Einwilligungserklärung gemäß DSGVO (Anleitung)

DSGVO-Anforderungen an eine rechtskonforme Einwilligungserklärung

Wie eine rechtskonforme Einwilligungserklärung grundsätzlich auszusehen hat, beschreiben die Art. 7 DSGVO und Art. 4 Nr. 11 DSGVO. Demnach sind die folgenden sieben Punkte besonders zu beachten:

1. Form der Einwilligung

Eine Einwilligungserklärung bedarf nicht zwingend der Schriftform. Eine Einwilligung kann auch mündlich, elektronisch oder etwa in Textform erklärt werden. Jede Form bringt jedoch eigene Vor- und Nachteile mit sich, insbesondere was die Nachweisbarkeit betrifft.

Wichtig ist jedoch, dass die Einwilligungserklärung klar verständlich und eindeutig formuliert sein muss. Zur Erhöhung der Verständlichkeit darf man sich dabei visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

Mittels schriftlicher Erklärung können Verantwortliche in jedem Fall die Zustimmung der Betroffenen nachweisen und kommen zudem ihrer Rechenschaftspflicht nach Art. 5 Abs. 3 DSGVO nach. Schriftliche Einwilligungserklärungen sind demnach in den meisten Fällen zu bevorzugen.

2. Informiertheit der Einwilligung

Betroffene müssen verstehen, worauf sie sich einlassen. Die betroffene Person muss also vor Erklärung der Einwilligung darüber informiert werden, auf welche konkrete personenbezogenen Daten sich ihre Erklärung bezieht und was der vorgesehene Zweck der Verarbeitung ist. Bedeutung und Tragweite ihrer Erklärung muss die betroffene Person erkennen und gerade darin einwilligen wollen.

Die Einwilligungserklärung muss ebenfalls zum Ausdruck bringen, dass sich bei Nichtabgabe keinerlei Nachteile ergeben und dass sie jederzeit frei widerruflich ist. Der Inhalt der Einwilligung selbst muss deutlich sein und darf nicht versteckt oder unter erschwerten Bedingungen, etwa erst durch mehrfache Verweise, zugänglich sein.

Die Einwilligungserklärung darf, unter Zurverfügungstellung des entsprechenden Links, auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGB) verweisen. Diese müssen ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen. Hierbei ist darauf zu achten, dass kein Formbruch erfolgt. Beispielsweise darf in einem analogen Einwilligungsdokument nicht einfach ein Link auf eine mitgeltende Datenschutzerklärung abgedruckt sein. Es gilt die Vorgabe, dass der Inhalt, auf welchen sich die Erklärung bezieht, vor Abgabe durch die einwilligende Person zur Kenntnis gelangen kann. Die Information kann nicht nachgeholt werden, da die Informiertheit Voraussetzung für die Abgabe der Zustimmung ist. Praktikabel und empfehlenswert ist es, die einseitige Informationspflicht des Verantwortlichen nach Art. 12 ff. DSGVO bei Einholung der Einwilligung zu integrieren. In der Regel sind darin alle Informationen enthalten, die es für eine informierte Einwilligung bedarf.

3. Freiwilligkeit der Einwilligung

Die Einwilligung muss auf dem freien Willensentschluss der Betroffenen beruhen. Das Ausbleiben einer Drohung genügt dabei nicht. Vielmehr muss die betroffene Person eine echte Wahlfreiheit haben und die Einwilligung ohne zu erleidende Nachteile verweigern können. Betroffene sind darauf hinzuweisen, dass die Einwilligung ohne negative Konsequenzen verweigert werden darf.

Die Einwilligungserklärung ist insbesondere dann unfreiwillig, wenn die betroffene Person in ihrer Entscheidungsfreiheit eingeschränkt wird. Solche Fälle sind vor allem bei sozialen Abhängigkeitsverhältnissen anzunehmen. Ein solches besteht etwa bei Arbeitsverhältnissen. Eine Einwilligungserklärung ist dabei nicht pauschal unfreiwillig, jedoch ist die Besonderheit zu berücksichtigen, dass Angestellte glauben könnten, dass eine unterlassene Einwilligungserklärung Erschwernisse für den beruflichen Werdegang mit sich bringen kann. In solchen Situationen ist es umso wichtiger, den Betroffenen zu verdeutlichen und zu gewährleisten, dass eine unterbliebene Einwilligungserklärung keine direkten oder indirekten Nachteile mit sich bringt.

