Die DSGVO (VO 679/2016, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) tritt mit 25.5.2018 in Geltung und wirft bereits ihre Schatten voraus.

Diese kurze Darstellung soll erklären, ob und inwieweit Zustimmungen, die nach der „alten Rechtslage“, dh Datenschutzgesetz 2000 (DSG) erteilt wurden, als Grundlage für eine rechtmäßige Datenverarbeitung nach Geltungsbeginn der DSGVO verwendet werden können, oder „ungültig“ werden.

Aus dem Leitfaden der österreichischen Datenschutzbehörde ergibt sich, dass erteilte Einwilligungen gültig sein können, wenn diese den Regelungen der DSGVO entsprechen (siehe insbes. Seite 15f):

„Ich habe für eine Datenverarbeitung die Einwilligung von Betroffenen (z.B. Kunden) eingeholt. Ändert sich durch die DSGVO etwas daran?

Sofern eine eingeholte Einwilligung den Voraussetzungen von Art. 7 DSGVO entspricht, ändert sich nichts. Gegebenenfalls sind Einwilligungen erneut einzuholen.“

Doch was heißt das für die Praxis? Wie ist mit dieser Vorgabe umzugehen?

Bisher waren die Sanktionen für nicht gesetzeskonforme Datenverarbeitung moderat, doch ab 25.5.2018 drohen hohe Geldbußen, wenn keine Einwilligung vorliegt, sollte diese als Grundlage für die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten natürlicher Personen verwendet werden.

Eine Datenverarbeitung ohne die notwendige Einwilligung als Grundlage für die Rechtmäßigkeit (siehe Art. 6 (1) lit a DSGVO) iSd Art. 7 DSGVO steht unter der Strafdrohung von 4 % des Gesamtumsatzes bzw. EUR 20.000.000,-- (siehe Art. 83 (5) lit a DSGVO).

Ob und in welcher Form Einwilligungen „weitergelten“ ist daher für Unternehmen, die sich auf die Einwilligung als Grundlage für die Rechtmäßigkeit der Datenverarbeitung stützten, von grundsätzlicher Bedeutung.

Die DSGVO normiert in Art. 6 Abs (1) lit a DSGVO, dass die „Einwilligung“ als Grundlage für die Rechtmäßigkeit einer Verarbeitung von personenbezogenen Daten natürlicher Personen verwendet werden kann.

Eine Verarbeitung von personenbezogenen Daten natürlicher Personen ist nur rechtmäßig, wenn (mindestens) eine der Voraussetzungen des Art. 6 Abs (1) DSGVO erfüllt ist; unter lit. a des Art. 6  Abs (1) DSGVO ist die „Einwilligung“ („consent“ in der englischen, authentischen Sprachfassung) als mögliche Voraussetzung für die Verarbeitung normiert.

 In der DSGVO findet sich in ErwG 171 ein Hinweis auf die Weitergeltung von Zustimmungserklärungen, die auf Grundlage der bisherigen Datenschutzregularien abgegeben wurden.

 „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.

Es wird darauf abgestellt, dass Zustimmungserklärungen ihre Gültigkeit behalten; dies setzt jedoch voraus, dass die Erklärungen (die Zustimmung)

• auf Grundlage der bisherigen Rechtslage gültig abgegeben wurden, und
• die Bedingungen der DSGVO erfüllen.

In der „alten“ DatenschutzRL wird die Einwilligung in Art. 2 h definiert:    

h) "Einwilligung der betroffenen Person" ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Die Verarbeitung von personenbezogenen Daten ist nach Art. 7 lit a DatenschutzRL zulässig, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung erteilt hat. Bei „besonderen Kategorien“ von personenbezogenen Daten muss die Einwilligung „ausdrücklich“ erfolgen (siehe Art. 8 (2) a). 

§ 1 (1) DSG normiert das Grundrecht auf Datenschutz und § 1 (2) DSG legt fest, dass die Verwendung von personenbezogenen Daten mit Zustimmung der betroffenen Person zulässig ist. Dies ist eine Willenserklärung iSd ABGB und die Auslegungsregelungen sowie die sonstigen Regelungen des ABGB (z.B. auch Inhaltskontrolle von AGB) oder auch des KSchG (z.B. § 6 (3) KSchG, Transparenzgebot) sind daher zu berücksichtigen.

