EU-Datenschutz

Einwilligung nach der EU-Datenschutz-Grundverordnung

Die Europäische Datenschutzgrundverordnung (DSGVO) führt den bisher geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt fort. Datenverarbeitungen sind demnach generell verboten, es sei denn es liegt ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung der betroffenen Person vor.

I. Rechtsgrundlage

Nach Artikel 4 Nr. 11 DSGVO bezeichnet der Ausdruck "Einwilligung der betroffenen Person" jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Formale Anforderungen an die Einwilligung enthält § 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB’s oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen.

1. Freiwilligkeit

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Nach den Erwägungsgründen, welche der DSGVO angehängt sind und ihrer Auslegung dienen, gilt eine Einwilligung dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde. Häufig ist dies der Fall im Arbeitsverhältnis anzutreffen, weil hier ein Über- und unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer besteht.

2. Informiertheit

Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Vielmehr muss die betroffene Person deutlich verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

3. Eindeutigkeit

Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Der Einwilligende muss also durch eine aktive Handlung sein Einverständnis bekunden, etwa duch Unterschrift oder online durch Ankreuzen einer Check-Box (sogenanntes Opt-In). Stillschweigen, Inaktivität oder vorangekreuzte Kästchen (Opt-out) sind datenschutzrechtlich keine wirksamen Möglichkeiten für das Einholen einer Einwillgung.

4. Kopplungsverbot

Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig gemacht werden, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt. Umstritten ist, ob dieses sogenannte Kopplungsverbot auch dort Anwendung findet, wo Nutzern entgeltfreie – weil zum Beispiel werbefinanzierte – Inhalte und Dienstleistungen angeboten werden. Wird eine vertragliche Leistung entgeltfrei angeboten unter Bereitstellung personenbezogener Daten als Gegenleistung (= Dienstleistung gegen Daten) und kann der angebotene Dienst nur auf diese Weise wirtschaftlich angeboten werden, wird teilweise die Ansicht vertreten, dass das Kopplungsverbot nicht greift. Die Klärung dieser Streitfrage bleibt abzuwarten. Bis zur rechtsverbindlichen Entscheidung der Frage, ist es jedoch ratsam, sich an dem Wortlaut der DSGVO zu orientieren.

5. Form

Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Allerdings sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter verpflichtet sind, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung zu dokumentieren und nachzuweisen. In der Praxis ist es im Ergebnis daher weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert und nachgewiesen werden.

6. Hinweis auf Widerrufsmöglichkeit

Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.

II. Was passiert bei unwirksamen Einwilligungen?

Erweisen sich Einwilligungen nach den oben genannten Kriterien als unwirksam, (zum Beispiel, weil der Hinweis auf das jederzeitige Widerrufsrecht fehlt, oder der Zweck in den eingewilligt werden soll, ist nicht hinreichend beschrieben), ist das Vorliegen der Einwilligung nicht durch den Verantwortlichen nachweisbar und liegen auch keine sonstigen gesetzlichen Erlaubnistatbestände vor, so ist die Verarbeitung der personenbezogenen Daten unzulässig und kann mit einem Bußgeld belegt werden.