+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Inhaltsverzeichnis

…oder das fehlende Verständnis für Artikel 6 (1) DSGVO

Heute muss ich mal spontan einen sehr impulsiven Beitrag los werden. Zum gefühlt 5326 Mal habe ich heute wieder eine Einwilligungserklärung vorgelegt bekommen. Diese muss ich natürlich unterzeichnen.

HINWEIS: Es handelt sich hierbei um keine Rechtsberatung, sondern lediglich um eine grundsätzliche Information. Es muss immer der Einzelfall betrachtet werden, welche Rechtsgrundlage vorliegt bei der Verarbeitung von Daten.

Einwilligungserklärung zum Datenschutz beim Tanzen

Meine Tochter möchte am Tanzkurs teilnehmen. Ich fülle eine Probemitgliedschaft aus und bekomme prompt noch eine Einwilligungserklärung zum Datenschutz nachgereicht. Wenn ich nicht zustimme, dass die Daten für die Probemitgliedschaft gespeichert werden dürfen, kann die Kleine nicht am Tanzunterricht teilnehmen.

Wie bitte? Von meiner Mitarbeiterin Jasmin habe ich gelernt, hier erst mal freundlich nachzufragen. „Würden Sie mir bitte erklären, warum ich hier zustimmen muss? Ich habe doch soeben die Probemitgliedschaft ausgefüllt. Damit dürfen Sie doch meine Daten speichern.“ Antwort: „Sie müssen zustimmen, damit wir Ihre Daten speichern dürfen. Sie stimmen damit auch zu, dass wir Ihre Fotos veröffentlichen dürfen.“
„Tatsächlich? Das muss ich übersehen haben. Wo steht, dass ich einwillige, die Fotos zu veröffentlichen?“ Mein Gegenüber liest kurz die Einwilligung und ergänzt dann: „Das steht in den AGBs, die Sie hiermit anerkennen.“ ….

Der Dialog ging noch kurz weiter. Bis er damit endete, dass ich das mit der Chefin klären müsse. Was wir dann letztendlich freundlich und sachlich am Telefon auch getan haben.

Trotzdem, ich frage mich jedes Mal wieder: Regina, warum kannst du deinen Mund nicht halten? Unterschreib einfach und Schwamm drüber. So nebenbei gesagt (Off Topic): Wahrscheinlich war das aber heute nicht mal mein größter Fauxpas im Tanzstudio. Zum Ausfüllen der Unterlagen habe ich mich doch tatsächlich (unabsichtlich), an den Stammtisch gesetzt. „Hier sitzen, die, die immer hier sitzen….“ (Stand eigentlich groß auf dem Schild am Tisch.) Oh ha! Ja genau! während die Mamas auf die tanzenden Kids warten, gibt es sogar eine Hackordnung!

Aber weg vom Mama-Leben. Dem widme ich mich ja in meinem Reiseblog. Hier wollte ich eigentlich über die Zustimmung im Datenschutz schreiben.

Weitere alltägliche Beispiele zur Einwilligung nach der DSGVO

Arztbesuch

Anderes Szenario, kurz nach dem 25. Mai 2018. Der Sohn ist krank, wir sind beim Kinderarzt. Was bekomme ich vorgelegt? Natürlich eine Einwilligungserklärung. Sie sagt mir, dass der Arzt nur behandeln kann, wenn ich der Verarbeitung der Daten zustimme. Bei der Gelegenheit stimmen wir natürlich pauschal auch gleich mal einer kompletten Schweigepflichtsentbindung für eine eventuelle Weiterbehandlung während der gesamten Patienten – Arzt – Beziehung zu. Ohne Einschränkungen. Einfach mal über alles.

Optiker

Ende 2018 stehe ich beim Optiker und möchte eine neue Brille. Was muss ich ausfüllen und unterschreiben? Sie erraten es sicher schon. Eine Einwilligung, damit der Optiker meine Daten speichern und verarbeiten darf, die er benötigt, um mir meine Brille zu fertigen.

