Einwilligungserklärung im Datenschutz
Die Einwilligung stellt den Dreh- und Angelpunkt der DSGVO dar. Denn grundsätzlich ist die Verarbeitung personenbezogener Daten stets verboten, es sei denn das Gesetz lässt diese ausdrücklich zu oder eine Einwilligung des Betroffenen liegt vor. Durch eine Einwilligung wird dem Betroffenen die Möglichkeit eingeräumt, über sein Grundrecht auf informationelle Selbstbestimmung zu disponieren, sodass er der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten zustimmen kann. Das Gesetz stellt allerdings hohe Anforderungen an die Erlaubnis zur Datenverarbeitung durch eine Einwilligungserklärung.
Das Wichtigste auf einen Blick
1. Was ist eine Einwilligungserklärung?
Sobald private oder öffentliche Stellen personenbezogene Daten verarbeiten wollen, obwohl der Verarbeitung keine gesetzliche Grundlage zugrunde liegt die dies gestattet, ist die Datenverarbeitung nur zulässig, wenn im Vorfeld eine Einwilligung des Betroffenen eingeholt wurde. Demnach ist eine Einwilligung die vorherige Zustimmung. Folglich muss diese stets vor dem Stattfinden einer Verarbeitung eingeholt werden. Erst wenn dieses Einverständnis vorliegt, darf mit der Verarbeitung personenbezogener Daten begonnen werden.
2. Form der Einwilligungserklärung
Eine Einwilligung in die Datenverarbeitung kann sowohl ausdrücklich als auch konkludent, durch sonstige bestimmte Handlungen erfolgen. Allerdings liegt es in der Verantwortung des Datenverarbeiters aus Gründen der Dokumentations- und Hinweispflicht, einen Nachweis darüber zu erbringen, dass die Einwilligung tatsächlich erteilt wurde, um auf Anfrage, insbesondere gegenüber Aufsichtsbehörden, diesen Nachweis erbringen zu können, Art. 7 Abs. 1 DSGVO.
Aus diesem Grund empfiehlt sich in jedem Fall die Einholung einer schriftlichen Einwilligungserklärung, um mögliche Beweisschwierigkeiten zu vermeiden.
Sofern die Einwilligung zusammen mit anderen vertraglichen Erklärungen schriftlich oder in elektronischem Format erteilt wird, muss die Belehrung über die Einwilligung und sofern eine vorformulierte Einwilligungserklärung vorliegt, in einer von der anderen Vertragserklärung deutlich zu unterscheidenden Weise erfolgen, Art. 7 Abs. 2 S. 1 DSGVO. Regelmäßig empfiehlt es sich für die Einwilligung einen gesonderten Abschnitt vorzusehen, der sich vom Rest der Erklärung abhebt.
Beim Online-Auftritt, kann eine Einwilligungserklärung mittels Anklicken eines Kontrollkästchens, einem sogenannten Opt-In Verfahren abgegeben werden. Die bloße Wahrnehmung eines durch den Verantwortlichen vorangekreuzten Kästchens, das durch den Betroffenen deaktiviert werden muss, auch als Opt-Out Verfahren bekannt, wird dem Erfordernis nicht gerecht.
Weiterhin kann eine Einwilligungserklärung mithilfe des Double-Opt-In Verfahrens online eingeholt werden. Dabei wird zunächst der eine Haken gesetzt. Darüber hinaus muss ein zur Verfügung gestellter Link zur Bestätigung der Einwilligung angeklickt werden.
Dies wäre ein Verfahren, das den Nachweis über die Einholung der Einwilligung erleichtern würde. Allerdings ist bereits das Single-Opt-In Verfahren vollkommen ausreichend.
Schweigen kann demgegenüber nie eine wirksame Einwilligung im Sinne des Art. 7 DSGVO darstellen.
3. Wann muss eine Einwilligung eingeholt werden ?
Sofern der geplanten Datenerhebung und -verarbeitung personenbezogener Daten keine rechtliche Erlaubnis zu Grunde liegt, ist stets eine Einwilligung des Betroffenen erforderlich.
Wirksam eingeholte datenschutzrechtliche Einwilligungen vor Geltung der DSGVO (25.05.18) gelten fort sofern sie den gesetzlichen Vorgaben entsprechen.
