Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 142

291

Art. 5 Abs. 2 DSGVO und Art. 7 Abs. 1 DSGVO erlegen dem Verantwortlichen eine Pflicht zum Nachweis der Einwilligung in die Verarbeitung der personenbezogenen Daten der betroffenen Person auf, sog. „Rechenschaftspflicht“. Der Verantwortliche muss technische und organisatorische Maßnahmen treffen, mittels derer die Einholung der Einwilligung unter Einhaltung der in diesem Kapitel beschriebenen Rechtsmäßigkeitsanforderungen vollständig dokumentiert wird, Art 24 Abs. 1 S. 1 DSGVO.

292

Die grundsätzliche Formfreiheit einer Einwilligung wird in der Praxis somit faktisch erheblich eingeschränkt. Einer bloß mündlich erteilten Einwilligung zu vertrauen, wäre ohne geeignete Beweissicherung fahrlässig. Es genügt vor diesem Hintergrund auch nicht, in einem Customer-Relationship-Management-System nur zu vermerken, dass eine Einwilligung zu einem bestimmten Zeitpunkt gegeben wurde. Der Systemeintrag sollte vielmehr von vornherein mit dem jeweiligen Beleg verknüpft werden. Das könnten sein:

 – Scans der unterzeichneten Einwilligungserklärungen und Verweis auf den Fundort des jeweiligen Originals,

 – unterzeichnete Vertragsurkunden mit enthaltenen (angekreuzten) Einwilligungsklauseln und Verweis auf den Fundort des jeweiligen Originals,

 – mit vorheriger Zustimmung der betroffenen Person aufgezeichnete telefonische Einwilligungen („Voice Recordings“), ggf. schriftliche Bestätigung,

 – Protokoll einer elektronisch ereilten Einwilligung.

292a

Weitere technisch-organisatorische Maßnahmen sind angebracht, wenn man den EuGH im „Orange România“-Urteil504 beim Wort nimmt. Danach soll es für den Nachweis einer Einwilligungserteilung nicht ausreichen, dass ein Vertrag mit einer angekreuzten Einwilligungsklausel unterzeichnet wird, „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Hielte man dies für relevant, müssten Verantwortliche Betroffene dazu anhalten, den Einwilligungstext laut vorzulesen und sich anschließend einem Verständnistest zu stellen. Der sorgfältige Beweissicherer würde diese Prozedere zumindest per Audioaufzeichnung dokumentieren. Hierfür wäre wiederum eine Einwilligung einzuholen, die ihrerseits dokumentiert werden müsste. Dass solche Anforderungen an den Beweis einer Einwilligung überzogen sind und auch nicht im Sinne des Datenschutzes sein können, liegt auf der Hand. Der Nachweis, dass ein Betroffener eine vorformulierte Einwilligung gelesen und verstanden hat, ist in der Praxis nicht zu führen. Zu berücksichtigen ist hier vielmehr der Rechtsgedanke, dass die Unterschrift einer Vertragsurkunde für deren Vollständigkeit und Richtigkeit streitet und etwa vor deutschen Gerichten auch den vollen Beweis dafür begründet, dass die im Vertrag enthaltenen Erklärungen von den Unterzeichnern abgegeben sind, §§ 416, 440 Abs. 2 ZPO. Es ist zu hoffen, dass der EuGH diese fehlgeleitete Rechtsprechung bei nächster Gelegenheit entsprechend korrigieren wird.

Praxishinweis

Wer offline im Rahmen von Vertragsformularen Einwilligungen einholt, sollte die Einwilligungsklausel:

 – in hervorgehobener Weise unmittelbar vor das Unterschriftsfeld setzen505 und

 – nicht vom eigenen Personal für den Betroffenen, sondern von diesem selbst ankreuzen lassen506 oder

 – von den anderen Vertragserklärungen isoliert in einem gesonderten Dokument mit eigenem Unterschriftsfeld platzieren (optimale Variante) und – vorsichtshalber mit dem Hinweis versehen, ob die Einwilligung für die Vertragserfüllung erforderlich ist oder nicht.507

293

In Zeiten der Digitalisierung ist die elektronische Einholung von Einwilligungen von besonderer praktischer Bedeutung, aber mit Blick auf die Rechenschaftspflicht auch von hoher Fehleranfälligkeit geprägt. So reicht es nicht, aufzuzeigen, dass ein Nutzer mit einer IP-Adresse zu einem bestimmten Zeitpunkt eine Webseite besucht hat, auf der eine Einwilligung erteilt werden konnte.508 Voraussetzung für das Gelingen eines Nachweises und in Deutschland bisher auch für die Wirksamkeit elektronisch erklärter Einwilligungen509 ist vielmehr deren technische Protokollierung,510 d.h. die Speicherung von folgenden Parametern in einer Logdatei:

 – Einwilligungstext und

 – Anklicken einer Checkbox oder Schaltfläche und

 – eingegebener Name des Einwilligenden oder ein sonstiges Identifikationsmerkmal und

 – Eingabezeitpunkt („Timestamp“).

294

Zusätzlich empfiehlt sich eine Verifikation der Identität des Einwilligenden durch ein sog. Double-Opt-in-Verfahren.511 Dabei wird der betroffenen Person je nach konkretem Kontakt eine E-Mail oder eine SMS mit der Bitte um Bestätigung der online gegebenen Einwilligung geschickt und diese erst nach einer entsprechenden Reaktion als erteilt angesehen.