- Finanznachrichten auf Cash.Online - https://www.cash-online.de -

Düsseldorfer Kreis Verlautbarung: Freibrief für Alt-Einwilligungen?

Erteilte datenschutzrechtliche Einwilligungserklärungen sollen auch dann wirksam bleiben, wenn die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt. So haben es die im Düsseldorfer Kreis zusammengeschlossenen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich im September letzten Jahres bekanntlich beschlossen. Der Beschluss sollte jedoch sehr genau gelesen werden, denn Irrtümer können teuer werden.

Gastbeitrag von Jürgen Evers, Kanzlei Blanke Meier Evers Rechtsanwälte

Jürgen Evers, Kanzlei Blanke Meier Evers Rechtsanwälte

Es steht nicht in Frage, dass es sinnvoll ist, wenn sich der Düsseldorfer Kreis zur Fortgeltung von bestehenden Einwilligungen nach Inkrafttreten der DSGVO äußert.

Die Diskussion anlässlich der diesjährigen BiPRO-Tagung hat jedoch gezeigt, dass dieser Beschluss geeignet ist, Versicherer und Vermittler [1] zur unzutreffenden Annahme zu verleiten, bisher erteilte Einwilligungserklärungen bedürften keiner weiteren Prüfung.

Damit werden nicht nur die Risiken einer weiteren Verwendung betagter Einwilligungen erheblich unterschätzt. Der Beschluss wird auch missverstanden.

Nicht alle Einwilligungen bleiben bestehen

Folgendes hat der Düsseldorfer Kreis beschlossen:

Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (Erwägungsgrund 171 Satz 3 DSGVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Damit werden zwei Einschränkungen gemacht. Die erste besteht darin, dass es sich um “bisher rechtswirksame Einwilligungen” handeln muss. Wer Einwilligungserklärungen verwendet, die bislang keiner datenschutzrechtlichen Prüfung unterzogen worden sind, kann aus dem Beschluss nicht herleiten, dass diese rechtwirksam sind.

Die weitere Einschränkung offenbart sich in der Verwendung des Adjektivs “grundsätzlich”. Es bedeutet, dass nicht allgemein von der Wirksamkeit ausgegangen werden kann. Ausnahmen sind also möglich, auch wenn der Beschluss diese nicht genauer definiert.

Seite zwei: Unternehmen erhalten keinen Freibrief [2]

Unternehmen begehen zudem einen verhängnisvollen Fehler, wenn sie der Meinung sind, der nachfolgende Passus des Beschlusses würde ihnen gewissermaßen einen Freibrief für Alt-Einwilligungen verschaffen.

Dieser lautet: “Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DSGVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

Gemeint sind damit die folgenden Bedingungen: Freiwilligkeit der Einwilligung (“Kopplungsverbot”, Art. 7 Abs. 4 i.V.m. Erwägungsgrund 43 DSGVO) und Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. mit Erwägungsgrund 38 DSGVO).

Außerdem enthält der Beschluss eine weitere Einschränkung, die in der Verwendung des Adjektivs “besondere” liegt. Dies bedeutet nicht weniger, als dass auch die übrigen Bedingungen der DSGVO in Bezug auf die Einwilligungserklärungen beachtet werden müssen.

Informationspflichten [3] sind relevant

Auf den ersten Blick scheint der Beschluss wenigstens in einem Punkt Klarheit für die Frage der Wirksamkeit bereits erteilter Einwilligungen zu geben. Dort heißt es: “Informationspflichten nach Art. 13 DSGVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen i.S. des genannten Erwägungsgrundes sind.”

Bei genauerer Ansicht der DSGVO kommen jedoch auch hier Zweifel auf. Denn in Art. 4 Nr. 11 DSGVO wird die Art der wirksamen Einwilligung definiert.

Danach wird voraussetzt, dass der Betroffene “in informierter Weise” seine Einwilligungserklärung abgibt. Die Informationspflichten nach Art. 13 DSGVO können somit nicht einfach als irrelevant für eine wirksame Einwilligungserklärung eingestuft werden. Der Beschluss prüft die einzelnen Informationspflichten nicht auf ihre Relevanz für die Wirksamkeit der Einwilligung.