Überrumplungssituationen deuten ebenfalls oft auf Unfreiwilligkeit hin, da die betroffene Person daran gehindert wird, den Umfang und die Bedeutung der Einwilligung zu erfassen. Als Überrumplung sind nicht nur solche Situationen zu verstehen, die einen zeitlichen Druck mit sich bringen, sondern auch dann, wenn eine nahestehende Person die Einwilligung fordert und der Betroffene sich zur Einwilligung verpflichtet fühlt, um das Vertrauensverhältnis nicht zu zerrütten.

Nach Art. 7 Abs. 4 DSGVO wird widerleglich vermutet, dass die Einwilligung in die Verarbeitung von Daten, die zur Erfüllung eines Vertrags nicht erforderlich sind, nicht freiwillig ist. Erforderlich bedeutet, dass die Vertragserfüllung ohne die Daten nicht realisierbar ist. Diese Konstellation ist heutzutage insbesondere bei Online-Dienstleistungen sehr präsent. Dabei beruht das Geschäftsmodell auf der Grundlage, dass die Dienstleistung gegen Abgabe von Daten erfolgt, welche nachträglich eine gezielte Werbung oder Weitergabe der Daten ermöglichen (siehe dazu auch unser Ratgeber zum Bezahlen mit Daten).

Eine Einwilligung ist auch nur dann wirksam, wenn mit der Verarbeitung untrennbar verbundene Risiken, bewusst eingegangen werden. Bestehen Risiken beispielsweise bei einem Transfer von Daten der einwilligenden Person in ein unsicheres Drittland, muss sie sich der damit verbundenen Risiken bewusst sein. Namentlich, dass ihre Datenschutzrechte in anderen Rechtsregimen mangels Rechtsschutzmöglichkeiten nicht effektiv durchgesetzt werden können. Um sich als betroffene Person dennoch bewusst dafür zu entscheiden, ein solches Risiko eingehen zu wollen, muss sie sich intellektuell mit der Frage auseinandergesetzt haben können. Dies setzt eine weitreichende Aufklärung voraus.

4. Bestimmtheit und Zweck in der Einwilligung

Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten zu welchem konkreten Zweckverarbeitet. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken als in der Einwilligung angegeben, ist unzulässig.

Bei der Detailgenauigkeit sollte sich an folgendem Maßstab orientiert werden: Je tiefer der Eingriff in das Persönlichkeitsrecht reicht, desto genauer muss die Einwilligungserklärung sein. Auch sind Einwilligungen hinreichend konkret zu formulieren. D.h., dass eine Einwilligung keine ungewissen und in der Zukunft liegenden Verarbeitungszwecke abdecken kann. Sie bezieht sich immer nur auf ein tatsächlich und konkret beabsichtigtes Ereignis.

Auch mehrere Zwecke können nicht derart miteinander zur Disposition gestellt werden, dass den Betroffenen die eigentliche Entscheidungshoheit in der Sache verloren geht. Dies ist dann anzunehmen, wenn mehrere Zwecke miteinander gekoppelt werden, so dass die betroffene Person sich nicht für nur einen beabsichtigten Verarbeitungszweck entscheiden kann, obschon dies rein tatsächlich möglich wäre.

5. Unmissverständliche und aktive Einwilligung

Den Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich hierbei um eine solche handelt. Dies kann etwa dadurch erfolgen, dass die Erklärung die Überschrift „Einwilligung“ trägt oder der Inhalt wiedergibt, dass man etwas „zustimmt“ oder in etwas „einwilligt“.

Auch bedarf eine verkörperte Willenserklärung einer aktiven Handlung. Das kann beispielsweise durch eine Unterschrift oder durch Anhaken einer Checkbox bei einem Online-Formular erfolgen. Die Einwilligung darf nicht implizit erfolgen, beispielsweise durch bereits angekreuzte Kästchen oder im Rahmen einer anderen Erklärung. Versteckte Einwilligungen, die Betroffenen „untergejubelt“ werden, sind rechtsmissbräuchlich (siehe dazu auch die Besprechung des EuGH-Urteils zu bereits angehakten Cookie-Bannern).