Für die Einwilligung Minderjähriger gelten besondere Voraussetzungen. Insofern ist eine wirksame Einwilligung Minderjähriger in die Verarbeitung ihrer personenbezogener Daten erst ab dem Alter von 16 Jahren möglich.
Die Verarbeitung personenbezogener Daten von unter 16 Jährigen ist dagegen nur mit einer entsprechenden Genehmigung des gesetzlichen Vertreters gegenüber dem Verantwortlichen möglich.
Eine Generaleinwilligung für alle Verarbeitungen ist dagegen nicht ausreichend. Eine pauschale Einwilligung für eine unbeschränkte Verarbeitung personenbezogener Daten wird den gesetzlichen Anforderungen nicht gerecht.
Der Betroffenen muss vielmehr genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden, sodass er selbst entscheiden kann, in welche Verarbeitungsvorgänge er einwilligen will. Soll eine besondere Kategorie personenbezogener Daten erhoben und verarbeitet werden, muss auch dies explizit und ausführlich dargestellt sein.
Eine Einwilligung ist in der Praxis stets in folgenden Fällen erforderlich:
4. Anforderungen an eine Einwilligungserklärung
Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligungserklärung sind in Art. 7 DSGVO geregelt und in Erwägungsgrund 32 zur DSGVO spezifiziert.
1. Freiwillig
Eine Einwilligung des Betroffenen muss aus freien Stücken erfolgen. Der Betroffene darf sich nicht gezwungen fühlen und muss sich im Zeitpunkt der Abgabe darüber im Klaren sein, dass er keines falls verpflichtet ist in die Verarbeitung seiner personenbezogener Daten einzuwilligen und eine echte und freie Wahl hat, sich also in der Position sieht, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile erleiden zu müssen. Anhaltspunkt für unfreiwilliges Handeln im Hinblick auf eine Einwilligung kann ein Über- und Unterordnungsverhältnis sein.
Darüber hinaus gilt dahingehend auch das sogenannte Koppelungsverbot. Freiwilligkeit liegt demnach nicht vor, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zum Vertragsabschluss oder zur Erbringung der vertraglichen Leistung nicht notwendig ist. Zudem ist eine durch Täuschung, Drohung oder unter sonstigem Zwang, d.h. vor allem eine unter sozialem Druck eingeholte Einwilligungserklärung nicht wirksam.
2. Eindeutig
Die Einwilligungserklärung muss vom Betroffenen eindeutig als solche identifiziert werden können. Demnach muss das Ersuchen um Einwilligung in verständlicher und klarere Sprache, sowie in leicht zugänglicher Form erfolgen und sollte keine missbräuchlichen Klauseln beinhalten. Das heißt, für den betroffenen dürfen keinerlei Zweifel darüber bestehen, ob er nun tatsächlich eine Einwilligung abgegeben hat oder nicht und welchen Inhalt diese hat. Aus der Formulierung der abgegebenen Erklärung muss unmissverständlich hervorgehen, dass die betroffene Person ihre Zustimmung zur Datenerhebung- und Verarbeitung gibt.
3. Zweckgebunden
Eine Einwilligung erfolgt nur in Bezug auf einen konkreten Verarbeitungszweck, der ausreichend erläutert sein muss. Liegen der Verarbeitung personenbezogener Daten unterschiedliche Zwecke zugrunde, müssen separate Einwilligungserklärungen eingeholt werden.
4. Informiert
Die einwilligende Person muss über die Bedeutung und Reichweite der Einwilligungserklärung die sie abgibt informiert sein. Eine Einwilligung ist also nur rechtwirksam, wenn der Einwilligende im Vorfeld umfassend und unmissverständlich über den Zweck und Umfang der Datenverarbeitung, sowie seine Rechte vom Verantwortlichen belehrt wurde.
Der Betroffene ist über das Recht auf Auskunft und die Löschung der erhobenen und verarbeiteten Daten, sowie das Recht darauf, der Verwendung seiner personenbezogener Daten zu widersprechen umfassend zu informieren. Zudem ist er über seine Beschwerderechte aufzuklären.
Diese Informationen müssen ebenso in verständlicher, klarer und einfacher Sprache sowie in leicht zugänglicher Form erfolgen. Der Umfang der Informationspflicht kann einzelfallabhängig, je nach Verwendungszweck variieren. Erfolgt durch die verarbeitende Stelle zudem eine Datenweitergabe an Dritte, muss der Betroffene ebenfalls darüber aufgeklärt werden, an wen die Übermittlung erfolgt, zu welchem Zweck, und welche Konsequenzen eine fehlende Einwilligung hätte.
