Für die Nutzung und Verarbeitung der Daten ist die Einwilligung des Betroffenen ein entscheidender Punkt. Sie folgt dem allgemeinen Rechtsprinzip in Deutschland, nach dem ein zu Schützender unter bestimmten Bedingungen auf seinen Schutz verzichten kann. Während § 4 I S. 2 BDSG noch regelmäßig die Schriftform für die Einwilligung vorschreibt, ist seit Inkrafttreten des TDDSG diese Einwilligung auch online möglich (s. § 3 VII TDDSG):

Damit sind die gestalterischen und technischen Anforderungen an die Einwilligung per Mausklick definiert. Aus Nr. 1 folgt die aktive Handlung des Nutzers; zu dieser dürfte ein Mausklick ausreichend, aber auch notwendig sein. Die häufig genutzte Variante, ein klickbares Feld in einem Formular bereits mit der Zustimmung als Default zu versehen, reicht dafür nicht aus. Die zumeist angeführte Begründung, der Nutzer könne mit einfachem Mausklick durch Abschalten des Kontrollkästchens die Einwilligung ablehnen, greift nicht. Auch das reine Angebot des Textes der Einwilligungsklausel genügt den Ansprüchen des TDDSG nicht.

Bei beiden dargestellten Varianten ist keine aktive Handlung des Nutzers zur Einwilligung notwendig; sie genügen damit nicht den Ansprüchen des § 3 VII TDDSG. Die weiter dort geforderten Maßnahmen zu Unveränderbarkeit und Protokollierung sind auf der technischen Ebene umzusetzen, allerdings sind sie nicht trivial. Diese Vorschrift eng zu sehen bedeutet das Aus für die AGB von kleineren Unternehmen. In der Praxis wird zumeist auf der Webseite ein Formular angeboten, das mittels CGI (Common Gateway Interface) beim Absenden durch den Anwender in eine E-Mail konvertiert und so zum Website-Betreiber übertragen wird. Damit ist ohne größeren technischen Aufwand keine Datenbank verbunden. Der Vorteil der Web-Technologien liegt gerade darin, daß sie Electronic Commerce auch für kleine Unternehmen mit eben nicht umfangreichem technologischen Fachwissen ermöglichen. Eine enge Auslegung der Vorschrift würde bedeuten, die Online-Einwilligungen auch jederzeit online abrufbar zu halten, und dies ist, auch vor dem Hintergrund der Sicherheitskriterien, keinesweg technisch trivial - abgesehen davon, daß es weltweit kaum umgesetzt wird und schlicht nicht durchsetzbar wäre.

Die Einwilligung ist, einmal erteilt, jedoch nicht zwangsläufig ewig wirksam. Der Nutzer kann sie jederzeit widerrufen. Auch durch ausdrückliche Erklärung könnte der Nutzer nicht auf dieses Recht verzichten (s. § 6 BDSG). Auf die Widerrufsmöglichtkeit sollte er vor der Einholung der Einwilligung ausdrücklich hingewiesen werden, um mögliche Konflikte zu vermeiden. Eine praktikable Möglichkeit sähe demnach folgendermaßen aus:

In diesem Zusammenhang ist, neben der Zielsetzung des gesetzlichen Datenschutzes, allerdings auch die Arbeitsweise von Klein- und Mittelunternehmen (KMU) zu berücksichtigen. Aufgrund der dort eingesetzten IT-Systeme kommt es häufig zu Medienbrüchen, so bspw. weil per E-Mail oder elektronischem Formular abgesandte Bestellungen nicht elektronisch weiterverarbeitet werden, sondern lediglich analog zu einem Fax ausgedruckt und dann in teilmanuellen Verfahren verarbeitet werden. Vergegenwärtigt man sich, daß rund 97 % aller Unternehmen KMU sind, dürfte dies die Mehrzahl der praktischen Verfahrensweisen betreffen. Weithin unbekannt ist bei KMU, daß eine Auswertung der Bestellungen per Strichliste zur Marktforschung trotz fehlender elektronischer Verarbeitung den Vorschriften zum Datenschutz unterliegt, da nach § 27 II BDSG auch solche personenbezogenen Daten, die offensichtlich ursprünglich einer Datei entnommen wurden, dem Datenschutz unterliegen - und dies dürfte bei einer Erhebung über elektronische Formulare oder E-Mail regelmäßig der Fall sein.

6.2 Leistung nur nach Einwilligung?

© 1998-2002 Ulrich Werner