Autohaus

Mein Auto habe ich Anfang 2018 bekommen. Genau, kurz vor der „Deadline“ DSGVO. Der erste Kundendienst war dann im Herbst 2018 fällig. Da die Werkstatt auf dem Arbeitsweg meines Mannes lag, brachte er das Fahrzeug hin. Jetzt kommt’s! Damit der Kundendienst durchgeführt werden konnte, musste mein Mann eine Zustimmung zum Datenschutz unterzeichnen! Bitte was? Mir fehlt noch immer der Zusammenhang zwischen Einwilligungserklärung und Kundendienst fürs Fahrzeug.
Er wurde quasi regelrecht erpresst, den Wisch in meinem Namen zu unterzeichnen. Das Ende vom Lied? Heute bekomme ich über alle mögliche Kanäle Werbung des Herstellers, des Autohauses (…), was vorher nicht der Fall war. Ein netter telefonischer Hinweis, sowie eine E-Mail mit Widerruf blieben bis heute ungehört.

Das fehlende Verständnis für die Einwilligungserklärung

Aus meiner Sicht ist dieses meistens falsche Verständnis für die Einwilligungserklärung einer der Hauptgründe in der Bevölkerung, warum der DSGVO so ein negativer Beigeschmack angeheftet wird. Jeder musste im Laufe des letzten Jahres unzählige (meist falsche) Einwilligungen unterzeichnen. Wozu hat uns das gebracht?

Wir stumpfen ab. Wir unterzeichnen wahllos alles zum Datenschutz was uns vorgelegt wird. Weil ja immer der erhobene Zeigefinger droht. Wenn du das nicht unterschreibst, dann

  • können wir dich nicht bedienen
  • können wir dich nicht behandeln
  • darfst du nicht mitspielen
  • …..

Als Unternehmer fragen Sie sich nun: Wann brauche ich denn jetzt eine Einwilligungserklärung? Um das am besten erläutern zu können, möchte ich den Artikel 6 (1) der DSGVO erklären.


Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung

Aus meiner Sicht einer der wichtigsten Artikel der ganzen Verordnung. Leider wahrscheinlich auch der, mit den größten Missverständnissen.

Artikel 6 Absatz 1 nennt die Bedingungen, von denen mindestens eine erfüllt sein muss, damit die Verarbeitung rechtmäßig ist.

Artikel 6 (1) lit. a DSGVO – Einwilligung

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

EU Datenschutzgrundverordnung Artikel 6 (1) lit. a

An erster Stelle im Gesetzestext steht gleich die hier diskutierte Einwilligungserklärung. Schon vorab gesagt. Eine Einwilligung sollte nur dann erfolgen, wenn die nachfolgenden Rechtmäßigkeiten aus Artikel 6 (1) lit. b – f DSGVO NICHT zutreffen. Prüfen Sie bitte immer erst alle anderen Optionen, bevor Sie sich für eine Einwilligung entscheiden.

Praxisbeispiele für Einwilligungserklärungen

In der Praxis ist eine Einwilligungserklärung zum Beispiel immer nötig, wenn personalisierte Werbung zugestellt werden soll.

  • Wenn der Betreiber einer Webseite personalisierte Tracking Methoden einsetzt, wie z.B. das Facebook Pixel. Dadurch werden Sie als Person identifiziert. Es ist dadurch direkt möglich, Sie als Person mit Werbung der besuchten Seite zu „bespielen“.
  • Wenn Sie der Arzt telefonisch kontaktieren möchte. Er möchte Sie auf den jährlichen Check beim Zahnarzt hinweisen, mit der Bitte um eine Terminvereinbarung. Das läuft außerhalb des Patientenvertrags. Dafür müssen Sie explizit zustimmen.

Die Besonderheit bei der Einwilligungserklärung ist das sofortige Widerrufsrecht. Einwilligungen, die Sie freiwillig gegeben haben, dürfen Sie jederzeit widerrufen.
Vielleicht ahnen Sie schon, wohin uns das führt, bei falscher Anwendung.

Warum das ein Problem für Sie als Unternehmer darstellen könnte, erläutere ich unter Rechtmäßigkeit Vertrag (Artikel 6 (1) lit. b DSGVO).

Bedingungen zum Einholen der Zustimmung

Wenn Sie zum Ergebnis kommen, dass für den Ihnen vorliegenden Fall eine Einwilligung nötig ist, sollten Sie einen Blick auf Art. 7 DSGVO werfen. Hier steht letztendlich noch mal zusammengefasst, was bei der Einwilligungserklärung zu berücksichtigen ist.

