Wie gelingt eine rechtskonforme Einwilligungserklärung gemäß DSGVO?

Wer personenbezogene Daten erheben, verarbeiten oder nutzen möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich erlauben bzw. sogar vorschreiben oder es ist vor Beginn der Datenverarbeitung eine Einwilligung der betroffenen Person notwendig. Für eine rechtskonforme Einwilligung nach EU-Datenschutz-Grundverordnung (DSGVO) sind jedoch einige Feinheiten zu beachten.

Vorschriften der DSGVO zur Einwilligung

In der Praxis entsprechen viele Einwilligungserklärungen nicht den gesetzlichen Anforderungen und sind daher ungültig. Entsprechend ist die Datenerhebung nicht legitimiert und stellt eine Verletzung des informationellen Persönlichkeitsrechts der Betroffenen dar. Dies kann rechtliche Konsequenzen haben. Hier trifft regelmäßig denjenigen, der die Daten erhebt, verarbeitet oder nutzt die volle „Beweislast“: Er muss gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass er trotz gesetzlichen Verbots ausnahmsweise zur Datenverarbeitung befugt ist – nämlich durch die Einwilligung der betroffenen Person.

Wer nicht die Bedingungen für die Einwilligung erfüllt, hat gem. Art. 82 Abs. 5 lit. a) DSGVO mit „Geldbußen von bis zu 20 Millionen € oder im Fall eines Unternehmens von bis zu 4 % des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres“ zu rechnen.

Wie eine rechtskonforme Einwilligungserklärung grundsätzlich auszusehen hat, beschreibt Art. 4 Nr. 11 DSGVO. Demnach sind die folgenden sieben Punkte besonders zu beachten.

1. Form der Einwilligung

Die Einwilligungserklärung bedarf nicht zwingend der Schriftform. Diese kann ebenfalls mündlich, elektronisch oder etwa in Textform erfolgen. Jede Form bringt jedoch eigene Vor- und Nachteile mit sich, insbesondere was die Nachweisbarkeit betrifft.

Wichtig ist jedoch, dass die Einwilligungserklärung klar verständlich und eindeutig formuliert sein muss. Zur Erhöhung der Verständlichkeit darf man sich dabei visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

2. Informiertheit bei der Einwilligung

Der Betroffene muss klar erkennen können, worauf er sich einlässt. Der Betroffene muss also vor Erklärung der Einwilligung darüber informiert werden, auf welche konkrete personenbezogene Daten sich die Einwilligung bezieht und was der vorgesehene Zweck der Erhebung, Verarbeitung oder Nutzung ist. Die Einwilligungserklärung muss ebenfalls zum Ausdruck bringen, ob die Daten gegebenenfalls an Dritte weitergegeben werden. Dieser Hinweis muss deutlich erfolgen und darf nicht versteckt oder unter erschwerten Bedingungen, etwa durch mehrfache Verweise, zugänglich sein (siehe auch der ausführliche Beitrag zur informierten Einwilligung nach DSGVO).

Die Einwilligungserklärung darf, unter Zurverfügungstellung des entsprechenden Links, auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen.

3. Freiwilligkeit der Einwilligung

Die Einwilligung muss auf dem freien Willensentschluss des Betroffenen beruhen. Das Ausbleiben einer Drohung genügt dabei nicht. Vielmehr muss der Betroffene eine echte Wahlfreiheit haben und muss die Einwilligung ohne zu erleidende Nachteile verweigern können. Der Betroffene ist darauf hinzuweisen, dass die Einwilligung verweigert werden darf.

Die Einwilligungserklärung ist insbesondere dann unfreiwillig, wenn der Betroffene in seiner Entscheidungsfreiheit eingeschränkt wird. Solche Fälle sind vor allem bei sozialen Abhängigkeitsverhältnissen anzunehmen. Ein soziales Abhängigkeitsverhältnis besteht etwa bei Arbeitsverhältnissen. Eine Einwilligungserklärung ist dabei nicht pauschal unfreiwillig, jedoch ist die Besonderheit zu berücksichtigen, dass Angestellte glauben könnten, dass eine unterlassene Einwilligungserklärung Erschwernisse für den beruflichen Werdegang mit sich bringen kann. In solchen Situationen ist es umso wichtiger, dem Betroffenen zu verdeutlichen und zu gewährleisten, dass eine unterbliebene Einwilligungserklärung keine direkten oder indirekten Nachteile mit sich bringt.

