. Bei dem jö Bonus Club handelt es sich um ein Kundenbindungsprogramm wie bei Payback.
Im Rahmen des Kundenbindungsprogramms holte der jö Club Einwilligungen der Kunden ein, um Profiling betreiben zu können. Das Profiling betreibt das Unternehmen, laut eigenen Angaben, um Angebote auf die persönlichen Vorlieben und Bedürfnisse der Mitglieder anpassen zu können. Die Datenschutzbehörde gibt an, dass die für das Profiling eingeholten Einwilligungen aus dem Zeitraum Mai 2019 bis März 2020, die über Website und Flyer eingeholt wurden, unwirksam sind.
Grund für die Unwirksamkeit sei die Gestaltung des Einwilligungsverfahrens. In beiden Verfahren seien die Informationen zur Datenverarbeitung nicht direkt einsehbar gewesen. Auf der Website hätten Kunden zunächst scrollen müssen, wobei die Einwilligungserklärung direkt beim Aufruf der Seite hätte abgegeben werden können, ohne dass die Betroffenen zwingend die Informationen zur Datenverarbeitung, inklusive dem Hinweis auf das Profiling, hätten sehen müssen. Auch beim Flyer sei der Anschein erweckt worden, dass das am Ende des Formulars platzierte Unterschriftenfeld den Eindruck erweckte, die Betroffenen würden sich damit für den Bonusclub selbst anmelden. Tatsächlich wurde aber eine Einwilligung zum Profiling eingeholt.
Geht vom Profiling eine besondere Gefahr aus?
Gerade beim Profiling hätte ein besonderes Augenmerk auf die Informationen über die Datenverarbeitung gelegt werden müssen. Die Behörde betont im Rahmen des vorliegenden Falls, dass ein besonderes Risiko wegen des Profilings bestünde. Dies resultiere daraus, dass bestimmte Aspekte einer Person bewertet würden und eine Vorhersage über ihr Verhalten in der Zukunft getroffen werden kann. Gerade da die DSGVO Profiling nur in den eng gefassten Ausnahmetatbeständen des Art. 22 DSGVO erlaubt, sollte hier besonders vorsichtig vorgegangen werden. Was genau unter Profiling i.S.d. Art. 22 DSGVO zu verstehen ist, haben bereits in einem anderen Artikel zusammengefasst.
Welche Folgen kann die unwirksame Einwilligung haben?
An dem aufgeführten Fall zeigt sich, wie wichtig es ist, eine wirksame Einwilligung einzuholen. Eine dem Betroffenen um jeden Preis abgerungene Einwilligung, kann sich im Nachhinein als besonders tückisch erweisen. Auch wenn das durch die Behörde verhängte Bußgeld von 2 Mio. Euro im nachgehenden Gerichtsprozess aufgehoben oder gekürzt werden sollte, so ist für den jö Club vor allem ärgerlich, dass die im betroffenen Zeitraum abgegebenen Einwilligungen vorerst nicht mehr für das Profiling genutzt werden können. Entsprechend musste das Unternehmen die Profilierung bei Kunden aktuell einstellen, die ihre Einwilligung in dem betroffenen Zeitraum abgegeben haben. Dabei soll es insgesamt um ca. 2 Millionen Betroffene gehen. Eine beachtliche Summe an Menschen, an welche der jö Club aktuell keine den Vorlieben der Nutzer entsprechenden Angebote aussenden kann.
Um im Vorfeld zu verhindern, dass einem die Rechtsgrundlage für die Verarbeitung wegfällt und trotz einer eingeholten Einwilligung keine Datenverarbeitung möglich ist, sollte folglich vor Einholung von Einwilligungen umfassend geprüft werden, ob sämtliche Anforderungen erfüllt sind. Da das Thema komplex ist, empfiehlt es sich, den Datenschutzbeauftragten frühzeitig in derartige Vorhaben einzubinden.