[Graetzwerk] Fwd: DSGVO Update X: Warum beim Newsletter keine neue Zustimmung erforderlich ist

Martin Mair mm at mediaweb.at
Mi Mai 23 16:50:51 CEST 2018 

Da mensch gerade mit vielen unnötigen Mails, womöglich mit der
Aufforderung, den Newsletter neu zu bestellen, belästigt wird als
Entwarnung für jene, die bei der DSGVO-Panik nicht mitmachen wollen:

Auch die ARGE DATEN empfielt keine E-Mails wegen Zustimmung zum
Newsletter zu versenden! ;-)

Interessanterweise wird der Bereich der nichtkommerziellen Information,
der unter das Menschenrecht auf freie Informationsverbreitung nach
Artikel 10 EMRK usw. nie thematisiert.

lg

Martin


-------- Forwarded Message --------
Subject: 	DSGVO Update X: Was ist eine gültige Zustimmung (Einwilligung)
gemäß DSGVO?
Date: 	Tue, 22 May 2018 14:25:06 +0200
From: 	e-commerce monitoring <newsletter at argedaten.at>
Reply-To: 	newsletter at argedaten.at
To: 	kontakt at aktive-arbeitslose.at



Sehr geehrter Herr Magister Mair!
                   
Am Freitag ist es unwiderruflich so weit. Am 25. Mai 2018 startet eine neue
Datenschutzära, manche Betriebe haben ihre Vorbereitungen fristgerecht
abgeschlossen, viele noch nicht.

Große Verunsicherung wurde bei Einwilligng / Zustimmung verbreitet, meist im
Zusammenhang mit Newsletter oder Telefonwerbung. Vielleicht ist es Ihnen
ähnlich ergangen, in den letzten Wochen wurden geradezu DSGVO-Spam-Fluten mit
dem Wunsch nach Erneuerung von "Zustimmungen" verbreitet.

Unsere Position ist eindeutig. Auch wenn die Zustimmungsbestimmungen der DSGVO
viel Staub aufwirbelten, neu sind sie nicht. De facto entsprechen sie den
Vorgaben die schon jetzt bei elektronischer Werbung und Massen-eMails gegeben
sind.

Wir raten, kurz zusammen gefasst, von derartigen Zustimmungs-Mails ab. Liegt
eine gültige Zustimmung vor, sind sie überflüssig, liegt keine gültige
Zustimmung vor, werden angeschriebene eher noch zu Beschwerden motiviert.
Liegt keine gültige Zustimmung vor, ist schon das eMail zur Einholung einer
Zustimmung unzulässig und könnte geahndet werden.

Auch sind die Rücklaufquoten kleiner als 5% und was macht der Versender mit
den Rest? Wirklich alle löschen? Wohl kaum. Details siehe im Artikel unten.

Auch die Umstellung unseres Informationsdienstes von DSG 2000 nach DSGVO ist
weitgehend abgeschlossen. Sie finden auf unserer Website ausführliche Artikel
zu allen wesentlichen Themen der DSGVO.

Wer sich für den wirklich letzten Stand zur DSGVO und zum österreichischen
Datenschutzgesetz informieren möchte, hat noch morgen am 23. Mai 2018
Gelegenheit. Es ist das die letzte Fachveranstaltung vor dem DSGVO-Start.
Einige Restplätze sind noch frei.

Auf Grund der großen Nachfrage werden wir jedoch im September einen weiteren
Termin anbieten. Dann werden auch schon die ersten Erfahrungen zur DSGVO in
Österreich vorliegen.