In § 4 Z 14 DSG wird die „Einwilligung“ wie folgt definiert:        

h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

§ 8 (1) Z 2 DSG normiert, dass „schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten“ nicht verletzt sind, wenn „der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt“.

§ 9 DSG behandelt die Verwendung von sensiblen Daten, und normiert zusätzlich, dass die Zustimmung ausdrücklich zu erfolgen hat, wobei ein Widerruf der Zustimmung jederzeit möglich ist, und dieser die Unzulässigkeit der Verwendung der Daten bewirkt. (siehe § 9 Z 6 DSG)

Aus der Bestimmung des DSG selbst und der Judikatur und den sonstigen anwendbaren Gesetzen ergeben sich gewisse Anforderungen an die Zustimmungserklärung.

So entschied die Datenschutzbehörde: „Bezeichnet eine Zustimmungserklärung (§ 4 Z 14 DSG 2000) nicht die zur Verwendung beabsichtigten Datenarten und den Zweck dieser Verwendung, so ist sie unklar. Dies führt zur Unwirksamkeit der Zustimmung.“ (K211.634/0004-DSK/2006, 14.02.2006)

Daraus ergibt sich eindeutig, dass die „Datenarten“ und der „Zweck der Verwendung“ klar und präzise in der Zustimmungserklärung anzugeben sind, damit der Person, die die Zustimmung erteilt, klar ist, welche Daten konkret verarbeitet werden, und zu welchem Zweck dies erfolgt, z.B. nur zur Verwendung durch den Auftraggeber (neu: Verantwortlichen) oder auch zur Weitergabe an Dritte (z.B. andere Unternehmen der gleichen Unternehmensgruppe).

Heftig diskutiert wurde in Österreich die Frage, ob eine Zustimmungserklärung in AGB ausreichend ist, oder nicht. Eine „Grundsatzentscheidung“ dazu fällte der OGH bereits 1999 (7Ob170/98w, 27.01.199, „Merkur-Entscheidung“).

Der OGH führte aus: „Die Zustimmungserklärung muss zu übermittelnde Datenarten, deren Empfänger und den Übermittlungszweck abschließend bezeichnen; mit einer solchen Klausel muss der Betroffene nicht im "Kleingedruckten" rechnen.“ (RS 0111809) Der OGH hielt ausdrücklich fest, dass die verwendete Klausel „überdies auch wegen der fehlenden Hervorhebung im Text gesetzwidrig“ sei.

Grundsätzlich wäre es zulässig, eine Klausel zur Einwilligung von personenbezogenen Daten in AGB aufzunehmen, und zwar dann, wenn diese Klausel hervorgehoben wird, sodass die betroffene Person den Inhalt wahrnimmt. Diese Art der Verwendung wird jedoch aufgrund des Kopplungsverbotes unzulässig sein, wenn die betroffene Person der Verwendung von Daten, die nicht zur Vertragserfüllung notwendig sind, oder der Weitergabe der Daten an Dritte damit zustimmt, da dann die Entscheidung, dieser (konkreten) Datenverwendung zuzustimmen, nicht mehr „freiwillig“ erfolgt (siehe unten Pkt. 4.2.)

Wenn es sich um eine Einwilligungserklärung handelt, die nur die Datenverwendung, die ohnehin aufgrund der Vertragserfüllung notwendigerweise erfolgt, umfasst, dann ist die Klausel zulässig, aber an sich überflüssig. 

Insbes. bei einer Weitergabe von (personenbezogenen) Daten an Dritte, der eine betroffene Person zustimmt, ist auch zu beachten, dass die Einwilligung „frei von Zwang“ erfolgen muss. Aus dieser notwendigen Freiwilligkeit resultiert das sog. Kopplungsverbot, welches auch in der Rechtsprechung bereits dokumentiert ist.

Die Datenschutzbehörde (K212.766/0010-DSK/2012, 13.07.2012) hat dazu entschieden:

„… hat der Kunde nur die Wahl, vom Abschluss des Vertrags Abstand zu nehmen oder die Zustimmungserklärung zu erteilen. ... Die … Gestaltung der AGB führt daher zum Ergebnis, dass auch jene Kunden, die nie bereit wären, eine derartige Zustimmung zu erteilen, aber dennoch den Vertrag abschließen wollen, eine entsprechende Zustimmungserklärung zunächst abgeben müssen, um sie erst in weiterer Folge widerrufen zu können. ... Dieses Ergebnis ist mit der – streng zu beurteilenden – Freiwilligkeit datenschutzrechtlicher Zustimmungserklärungen nicht zu vereinbaren."