  • Nachweis der Einwilligung
  • Einfache Sprache
  • Aufteilung der Einwilligung bei mehreren Einwilligungen in einem Schriftstück
  • Widerrufsrecht
  • Einwilligung muss freiwillig erfolgen

Besonderheit oder Absurdität der Einwilligungserklärung

Eine weitere Besonderheit oder eher Absurdität, ist allerdings die Einwilligung bei der Verarbeitung medizinischer Daten. Der Optiker im obigen Beispiel hat ganz richtig gehandelt. Obwohl ich einen Vertrag zur Anfertigung der Brille habe, muss ich noch mal zustimmen, dass er die medizinischen Daten verarbeiten kann.

Ganz ehrlich, meiner Logik entzieht sich das. Begründet wird dies damit, dass der Optiker ja keinem Heilberuf angehört und keiner medizinischen Schweigepflicht unterliegt. Unserer Ansicht ist das aber eher Kopplung von zwei Themen. Er muss die Einwilligung an den Kaufvertrag der Brille koppeln. Was bleibt mir übrig? Ich möchte eine neue Brille, also muss ich zustimmen.

Ob das tatsächlich mit dem Artikel 7 (4) konform geht?

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

EU Datenschutzgrundverordnung Artikel 7 (4)

Die Aufsichtsbehörde in Bayern sieht das auf jeden Fall so. Sie schreibt in ihrem Tätigkeitsbericht, dass eine Einwilligung für die Verarbeitung medizinischer Daten vorliegen muss, wenn es sich beim Datenverarbeiter um keinen Heilberuf handelt.

Ob der Optiker nun sensibel mit den Daten umgeht oder nicht, sagt mir die Einwilligung auch nicht. Dieser Frage, ob mein Gegenüber vertrauenswürdig ist, muss ich doch sowieso vorher nachgehen. Das bekommt man als Betroffener nicht durch eine Einwilligung hin.

Artikel 6 (1) lit. b DSGVO – Vertrag oder vorvertragliche Maßnahme

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung torvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

EU Datenschutzgrundverordnung Artikel 6 (1) lit. b

Der Klassiker. Sie kaufen im Onlineshop, Sie beginnen eine Mitgliedschaft im Fitnessstudio (oder im Tanzclub) oder Sie lassen sich vom Arzt behandeln. In all diesen Fällen sind Sie als Betroffener in einem Vertragsverhältnis. Sei es der Kaufvertrag, die Mitgliedschaft, der Behandlungsvertrag oder, oder, oder. Diese Vertragsbeziehung regelt, welche Daten nötig sind für die Verarbeitung. Der Vertrag ist nicht unbedingt schriftlich zu fixieren, auch mündliche Verträge haben ihre Gültigkeit. Oder unterzeichnen Sie beim Bäcker einen Kaufvertrag? Der Onlineshop für Kleidung benötigt Ihre Adresse, vielleicht auch Ihr Alter (Prüfung Volljährigkeit) und Ihre Konfektionsgröße. Da muss der Betreiber Sie nicht explizit fragen, ob Sie damit einverstanden sind, diese Daten anzugeben.

Auch wenn Sie nur ein Angebot in einem Hotel anfordern bzw. eine unverbindliche Buchungsanfrage. Das entspricht einer vorvertraglichen Maßnahme. Da muss das Hotel Sie nicht mehr Fragen, ob Sie damit einverstanden sind, dass die Daten verarbeitet werden dürfen.

Würden Sie nun als Unternehmer den Betroffenen um eine Einwilligung zum Datenschutz bitten, was hätte das zur Folge? Oben wurde erwähnt, eine Einwilligungserklärung zieht ein sofortiges Widerspruchsrecht nach sich. Würde das in diesem Fall, bei einem vorliegenden Vertragsverhältnis nicht einer fristlosen Kündigung gleichkommen?

Nachteile einer „freiwilligen“ Einwilligung bei Vertrag

Treiben wir das Beispiel doch mal bis ins Extrem weiter. Was würde das tatsächlich bedeuten?

Eigentlich hat Herr Müller ja schon lange keine Lust mehr auf’s Fitnessstudio. Der Vertrag läuft aber noch 6 Monate, bis zu offiziellen Kündigung. Wie gut, dass er damals der Verarbeitung der Daten für die Mitgliedschaft im Fitnessstudio explizit mit einer Einwilligungserklärung zugestimmt hat. Damit hat er ja das sofortige Widerspruchsrecht. Davon nimmt er am besten jetzt Gebrauch und weist das Studio darauf hin, dass er der weiteren Verarbeitung der Daten widerspricht. Eine Datenlöschung beantragt er damit auch gleich. Bei einer freiwilligen Einwilligung sollte das ja alles kein Problem sein.