Herzliche Grüße
Hans G. Zeger, Obmann ARGE DATEN

mehr Infos zum Intensivseminar am 23. Mai 2018:
- http://seminar.e-monitoring.at/DSAG2018
- http://www.datenschutz-seminar.at/DSAG2018.pdf
- http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=66245xvx

mehr Online -->
- http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=30065sni


DSGVO Update - bisher publiziert:
- DSGVO Update I: Welche Informationspflichten bestehen durch die
Datenschutzgrundverordnung (DSGVO)?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=07144rgk
- DSGVO Update II: Auskunftsrecht nach der Datenschutzgrundverordnung (DSGVO)
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=00029jsn
- DSGVO Update III: Besteht gemäß DSGVO Auskunftsrecht für Google Dienste?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=62999nii
- DSGVO Update IV: Welche Meldepflichten hat ein Verantwortlicher bei
Datenschutzverletzungen?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=27117rre
- DSGVO Update V: Recht auf Datenübertragung (Datenportabilität)
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=84279kee
- DSGVO Update VI: Remote-Zugriffe auf persönliche Daten aus dem Ausland
--> https://www.argedaten.at/php/cms_monitor.php?q=PUB&s=32373pij
- DSGVO Update VII: Wann müssen Daten berichtigt oder gelöscht werden?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=81184psk
- DSGVO Update VIII: Wann ist eine Datenschutz-Folgenabschätzung
durchzuführen?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=01835rpp
- DSGVO Update IX: Wie hat ein Verzeichnis der Verarbeitungstätigkeiten
auszusehen?
- http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=66714koe
- DSGVO Update X: Wann benötigen Unternehmen einen Datenschutzbeauftragten
(DSB)?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=84392por

-------------------------------------------------------------------------------
Was ist eine gültige Zustimmung (Einwilligung) gemäß DSGVO?
--> http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=30065sni
-------------------------------------------------------------------------------
DSGVO Art 6 - 9, 49, 82, 83, TKG 2003 §§ 107, 109

Zustimmung eine Form personenbezogene Daten zulässigerweise zu verarbeiten

Art. 6 DSGVO listet für "normale" personenbezogene Daten gültige Kriterien
einer rechtmäßigen Verarbeitung auf, Art. 9 DSGVO für den Bereich der
besonderen Datenkategorien (früher: "sensible Daten"). In beiden Fällen ist
Zustimmung eine von mehreren Möglichkeiten zur rechtmäßigen Verarbeitung.

Darüber hinaus ist Zustimmung auch von wesentlicher Bedeutung, wenn Daten in
unsichere Drittstaaten übermittelt werden sollen. Stimmt der Betroffene nach
Aufklärung über alle Risken zu (Art. 49 DSGVO), kann die Übermittlung ohne
weitere Sicherheitsvorkehrungen erfolgen.


Keine Formvorschriften für Zustimmung

Grundsätzlich gibt es keine Formvorschrift, wie eine Zustimmung einzuholen
ist. Ausdrücklich lässt die DSGVO zu, dass die Zustimmung mündlich,
schriftlich oder durch bestätigende Handlung erfolgt.

So kann das Anklicken eines Kästchens bei einem Online-Formular eine gültige
Zustimmung darstellen. Sogar das Versenden eines vorausgefüllten Kästchens
kann eine gültige Zustimmung darstellen, wenn das Gesamtdesign eines Formulars
so gestaltet ist, dass die Willenserklärung des Betroffenen eindeutig
erkennbar ist.

Sicher keine gültige Zustimmung sind Erklärungen in den AGBs oder auf
irgendwelchen Neben-Webseiten, wenn deren Kenntnisnahme nicht gesichert wird.
Auch keine Zustimmung sind Schilder beim Eingang, an denen ein Betroffener
üblicherweise ohne Kenntnisnahme vorbeigeht (Beispiel: "Mit Betreten des
Raumes stimmt der Betroffene der Videoüberwachug zu").

Auch nachträgliche Zustimmungserklärungen sind ungültig. So finden sich auf
Konzertkarten auf der Rückseite Auszüge einer "Hausordnung", bei denen man
Fotos, Filmaufnahmen oder dergleichen "zustimmt". Die Krux daran ist, dass
diese Erklärungen erst nach Bezahlen, mit Zusendung der Karten zur Kenntnis
gebracht werden. Das ist zu spät.