Alt-Einwilligungen fehlt es an Rechtsschutz [4]

Außerdem entsteht durch die Annahme, die Informationserteilung sei für diejenigen, die bereits Einwilligungserklärungen abgegeben haben, nicht notwendig, ein unterschiedlicher Rechtsmaßstab für zwei gleich schutzwürdige Personengruppen. Wer bereits eine Einwilligung nach dem alten Recht abgegeben hat, genießt danach weniger Schutz als derjenige, die sie erst unter Geltung der DSGVO abgibt.

Wenn also der Verpflichtete – wie zum Beispiel viele Versicherungsvermittler – erst unter Geltung der DSGVO einen Datenschutzbeauftragten bestellen muss, an den sich der Betroffene wenden kann, erfahren Betroffene mit Alt-Einwilligung hiervon gar nichts.

Denn gemäß Art. 13 Abs. 1 lit. b) DSGVO müssten sie nicht über den Datenschutzbeauftragten informiert werden (entsprechend dem Beschluss des Düsseldorfer Kreises). Folge wäre jedoch, dass Betroffene ihre Rechte gemäß Art. 38 Abs. 4 DSGVO u.U. nicht wahrnehmen können oder dass die Wahrnehmung dieser Rechte zumindest eingeschränkt wäre.

Seite Drei: Hinweise zum Widerrufsrecht werden notwendig [5]

Es ließe sich zwar vertreten, dass der Erwägungsgrund 171 der DSGVO nicht zwingend die Einhaltung der neuen Informationspflichten aus Art. 13, 14 DSGVO für die Fortgeltung von bestehenden Einwilligungserklärungen voraussetzt.

Da bestehende Einwilligungserklärungen nach Erwägungsgrund 171 der DSGVO aber nur dann unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht, dürfte jedenfalls ein entsprechender Hinweis zum Widerrufsrecht (Artikel 7 Abs. 3 Satz 3 DSGVO) in Einwilligungserklärungen notwendig sein.

Beschluss behandelt nicht alle Fragen

Weiterhin gibt die DSGVO der Art nach weitere Voraussetzungen an die Einwilligungserklärungen vor, mit denen sich der Beschluss des Düsseldorfer Kreises nicht befasst.

Zu nennen sind hier zum einen die Möglichkeit für den Betroffenen, unterschiedliche Erklärungen zu unterschiedlichen Vorgängen der Datenverarbeitung abgeben zu können; zum anderen das mögliche Ungleichgewicht zwischen Unternehmen und Betroffenem, wenn die Einwilligungserklärung als AGB vorgegeben ist. Dies kann dazu führen, dass die Einwilligung als unwirksam anzusehen ist.

Unternehmen sind in der Pflicht

Der Freude über den Beschluss des Düsseldorfer Kreises folgt also Ernüchterung. Denn über die Rechtswirksamkeit bestehender Einwilligungserklärungen sagt er nichts aus. Versicherer und Vermittler sollten daher eingeholte Einwilligungserklärungen dringend an die Vorgaben der DSGVO anpassen.

Hierfür bieten sich anstehende Kundentermine an oder aber, aufgrund der formalen Erleichterungen, die die DSGVO schafft, Lösungen online oder über mobile Endgeräte, z.B. per App. In jedem Fall sollte die verbleibende Zeit bis Ende Mai 2018 von Versichern und Vermittlern gleichermaßen genutzt werden, für rechtssichere Einwilligungen zu sorgen.

Autor ist Rechtsanwalt Jürgen Evers, Kanzlei Blanke Meier Evers Rechtsanwälte

Foto: Kanzlei Blanke Meier Evers Rechtsanwälte

 

Mehr Artikel zum Thema Maklerrecht:

Aufklärungs- und Beratungspflichten im Rahmen von Versicherungsanlageprodukten [6]

Laufende Bestandsprüfung keine Maklerpflicht [6]

Vermittlung von Goldprodukten vs. Ausschließlichkeitsvereinbarung [7]