.st0{fill:#FFFFFF;}

Einwilligungserklärung im Datenschutz

Wichtige Datenschutz-Themen von Profis aufbereitet

Einwilligungserklärung im Datenschutz

Die Einwilligung stellt den Dreh- und Angelpunkt der DSGVO darDenn grundsätzlich ist die Verarbeitung personenbezogener Daten stets verboten, es sei denn das Gesetz lässt diese ausdrücklich zu oder eine Einwilligung des Betroffenen liegt vor. Durch eine Einwilligung wird dem Betroffenen die Möglichkeit eingeräumt, über sein Grundrecht auf informationelle Selbstbestimmung zu disponieren, sodass er der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten zustimmen kann. Das Gesetz stellt allerdings hohe Anforderungen an die Erlaubnis zur Datenverarbeitung durch eine Einwilligungserklärung. 

Das Wichtigste auf einen Blick

  • Liegt der Verarbeitung keine gesetzliche Erlaubnis zugrunde, kann die Einwilligung eine Grundlage zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten darstellen
  • Gesetzlich geregelt wird die Einwilligungserklärung in Art. 7 der DSGVO, sowie im Erwägungsgrund 32 zur DSGVO, der weitere spezifizierte Anforderungen enthält
  • Für die Gültigkeit einer Einwilligung muss die betroffenen Personen über die Erhebung, Nutzung und Verarbeitung ihrer personenbezogenen Daten umfassend aufgeklärt werden
  • Eine Einwilligungserklärung, die den Anforderungen der DSGVO nicht gerecht wird, ist unwirksam und kann nicht als Rechtsgrundlage für die Verarbeitung personenbezogener Daten herangezogen werden
  • Folgen einer unwirksamen Einwilligungserklärung oder einer erfolgten Datenverarbeitung ohne vorherige Zustimmung des Betroffenen, können Geldbuße und Schadensersatzansprüche sein
Inhalt
1. Was ist eine Einwilligungserklärung? 
2. Form der Einwilligungserklärung  
3. Wann muss eine Einwilligung eingeholt werden ? 
4. Anforderungen an eine Einwilligungserklärung  
1. Freiwillig
2. Eindeutig
3. Zweckgebunden
4. Informiert
5. Widerrufbar
5. Folgen einer unwirksamen Einwilligungserklärung  
6. Fazit

1. Was ist eine Einwilligungserklärung? 

Sobald private oder öffentliche Stellen personenbezogene Daten verarbeiten wollen, obwohl der Verarbeitung keine gesetzliche Grundlage zugrunde liegt die dies gestattet, ist die Datenverarbeitung nur zulässig, wenn im Vorfeld eine Einwilligung des Betroffenen eingeholt wurde. Demnach ist eine Einwilligung die vorherige Zustimmung. Folglich muss diese stets vor dem Stattfinden einer Verarbeitung eingeholt werden.  Erst wenn dieses Einverständnis vorliegt, darf mit der Verarbeitung personenbezogener Daten begonnen werden. 

2. Form der Einwilligungserklärung  

Eine Einwilligung in die Datenverarbeitung kann sowohl ausdrücklich als auch konkludent, durch sonstige bestimmte Handlungen erfolgenAllerdings liegt es in der Verantwortung des Datenverarbeiters aus Gründen der Dokumentations- und Hinweispflicht, einen Nachweis darüber zu erbringen, dass die Einwilligung tatsächlich erteilt wurde, um auf Anfrage, insbesondere gegenüber Aufsichtsbehörden, diesen Nachweis erbringen zu können, Art. 7 Abs. 1 DSGVO. 

Aus diesem Grund empfiehlt sich in jedem Fall die Einholung einer schriftlichen Einwilligungserklärung, um mögliche Beweisschwierigkeiten zu vermeiden.  

Sofern die Einwilligung zusammen mit anderen vertraglichen Erklärungen schriftlich oder in elektronischem Format erteilt wird, muss die Belehrung über die Einwilligung und sofern eine vorformulierte Einwilligungserklärung vorliegt, in einer von der anderen Vertragserklärung deutlich zu unterscheidenden Weise erfolgen, Art. 7 Abs. 2 S. 1 DSGVO. Regelmäßig empfiehlt es sich für die Einwilligung einen gesonderten Abschnitt vorzusehen, der sich vom Rest der Erklärung abhebt. 

Beim Online-Auftritt, kann eine Einwilligungserklärung mittels Anklicken eines Kontrollkästchens,  einem sogenannten Opt-In Verfahren abgegeben werden. Die bloße Wahrnehmung eines durch den Verantwortlichen vorangekreuzten Kästchens, das durch den Betroffenen deaktiviert werden muss, auch als Opt-Out Verfahren bekannt, wird dem Erfordernis nicht gerecht. 

Weiterhin kann eine Einwilligungserklärung mithilfe des Double-Opt-In Verfahrens online eingeholt werden. Dabei wird zunächst der eine Haken gesetzt. Darüber hinaus muss ein zur Verfügung gestellter Link zur Bestätigung der Einwilligung angeklickt werden.