Das Problem haben letztendlich Sie als Betreiber des Fitnessstudios. Eine fristlose Kündigung über das Widerrufsrecht wollten Sie im nicht geben. Eigentlich läuft der Vertrag noch bis zum offiziellen Kündigungsdatum. Auch haben Sie doch eine gesetzliche Aufbewahrungsfrist für Ihre Kundendaten inkl. Rechnungen und sonstigen Unterlagen (je nach Branche).

Ohne Einwilligung wäre das nicht passiert! Eine Rechtmäßigkeit nach Artikel 6 (1) lit. b DSGVO auf Basis des Vertrags hätte ausgereicht. Keine zusätzliche Unterschrift. Keine Scherereien.
Nicht immer ist der Slogan passend: „Lieber eine Unterschrift zu viel, als zu wenig.“

Daher: Keine Einwilligung zur Datenverarbeitung bei allen Verarbeitungen, die auf einem Vertrag oder einer vorvertraglichen Maßnahme beruhen.

Dieses Beispiel ist jetzt sicherlich sehr extrem formuliert. Mir geht es an dieser Stelle primär darum zu verdeutlichen, warum Artikel 6 (1) lit. a und Artikel 6 (1) lit. b bei ein und derselben Verarbeitung nicht zusammen gehören.

Artikel 6 (1) lit. c DSGVO – Rechtliche Verpflichtung

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, die auf Anfrage der betroffenen Person erfolgen;

EU Datenschutzgrundverordnung Artikel 6 (1) lit. c

Kurz gesagt: Immer, wenn es ein Gesetz gibt, dass die Verarbeitung der Daten fordert, ist die Verarbeitung damit legitimiert. Ein paar Beispiele:

  • Sie brauchen Ihre Mitarbeiter nicht zu fragen, ob Sie die Arbeitszeiten erfassen dürfen
  • Wenn Sie einen Strafzettel beim Falschparken bekommen, muss man Sie vorher nicht um die Einwilligung zur Datenverarbeitung bitten
  • Allgemein, wenn Daten zur Strafverfolgung verwendet werden (soweit diese rechtmäßig erhoben wurden), ist das erlaubt

Artikel 6 (1) lit. d DSGVO – Lebenswichtige Interessen

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

EU Datenschutzgrundverordnung Artikel 6 (1) lit. d

Ein Punkt, der in der alltäglichen Praxis zum Glück seltener vorkommt. Wenn Sie schwerverletzt nach einem Autounfall ins Krankenhaus eingeliefert werden, sollte die Verarbeitung Ihrer persönlichen Daten das kleinste Problem sein. Natürlich muss auch hier abgedeckt sein, dass Ihre Daten verarbeitet werden dürfen. Das regelt dieser Passus des Artikels 6 der DSGVO.

Artikel 6 (1) lit. e DSGVO – Öffentliches Interesse

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

EU Datenschutzgrundverordnung Artikel 6 (1) lit. e

Schwierige Materie. Beispiele haben wir hier selber wenige. Das Interesse der Öffentlichkeit muss in diesem Fall höher liegen, als der Schutz des Individuums. Veröffentlichung eines Täterbildes würde uns hier einfallen.

Haben Sie noch weitere Beispiele? Gerne ergänzen wir hier die Liste.

Artikel 6 (1) lit. f DSGVO – Berechtigtes Interesse

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

EU Datenschutzgrundverordnung Artikel 6 (1) lit. f

Das berechtigte Interesse ist irgendwie das, was übrig bleibt, wenn sonst nichts passt. Wie im Gesetzestext erwähnt darf es natürlich nicht gegen die Grundrechte verstoßen, wenn Sie personenbezogene Daten im berechtigten Interesse verarbeiten.

Beispiele dafür könnten sein:

  • Sie nennen Ihre Außendienstmitarbeiter namentlich mit geschäftlicher Telefonnummer auf der Internetseite (ohne Foto!). Diese sind zentrale Kontaktpersonen für Ihre Endkunden. Sie als Unternehmen haben ein berechtigtes Interesse daran, Ihrem Endkunden, den Kontakt mit Ihnen zu erleichtern.
  • Anonymisierte Besucherstatistiken auf der Webseite, wie Google Analytics, Matomo (…) erfolgen ohne Einwilligung des Besuchers. Die Rechtsgrundlage zur Erfassung der Daten ist das berechtigte Interesse.