Unfreiwillig ist eine Einwilligungserklärung auch, wenn ein Betroffener sich um eine maklervermittelte Wohnung bewirbt und fürchten muss, nicht beim Auswahlverfahren berücksichtigt zu werden, wenn er seine Daten nicht preisgibt. Solche Einwilligungen sind unwirksam. Der Datenverwender handelt dann trotz Einwilligung rechtswidrig.

Überrumplungssituationen deuten ebenfalls auf Unfreiwilligkeit hin, da der Betroffene daran gehindert wird, den Umfang und die Bedeutung der Einwilligung zu erfassen. Als Überrumplung sind nicht nur solche Situationen zu verstehen, die einen zeitlichen Druck mit sich bringen, sondern auch dann, wenn eine nahstehende Person die Einwilligung fordert und der Betroffene sich zur Einwilligung verpflichtet fühlt, um das Vertrauensverhältnis nicht zu zerrütten.

Nach Art. 7 Abs. 4 DSGVO wird wiederlegbar vermutet, dass die Einwilligung in die Verarbeitung von Daten, die zur Erfüllung eines Vertrags nicht erforderlich sind, nicht freiwillig ist. Erforderlich bedeutet, dass die Vertragserfüllung ohne die Daten nicht realisierbar ist. Diese Konstellation ist heutzutage insbesondere bei Online-Dienstleistungen sehr präsent. Dabei beruht das Geschäftsmodell auf der Grundlage, dass die Dienstleistung gegen Abgabe von Daten erfolgt, welche nachträglich eine gezielte Werbung oder Weitergabe der Daten ermöglichen.

4. Bestimmtheit und Zweck in der Einwilligung

Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten zu welchem konkreten Zweck erhebt, verarbeitet oder nutzt. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken, als in der Einwilligung angegeben, ist unzulässig. Bei der Detailgenauigkeit sollte sich an folgendem Maßstab orientiert werden: Je tiefer der Eingriff in das Persönlichkeitsreicht, desto genauer muss die Einwilligungserklärung sein.

Die genaue Beschreibung dient als Indiz, wann die Daten gemäß Art. 17 Abs. 1 2. HS. DSGVO zu löschen sind. Welcher Grund bestünde auch, die Daten zu behalten, wenn die Daten zu dem angegebenen Zweck nicht länger benötigt werden?

Wenn in der Einwilligungserklärung beispielsweise steht, dass Daten zur „Online-Bestellung“ erhoben werden, dann ist das der einzig zulässige Zweck. Dies bedeutet auch, dass nach Abschluss der Bestellung und Bezahlung entsprechend Art. 17 Abs. 1 2. HS. Lit a) DSGVO die Daten zu löschen sind, die für den Verarbeitungszweck notwendig waren zu löschen sind. Darüber hinaus dürfen zu Buchhaltungszwecken nur solche Daten behalten werden, die zur Erfüllung der Buchhaltungspflichten erforderlich sind. Die notwendigen Daten für beide Verfahren sind dabei nicht deckungsgleich. Dieses Vorgehen ist leider bei den meisten Online-Shops nicht gewährleistet. Das böse Erwachen kommt dann erst, wenn die Aufsichtsbehörde das Vorgehen überprüft.

5. Unmissverständlichkeit der Einwilligungserklärung

Dem Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich hierbei um eine solche handelt. Dies kann etwa dadurch erfolgen, dass die Erklärung die Überschrift „Einwilligung“ trägt oder der Inhalt wiedergibt, dass man etwas „zustimmt“ oder in etwas „einwilligt“.

6. Widerrufsmöglichkeit der Erklärung

Der Betroffene muss seine erklärte Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden. Entscheidend ist jedoch, dass die Erklärung des Widerrufs nicht schwieriger sein darf, als die Erklärung der Einwilligung. Die Widerrufserklärung darf also keine zusätzlichen Hürden oder erschwerte Bedingungen mit sich bringen. Insbesondere sind Anschrift und Kontaktinformationen mitzuteilen, an welche der Widerruf zu adressieren ist.

7. Eigene Daten

Wichtig ist zu guter Letzt, dass Betroffene stets nur in die Verwendung der eigenen personenbezogenen Daten einwilligen können. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen, denn es darf niemand über das informationelle Persönlichkeitsrecht eines anderen Menschen verfügen.

Dieser in Bezug auf die DSGVO aktualisierte Artikel erschien zuerst am 23. Juli 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.