Einloggen nicht vergessen oder Gratistest nutzen!

Sie können nur als eingeloggter User auf die Inhalte des Wissenspools zugreifen. Bitte loggen Sie sich deshalb mit Ihren Zugangsdaten ein oder bestellen Sie die VersicherungsPraxis24 über unser Registrierungsformular - selbstverständlich mit der Möglichkeit zum 4-Wochen-Gratistest!

39. KW: Datenschutz-Grundverordnung: Prüfung von Alt-Einwilligungen zu empfehlen

Nach einem Beschluss der im Düsseldorfer Kreis zusammengeschlossenen Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich sollen bereits erteilte Einwilligungen auch dann wirksam bleiben, wenn die Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 in Kraft tritt. Dies sollte Versicherer und Vermittler jedoch nicht zu der Annahme verleiten, Alt-Einwilligungen könnten ungeprüft übernommen werden.

Die Kernaussagen

Der Beschluss sagt nichts über Einwilligungen aus, die bisher datenschutzrechtlich nicht geprüft sind. Auch bisher rechtswirksame Einwilligungen können nach der DSGVO unwirksam sein. Besonders zu beachten sind die Freiwilligkeit der Einwilligung und die Altersgrenze. Sicher wirksam sind nur Einwilligungen, die alle Bedingungen der DSGVO erfüllen. Versicherungsnehmer müssen weiterhin in "informierter Weise" ihre Einwilligung abgeben.

Der Hintergrund

Dass sich der Düsseldorfer Kreis zur Fortgeltung von bestehenden Einwilligungen nach Inkrafttreten der DSGVO äußert, ist zu begrüßen. Die Diskussion etwa anlässlich der diesjährigen BiPRO-Tagung hat allerdings gezeigt, dass der Beschluss Versicherer und Vermittler zu der unzutreffenden Annahme verleiten kann, dass bisher erteilte Einwilligungserklärungen keiner weiteren Prüfung bedürfen. Damit wird der Beschluss nicht nur missverstanden. Noch wichtiger erscheint, dass damit die Risiken der weiteren Verwendung früherer Einwilligungen deutlich unterschätzt werden.

Der Beschluss des Düsseldorfer Kreises beruht auf dem Erwägungsgrund 171 Satz 3 der DSGVO, in dem es heißt, beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG , so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, sodass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Daraus hat der Düsseldorfer Kreise den folgenden Beschluss abgeleitet:

"Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (Erwägungsgrund 171 Satz 3 DSGVO (1) ). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen."

Der Beschluss enthält zwei Einschränkungen. Da es sich um "bisher rechtswirksame Einwilligungen" handeln muss, kann bei bislang datenschutzrechtlich ungeprüften Einwilligungen nicht davon ausgegangen werden, dass diese rechtwirksam sind. Eine weitere Einschränkung besteht in der Verwendung des Adjektivs "grundsätzlich". Es bedeutet, dass eben nicht im Allgemeinen von der Wirksamkeit ausgegangen werden kann, sondern Ausnahmen möglich sind. Diese bleiben im Beschluss jedoch unbenannt.

Auch der nachfolgende Teil des Beschlusses schränkt die Verwendung von Alt-Einwilligungen ein. Er lautet: "Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DSGVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:" Gemeint sind damit die Bedingungen in Gestalt der Freiwilligkeit der Einwilligung ("Kopplungsverbot", Art. 7 Abs. 4 (2) i.V.m. Erwägungsgrund 43 DSGVO (3) ) sowie der Altersgrenze von 16 Jahren (Art. 8 Abs. 1 (4) i.V.m. mit Erwägungsgrund 38 (5) DSGVO).

Zudem enthält der Beschluss eine weitere, nicht leicht zu erkennende, Einschränkung, die bei Nichtbeachtung schwerwiegende Folgen für Unternehmen haben kann. Sie liegt in der Verwendung des Adjektivs "besondere". Es bedeutet nicht weniger, als dass auch die übrigen Bedingungen der DSGVO in Bezug auf die Einwilligungserklärungen beachtet werden müssen.