Diese Informationspflicht kann durch eine umfassende Datenschutzerklärung erfüllt werden.
5. Widerrufbar
Vor allem ist der Betroffene darauf hinzuweisen, dass die erteilte Einwilligung für die Zukunft widerrufen werden kann, wobei der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss, Art. 7 Abs. 3 DSGVO. Allerdings muss dafür nicht zwingend das selbe Verfahren verwendet werden, wie es zur Einholung der Einwilligung verwendet wurde. Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden. Macht die betroffene Person von seinem Widerrufsrecht gebrauch, muss die Verarbeitung der betreffenden Daten unverzüglich eingestellt werden, wenn die Verarbeitung auf keine andere Rechtsgrundlage gestützt werden kann.
5. Folgen einer unwirksamen Einwilligungserklärung
Genügt eine Einwilligungserklärung nicht den dargestellten Anforderungen ist sie unwirksam und kann nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden, sodass die Verarbeitung der Daten auf dieser Grundlage rechtswidrig ist.
Versucht der Verantwortliche in einem solchen Fall die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen, wie beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO), ist dies grundsätzlich unzulässig, weil darin eine Missachtung der Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) durch den Verantwortlichen liegt. Ein willkürlicher Wechsel zwischen Einwilligung und anderen Rechtsgrundlagen ist nicht möglich.
Liegen Verstöße gegen die Datenverarbeitungsgrundsätze der DSGVO vor oder fehlen die Voraussetzungen einer wirksamen Einwilligung, kann von der zuständigen Aufsichtsbehörde eine Geldbuße verhängt werden.
Nach Art. 83 Abs. 5 lit. a) DSGVO können von den Behörden Geldstrafen von bis zu 20 Millionen Euro oder im Falle eines Unternehmens in Höhe von 4 % des gesamten weltweit erzielten Gesamtumsatzes des vorangegangenen Jahres betragen. Zudem können nach den Umständen des Einzelfalls Schadensersatzansprüche der betroffenen Person in Betracht kommen, Art. 82 DSGVO.
6. Fazit
Bei der Einwilligung kommt eine Menge an Grundsätzen, Verpflichtungen und Rechten zusammen. Durch die Einwilligung lässt sich neben bestehenden gesetzlichen Grundlagen eine zusätzliche Rechtsgrundlage für die Datennutzung schaffen, die in ihren Möglichkeiten sehr weitgehend sein kann.
Aus diesem Grund ist es wichtig, dass eine Einwilligung nur unter Einhaltung der rechtlichen Vorgaben möglich ist, sodass der Betroffene durch die Wahrung der datenschutzrechtlichen Grundsätze in die Lage versetzt wird, aufgeklärt und frei über das ihm zustehende Persönlichkeitsrecht zu disponieren.
Ähnliche spannende Beiträge
Datenkategorien DSGVO
Welche Datenkategorien gibt es in der DSGVO? Welche Daten sind besonders geschützt? Von Datenschutzexperten für die Praxis. Jetzt informieren.
Der Datenschutzbeauftragte
Ein Datenschutzbeauftragter wird in allen datenschutzrechtlichen Bereichen, vor allem durch Beratung, Kontrolle und Aufklärung tätig. Außerdem unterstützt er das Unternehmen bei der Umsetzung der gesetzlichen Vorschriften.
Einwilligungserklärung im Datenschutz
Die Einwilligungserklärung spielt im Datenschutz eine bedeutende Rolle. Welche Vorgaben gilt es einzuhalten? Von Datenschutzexperten für die Praxis.
Weitreichende Dokumentationspflichten bei Telefonwerbung
Die Anforderungen an die Telefonwerbung; ein heutzutage sehr verbreitetes Marketinginstrument.
Der Bundesdatenschutzbeauftragte
Welche Aufgaben hat der Bundesdatenschutzbeauftragte, was ist seine Funktion und wie wird er tätig? Jetzt informieren.
Datenschutz am Arbeitsplatz
Datenschutz am Arbeitsplatz ist ein für Betriebe essenzielles Thema. Wir informieren Sie über alle wichtigen Praxisfälle.