6. Widerrufsmöglichkeit der Erklärung

Betroffene müssen ihre erklärte Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden. Entscheidend ist jedoch, dass die Erklärung des Widerrufs nicht schwieriger sein darf als die Erklärung der Einwilligung. Die Widerrufserklärung darf also keine zusätzlichen Hürden oder erschwerte Bedingungen mit sich bringen.

Insbesondere sind Anschrift und Kontaktinformationen mitzuteilen, an welche der Widerruf zu adressieren ist. Auch muss der Widerruf nicht explizit genannt werden. Es reicht eine willentliche Äußerung der betroffenen Person, dass diese die Verarbeitung zu dem vormals eingewilligten Zweck nicht mehr wünscht.

7. Höchstpersönlichkeit der Einwilligung

Wichtig ist schließlich, dass Betroffene stets nur in die Verwendung der eigenen personenbezogenen Daten einwilligen können. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen. Ausdruck des Rechts auf informelle Selbstbestimmung ist allem voran die Entscheidungshoheit des Einzelnen. Dieses gilt absolut. Der Einzelne kann nicht darauf verzichten. Ausnahmefälle existieren bei Minderjährigen. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist eine Verarbeitung nur rechtmäßig, sofern und soweit eine Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 DSGVO).

Konsequenzen falscher oder fehlerhafter Einwilligungserklärungen

In der Praxis werden Einwilligungen oft unnötigerweise eingeholt (etwa als Zustimmung zu einer Datenschutzerklärung) oder sie entsprechen nicht den gesetzlichen Anforderungen und sind daher unwirksam. Entsprechend ist die Datenerhebung nicht legitimiert und stellt eine Verletzung des informationellen Selbstbestimmungsrechts der Betroffenen dar.

Dies kann rechtliche Konsequenzen haben. Hier trifft regelmäßig denjenigen, der die Daten erhebt, verarbeitet oder nutzt die volle Beweislast: Er muss gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass er trotz gesetzlichen Verbots ausnahmsweise zur Datenverarbeitung befugt ist – nämlich durch die Einwilligung der betroffenen Person.

Wer nicht die Bedingungen für die Einwilligung erfüllt, kann nach Art. 82 Abs. 5 lit. a) DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahres rechnen.

Fazit: Rechtskonforme Einwilligungserklärungen sind machbar

Was nach großem Aufwand klingt, ist beim Einsatz datenschutzkonformer Technik (Stichwort: Privacy by Design und Privacy by Default) relativ einfach umzusetzen: Einholen, Management, Widerruf und Dokumentation rechtskonformer Einwilligungen.

Je komplexer freilich die Datenverarbeitungen werden, desto anspruchsvoller wird auch die inhaltliche Ausgestaltung einer Einwilligungserklärung. Sobald es also bspw. nicht nur um einen einfachen Newsletterversand geht, sondern um ein E-Mail-Marketing mit Profilbildung und automatisierter Entscheidungsfindung, sollten Sie einen juristisch versierten Experten hinzuziehen.

Grundsätzlich gilt: Eine rechtskonforme Einwilligungserklärung kann sehr viele Datenverarbeitungen möglich machen. Sie sind allerdings nur einzuholen, wenn Verantwortliche gewillt sind, die freiwillige Entscheidung auch tatsächlich zu akzeptieren. Dann steht nämlich auch einer transparenten Aufklärung nichts im Wege.

Negativbeispiele sind die zahlreichen Cookiebanner, wodurch Nutzern mittels sogenannter Dark Patterns die freie Entscheidung gerade genommen werden soll. Sobald Verantwortliche über derartige Manipulationen nachdenken, wird die Einwilligung nicht mehr rechtswirksam eingeholt werden können.

Verantwortliche machen in der Praxis zudem oftmals den Fehler, auf den vermeintlich einfachen Weg der Einwilligung zu setzen, ohne an die Rechtsfolgen der freien Widerruflichkeit zu denken.