Ebenfalls keine gültige Zustimmung lässt sich aus "Gewohnheitsrecht" oder
dergleichen ableiten. Etwa: weil ein Betroffener seit mehreren Jahren
unverlangten eMails nicht widersprochen hat, habe er - quasi durch Duldung -
seine Zustimmung gegeben. Nicht reagieren ist jedoch, entgegen den Meinungen
der WKO, keine bestätigende Handlung im Sinne der DSGVO.

Auf Grund der enormen Möglichkeiten die Zustimmungen für Verantwortliche
bieten, ist die Gültigkeit einer Zustimmung daher gemäß DSGVO an strenge
Vorgaben gebunden:
- Nachweispflicht
- korrekte Information ("informed consent")
- Freiwilligkeit
- jederzeitige Widerrufbarkeit


Nachweispflicht der Zustimmung

Der Verantwortliche muss für die gesamte Dauer der Gültigkeit einer Zustimmung
nachweisen können, dass er eine derartige Zustimmung erhalten hat. Gelingt der
Nachweis nicht, drohen empfindliche Strafen.

Bei unerwünschten Telefonanrufen oder bei Spam-Mails werden die Bestimmungen
des TKG 2003 in Frage kommen, diese sehen Strafen bis 58.000,- Euro vor. In
allen anderen Fällen werden die Strafen der DSGVO zur Anwendung kommen (bis 4%
des Jahresumsatzes oder bis 20 Mio Euro).

Es gibt zwar keine Formvorschriften zum Nachweis der Zustimmung, langfristig
werden jedoch revisionssichere Formen erforderlich sein, etwa durch Signatur
der elektronischen Nachweise oder durch Verwendung qualifizierter Zeitstempel.
Nur auf diese Weise können nachträgliche Manipulationen verhindert werden.

Einmal erteilte Zustimmungen können so lange aufbewahrt werden, als es für den
Nachweis der Gültigkeit der Zustimmung erforderlich ist. Dies kann auch nach
Widerruf einer Zustimmung notwendig sein.


Zustimmung erfordert korrekte Information ("informed consent")

Eine Zustimmung ist nur dann gültig, wenn der Betroffene tatsächlich über den
vollen Umfang welche Daten zu welchen Zweck verarbeitet werden informiert
wurde. Er muss auch über alle möglichen Konsequenzen seiner Zustimmung,
insbesonders über Sicherheitsrisken informiert werden.

Ein "Ersuchen um Einwilligung [muss] in verständlicher und leicht zugänglicher
Form in einer klaren und einfachen Sprache so erfolgen, dass es von den
anderen Sachverhalten klar zu unterscheiden [ist]" verlangt konkret Art. 7 Abs
2 DSGVO.

Damit wird eine Zustimmung auch dann ungültig, wenn sie langatmig in
"Juristen-Kauderwelsch" abgefasst ist. 20 und mehr Seiten lange Erklärungen
sind zumindest gegenüber Privatpersonen keine gültige Zustimmung. Es ist
grundsätzlich zulässig über Datenschutzrechte und Verarbeitungen auch in einem
langen Dokument zu informieren. Wesentliche Punkte, wie Zustimmung sollten
jedoch gesonder, zu beginn oder sehr deutlich hervorgehoben zusamamengefasst
dargestellt werden.


Zustimmung muss freiwillig erfolgen

Es ist ebenfalls unzulässig eine Zustimmung mit anderen, sachfremden
Sachverhalten zu verknüpfen. Auch derartige Erklärungen sind ungültig. Derzeit
besteht jedoch große Unsicherheit, wann eine Verknüpfung einer Zustimmung mit
anderen Sachverhalten sachlich gerechtfertigt ist und wann nicht.

So kann argumentiert werden, dass eine kostenlose Restaurant-App, die mir
zeit- und ortsabhängige Restaurantvorschläge liefert, nur durch Nutzung der
Standortdaten für Werbezwecke organisiert und finanziert werden kann. Die
Zustimmung zur Nutzung persönlicher Daten zu Werbezercken kann daher nach
genauer Information gültig sein.

