Datenschutz verstehen – Die Einwilligungserklärung
Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn ein Unternehmen personenbezogene Daten verarbeiten möchte, benötigt es eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat ein Unternehmen keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden.
In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 Abs. 1 lit. a) DSGVO. Wir empfehlen Ihnen die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:
- die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. Checkbox auf Webseite)
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Kaufvertrag, Anfrage für Angebot)
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Meldungen an öffentliche Stellen wie Krankenkassen, Polizei)
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z.B. Arbeitsunfall)
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Beachten Sie unbedingt, dass für besondere Kategorien von personenbezogenen Daten ebenfalls die Rechtsgrundlagen nach Art. 9 DSGVO beachtet werden sollten.
Hinweis: Bei der Begründung einer Verarbeitung mit Hilfe der Rechtsgrundlage “berechtigtes Interesse” nach Artikel 6 Abs. 1 lit. f) DSGVO ist Vorsicht geboten. Beziehen Sie immer einen Datenschutzbeauftragten ein, um wirklich sicherzugehen, ob das berechtigte Interesse des Verantwortlichen überwiegt.
Was ist eine Einwilligungserklärung und wann kommt sie zum Einsatz?
Eine Einwilligung nach der DSGVO ist also eine Voraussetzung für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Trifft also keine Rechtsgrundlage von Artikel 6 Abs. 1 lit. b) – f) DSGVO zu, so ist eine Einwilligungserklärung bei der betroffenen Person einzuholen. Das Unternehmen darf also die Verarbeitung nur ausüben, falls eine Einwilligung vorliegt.
Die Einwilligungserklärung sollte durch eine eindeutige bestätigende Handlung erfolgen. Das kann beispielsweise durch das Ankreuzen einer Checkbox, mit der klassischen Unterschrift oder unter Umständen mit einer mündlichen Erklärung erfolgen. In jedem Fall muss die Einwilligungserklärung nachweisbar sein. Bei folgenden Verarbeitungen müssen Unternehmen eine Einwilligung einholen:
- längere Speicherung der Daten als gesetzlich vorgeschrieben (z.B. Bewerbungen)
- Nutzung von Mitarbeiterfotos auf Webseiten als Kontaktpersonen
- Veröffentlichung von personenbezogenen Daten (z.B. Rezensionen)
- Nutzung von Tracking-Cookies auf Webseiten (z.B. Google Analytics)
Besonderes Augenmerk ist nach der Datenschutz-Grundverordnung auf die Freiwilligkeit einer Einwilligung zu richten. Es kann nur dann davon ausgegangen werden, dass eine betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (siehe ErwGr. 42).
Dies ist beispielsweise in aller Regel nicht der Fall, wenn die Erfüllung eines Vertrages von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrages nicht erforderlich ist (Art. 7 Abs. 4 i.V.m. ErwGr. 43 DSGVO, sogenanntes Koppelungsverbot).
Zudem liefert eine Einwilligung regelmäßig keine gültige Rechtsgrundlage, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, und es deshalb unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Dies ergibt sich ebenfalls aus ErwGr. 43.
Antworten zu allgemeinen Fragen zum Datenschutz finden Sie hier.
Welche Voraussetzungen Sie zusätzlich bei der Einwilligungserklärung nach der DSGVO beachten müssen, erfahren Sie im folgenden Absatz.
Einwilligungserklärungen: Voraussetzungen und Maßnahmen
Die Einwilligungserklärung im Datenschutz wird im Artikel 7 der DSGVO geregelt. Zusätzlich werden die Anforderungen im Erwägungsgrund 32 zur DSGVO spezialisiert.
Grundsätzlich kann man sagen, dass eine einfache Einverständnis nicht mehr ausreichend ist, um datenschutzkonform zu agieren. Denn nach der DSGVO müssen bei der Einholung der Einwilligungserklärung die betroffenen Personen über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten aufgeklärt werden. Klassischer Weise kann diese Information über eine Datenschutzerklärung gelöst werden. Darüber hinaus sind folgende Punkte zu beachten:
- das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sie sollte keine missbräuchlichen Klauseln beinhalten
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und zwar so einfach wie die Einwilligung selbst erfolgt
- Eine Verweigerung der Einwilligung darf keine Konsequenzen in Bezug auf Leistungen oder Bewertungen haben, denn sonst ist die Einwilligung nicht mehr freiwillig
- Eine Einwilligungserklärung erfolgt persönlich
- Es gibt keine Formangaben. Schriftliche Form ist jedoch zu empfehlen, aufgrund der Nachweisbarkeit
- Es gilt das Kopplungsverbot: Ein Vertragsabschluss darf nicht an eine weitere Einwilligung gebunden sein
- Eine Einwilligung muss sich von anderen Textpassagen absetzen, z.B. durch einen neuen Absatz, Fettdruck, Umrahmung, etc.