Dies wäre ein Verfahren, das den Nachweis über die Einholung der Einwilligung erleichtern würde. Allerdings ist bereits das Single-Opt-In Verfahren vollkommen ausreichend. 

Schweigen kann demgegenüber nie eine wirksame Einwilligung im Sinne des Art. 7 DSGVO darstellen. 


3. Wann muss eine Einwilligung eingeholt werden ? 

Sofern der geplanten Datenerhebung und -verarbeitung personenbezogener Daten keine rechtliche Erlaubnis zu Grunde liegt, ist stets eine Einwilligung des Betroffenen erforderlich.   

Wirksam eingeholte datenschutzrechtliche Einwilligungen vor Geltung der DSGVO (25.05.18) gelten fort sofern sie den gesetzlichen Vorgaben entsprechen.  

Für die Einwilligung Minderjähriger gelten besondere Voraussetzungen. Insofern ist eine wirksame Einwilligung Minderjähriger in die Verarbeitung ihrer personenbezogener Daten erst ab dem Alter von 16 Jahren möglich. 

Die Verarbeitung personenbezogener Daten von unter 16 Jährigen ist dagegen nur mit einer entsprechenden Genehmigung des gesetzlichen Vertreters gegenüber dem Verantwortlichen möglich. 

Eine Generaleinwilligung für alle Verarbeitungen ist dagegen nicht ausreichend. Eine pauschale Einwilligung für eine unbeschränkte Verarbeitung personenbezogener Daten wird den gesetzlichen Anforderungen nicht gerecht. 

Der Betroffenen muss vielmehr genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden, sodass er selbst entscheiden kann, in welche Verarbeitungsvorgänge er einwilligen will. Soll eine besondere Kategorie personenbezogener Daten erhoben und verarbeitet werden, muss auch dies explizit und ausführlich dargestellt sein. 

Eine Einwilligung ist in der Praxis stets in folgenden Fällen erforderlich:  

  • Bei einer Datenspeicherung die länger erfolgt, als gesetzlich vorgesehen
  • Verwendung von Mitarbeiterfotos und Benennung als Kontaktperson
  • Wenn eine Veröffentlichung personenbezogener Daten stattfindet, wie es bei Rezensionen oft der Fall ist
  • Bei der Nutzung von Tools auf Webseiten, die z. B. die Aktionen auf dieser Webseite, Surfaktivitäten, Käufe und Einstellungen, IP-Adresse und geografischen Standort speichern (sog. Cookie-Tracking)

4. Anforderungen an eine Einwilligungserklärung  

Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligungserklärung sind in Art. 7 DSGVO geregelt und in Erwägungsgrund 32 zur DSGVO spezifiziert. 

1. Freiwillig

Eine Einwilligung des Betroffenen muss aus freien Stücken erfolgen. Der Betroffene darf sich nicht gezwungen fühlen und muss sich im Zeitpunkt der Abgabe darüber im Klaren sein, dass er keines falls verpflichtet ist in die Verarbeitung seiner personenbezogener Daten einzuwilligen und eine echte und freie Wahl hat, sich also in der Position sieht, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile erleiden zu müssen. Anhaltspunkt für unfreiwilliges Handeln im Hinblick auf eine Einwilligung kann ein Über- und Unterordnungsverhältnis sein. 

Darüber hinaus gilt dahingehend auch das sogenannte KoppelungsverbotFreiwilligkeit liegt demnach nicht vor, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zum Vertragsabschluss oder zur Erbringung der vertraglichen Leistung nicht notwendig ist. Zudem ist eine durch Täuschung, Drohung oder unter sonstigem Zwang, d.h. vor allem eine unter sozialem Druck eingeholte Einwilligungserklärung nicht wirksam.  

2. Eindeutig

Die Einwilligungserklärung muss vom Betroffenen eindeutig als solche identifiziert werden können. Demnach muss das Ersuchen um Einwilligung in verständlicher und klarere Sprache, sowie in leicht zugänglicher Form erfolgen und sollte keine missbräuchlichen Klauseln beinhalten. Das heißt, für den betroffenen dürfen keinerlei Zweifel darüber bestehen, ob er nun tatsächlich eine Einwilligung abgegeben hat oder nicht und welchen Inhalt diese hat. Aus der Formulierung der abgegebenen Erklärung muss unmissverständlich hervorgehen, dass die betroffene Person ihre Zustimmung zur Datenerhebung- und Verarbeitung gibt. 


3. Zweckgebunden

Eine Einwilligung erfolgt nur in Bezug auf einen konkreten Verarbeitungszweck, der ausreichend erläutert sein muss. Liegen der Verarbeitung personenbezogener Daten unterschiedliche Zwecke zugrunde, müssen separate Einwilligungserklärungen eingeholt werden. 


4. Informiert

Die einwilligende Person muss über die Bedeutung und Reichweite der Einwilligungserklärung die sie abgibt informiert sein. Eine Einwilligung ist also nur rechtwirksam, wenn der Einwilligende im Vorfeld umfassend und unmissverständlich über den Zweck und Umfang der Datenverarbeitung, sowie seine Rechte vom Verantwortlichen belehrt wurde. 