Die Datenschutzkommission hält daher eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB als nicht zulässig. Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung abzugeben ("Opt-in"- Lösung), etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist.

Es ist nicht zulässig, eine Zustimmungserklärung zur Verwendung von personenbezogenen Daten, die über den Zweck der Vertragserfüllung hinausgeht, so mit dem Vertrag zu verbinden, dass die betroffene Person nur die Wahl hat, entweder Vertragsabschluss mit Zustimmung zur Datenverwendung oder kein Vertragsabschluss. Dann wird die Einwilligung nicht freiwillig erteilt, und ist daher ungültig.

Wenn ein Vertrag abgeschlossen wird, dann darf der Auftraggeber (in Zukunft: Verantwortliche) die Daten, die zur Vertragserfüllung notwendig sind, verarbeiten (siehe ab 25.5.2018: Art 6 Abs (1) lit b DSGVO; § 8 (3) Z 4 DSG: „zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich“). Eine (gesonderte) Einwilligung ist für die Verarbeitung dieser konkreten Daten nicht notwendig.Möchte er die Daten auch für andere Zwecke, z.B. Marketing verwenden, oder die Daten an andere Empfänger (Konzernunternehmen) weitergeben oder andere (mehr) Daten(arten) verarbeiten als für die Vertragserfüllung notwendig sind oder diese länger speichern, dann ist dafür eine gesonderte Zustimmung notwendig; diese darf nicht mit dem Vertragsabschluss gekoppelt.

Die Zustimmung zur Verwendung personenbezogener Daten kann jederzeit widerrufen werden und bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Dies ist zwar eine gesetzliche Folge der Zustimmungserklärung (Einwilligung) (siehe § 8 (1) Z 2 DSG (nicht-sensible Daten) und § 9 Z 6 DSG (sensible Daten)), jedoch ist in der Klausel auch darauf hinzuweisen.

Die Judikatur geht davon aus, dass aufgrund des Transparenzgebotes des § 6 (3) KSchG in einer Zustimmungsklausel, in der z.B. die Weitergabe von (personenbezogenen) Daten an (bezeichnete) Empfänger unter Bekanntgabe des Zweckes der Verarbeitung der Daten bei diesem Empfänger, auch auf die Widerrufsmöglichkeit hinzuweisen ist. Die zustimmende Person muss über die Widerrufsmöglichkeit aufgeklärt werden, um ihm/ihr ein zutreffendes und klares Bild seiner/ihrer vertraglichen Position zu vermitteln (so OGH, 4Ob28/01y, 22.03.2001, 4Ob179/02f, 19.11.2002).

Wenn daher die Verarbeitung der Daten auf die Einwilligung gestützt wird, dann muss die betroffene Person auch über die Widerrufbarkeit aufgeklärt werden. Geschieht dies nicht, dann ist die Klausel intransparent und damit ungültig. 

Die Einwilligung nach der DSGVO unterscheidet sich nicht gravierend von der bisherigen Einwilligung nach der Datenschutz-RL bzw. dem DSG.

Besonderheiten können sich ergeben, wenn Kinder Einwilligungen erklären / erklärt haben, wobei die Altersgrenze von 16 Jahren zu beachten ist, sofern nicht das nationale Recht etwas anderes vorschreibt (siehe Art. 8 Abs (1) DSGVO und ErwG 38).  Zu beachten ist auch, dass das Kopplungsverbot in der DSGVO direkt verankert ist, nämlich in Art. 7 Abs (4), und auch in ErwG 43 darauf eingegangen wird.

Nach Art. 7 Abs (1) DSGVO muss der Verantwortliche nachweisen können, dass die Einwilligung erteilt wurde (Dokumentations- und Nachweispflicht).

Art. 7 Abs (2) DSGVO legt fest, dass das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache erfolgen muss, und muss von anderen Sachverhalten klar unterscheidbar sein.

Art. 7 Abs (3) DSGVO normiert die Widerrufsmöglichkeit für die einwilligende Person, und bestimmt, dass vor Abgabe der Erklärung darüber zu informieren ist, dass eine Widerrufsmöglichkeit besteht. Der Widerruf muss so einfach möglich sein, wie die Erteilung der Einwilligung.

Art. 7 (4) DSGVO beschäftigt sich mit dem erwähnen Kopplungsverbot, und zwar unter dem Gesichtspunkt der Freiwilligkeit einer abgegebenen Erklärung.

Ein eigener Artikel in der DSGVO (Art. 8) bezieht sich auf die Bedingungen der Einwilligung von Kindern bei Diensten der Informationsgesellschaft.

Die bestehenden Einwilligungserklärungen sind anhand dieser Kriterien zu prüfen, nämlich:

Ist eine Einwilligung nötig, um die Verarbeitung der personenbezogenen Daten durchzuführen, oder reicht die Vertragsbeziehung zur betroffenen Person aus, um die konkreten Daten verarbeiten zu dürfen?

Ein Unternehmen, welches z.B. über einen Webshop Waren verkauft, benötigt jedenfalls Namen und Adresse des Kunden, um mit diesem einen Vertrag abzuschließen sowie die Waren zu liefern; es kann auch argumentiert werden, dass bei einem Vertragsabschluss im Internet eine Email-Adresse notwendig ist, um mit dem Kunden zu kommunizieren und die Bestellbestätigung zu übermitteln. 

Ist eine Einwilligung nötig, um die Verarbeitung der personenbezogenen Daten durchzuführen, oder reicht die Vertragsbeziehung zur betroffenen Person aus, um die konkreten Daten verarbeiten zu dürfen?

Ein Unternehmen, welches z.B. über einen Webshop Waren verkauft, benötigt jedenfalls Namen und Adresse des Kunden, um mit diesem einen Vertrag abzuschließen sowie die Waren zu liefern; es kann auch argumentiert werden, dass bei einem Vertragsabschluss im Internet eine Email-Adresse notwendig ist, um mit dem Kunden zu kommunizieren und die Bestellbestätigung zu übermitteln.

Die Daten, die erhoben werden, dürfen auch für die Vertragserfüllung verwendet und danach solange gespeichert werden, als es notwendig bzw. gesetzlich vorgeschrieben ist, dh z.B. zumindest 3 Jahre nach Vertragsabwicklung (Haftung für Schadenersatz) oder sogar sieben Jahre nach den Bestimmungen der Bundesabgabenordnung (alle Buchhaltungsunterlagen und Aufzeichnungen (Konten, Belege, Geschäftspapiere, Aufstellung der Einnahmen und Ausgaben etc.) Der Fristlauf startet mit Schluss des Kalenderjahres, für das die Verbuchung vorgenommen wurde bzw. auf das sich der Beleg bezieht)

Werden Daten verarbeitet, die für die Vertragserfüllung nicht notwendig sind, bzw. wird ein Zweck mit der Datenverarbeitung verfolgt, der über die Vertragserfüllung hinausgeht (Marketing, Weitergabe an Dritte), dann ist eine Zustimmung der betroffenen Person notwendig.

Nur wenn die Datenarten konkret bezeichnet sind, willigt die betroffene Person gültig ein.

 Der Zweck der Verarbeitung der personenbezogenen Daten ist zu nennen.  

Es ist nicht ausreichend, dass eine pauschale Beschreibung der Übermittlungsempfänger erfolgt, z.B. Konzernunternehmen, Schwesterunternehmen, Kreditauskunfteien …

Der Empfänger muss konkret genannt sein. 

 In der Klausel konkrete Zweck der Übermittlung (Zweck der Verarbeitung beim Empfänger) zu nennen. 

Es reicht auch nicht aus, dass der Zweck, den der Empfänger verfolgt, pauschal genannt wird, sondern dieser muss ebenso konkret beschrieben sein. So war z.B. „Werbezwecke“ nicht ausreichend (OGH, 6Ob16/01y, 13.09.2001, Mobilpoints-Entscheidung) oder auch bei detaillierter Angabe der Übermittlungsempfänger die Zweckbezeichnung „Sponsoring“ (BGH, VI ZR 721/15, 14.03.2017), da es notwendig ist, dass die betroffene Person erkennt, für welche Produkte und Dienstleistungen die Übermittlungsempfänger werben.