Die richtige Dokumentation von Einwilligungserklärungen
Viele Unternehmen haben auch schon vor dem Inkrafttreten der Datenschutz-Grundverordnung personenbezogene Daten auf Grundlage einer Einwilligungserklärung verarbeitet. Die Einwilligungen, welche vor Mai 2018 eingeholt worden sind, sind nur unter bestimmten Bedingungen wirksam.
Der Erwägungsgrund 171 (3) zur DSGVO beleuchtet diesen Punkt transparent. Sofern die Einwilligung der Art nach den Bedingungen der DSGVO entsprechen, darf die Verarbeitung vom Unternehmen weitergeführt werden. Wir zählen nochmal auf, worauf es bei der Gestaltung einer Einwilligung nach DSGVO ankommt:
- Die Erteilung einer wirksamen Einwilligung muss gemäß Art. 7 Abs. 1 DSGVO nachgewiesen werden können, was eine entsprechende Dokumentation voraussetzt.
- Die Einwilligung muss freiwillig abgegeben worden sein, wobei die besonderen Anforderungen nach Art. 7 Abs. 4 DSGVO in Verbindung mit dem ErwGr. 43 DSGVO zu beachten sind.
- Erforderlich ist eine Willensbekundung für den bestimmten Fall, in informierter Weise und in unmissverständlicher Form (Art. 4 Nr. 11 DSGVO), wobei die Anforderungen nach Art. 7 Abs. 2 DSGVO in Verbindung mit ErwGr. 32 und 42 DSGVO zu beachten sind.
- Das Unternehmen muss garantieren können, dass es für die betroffene Person genauso einfach ist die Einwilligung zu widerrufen, wie die Einwilligung zu erteilen.
- Im Falle der Einwilligung durch ein Kind in Bezug auf Dienste der Informationsgesellschaft müssen die Voraussetzungen nach Art. 8 DSGVO erfüllt sein.
Sind die obigen Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.
Die betroffene Person muss darüber hinaus zum Zeitpunkt der Abgabe der Einwilligungserklärung die Informationen zur Verfügung gehabt haben, die zur Abgabe einer informierten Einwilligung notwendig sind. Nach ErwGr. 43 sind dies mindestens Informationen darüber, wer der Verantwortliche ist und für welche Zwecke die personenbezogenen Daten verarbeitet werden.
Diese Informationen sind zum Teil identisch mit den nach Art. 13 DSGVO vorgesehenen Informationspflichten. Die darüber hinausgehenden Informationspflichten müssen für die Fortgeltung bisher erteilter Einwilligungen hingegen grundsätzlich nicht erfüllt worden sein. Unabhängig von den genannten Bedingungen für erteilte Einwilligungen müssen künftig die Informationspflichten nach Art. 13 DSGVO beachtet werden.
Welche Folgen hat eine unwirksame Einwilligungserklärung?
Mit welchen Folgen muss ein Unternehmen rechnen, wenn es eine unwirksame Einwilligung erhoben hat? Eine Einwilligungserklärung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO), ist grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) beachten. Verantwortliche sollten in jedem Fall bei der Verwendung von anderen Rechtsgrundlagen, wie das berechtigte Interesse, einen Datenschutzbeauftragten für die Bewertung heranziehen. Denn für den wirksamen Einsatz des berechtigten Interesses ist eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DSGVO notwendig.
Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich. Erweist sich die Einwilligungserklärung als unwirksam oder kann der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen, so ist die Verarbeitung der Daten auf dieser Grundlage rechtswidrig. Bei Verstößen gegen die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Art. 83 Abs. 5 lit. a) DSGVO eine Geldbuße verhängt werden. Außerdem kommen je nach den Umständen des Einzelfalls auch Schadensersatzansprüche der betroffenen Person in Betracht. Lesen Sie hierzu unseren Beitrag zum Thema DSGVO Strafen.
Mustervorlagen für Einwilligungserklärungen
Im Folgenden stellen wir Ihnen ein Muster für die Einwilligungserklärung nach der DSGVO vor. Es bedarf jedoch einer Anpassung in einem konkreten Einzelfall, da unter anderem die Zwecke konkret beschrieben werden müssen. Unternehmen sollten mindestens eine datenschutzrechtliche Beratung für die Gestaltung einer Einwilligung einholen, welche oftmals schnell erfolgen kann.
Falls Sie eine Einwilligung oder Datenschutzerklärung für Beschäftigte Ihres Unternehmens suchen, finden Sie hier weitere Informationen. Mit unserem Datenschutz-Management-System erhalten unsere Kunden bereits einige Vorlagen für die Einwilligung zur Verwendung.
Hinweis: Das folgende Muster erhebt keinen Anspruch auf Rechtssicherheit und Vollständigkeit. Es dient lediglich der Veranschaulichung. Darüber hinaus bedarf es bei der Einwilligungserklärung einer expliziten und sachdienlichen Anpassung auf den jeweiligen Einzelfall. Bitte wenden Sie sich an einen Datenschutzbeauftragten, wenn Sie eine datenschutzkonforme Einverständniserklärung aufsetzen wollen.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.