Augenscheinlich gibt der Beschluss wenigstens in einem Punkt Klarheit für die Frage der Wirksamkeit bereits erteilter Einwilligungen. Dort heißt es: "Informationspflichten nach Art. 13 DSGVO (6) müssen dafür nicht erfüllt sein, da sie keine Bedingungen i.S. des genannten Erwägungsgrundes sind." Bei genauerem Hinblick, ist jedoch auch dies zumindest zweifelhaft. Denn in Art. 4 Nr. 11 DSGVO (7) wird die Art der wirksamen Einwilligung definiert. Dort wird voraussetzt, dass der Betroffene "in informierter Weise" seine Einwilligung gibt. Die Informationspflichten nach Art. 13 DSGVO können somit nicht ohne Weiteres als irrelevant für wirksame Einwilligungserklärungen angesehen werden. Der Beschluss enthält keine Aussage dazu, dass die einzelnen Informationspflichten nicht auf ihre Relevanz für die Wirksamkeit der Einwilligung geprüft worden sind. Außerdem entsteht durch die Annahme, die Informationserteilung sei für diejenigen, die bereits Einwilligungserklärungen abgegeben haben, nicht notwendig, ein unterschiedlicher Rechtsmaßstab für zwei gleich schutzwürdige Personengruppen. Wer bereits eine Einwilligung nach dem alten Recht abgegeben hat, genießt danach weniger Schutz als derjenige, der sie erst unter Geltung der DSGVO abgibt.

Wenn also der Verpflichtete - wie z.B. viele Versicherungsvermittler - erst unter Geltung der DSGVO einen Datenschutzbeauftragten bestellen müssen, an den sich der Betroffene wenden kann, erfahren Betroffene mit Alt-Einwilligung hiervon gar nichts. Denn gemäß Art. 13 Abs. 1 lit. b) DSGVO müssten sie nicht über den Datenschutzbeauftragten informiert werden (folgt man dem Beschluss des Düsseldorfer Kreises). Dies hätte jedoch zur Folge, dass Betroffene ihre Rechte gemäß Art. 38 Abs. 4 DSGVO (8) u.U. nicht wahrnehmen können oder dass die Wahrnehmung dieser Rechte zumindest eingeschränkt wäre. Es ließe sich zwar vertreten, dass der Erwägungsgrund 171 der DSGVO nicht zwingend die Einhaltung der neuen Informationspflichten aus Art. 13, 14 (9) DSGVO für die Fortgeltung von bestehenden Einwilligungserklärungen voraussetzt. Da bestehende Einwilligungserklärungen nach Erwägungsgrund 171 der DSGVO aber nur dann unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht, dürfte jedenfalls ein entsprechender Hinweis zum Widerrufsrecht des Art. 7 Abs. 3 Satz 3 DSGVO in Einwilligungserklärungen notwendig sein.

Die DSGVO schreibt zudem weitere Voraussetzungen für Einwilligungserklärungen vor, mit denen sich der Beschluss des Düsseldorfer Kreises nicht befasst. Zu nennen sind hier zum einen die Möglichkeit für den Betroffenen, unterschiedliche Erklärungen zu unterschiedlichen Vorgängen der Datenverarbeitung abgeben zu können; zum anderen das mögliche Ungleichgewicht zwischen Unternehmen und Betroffenem, wenn die Einwilligungserklärung als AGB vorgegeben ist. Dies kann dazu führen, dass die Einwilligung als unwirksam anzusehen ist.

Der Beschluss des Düsseldorfer Kreises sollte daher keine Veranlassung geben, sorglos zu sein. Denn über die Rechtswirksamkeit bestehender Einwilligungserklärungen sagt er nichts aus. Versicherer und Vermittler sollten daher eingeholte Einwilligungserklärungen dringend an die Vorgaben der DSGVO anpassen. Hierfür bieten sich anstehende Kundentermine oder Online-Lösungen bzw. Lösungen über mobile Endgeräte (z.B. per App) an - letzteres vor allem aufgrund der formalen Erleichterungen, die die DSGVO schafft.

Die verbleibende Zeit bis zum Inkrafttreten der DSGVO Ende Mai 2018 sollte jedenfalls nicht tatenlos verstreichen, sondern von Versichern und Vermittlern gleichermaßen genutzt werden, um für rechtssichere Einwilligungen zu sorgen.

 Siehe auch 

Thema der Woche - Archiv