EU-Datenschutzgrundverordnung

Die Einwilligung

Die Einwilligung nach der EU-Datenschutzgrundverordnung

Warum wird eine Einwilligung benötigt?
In der alltäglichen Unternehmenspraxis ist es nötig bestimmte Daten von zum Beispiel Kunden oder Geschäftspartnern zu erheben damit miteinander kommuniziert werden kann. Dürfen diese Daten denn erhoben werden und unter welchen Voraussetzungen?
Grundsätzlich gilt, dass bei der Erhebung und Verarbeitung von personenbezogenen Daten eine Einwilligung nötig ist, es sei denn die Speicherung ist gesetzlich erlaubt. Erlaubnistatbestände hierzu gibt es in den unterschiedlichsten Gesetzen.
Als Unternehmer sind Sie auf der sicheren Seite, wenn Sie sich für die Verarbeitung der personenbezogenen Daten eine Einwilligung des Betroffenen geben lassen.
Was sind personenbezogene Daten?
Dies sind alle Daten, die es ermöglichen eine Person zu identifizieren, z.B. Name, Anschrift, Kundennummer, Telefonnummer, Bankdaten.
Wie muss die Einwilligung ausgestaltet sein?
Um diese Daten verarbeiten zu können benötigt es eine Einwilligung der betroffenen Person. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden.
Freiwilligkeit bedeutet, der Betroffene gibt die Einwilligung ohne jeden Zwang ab. Eine Einwilligung gilt dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde, sprich der Unterzeichnende das Gefühl hatte er kann nicht freiwillig entscheiden, sondern er müsse, um das Geschäft abschließen zu können, seine Einwilligung erteilen („Kopplungsverbot“)
Des Weiteren muss der Betroffene deutlich verstehen in was er einwilligt. Er muss erkennen können, welche Daten zu welchem Zweck von wem verarbeitet werden. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.
Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Dieser Grundsatz bedeutet das Ende von Opt-Out-Wahlmöglichkeiten – Stillschweigen, Inaktivität oder vorangekreuzte Kästchen reichen nicht aus. Vielmehr kommt die Opt-In-Lösung zum Tragen.
Die Einwilligung muss ferner einen Hinweis auf Widerrufsmöglichkeiten enthalten.
Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.
Muss die Einwilligung schriftlich erfolgen?
Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Allerdings sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter zwingend der Nachweispflicht aus Artikel 5 Absatz 2 DSGVO unterliegen. Danach sind sie verpflichtet, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen. In der Praxis wird es im Ergebnis daher wohl weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.
Um eine Einwilligung auch im Rahmen der Werbung nutzen zu können, müssen zusätzlich noch die Bestimmungen des UWG beachtet werden. Hierzu finden Sie Informationen in dem Merkblatt: „Telefon-, Telefax-, E-Mail-Werbung“ (Nr. 20128)
Gelten bisher eingeholte Einwilligungen fort?
Von besonders großer Bedeutung für Unternehmen ist die Frage, ob die „alten“ nach Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG) eingeholten Einwilligungen fortgelten. Hierzu bringt Erwägungsgrund 171 Licht ins Dunkel. Danach ist es nicht erforderlich, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Verstoßen alte Einwilligungen allerdings gegen das Gebot der Freiwilligkeit und insbesondere gegen das neu verankerte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO gelten sie nicht fort und müssen erneut eingeholt werden. Es ist daher ratsam, bestehende Einwilligung speziell darauf hin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen. Grundsätzlich empfiehlt es sich, bei einem erneuten Kundenkontakt die Einwilligung neu unterschreiben zu lassen, damit diese den Anforderungen an die DSGVO entspricht.
Was passiert bei unwirksamen Einwilligungen?
Erweisen sich Einwilligungen nach den oben genannten Kriterien als unwirksam, ist das Vorliegen der Einwilligung nicht durch den Verantwortlichen nachweisbar und liegen auch keine sonstigen gesetzlichen Erlaubnistatbestände vor, ist die Verarbeitung der personenbezogenen Daten unzulässig und kann mit einem Bußgeld belegt werden, unter Umständen kann die betroffenen Person auch Schadensersatz verlangen.

Rechtsgrundlagen:
Art. 4 Nr. 11 DSGVO
Art. 5 DSGVO
Art. 7 DSGVO
sowie die dazugehörigen Erwägungsgründe