Datenschutz - DSGVO - Einwilligung

Die datenschutzrechtliche Einwilligung


Die Einwilligung im Sinne der DSGVO

Die Verarbeitung von personenbezogenen Daten setzt grundsätzlich eine Legitimierung voraus. Dies kann durch Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO erfolgen. Die Verarbeitung von personenbezogenen Daten ist unter anderem dann rechtmäßig, wenn:

 

die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt hat.

 

Für die Legitimierung zur Verarbeitung von personenbezogenen Daten muss eine Einwilligung wirksam sein. Die Wirksamkeit muss der für die Datenverarbeitung Verantwortliche nachweisen können.

 

Hierzu sollte, laut den Erwägungsgründen der DSGVO, die Einwilligung durch eine eindeutige bestätigende Handlung seitens des Betroffenen erfolgen.

 

Diese muss insbesondere

  1. freiwillig,
  2. für den konkreten Fall,
  3. in informierter Weise und
  4. unmissverständlich durch den Betroffenen bekundet werden.

 

Die Einwilligung kann beispielsweise durch eine schriftliche oder elektronische Willenserklärung erteilt werden. Sie kann aber auch mündlich erteilt werden, da die Einwilligung grundsätzlich formlos erteilt werden kann. Letzteres kann in der Praxis jedoch zu Nachweisproblemen führen.


Im Arbeitnehmerdatenschutz gemäß dem Bundesdatenschutzgesetz (BDSG) bestand zunächst eine Ausnahme von der Formfreiheit. Durch das 2. Datenschutzanpassungs- und Umsetzungsgesetz, wurde jedoch nunmehr auch hier die Formfreiheit zugelassen.

 

Die Einwilligung muss außerdem freiwillig sein. Demnach muss sie ohne Druck und ohne Zwang für einen konkreten Zweck und in informierter Weise erteilt worden sein.

Schweigen ist laut DSGVO keine wirksame Einwilligung, da sie laut DSGVO unmissverständlich bekundet werden muss. Im Internet darf die Einwilligung demnach beispielsweise nicht bereits vorab angekreuzt worden sein (Opt-Out-Button). Der Betroffene muss die Auswahl vielmehr selbst und aktiv treffen.

Freiwilligkeit entfällt beispielsweise dann, wenn Leistungen des verantwortlichen Unternehmers in Abhängigkeit zu der Einwilligung gestellt werden. Eine Kopplung von Leistung und Einwilligung ist im Regelfall unzulässig.

Praxisbeispiel: Vor dem Versand eines Online-Newsletters muss vorab eine Einwilligung der Adressaten erfolgen. Bei einer schriftlichen Einwilligung würde der wirtschaftliche Aufwand um ein vielfaches steigen, weshalb man die Einwilligung per "double opt-in" einholt. Die Einwilligung wird aktiv durch den Adressanten erteilt. Missbräuche sind weitgehend ausgeschlossen. Die Einwilligung wäre damit freiwillig.

Achtung: Auch die Art, der Umfang und der Zweck der Datenverarbeitung muss vorab bekannt gemacht werden! Eine einmal erteilte Einwilligung kann zudem ohne Angaben von Gründen jederzeit widerrufen werden, worauf hinzuweisen ist.

 

Bei den erteilten Informationen ist darauf zu achten, dass diese wahr und leicht verständlich sind. Für Letzteres orientiert man sich an einem durchschnittlich informierten und angemessen aufmerksamen Durchschnittsbürger.

 

Die Einwilligung sollte nicht in Verbindung mit weiteren (schriftlichen) Erklärungen des Betroffenen eingeholt werden. Die datenschutzrechtlichen Informationen sollten zudem (grafisch) besonders hervorgehoben werden.

 

Praxistipp: In der Praxis empfiehlt es sich, die Einwilligung stets von anderen Erklärungen zu trennen.

 

Bei Rückfragen stehe ich Ihnen als Rechtsanwältin und als externe Datenschutzbeauftragte gerne zur Verfügung.


Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.