So schön’s auch wäre: Personalisierte Werbung erfolgt nicht auf der Rechtsgrundlage des berechtigten Interesses. Hier benötigen Sie immer eine Einwilligung (siehe oben).

Wie finden Sie die richtige Rechtmäßigkeit zu Ihren Verfahren?

Sie benötigen (sehr wahrscheinlich) ein Verfahrensverzeichnis nach Art. 30 DSGVO. In den Pflichtangaben des Verfahrensverzeichnisses muss die Rechtmäßigkeit nicht angegeben werden. Trotzdem empfehlen wir Ihnen nachdrücklich, sich an dieser Stelle bereits mit der Rechtmäßigkeit auseinander zu setzen (Ausnahme, Sie sind Auftragsverarbeiter, siehe weiter unten).

Wenn Sie ein Verfahrensverzeichnis erstellen, müssen Sie prüfen, ob die Verarbeitung rechtens ist. Das können Sie nur sinnvoll prüfen, wenn Sie überhaupt wissen, auf welcher Rechtsgrundlage die Verarbeitung basiert. Bereits an dieser Stelle müssen Sie unserer Ansicht nach entscheiden, ob eine Rechtmäßigkeit durch Vertrag, Angebot, Gesetz oder berechtigtem Interesse (…) vorliegt. Falls nicht, müssen Sie den Prozess entsprechend anpassen und vielleicht tatsächlich eine Einwilligungserklärung einholen.

Aus der Erfahrung würde ich sagen, dass ca. 90 % der Verarbeitungen von personenbezogenen Daten in einem Unternehmen ohne Einwilligung funktionieren. Nur ein sehr kleiner Teil bedarf tatsächlich einer Einwilligung.

Haben Sie die Verfahren vollständig beschrieben, ist der Rest quasi ein Kindergeburtstag. Schlechter Vergleich! Wer schon mal beim Kindergeburtstag war weiß, dass das Erstellen von fünf Einwilligungsschreiben spaßiger ist, als eine Horde Kleinwüchsiger (mit ihren Müttern 🙂 ) beim Kindergeburtstag.

Information statt Einwilligung

Sie haben Ihre Verfahren sauber beschrieben. Wie geht es nun weiter? Sie haben nach Art. 13 und Art. 14 DSGVO die Pflicht, den Betroffenen darüber zu informieren, welche personenbezogenen Daten Sie von ihm verarbeiten.

Letztendlich ist das nichts anderes, was auf der Webseite auch gemacht wird. Die Datenschutzerklärung folgt den Forderungen der Art. 13 und 14 DSGVO. Für Ihre Mitarbeiter benötigen Sie zum Beispiel eine Informationspflicht, die angibt, welche Daten Sie zu welchem Zweck von den Mitarbeitern verarbeiten. Die Informationen für diese Informationspflicht haben Sie alle bereits in Ihrem Verfahrensverzeichnis zusammengetragen. Daher ist es so wichtig, gleich im Verarbeitungsverzeichnis sauber zu arbeiten. Darauf basiert dann nämlich der nächste und übernächste Schritt.

Immer wieder fällt mir auf, dass die Informationspflicht und die Einwilligungserklärung vermischt werden. Grundsätzlich ist das kein Problem. Sie fordern eine Einwilligung des Betroffenen und informieren ihn zugleich, warum Sie diese benötigen. Das ist sogar der optimale Fall. Trotzdem führt diese Vermischung sehr häufig dazu, dass weder das Eine noch das Andere vollständig und richtig ist.

Wir empfehlen ein Einwilligungsschreiben, welches auf die Informationspflicht verweist. Inhalt und Aufbau einer Informationspflicht haben wir im gleichnamigen Beitrag beschrieben.

Keine Rechtsgrundlage nach Artikel 6 (1) DSGVO bei Auftragsverarbeitung

Auf den ersten Blick versteht man vielleicht nicht ganz, warum für den Auftragsverarbeiter KEINE Rechtsgrundlage nach Art. 6 (1) DSGVO gilt. Liest man den Artikel 6 (1) der DSGVO allerdings etwas detaillierter, findet man die Beziehung zwischen Datenverantwortlichem und Betroffenen. Der Datenverantwortliche sind Sie in Ihre Unternehmen, wenn Sie Daten von Betroffenen (Ihren Mitarbeitern, Ihren Kunden…) verarbeiten. Der Vertrag nach Art. 6 (1) lit. b DSGVO kommt zwischen dem Betroffenen und dem Datenverantwortlichen zustande. Also zwischen Ihnen und dem Mitarbeiter oder dem Kunden.

