Grundsätzlich gilt, dass nicht immer eine Einwilligung des Betroffenen zur Erhebung und weiteren Verwendung von Daten erforderlich ist. Die Erhebung und Verwendung kann auch im Rahmen eines gesetzlichen Erlaubnistatbestandes datenschutzrechtlich zulässig sein (siehe auch hier). Entbehrlich ist sie daneben bei rein anonymer Nutzung (siehe auch hier). Wenn eine Einwilligung des Betroffenen erforderlich ist, muss diese freiwillig und für den Betroffenen transparent sein und ausdrücklich erteilt werden.
Die Einwilligung muss freiwillig, also ohne Zwang, erteilt werden. Nicht freiwillig sind Einwilligungen, bei denen der Betroffene keine andere Wahl hat, die keine schweren Nachteile für ihn bedeutet. Freiwilligkeit wird beispielsweise verneint bei Druck des Arbeitgebers auf den Arbeitnehmer sowie bei der Kopplung von Einwilligungen an den Bezug essentieller Waren oder Dienstleistungen (insbesondere Daseinsvorsorge wie etwa Energie, Versorgung, Bankkonto), nicht aber im normalen Geschäftsleben. Nach herrschender und richtiger Ansicht kann ich als normaler Anbieter meine Leistungen von datenschutzrechtlichen Zustimmungen abhängig machen.
Für eine rechtskonforme Einwilligung muss ein Empfänger explizit der Verarbeitung seiner Daten zustimmen. Eine Einwilligung kann nicht Teil vorformulierter Vertragsbedingungen sein oder aus einem anderen Zusammenhang heraus abgeleitet werden. Soll die Einwilligung zusammen mit einer anderen Erklärung schriftlich erklärt werden, ist sie besonders zu kennzeichnen bzw. hervorzuheben. Die Einwilligung sollte daher am besten immer separat und aktiv erfolgen, d.h. das erforderliche Häkchen (Opt-In) darf nicht schon automatisch gesetzt werden, so dass der Kunde es entfernen müsste.

Aufklärung über Zweck der Datenverarbeitung notwendig

Der Kunde muss über den Zweck der Datenverarbeitung aufgeklärt werden, also z.B. Erhebung von Standortdaten oder Auswertung von Click-Verhalten für kundenspezifische Sonderangebote. Werden die Daten für mehrere Zwecke erhoben oder verarbeitet, so sind die verschiedenen Zwecksetzungen zu benennen.
Im Rahmen der Einwilligung muss der Kunde außerdem über sein Widerrufsrecht informiert werden. Dieses Widerspruchsrecht ist bei Big Data nicht unproblematisch, da ein Widerspruch jederzeit möglich ist und die Daten des Betroffenen dann aus dem Datensatz entfernt werden, oder zumindest separiert werden müssen.
Für einen rechtssicheren Nachweis der Einwilligungen ist nach der deutschen Rechtsprechung im E-Mail-Umfeld nur das sogenannte Double-Opt-In Verfahren geeignet. Es wird argumentiert, dass nur so sichergestellt werden kann, dass
auch wirklich derjenige seine Einwilligung abgibt, der über den E-Mail Account verfügt. Durch das Verfahren wird verhindert, dass ein Unbefugter den Empfänger – über ein frei zugängliches Formular – beispielsweise für einen Newsletter
einträgt. Jede Einwilligung des Empfängers muss präzise protokolliert werden, damit der Versender jederzeit nachweisen kann, dass er eine legitime Einwilligung vorliegen hat. Für eine rechtskonforme Einwilligung per Double-Opt-In müssen im Einzelnen folgende Punkte erfüllt werden:

  • Der Empfänger muss nach der Anmeldung eine Bestätigungs-E-Mail geschickt bekommen, in der er über einen Link erneut zur Bestätigung der Einwilligung aufgefordert wird.
  • Die Bestätigungsmail darf keine kommerziellen Inhalte enthalten.
  • Die Protokollierung muss Art und Umfang der Einwilligung (d.h. die konkrete Datennutzungserklärung, welcher der Empfänger zugestimmt hat) sowie Zeitpunkt der Einwilligung, IP-Adresse und erhobene Daten umfassen.

Für „Big Data“ begründet eine Einwilligungserfordernis – neben dem bereits angesprochenen Widerspruchsrisiko – insbesondere die Problematik, dass der Zweck der Datenverarbeitung möglicherweise erst später hinzutritt oder dass für alle im Daten-Pool enthaltenen Daten die Einholung einer Einwilligung aus praktischen Gründen gar nicht mehr möglich ist. Dennoch ist es ratsam, Einwilligungen, soweit möglich, einzuholen.