Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden.
Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten Rechtsgrundlagen gibt es weiterhin die äußerst praxis-relevante Rechtsgrundlage der Einwilligung. Die Einwilligung wird als Rechtsgrundlage in Art. 6 Abs. 1 a DSGVO explizit erwähnt und ist in Art. 4 Nr. 11 DSGVO legal definiert. In Art. 7 und Art. 8 DSGVO werden Bedingungen für wirksame Einwilligungen genannt.
In der Praxis wird die Einwilligung mal als ein (oder auch mehrere) Häkchen im Rahmen eines digitalen Formulars oder als Unterschrift z.B. im Rahmen eines Vertrags oder eines Gewinnspiels eingeholt. Mit einem Klick beziehungsweise einer Unterschrift willigen Kunden oder Interessenten in die Verarbeitung ihrer personenbezogenen Daten zu den in den Einwilligungserklärungstexten genannten Zwecken ein.
Für ein Unternehmen sind diese datenschutzrechtlichen Einwilligungserklärungen Gold wert. Sei es um sich regelmäßig bei Interessenten mit den Vorteilen der eigenen Produkte in Erinnerung zu rufen, bisherige Kunden über den engen Rahmen des § 7 UWG hinaus beispielsweise per Telefon zu bewerben oder sogenannte Lost Customer im Rahmen einer Reaktivierungsmaßnahme wieder von den eigenen Produkten zu überzeugen.
Herausforderung: Verwaltung von Einwilligungserklärungen
Im Umgang mit datenschutzrechtlichen Einwilligungserklärungen ist neben den unter anderem in den Art. 4 Nr. 11, Art. 7, Art. 8 DSGVO genannten Voraussetzungen zu beachten, dass jeweils die aktuellste, also zuletzt vom Kunden eingeholte Einwilligungserklärung, heranzuziehen ist. Hinzu kommt, dass der Widerruf einer Einwilligungserklärung durch einen Interessenten bzw. Kunden ebenfalls genauestens dokumentiert und entsprechend berücksichtigt werden muss.
Dies ist im Kontext von größeren Unternehmen, insbesondere Konzernen mit mehreren Konzerngesellschaften, eine nicht unerhebliche Herausforderung. So kommen die Einwilligungserklärungen über die unterschiedlichsten Kanäle wie Webseite, Kundensysteme am Point of Sale, Gewinnspiele oder Systeme weiterer Konzernunternehmen ins Unternehmen. Zusätzlich sind durchaus auch mehrere Einwilligungserklärungen je Kunde zu berücksichtigen, beispielsweise eine schriftlich erteilte Einwilligung im Rahmen eines Kaufvertrages und eine bereits vorab digital erfolgte Einwilligung im Rahmen eines Kontaktformulars. Später ist der Kunde eventuell unzufrieden mit den Services und widerruft daher auch seine erteilte Einwilligung. All dies muss berücksichtigt werden.
Tatsächlich können Unsauberkeiten bei der Nutzung der erteilten Einwilligungen und daraus resultierende Datenschutzverstöße mit Wirksamwerden der DSGVO äußerst kritisch für Unternehmen werden. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher Wert der höhere ist (EU DSGVO). Ein sauberes Management der Einwilligungserklärungen ist daher unerlässlich.
Lösung: Consent Management Database
Für das Datenschutz-Management von Einwilligungserklärungen bietet sich gerade in den dargestellten komplexeren Situationen der Einsatz von einem Consent Management System an, also eines Softwaresystems, das die eingeholten Einwilligungen sauber verwaltet. Consent Management Systeme zeichnen die erteilten Einwilligungen historisch sauber auf. Sie dokumentieren die Zwecke (z.B. Werbung oder Marktforschung) für die die Einwilligung vom Interessenten oder Kunden eingeholt wurde, speichern Scans der unterzeichneten Einwilligungserklärungen und dokumentieren die entsprechend freigegebenen Kontaktkanäle (z.B. Post, E-Mail, SMS, Telefon). Die Aufgabe von Consent Management Systemen ist es also die aus unterschiedlichen Quellen für den gleichen Kunden oder Interessenten stammenden Einwilligungen und Widerrufe strukturiert und chronologisch abzulegen. Ferner ermöglicht ein solches System die zentrale Ablage von Einwilligungserklärungen für alle Abteilungen eines Unternehmens und gegebenenfalls auch für weitere Konzernunternehmen.
Ein Consent Management System kann direkt im Customer Relationship Management System (CRM) des Unternehmens integriert werden oder als eigenes System mit einer separaten Datenbank via Schnittstelle aufgesetzt werden. Der Vorteil einer separaten Datenbank ist, dass die bestehende Systemlandschaft nicht fundamental geändert bzw. angepasst werden muss. Ein separates Consent Management System wird per Webservice, und idealerweise durch andere Systeme aufrufbare Formulare, angebunden. Fertige Formulare in einem Consent Management System zum Aufruf durch andere Systeme bieten den zusätzlichen Vorteil, dass die Formulare zentral gepflegt und Änderungen nur an einer Stelle vorgenommen werden müssen. Über ein zentrales Consent Management System können dann externe Systeme den aktuellen Stand einer Einwilligung zu jeder Zeit abfragen und so die Gefahr einer Abmahnung aufgrund unrechtmäßiger Kontaktierung reduzieren.
Ablage datenschutzrelevanter Kontextinformationen
Ein Consent Management System sollte die Möglichkeit bieten datenschutzrelevante Kontextinformationen abzuspeichern. Diese Informationen können wichtig sein, da das verantwortliche Unternehmen in der Pflicht steht, die Einwilligung jeweils nachzuweisen, Art. 7 Abs. 1 DSGVO.
Hierzu gehören beispielsweise Informationen wie:
- Wann wurden die Daten erhoben? Diese Information ist relevant für eine Historisierung der erteilen Datenfreigaben.
- Gemäß § 13 Absatz 2 TMG erforderliche Protokolldaten einer elektronisch erteilten Einwilligung, wie Time Stamp und IP-Adresse (die IP-Adresse ggf. um die letzten Stellen gekürzt).
- Möglichkeit schriftlich erteilte Einwilligungen als Scan im System abzulegen
- Freigaben die zur Kontaktaufnahme wurden erteilt (Post, E-Mail, SMS, Telefon, etc.)
- Für wen die Daten freigegeben wurden, also nur für das verantwortliche Unternehmen oder auch Dritte. Wurde die Freigabe beispielsweise für einen Händler im Rahmen eines Händlervertriebssystems erteilt, gilt die Freigabe möglicherweise nicht gegenüber dem Hersteller.
- Ablage des jeweiligen Einwilligungstextes: Im Falle eines Rechtstreits kann es entscheidend auf die konkrete Version des Textes der Einwilligung ankommen.
- Möglichkeit Informationen über Blacklisting oder Sperrungen beziehungsweise eingeschränkte Verarbeitungen (siehe Art. 18 DSGVO) abzulegen.
Unser Angebot
In unserer Rolle als externer Datenschutzbeauftragte und IT-Berater haben wir bereits erfolgreich Consent Management Systeme in Unternehmen etabliert. Gerne beraten wir Sie, sei es bezüglich der Implementierung eines Consent Management Systems oder bei der Erstellung eines Anforderungskatalogs und Umsetzung eines individuellen Systems. Profitieren Sie von unserer langjährigen Erfahrung!
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.