How-to-do: datenschutzrechtliche Einwilligungserklärung in Formularen

In der täglichen Praxis der Datenschutz­aufsichts­behörden fällt immer wieder auf, dass die Antragsvordrucke von Firmen, Versicherungen, Banken und anderen oftmals nicht dem Bundes­datenschutz­gesetz entsprechen. Sie werden in vielen Fällen als „Einwilligung“ bezeichnet, sind aber in Wirklichkeit als unabdingbare Vertragserklärungen bzw. allgemein geltende Geschäftsbedingungen einzustufen. Muss eine Erklärung abgegeben bzw. Vertragsbedingungen akzeptiert werden, um einen Vertrag abschließen zu können, hat die betroffene Person also gar keine freie Wahlmöglichkeit. Demnach handelt es sich nicht um eine datenschutzrechtliche Einwilligung nach § 4a BDSG, sondern um ein Vertragsangebot, das angenommen oder abgelehnt werden kann.

Im Folgenden werden verschiedene Punkte unter die Lupe genommen, bei denen häufige Fehler hinsichtlich der korrekten datenschutzgerechten Formulierung auftreten. Somit enthält diese Orientierungshilfe Hinweise zur Formulierung und Gestaltung von schriftlichen Einwilligungserklärungen nach §4a Bundesdatenschutzgesetz und elektronischen Texten nach dem Telemediengesetz (§13, Abs. 2 und 3).

 

Überschriften, Eindeutigkeit und Freiwilligkeit

 

1. Überschriften

Bereits die Überschriften sind häufig schon zu unklar. Oft ist dem Unterzeichnenden nicht klar, ob neben seiner hauptsächlichen Erklärung des Antrags noch zusätzlich eine datenschutzrechtliche Einwilligung abverlangt wird. Nach §4a BDSG weisen Überschriften den Antragssteller darauf hin, dass er mit der Unterzeichnung eine datenschutzrechtliche Einwilligung abgibt. Positivbeispiele hierfür sind:

• Einwilligungserklärung zum Datenschutz
• Datenschutzrechtliche Einwilligungsklausel
• Einwilligungserklärung nach dem Bundesdatenschutzgesetz

 

2. Eindeutigkeit

• Die Erklärung selbst ist nicht eindeutig formuliert. Es reicht nicht aus, wenn diese mit den Worten „Mir ist bekannt, dass…“ beginnt. Der Kunde ist sich an dieser Stelle nicht bewusst, dass er eine zusätzliche Erklärung abgibt.
• Die notwendige Klarheit besteht nur, wenn die Formulierung den Erklärungscharakter eindeutig zum Ausdruck bringt, wie beispielsweise:  „Ich willige ein, dass…“ oder „Mit der Unterschrift geben Sie Ihre Einwilligung, dass…“
• Außerdem muss es sich um eine bewusste Erklärung der betreffenden Person selbst handeln (opt-in). Schon vorangekreuzte Einwilligungserklärungen oder nur mit einer Streich-/Abwahl-Möglichkeit versehene Zustimmungen (opt-out) genügen dem grundsätzlich nicht.

 

3. Freiwilligkeit

Eine wirksame datenschutzrechtliche Einwilligung im Sinne von § 4a BDSG liegt nur dann vor, wenn diese freiwillig abgegeben werden und auch jederzeit widerrufen werden kann.

 

Hervorhebung, Platzierung und Zuordnung

 

4. Hervorhebung

Oft fehlt es in vorformulierten Einwilligungserklärungen an der gemäß § 4a Abs. 1 Satz 4 BDSG, die besonderen Hervorhebungen gegenüber anderen Textpassagen (z.B. Fettdruck, farbliche Gestaltung oder Umrahmung der Erklärung).

 

5. Platzierung

Die datenschutzrechtliche Einwilligungserklärung gehört als besondere, bzw. zusätzliche Willensäußerung der betreffenden Person in hervorgehobener Form grundsätzlich auf das eigentliche Antragsformular und dort in der Regel unmittelbar vor die Unterschrift. Besonders datenschutzfreundlich – und in einzelnen Fällen zwingend erforderlich – ist es, wenn im Formular für die datenschutzrechtliche Einwilligung eine gesonderte Unterschrift vorgesehen ist.

 

6. Trennung

In manchen Formularen werden die Datenschutzhinweise und –informationen nach § 4 Abs. 3 BDSG zu unabdingbaren Vertragsinhalten, bzw. allgemein geltenden Geschäftsbedingungen mit einer auf freiwilliger Basis abgefragten datenschutzrechtlichen Einwilligungserklärung nach § 4a BDSG vermischt. Die reinen Informationen über Datenverarbeitung auf der Grundlage von Gesetz auf der einen Seite und die freiwillige datenschutzrechtliche Einwilligungserklärung auf der anderen Seite müssen textlich getrennt dargestellt werden

 

7. Klare Zuordnung

Die ansonsten korrekt gestaltete datenschutzrechtliche Einwilligungserklärung soll nicht mit Datenverwendungen aufgebläht werden, die gar nicht einwilligungsbedürftig sind.

Daher ist eine klare Zuordnung zur Einwilligung einerseits und zu den Datenschutzinformationen nach § 4 Abs. 3 BDSG andererseits vorzunehmen.

 

Rund ums Thema Einwilligungen

 

8. Einwilligung bei besonderen Arten personenbezogener Daten

Soweit sich die Einwilligung auf besondere Arten personenbezogener Daten beziehen soll, ist dies bei der formularmäßigen Gestaltung der Erklärung zu beachten. Die Einwilligung muss ausdrücklich auch für diese besonderen Arten personenbezogener Daten erklärt werden.

 

9. Inhalt von Einwilligungen

Der Text der Einwilligungserklärung muss die betroffene Person klar und allgemein verständlich über die zu verarbeitenden Daten und den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung der Daten durch die verantwortliche Stelle informieren, ebenso über Widerrufsmöglichketen zu informieren.

 

10. Einwilligung bei Telemedienangeboten

Wird eine Einwilligung elektronisch im Rahmen eines Telemedienangebotes eingeholt (z.B. auf einer Webseite), so sind gemäß § 13 Abs. 2 und Abs. 3 TMG einige Besonderheiten zu beachten.

Der Dienstanbieter muss sicherstellen, dass

 

• Der Nutzer die Einwilligung bewusst und eindeutig erteilt hat
• Die Einwilligung protokolliert wird
• Der Nutzer den Inhalt der Einwilligung jederzeit abrufen und mit Wirkung für die Zukunft widerrufen kann.

 

11. Werbeeinwilligungen

Hierzu wird auf die ergänzenden Regelungen in § 28 Abs. 3a und 3b BDSG hingewiesen.