aboutpixel.de / Dead End (c) Adrian Palinski

Sicher haben Sie es in der Pres­se der letz­ten Wochen ver­folgt: ein bekann­ter Auto­ver­mie­ter mit Sitz in Ham­burg wur­de zur Zah­lung eines Buß­gelds in Höhe von 54.000 Euro ver­pflich­tet. Die zustän­di­ge Daten­schutz­be­hör­de nahm Anstoß an der Art und Wei­se der Umset­zung einer in der Bran­che übli­chen Siche­rungs­maß­nah­me hoch­wer­ti­ger Miet­fahr­zeu­ge mit­tels GPS Ortung. Erschwe­rend kam eine feh­len­de Rege­lung zur sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG mit dem ein­ge­setz­ten Dienst­leis­ter hinzu.

Der ham­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par äußer­te sich dahingehend:

“Grund­sätz­lich ist die Moti­va­ti­on von Europ­car nach­voll­zieh­bar. Die heim­li­che Ortung von Miet­fahr­zeu­gen und die heim­li­che Kon­trol­le der Mie­ter stel­len jedoch einen schwe­ren Ein­griff  in deren Per­sön­lich­keits­recht dar. Der Auto­ver­mie­ter hat es dadurch in der Hand, Bewe­gungs­pro­fi­le sei­ner Kun­den zu erstel­len. Mit Hil­fe der Ortungs­tech­nik lässt sich nicht nur rekon­stru­ie­ren, wer sich wann wo auf­ge­hal­ten hat, son­dern auch, wer zu wel­chem Zeit­punkt mit wel­cher Geschwin­dig­keit gefah­ren ist. Ins­be­son­de­re durch die anlass­lo­se Ortung wer­den die Mie­ter regel­mä­ßig unter einen Gene­ral­ver­dacht gestellt.”

In der Pres­se­mit­tei­lung vom 17.07.2012 heißt es weiterhin:

“Da die Über­mitt­lung der Ortungs­da­ten ohne Wis­sen und ohne Ein­wil­li­gung der Mie­ter erfolg­te, war sie ord­nungs­wid­rig. Dane­ben gab es zwi­schen der Europ­car GmbH und der aus­füh­ren­den Fir­ma kei­nen Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung nach dem Bun­des­da­ten­schutz­ge­setz.  Die Höhe des Buß­gel­des wur­de zudem maß­geb­lich davon beein­flusst, dass die Europ­car GmbH dem Daten­schutz­be­auf­trag­ten anfäng­lich kei­ne voll­stän­di­gen Aus­künf­te erteilt und trotz Auf­for­de­rung das unzu­läs­si­ge Ver­hal­ten zunächst nicht been­det hatte.”

§4a BDSG defi­niert Form und Inhalt einer rechts­wirk­sa­men Einwilligungserklärung:

  • Erfor­der­nis der Schrift­form (Aus­nah­me: elek­tro­ni­sche Ein­wil­li­gung, an die genaue Vor­ga­ben geknüpft sind)
  • Frei­wil­lig­keit der Einwilligung
  • Genaue Zweck­be­schrei­bung
  • Fol­gen der Nichterteilung
  • Opti­sche Her­vor­he­bung der Einwilligung

Pau­scha­le Ein­wil­li­gun­gen in der Form “Ich wil­li­ge in die Nut­zung mei­ner Daten zu jedem erdenk­li­chen Zweck im Sin­ne des Unter­neh­mens ein” soll­ten sich dem­nach mitt­ler­wei­le über­holt haben.

Das OLG Köln hat in sei­ner Ent­schei­dung vom 17.06.2011, AZ: 6 U 8/​11 eine durch eine Ver­brau­cher­schutz­be­hör­de bean­stan­de­te Ein­wil­li­gungs­er­klä­rung inhalt­lich und der Form nach geprüft und deren Wirk­sam­keit bestä­tigt. Es emp­fiehlt sich durch­aus, die Begrün­dung und Bewer­tung des OLG vor dem Erar­bei­ten einer eige­nen Ein­wil­li­gungs­er­klä­rung zu prüfen.

Hilf­reich ist eben­falls, sich in die Posi­ti­on des Ein­wil­li­gen­den zu ver­set­zen. Die­ser muss klar erkennen:

  • Han­delt es sich um eine Einwilligung?
  • War­um soll ich einwilligen?
  • Wel­che mei­ner per­so­nen­be­zo­ge­nen Daten sind kon­kret betroffen?
  • Für wel­chen kon­kre­ten Ver­wen­dungs­zweck soll ich einwilligen?
  • Wel­che Kon­se­quen­zen hat es für mich, wenn ich nicht einwillige?
  • An wen gibt das Unter­neh­men mei­ne Daten wei­ter und warum?

Ver­mei­den Sie dabei auf jeden Fall all­ge­mei­ne For­mu­lie­run­gen! In eine Ein­wil­li­gung soll­te aus­rei­chend Zeit und Pla­nung inves­tiert wer­den. Sind die kon­kre­ten Zwe­cke nicht aus­rei­chend und umfäng­lich defi­niert, so ent­fällt auf­grund der im BDSG fest­ge­schrie­be­nen Zweck­bin­dung jeg­li­che wei­te­re Verwendungsmöglichkeit.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kennt sich mit die­sem The­ma bes­tens aus. Spre­chen Sie ihn doch ein­fach recht­zei­tig an. Sie haben kei­nen? Dann for­dern Sie noch heu­te Ihr Ange­bot an. Er unter­stützt Sie auch bei der Umset­zung einer daten­schutz­kon­for­men Auf­trags­da­ten­ver­ar­bei­tung.

Neben dem Bun­des­da­ten­schutz­ge­setz spie­len je nach Fall wei­te­re Geset­ze bei der Erstel­lung und Umset­zung einer (elek­tro­ni­schen oder schrift­li­chen) Ein­wil­li­gung eine Rol­le. Mehr erfah­ren Sie in unse­rem Part­ner­blog.

4 thoughts on “Mit Ein­wil­li­gung wäre das wohl nicht passiert

  1. Einer­seits ist es ver­ständ­lich, dass Europ­car zu sol­chen Mass­nah­men greift, aber ander­seits ist es schlicht und ein­fach nicht in Ord­nung Leu­te per GPS zu ver­fol­gen. Das ist ein schwe­rer Ein­griff in die Pri­vat­sphä­re. Europ­car hat­te vie­le Bus­sen von den Auto­mie­tern zah­len müs­sen und ergriff höchst­wahr­schein­lich aus prä­ven­ti­ven Grün­den zu sol­chen Massnahmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.