Wer personenbezogene Daten verarbeiten oder nutzen möchte, bedarf nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) hierzu entweder der Erlaubnis durch ein Gesetz oder einer Einwilligung des von der Datenverarbeitung Betroffenen.
In der Praxis findet man häufig solche Einwilligungen in die Übermittlung oder Nutzung von personenbezogenen Daten in Allgemeinen Geschäftsbedingungen (AGB). Dies ist rechtlich in der Regel problematisch und führt oftmals zu einer unzulässigen Datenverarbeitung. Eine nicht erlaubte Datenverarbeitung bedeutet aber eine Verletzung des allgemeinen Persönlichkeitsrechts des Betroffenen mit all seinen zivil- und gegebenenfalls strafrechtlichen Folgen.
Welche Fehler beim Einbau einer „Datenschutzklausel“ in die AGB passieren können, zeigt eindrucksvoll die Entscheidung des AG Elmshorn vom 25.4.2005 (Az. 49 C 54/05).
Die Klausel mit der Bezeichnung „Datenschutz“ in einem Handy-Vertrag, in welcher sich der Betroffene mit der Übermittlung seiner Bestandsdaten an Wirtschaftsauskunfteien einverstanden erklärte, entsprach nicht den Anforderungen des § 4a BDSG.
Eine Einwilligung kann nur dann rechtmäßig sein, wenn der Betroffene „in Kenntnis der Sachlage“ handelt. Dies ist dann nicht der Fall, wenn sich die Tragweite und Folgen der Verweigerung seiner Einwilligung nicht bereits aus den Umständen ergeben und der Betroffene hierüber nicht informiert wird.
Das AG Elmshorn urteilte, daß die von § 4a Abs. 1 S. 3 BDSG geforderte Schriftform nur dann gewahrt sei, wenn die Klausel in voller Länge auf der zu unterzeichnenden Urkunde abgedruckt sei und der Einwilligende die Klausel durch Namensunterschrift unterhalb dieses Abdrucks anerkenne.
Ein bloßer allgemeiner Hinweis auf die Einbeziehung einer andernorts abgedruckten Einwilligungsklausel reicht also keineswegs aus.
Unwirksam war die Klausel im zu entscheidenden Fall auch wegen der Übertitelung der „Einwilligung“ mit dem Wort „Datenschutz“. Denn die Klausel ließe Angaben über den Schutz personenbezogener Daten erwarten. Gerade umgekehrt sollte mit der Klausel aber die Erhebung, Verarbeitung und Nutzung personenbezogener Daten legitimiert werden.
Ferner ist eine Einwilligung, die sich in AGB verbirgt, in der Regel nicht hervorgehoben dargestellt im Sinne des § 4a Abs. 1 S. 4 BDSG und schon deshalb unwirksam.
Praxistip:
§ 4 Abs. 1 BDSG bestimmt, daß die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene einwilligt. Mit einer Einwilligung des Betroffenen ist der datenverarbeitende Stelle in Datenschutzangelegenheiten daher in der Regel „auf der sicheren Seite“. Daß die Erfordernisse einer wirksamen Einwilligung aber hoch sind und diese nicht einfach so in den AGB „irgendwo versteckt“ werden können, macht diese Entscheidung sehr schön deutlich. Für die datenverarbeitende Stelle gilt daher, bei der Formulierung einer Einwilligung bzw. bei deren Einholung größtmögliche Sorgfalt walten zu lassen.
(RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe)