Nicht gültig wäre jedoch eine Zustimmung, bei der eine Bank ein Girokonto nur
dann eröffnet, wenn der Betroffene seine Sozialversicherungsnummer und seinen
Familienstand bekannt gibt. Beides steht in keinem sachlichen Zusammenhang mit
einem Girokonto.


Zustimmung kann jederzeit widerrufen werden

Hat ein Verantwortlicher eine - nach den strengen Kriterien der DSGVO -
gültige Zustimmung erwirkt, dann muss er mit dem jederzeitigen WIderuf einer
Zustimmung rechnen. Derartige Widerrufe können völlig unbegründet und
jederzeit erfolgen.


Zustimmung kein geeignetes Mittel Prozesse zu steuern

Auf Grund dieser strengen Vorgaben sind Zustimmung ungeeignet Pozesse zu
steuern, seien das Arbeitsprozesse, Kunden-Lieferanten-Beziehungen, sonstige
Industrie- oder Geschäftsprozesse, weder Bankkonten, noch
Telekommunikationsdienste, Krankenbehandlungen oder Bestellungen könnten auf
Basis von Zustimmung organisiert werden.

Faktum ist, dass in diesen Bereichen Zustimmung keine Bedeutung hat und
vielmehr die vertragliche Gestaltung der beziehung zwischen Verantwortlichen
und Betroffenen im Vordergrund steht.

Im Rahmen von vertraglichen Vereinbarungen kann Widerruf ausgeschlossen werden
oder führt schlicht zur Kündigung des Vertrages, mit beiderseitigen
Konsequenzen. Gültig sind derartige Verträge jedoch ebenfalls nur dann, wenn
sie nur die Verwendung notwendiger Daten vereinbaren. Auch bei Verträgen ist
das Minimalitätsprinzip gemäß Art 6 DSGVO zu beachten. In welchem Umfang
personenbezogene Daten "notwendig" sind, hängt von der Gestaltung einer
Leistung ab.

So darf eine Versicherung den Abschluss einer Lebensversicherung nicht an der
Zustimmung der Bekanntgabe von Sport- oder Rauchgewohnheiten binden. Es wäre
aber sehr wohl zulässig, spezielle Sport- oder Raucherprodukte mit besonderen
Konditionen anzubieten, bei denen die Bekanntgabe der Sport- oder
Rauchgewohnheiten Teil des Versicherungsvertrages sind.


Zustimmung im Marketingbereich von zentraler Bedeutung

Von Bedeutung sind Zustimmungen im Sinne der DSGVO eigentlich nur im Werbe-
und Marketingbereich. So dürfen Werbe-eMails und Massen-eMails nur mit
Zustimmung des Betroffenen zugesandt werden. Eine Verknüpfung mit anderen
Diensten ist unzulässig.

Ausschließlich bestehende Kunden, die im Zusammenhang mit einer Bestellung
ihre eMail-Adresse bekannt gegeben haben, dürfen Werbung zu ähnlichen
Produkten erhalten. Zumindest solange sie nicht widersprechen und sie nicht
auf einer Sperrliste der RTR stehen.

Nur für diesen Bereich kann die Zustimmung durch Widerspruch ersetzt werden,
ansonsten gelten: Verwendung von Daten zur elektronischen Werbung nur durch
dokumentierte, informierte und freiwillige Zustimmung mit jederzeitiger
Widerufsmöglichkeit.


Bisherige Zustimmungen bleiben gültig

Die gute Nachricht vornweg. Wer heute Werbemails und Newsletter mit einer
gültigen Zustimmung verschickt, muss wegen der DSGVO nichts machen. Faktum
ist, dass die "neuen" DSGVO-Bestimmungen nicht neu sind, sondern schon seit
mehr als 10 Jahren im Rahmen der Anti-Spambedingungen des
Telekommunikationsgesetzes (TKG 2003) gelten.

