Im Zusammenhang mit der Datenschutzgrundverordnung (DSGVO), europaweit in Kraft seit dem 25. Mai 2018, ergeben sich weiterhin Problematiken für Ämter und Behörden in Deutschland. Eine davon betrifft die Einwilligungserklärung von Bürgerinnen und Bürgern zur Verarbeitung ihrer persönlichen Daten.
Die zentrale Frage dabei: Sind „alte“ Einwilligungen, die vor dem Inkrafttreten der DSGVO abgegeben wurden, weiterhin gültig? Zum Thema gibt es unterschiedliche Stellungnahmen der Datenschutzbehörden.
Der Bayerische Landesbeauftragte für den Datenschutz veröffentlichte ein Kurzpapier, in dem ausgewählte Fragen zur Einwilligung aufgearbeitet wurden. Praxishinweise rundeten das Papier ab. Auch die Datenschutzkonferenz (DSK), also die unabhängigen Datenschutzbehörden des Bundes und der Länder, hat ein Kurzpapier erstellt, das sich mit der Einwilligung beschäftigt. Darin werden unter anderem sowohl die Voraussetzungen und Unterschiede zu dem bis zum 24. Mai 2018 geltenden Recht behandelt als auch die Problematik der Fortgeltung von Einwilligungen.
In der Praxis ist vielen Verantwortlichen unklar, ob eine Einwilligung in die Verarbeitung als „Reserve“ bei ungeklärter Rechtsgrundlage eine gute Idee ist oder womöglich mehr schadet als nutzt. Die DSK warnt in diesem Zusammenhang: Falls eine Einwilligung unwirksam sei, könne sich der Datenverarbeiter nicht auf andere Rechtsgrundlagen stützen, also auch nicht auf die „Wahrung berechtigter Interessen“, da dies gegen die „Grundsätze der Fairness und Transparenz“ verstoße.
Die exakt gegenteilige Position vertritt jedoch der hessische Datenschutzbeauftragte: Er führt aus, dass es häufig schwierig sein könne, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen. Dann sei es sicherer und transparenter, wenn vorsorglich eine Einwilligung eingeholt werde.
Solange die Aufsichtsbehörden noch nicht zu einer einhelligen Position gefunden haben, dürfte beides vertretbar sein. Wie immer kommt es dabei auf die ausreichende Dokumentation an (Rechenschaftspflicht, insbesondere die Verfahrensbeschreibung). Die Verarbeitung personenbezogener Daten aufgrund von Einwilligungen hat für öffentliche Stellen (weiterhin) untergeordnete Bedeutung. Besonders zu achten ist auf eine rechtzeitige und verständliche Information der betroffenen Personen. Dies umfasst auch die Belehrung über das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Des Weiteren ist eine sachgerechte Dokumentation essenziell.
Was bereits vorliegende Einwilligungen betrifft, sollte kritisch überprüft werden, ob diese auch unter der DSGVO wirksam bleiben oder nach Maßgabe des neuen Rechts nochmals einzuholen sind. Zu berücksichtigen ist auch, dass im Beschäftigungskontext eingeholte bzw. erteilte Einwilligungen weiterhin der Schriftform bedürfen.
Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München