Eine Einwilligungserklärung muss freiwillig abgegeben werden und über eine klare Textgestaltung und leichte Sprache verfügen. Ebenso wichtig ist die Zweckdarstellung der Einwilligungserklärung. Eine Belehrung über den Widerruf und die Folgen der Verweigerung der Einwilligung müssen ebenfalls enthalten sein. Die Einwilligungserklärung darf auch nicht an weitere Dienstleistungen gekoppelt sein (Kopplungsverbot), Art. 7 Datenschutz-Grundverordnung.
Ein Energieversorger übersandte seinen Kunden eine Einwilligungserklärung für Werbe- und Marktforschungszwecke. Der Energieversorger bat um Rücksendung dieser Einwilligung per Postkarte. Darauf befanden sich Name, Kontaktdaten und Geschäftspartner-Nummer der von der Datenverarbeitung betroffenen Personen.
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) sieht in dem Versand der Postkarte und den darauf enthaltenen personenbezogenen Daten eine Datenverarbeitung in Form der Datenübermittlung, wofür keine gesetzliche Grundlage gegeben ist. Der Energieversorger wurde darauf hingewiesen, dass die Einholung der Einwilligungserklärung für oben genannte Zwecke jedenfalls gesetzeskonform organisiert werden und die Zuleitung der Einwilligungserklärung in der Art und Weise erfolgen muss, dass die darin enthaltenen personenbezogenen Daten nicht an Dritte übermittelt werden. Der TLfDI stellte weiterhin fest, dass die Einwilligungserklärung für Werbe- und Markforschungszwecke nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an eine wirksame Einwilligung entsprach. Die Artikel-29-Datenschutzgruppe hat die Anforderungen an eine wirksame Einwilligung gemäß DSGVO in der Leitlinie WP 259 niedergeschrieben (https://www.datenschutzkonferenz-online.de/wp29-leitlinien.html).
Im Ergebnis bedurfte es der Nachbesserung im Hinblick auf die Freiwilligkeit, die Textgestaltung und Sprache, die Zweckdarstellung der Einwilligung, den Widerruf sowie die Folgen der Verweigerung. Aus der Karte ließ sich nicht eindeutig entnehmen, dass die Erteilung der Einwilligung und der Rückversand freiwillig waren. Es fehlte der Hinweis, dass die Einwilligung jederzeit für die einzelnen Kontaktwege und -zwecke mit Wirkung für die Zukunft widerrufen werden kann. Auf die Folgen der Verweigerung der Einwilligung war nicht hingewiesen worden. Die Kunden konnten in Form des Ankreuzens zwischen den Kontaktwegen
E-Mail
Telefon und Fax
auswählen. Hierfür war die Angabe der E-Mail-Adresse, Telefon- oder Faxnummer vorgesehen.
Der Energieversorger argumentierte, in dem Rückversand der ausgefüllten Postkarte an ihn sei keine Datenübermittlung zu sehen und begründete dies mit dem Postgeheimnis. Sobald der Kunde die Postkarte ausgefüllt hat, übergebe er diese dem Postdienstleister. Bis zum Eingang beim Energieversorger hätten lediglich Angestellte des Postdienstleisters die Möglichkeit, von den Kundendaten Kenntnis zu nehmen. Nach Eingang beim Energieversorger werde die Postkarte von einer Mitarbeiterin direkt in Empfang genommen, bearbeitet, sortiert und abgeheftet. Diese Mitarbeiterin sei auf die Vertraulichkeit verpflichtet und auch im Datenschutz sensibilisiert worden.
Es verbleibe nur ein Risiko im Bereich des Postdienstleisters, so die Ausführungen des Verantwortlichen. Allerdings unterliegen die Mitarbeiter von Postdienstleistern strengen rechtlichen Vorgaben bei der Ausübung ihrer Tätigkeit, insbesondere dem Postgeheimnis (Postgesetz und Postdienste-Datenschutzverordnung). Dementsprechend sei den Post-Mitarbeiter*innen untersagt, sich oder anderen über das für die Erbringung der Postdienste erforderliche Maß hinaus Kenntnis vom Inhalt von Postsendungen – unabhängig davon, ob es sich um offene oder verschlossene Sendungen handelt – zu verschaffen.
Selbst wenn nach dieser Auffassung keine Datenübermittlung an eine unbestimmte Anzahl Dritter vorliegt, gewährt Art. 6 Abs. 1 Satz 1 Buchstabe f) DS-GVO eine Verarbeitung nur, sofern die Einholung der Werbeeinwilligung mittels Postkarte zur Wahrung der berechtigten Interessen des Energieversorgers erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern.
Bereits bei der Prüfung der Erforderlichkeit des Rückversandes mittels Postkarte scheitert es an der Zulässigkeit. Es steht ein milderes Mittel, nämlich der Rückversand in einem verschlossenen Umschlag, zur Verfügung. Diese Methode greift weniger in die Grundrechte und Grundfreiheiten der Kunden des Energieversorgers ein. Die Anforderung, die Einwilligungserklärung in einem verschlossenen Umschlag zurückzusenden, ist auch für den Energieversorger geeignet. Mit der Rücksendung in einem verschlossenen Umschlag ergibt sich für den Verantwortlichen zum bisherigen Verfahren der Rücksendung mittels Postkarte eine überschaubare Erhöhung der finanziellen Mittel. Der Energieversorger führte selbst aus, dass die Versendung der Postkarte in einem Briefumschlag den Kunden selbst zuzumuten sei, da es sich für den Kunden um ein überschaubares Porto handelt.
Im Ergebnis hat der Datenschutzbeauftragte des Energieversorgers empfohlen, künftig auf die Einholung der datenschutzrechtlichen Einwilligungen per Postkarte zu verzichten und ist damit den Forderungen des TLfDI nachgekommen.
Auch die vom TLfDI kritisierte Einwilligungserklärung für Werbezwecke wurde überarbeitet. Darin hat der Verantwortliche alle vom TLfDI geforderten Überarbeitungen umgesetzt. Aus der Einwilligung geht nunmehr deutlich hervor, dass diese freiwillig erfolgt und jederzeit für die einzelnen Kontaktwege und -zwecke mit Wirkung für die Zukunft widerrufen werden kann. Auf die Folgen der Verweigerung der Einwilligung weist der Energieversorger ausdrücklich und in einfacher Sprache mit dem Passus hin: „Wenn ich keine Einwilligung gebe, erfolgt keine Werbung in den beschriebenen Umfang und der beschriebenen Form.“ Die Kunden können in Form des Ankreuzens zwischen der Werbung in den Produktbereichen
Strom,
Gas und
Produkte im Bereich der Energieberatung und Energieeffizienz wählen. Weiterhin haben die Kunden nun die Möglichkeit zwischen den Kontaktmöglichkeiten
E-Mail,
Telefon und
Fax,
ebenfalls durch Ankreuzen, auszuwählen. Für den Kunden ist nunmehr deutlich erkennbar, auch anhand der Textgestaltung, dass es sich um eine Einwilligungserklärung handelt. Die Überschrift „Bitte hier abtrennen und zurücksenden, das Porto zahlen wir für Sie“ wurde durch „Einwilligungserklärung zur Verarbeitung personenbezogener Daten“ ersetzt. Da der Energieversorger allen Forderungen des TLfDI nachgekommen ist, war nichts weiter zu veranlassen.
Quelle: TLfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks