In vielen Unternehmen herrscht immer noch der Irrglaube, mit Zustimmungserklärungen datenschutzrechtlich besonders rechtskonform zu agieren. Aber genau das Gegenteil ist der Fall. Vielfach werden Einwilligungserklärungen aus falsch verstandener Vorsicht oder Übereifer als Rechtfertigungsgrund gewählt, entsprechen dann aber oft gerade nicht den gesetzlichen Vorgaben.

Damit gehen Unternehmen und Organisationen ihren Kunden, Mitarbeitern und Nutzern auf die Nerven – und das ohne wirkliche Notwendigkeit. Einwilligungserklärungen sollten immer nur der letzte Ausweg sein und sind nur in den wenigsten Fällen auch tatsächlich unabdingbar.

Welcher Webseitenbesucher, Newsletter-Abonnent, Kunde oder Mitarbeiter wurde im letzten Jahr nicht dazu "bewegt", eine datenschutzrechtliche Einwilligungserklärung zu unterschreiben oder der Verarbeitung seiner Daten (nochmals) zuzustimmen?

Und oft ist es so: Ohne Abgabe der Einwilligungserklärung können bestimmte Leistungen gar nicht mehr oder nur mit Einschränkungen in Anspruch genommen werden. Die Einwilligung ist dann aber nicht "freiwillig" erteilt worden, und somit nicht gültig.

Unfreiwilliges Einverständnis

Einige Beispiele: Die Teilnahme an Kundenkartenprogrammen soll nur möglich sein, wenn man auch der Verarbeitung der personenbezogenen Daten zu diesen oder anderen Zwecken zustimmt. Viele Webseiten sind ohne Akzeptieren des Cookie-Banners nicht sinnvoll navigierbar, da der Cookie-Banner genau über dem Navigationsmenü liegt.

Kranke Kinder werden im Krankenhaus nicht behandelt, wenn die Eltern nicht vorher beim Portier oder bei der Aufnahme eine datenschutzrechtliche Einwilligungserklärung unterschreiben. Behandlungsvorgänge werden davon abhängig gemacht, dass der Patient vorher auch diverse Einwilligungserklärungen abgibt.

Dass solche Einwilligungen nicht "freiwillig erteilt" sind, liegt auf der Hand. Wer in Gruppenpraxen nur eine Einwilligungserklärung abgeben musste, zählte zu den Glücklichen. Besonders beliebt waren im Gesundheitsbereich auch datenschutzrechtliche Einwilligungserklärungen zur unverschlüsselten Übermittlung von Befunden an Dritte.

Die Datenschutzbehörde hat dazu bereits im November entschieden, dass derartige Einwilligungen zu mangelnden Sicherheitsmaßnahmen unzulässig sind und deren Verwendung daher zu unterlassen ist.

Balken auf den Klassenfotos

In einigen Kindergärten und Schulen mussten Eltern in die Verarbeitung von Daten ihrer Kinder etwa beim Anfertigen von Porträt- oder Klassenfotos einwilligen. Ohne Einwilligung werden die Kinder auch schon mal aus den Klassenfotos gestrichen oder mit einem schwarzen Balken versehen.

Solche – meist gar nicht notwendige – Einwilligungen sind nie und nimmer freiwillig. Dazu kommt: Die Erklärungen der Eltern sind datenschutzrechtlich ohnehin irrelevant. Einwilligen in die Datenverarbeitung kann rechtsgültig nur das Kind selbst, und das rechtssicher erst ab 14 Jahren.

Neben der Tatsache, dass meist ohnedies andere Rechtfertigungsgründe möglich sind, die dem Betroffenen gerade keine aktive Handlung abfordern, steht ein Unternehmen bei nicht gültigen Einwilligungserklärungen vor zwei Problemen: Zunächst wird eine andere rechtskonforme Rechtsgrundlage benötigt, da die Einwilligung als Rechtfertigung mangels Freiwilligkeit ja ausscheidet.

Selbst wenn das Unternehmen einen "zweiten" Rechtfertigungsgrund findet, wurde der Kunde über den falschen Rechtfertigungsgrund informiert, und somit liegt ein Verstoß gegen die datenschutzrechtliche Informationspflicht vor.

Überforderung

Die meisten Unternehmen sind zwar sichtlich bemüht, die Datenschutz-Vorgaben zu implementieren. Aber gerade kleine Unternehmen sind damit wohl oft überfordert. Nur die Muster der Kammern ohne Einzelprüfung zu verwenden oder von anderen "abzuschreiben" reicht halt nicht aus.

Als Unternehmen: Überlegen Sie sich genau, für welche Verarbeitungsfälle Sie eine datenschutzrechtliche Einwilligung benötigen und in welchen Fällen Sie auch mit einem anderen Rechtfertigungsgrund auskommen. Das erhöht die Kundenzufriedenheit und reduziert das Risiko fehlgeleiteter Datenschutz-Compliance.

Als Betroffene: Fragen Sie immer nach den Konsequenzen, wenn Sie eine datenschutzrechtliche Einwilligungserklärung nicht unterschreiben wollen. Können Sie dann eine bestimmte Leistung nicht mehr beziehen und gibt es auch keine gleichwertige Alternative ohne Einwilligung, dann können Sie diese Einwilligungserklärung auch guten Gewissens unterschreiben: Die Einwilligung ist mangels Freiwilligkeit ohnedies nicht gültig. (Gernot Fritz, Wirtschaft & Recht Spezial, 23.5.2019)