Der Betroffene ist über das Recht auf Auskunft und die Löschung der erhobenen und verarbeiteten Daten, sowie das Recht darauf, der Verwendung seiner personenbezogener Daten zu widersprechen umfassend zu informierenZudem ist er über seine Beschwerderechte aufzuklären. 

Diese Informationen müssen ebenso in verständlicherklarer und  einfacher Sprache sowie in leicht zugänglicher Form erfolgen. Der Umfang der Informationspflicht kann einzelfallabhängig, je nach Verwendungszweck variieren. Erfolgt durch die verarbeitende Stelle zudem eine Datenweitergabe an Dritte, muss der Betroffene ebenfalls darüber aufgeklärt werden, an wen die Übermittlung erfolgt, zu welchem Zweck, und welche Konsequenzen eine fehlende Einwilligung hätte.   

Diese Informationspflicht kann durch eine umfassende Datenschutzerklärung erfüllt werden.  


5. Widerrufbar

Vor allem ist der Betroffene darauf hinzuweisen, dass die erteilte Einwilligung für die Zukunft widerrufen werden kann, wobei der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss,  Art. 7 Abs. 3 DSGVO. Allerdings muss dafür nicht zwingend das selbe Verfahren verwendet werden, wie es zur Einholung der Einwilligung verwendet wurde. Auf die Möglichkeit des Widerrufs muss eindeutig und gut lesbar hingewiesen werden. Macht die betroffene Person von seinem Widerrufsrecht gebrauch, muss die Verarbeitung der betreffenden Daten unverzüglich eingestellt werden, wenn die Verarbeitung auf keine andere Rechtsgrundlage gestützt werden kann.  


5. Folgen einer unwirksamen Einwilligungserklärung  

Genügt eine Einwilligungserklärung nicht den dargestellten Anforderungen ist sie unwirksam und kann nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden, sodass die Verarbeitung der Daten auf dieser Grundlage rechtswidrig ist

Versucht der Verantwortliche in einem solchen Fall die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen,  wie beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO), ist dies grundsätzlich unzulässig, weil darin eine Missachtung der Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) durch den Verantwortlichen liegt. Ein willkürlicher Wechsel zwischen Einwilligung und anderen Rechtsgrundlagen ist nicht möglich.

Liegen Verstöße gegen die Datenverarbeitungsgrundsätze der DSGVO vor oder fehlen die Voraussetzungen einer wirksamen Einwilligung, kann von der zuständigen Aufsichtsbehörde eine Geldbuße verhängt werden.

Nach Art. 83 Abs. 5 lita) DSGVO können von den Behörden Geldstrafen von bis zu 20 Millionen Euro oder im Falle eines Unternehmens in Höhe von 4 % des gesamten weltweit erzielten Gesamtumsatzes des vorangegangenen Jahres betragenZudem können nach den Umständen des Einzelfalls Schadensersatzansprüche der betroffenen Person in Betracht kommen, Art. 82 DSGVO.  

 

6. Fazit

Bei der Einwilligung kommt eine Menge an Grundsätzen, Verpflichtungen und Rechten zusammen. Durch die Einwilligung lässt sich neben bestehenden gesetzlichen Grundlagen eine zusätzliche Rechtsgrundlage für die Datennutzung schaffen, die in ihren Möglichkeiten sehr weitgehend sein kann. 

Aus diesem Grund ist es wichtig, dass eine Einwilligung nur unter Einhaltung der rechtlichen Vorgaben möglich ist, sodass der Betroffene durch die Wahrung der datenschutzrechtlichen Grundsätze in die Lage versetzt wird, aufgeklärt und frei über das ihm zustehende Persönlichkeitsrecht zu disponieren. 

Ähnliche spannende Beiträge

Matomo DSGVO

Datenschutz im Betrieb

Matomo DSGVO

Ist der Einsatz von Matomo nach der DSGVO zulässig? In diesem Artikel erhalten Sie alle wichtigen Informationen auf einen Blick.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

Datenschutz im Verein

Der Datenschutz im Verein wird häufig unzureichend angegangen. Wir informieren Sie, was es in der Praxis zu beachten gilt.

Weiterlesen

Datenschutz und Werbung

Rechtliche Zulässigkeit von Emailmarketing, Telefonwerbung und Briefkastenwerbung

Sind Emailwerbung, Telefonwerbung und Briefkastenwerbung eigentlich rechtlich zulässig? In diesem Artikel erfahren Sie alle wichtigen Informationen.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

HBDI zum datenschutzkonformen Einsatz von Zoom

Das US-amerikanische Unternehmen Zoom hat, neben anderen Videokonferenz-Programmen, in besonderem Maße von der Pandemie und den von Home-Office geprägten Jahren profitiert.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

Art 33 DSGVO

Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

Art 9 DSGVO

Art 9 DSGVO regelt die Ausnahmen für die Verarbeitung von personenbezogenen Daten. Wir informieren Sie, wann die Verarbeitung zulässig ist.

Weiterlesen
Share0
Tweet0
Share0

Datenschutzschulungen für Ihre Mitarbeiter?

Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

 Mehr ansehen