Erschienen in Ausgabe 8-2017Unternehmen & Management

Viele Fragezeichen, wenig Konsens

Sanierungsbedarf für Einwilligungserklärungen zum Datenschutz

Von Jürgen Evers und Sascha Alexander StallbaumVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.
Bekanntlich haben die im Düsseldorfer Kreis zusammengeschlossenen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich im September letzten Jahres beschlossen, dass erteilte Einwilligungen auch dann wirksam bleiben sollen, wenn die Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 in Kraft tritt.
So sehr es auch zu begrüßen ist, dass der Düsseldorfer Kreis Beschlüsse zur Fortgeltung von bestehenden Einwilligungen nach Inkrafttreten der DS-GVO fasst. Die Diskussion anlässlich der diesjährigen BiPRO-Tagung hat gezeigt, dass dieser Beschluss geeignet ist, Versicherer und Versicherungsvermittler zu der Fehlvorstellung zu verleiten, bisher erteilte Einwilligungserklärungen bedürften keiner Prüfung. Denn dabei werden nicht nur die Risiken der weiteren Verwendung betagter Einwilligungen deutlich unterschätzt. Der Beschluss wird auch nur oberflächlich gelesen.

Beschluss mit zwei Einschränkungen

In dem Beschluss heißt es: „Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (Erwägungsgrund 171 Satz 3 DSGVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.“ Damit macht der Beschluss zwei Einschränkungen. Die erste besteht darin, dass auf „bisher rechtswirksame Einwilligungen“ abgestellt wird. Wer Einwilligungserklärungen verwendet hat, die bislang keiner datenschutzrechtlichen Prüfung unterzogen worden sind, kann also nicht davon ausgehen, dass seine Einwilligungserklärung rechtswirksam ist. Die zweite Einschränkung besteht in der Verwendung des Adjektivs „grundsätzlich“. Danach kann nicht allgemein von der Wirksamkeit ausgegangen werden; vielmehr ist nach dem Beschluss davon auszugehen, dass Ausnahmen möglich sind, auch wenn der Beschluss sie nicht definiert.
Einen weiteren verhängnisvollen Fehler begehen Unternehmen, wenn sie der Meinung sind, der nachfolgende Passus des Beschlusses würde ihnen gewissermaßen einen Freibrief für Alt-Einwilligungen verschaffen. Dieser lautet: „Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DS-GVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:“ Diese beiden Bedingungen benennt der Beschluss einmal mit der Freiwilligkeit der Einwilligung („Kopplungsverbot“, Art. 7 Abs. 4 i.V.m. Erwägungsgrund 42f. DS-GVO) und mit der Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. Erwägungsgrund 38 DS-GVO).
Zusätzlich offenbart der Beschluss damit eine weitere Einschränkung, die in der…