Im Zusammenhang mit den - scheinbar neuen und strengen - Zustimmungskriterien
der DSGVO wurden viele Betreiber von eMail-Newslettern verunsichert.

"Habe ich wirklich eine ausreichend dokumentierte Zustimmung im Sinne der
DSGVO", fragen sich viele. Manche Anwälte und die WKO empfehlen "zur
Sicherheit" eine neue Zustimmung einzuholen.


Ist es sinnvoll nachträglich Zustimmungen einzuholen?

Faktum ist jedoch, in vielen Fällen bestand zu keinem Zeitpunkt eine gültige
Zustimmung. Fehlt eine derartige Zustimmung, ist es auch nicht erlaubt
jemanden per eMail / Telefon nur zum Zweck der Zustimmung zu kontaktieren.

Schon ein derartiges eMail/Telefonat wäre eine Verletzung der
Spam-Bestimmungen und sollte unterbleiben.


Empfehlung ARGE DATEN für Newsletter-Versender

Die ARGE DATEN empfiehlt KEINE neue Zustimmungsversuche zu starten, sondern
darauf zu vertrauen, dass die bisherigen Zustimmungen ausreichen.

Nach bisherigen Erfahrungen ist die Rücklaufquote für derartige
Zustimmungs-Spam-Mails weniger als 5%. Gleichzeitig gibt man jedoch einer sehr
großen Zahl von Personen zu verstehen, dass man keine gültige Zustimmung hat.
Dies könnte ab den 25. Mai 2018 etliche Personen motivieren Anzeigen nach §109
TKG 2003 oder Art. 83 DSGVO einzubringen oder Schadenersatzforderungen nach
Art. 82 DSGVO zu erheben.

Wer ernsthaft an der Gültigkeit seiner eMail-/Telefonlisten zweifelt, sollte
die entsprechende Personengruppe streichen und auf dem Postweg, durch
Webformulare, durch Preisausschreiben oder sonstige Aktivitäten motivieren,
sich neu anzumelden.


Empfehlung ARGE DATEN für Newsletter-Bezieher

Die ARGE DATEN empfiehlt keine Zustimmungs-eMails zu beantworten, oft ist in
den Zustimmungen zum Newsletterbezug auch der Versuch formuliert, andere Teile
einer Geschäftsbeziehung zu "sanieren".

Wer ab 25. Mai 2018 unerwünschte eMails erhält, sollte dasselbe wie vorher
tun, sich vom Newsletterbezug abmelden. Nur dort, wa das nicht funktioniert
ist eine Anzeige sinnvoll. Bei besonders hartnäckigen Fällen ist auch eine
Schadenersatzforderung in der Höhe von etwa 1.000,- Euro ("Missachtung der
DSGVO") sinnvoll.

Bei einer Schadenersatzklage muss dem Betroffenen jedoch bewusst sein, dass
diese kostenpflichtig ist und er zum Teil juristisches Neuland mit ungewissem
Ausgang betritt.

mehr Online -->
http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=30065sni

mehr -->
http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=83496oik
http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=47132nvh
http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
Archiv -->
http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=96962ciz

artikel - redaktionell/public (2018/05/22-9999/99/99) powered by e-CMS

Create Trust - Confirm Trust
Vertrauensdienste Österreich - GLOBALTRUST QUALIFIED
----------------------------------------------------------------------
e-commerce monitoring gmbh, A-1110 Wien, Guglgasse 15/3B/6OG
fon (+43)(0)1/5320944 fax (+43)(+43)(0)1/5320974
http://www.globaltrust.eu/ info at e-monitoring.at
Handelsgericht WIEN FN 224536a Gesellschaft mit beschränkter Haftung
Information gemäß DSGVO http://e-monitoring.at/dsgvo.html

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.mur.at/pipermail/graetzwerk/attachments/20180523/53864e63/attachment.html>

Mehr Informationen über die Mailingliste Graetzwerk