Lagern Sie nun einzelne Verarbeitungsschritte aus (z.B. die Lohnbuchhaltung), dann übernimmt das für Sie der Auftragsverarbeiter. Trotzdem hat der Auftragsverarbeiter keinen direkten Vertrag mit dem Betroffenen, also Ihrem Mitarbeiter. Er arbeitet lediglich für Sie im Auftrag.

Es gibt natürlich einen Vertrag zwischen Auftraggeber (Datenverantwortlichem) und Auftragsverarbeiter. Dieser rechtfertigt die Verarbeitung. Im Sinne der Rechtmäßigkeit kann sich der Auftragsverarbeiter aber nicht auf Artikel 6 der DSGVO beziehen. Im Verfahrensverzeichnis des Auftragsverarbeiters bleibt die Rechtmäßigkeit leer.

Wie stehen Sie der Einwilligungserklärung gegenüber?

Mein heutiger Beitrag beginnt etwas impulsiv und bringt meinen Unmut über das permanente Falschverständnis der Einwilligungserklärung zu Tage.

Wie geht es Ihnen damit? Wie sind Ihre Erfahrungen damit? Können Sie meinen Unmut teilen? Ich freue mich über Ihre Kommentare dazu.

FAQ zur Einwilligung

Welche Voraussetzungen hat eine Einwilligung zu erfüllen?

Das DSK Kurzpapier Nummer 20 nennt die Voraussetzungen einer DSGVO-konformen Einwilligung. Ebenfalls werden die Inhalte genannt:

  • Rechtsgrundlage: Art. 4 (11) DSGVO:
    Freiwillige Einwilligung der betroffenen Person, für einen bestimmten Zweck, unmissverständlich, eindeutig
  • Rechtsgrundlage: Art. 7 DSGVO:
    Einwilligung muss nachweisbar sein, leicht verständlich und getrennt von anderen Sachverhalten, Widerruf muss möglich und einfach sein, Freiwilligkeit(!)
  • Einwilligung muss nicht zwingend schriftlich erfolgen
  • Die Einwilligung ist unmissverständlich für den Betroffenen zu verstehen sein
  • Der Betroffenen muss eine eindeutige bestätigende Handlung vornehmen (z.B. Anklicken oder durch Ja-Sagen); er muss ein aktives Verhalten zeigen

Was sind keine eindeutigen bestätigenden Handlungen bei einer Einwilligung?

  • Stillschweigen
  • vorausgefüllte oder angeklickte Kästchen im Internet
  • Untätigkeit der betroffenen Person
  • Automatische Zustimmung durch AGBs oder Vertragsklauseln

Darf ich jemanden zur Einwilligung zwingen?

  • Nein, die DSGVO legt besonderes Augenmerk auf die Freiwilligkeit
  • Eine freiwillige Erteilung liegt vor, wenn der Betroffene eine echte und freie Wahl hat; es entstehen durch die Verweigerung oder Rücknahme keine Nachteile für den Betroffenen
  • Die Freiwilligikeit liegt nicht vor, wenn z.B. der Vertragsabschluss von einer Einwilligung des Betroffenen abhängig ist bzw. gekoppelt (Kopplungsverbot)
  • Zweifel an der Freiwilligkeit kann auch durch ein Ungleichgewicht zwischen Betroffenen und Verantwortlichen entstehen (z.B. Arbeitnehmer und Arbeitgeber in Bezug auf Veröffentlichung von Mitarbeiterfotos)

Wie ist die Einwilligung zu gestalten?

  • Die Einwilligung hat in informierter Weise zu erfolgen, d.h.:
  • in verständlicher,
  • leicht zugänglicher Form,
  • in einer klaren und einfachen Sprache,
  • keine unmissverständlichen Klauseln aufweist,
  • Kontaktdaten des Verantwortlichen angegeben sind,
  • Zweck der Verarbeitung definiert,
  • Art der verarbeiteten Daten aufgeführt,
  • und die Betroffenen über ihre Rechte informiert wurden (Widerruf)

Wie muss die Nachweisbarkeit der Einwilligung erfolgen?

  • Nach Art. 7 Abs. 1 DSGVO hat der Verantwortliche die Zustimmung nachzuweisen
  • Die Verpflichtung des Nachweises ergibt sich aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)
  • Bei elektronischen Einwilligungen ist sicherzustellen, dass diese auch protokolliert wird (z.B. Double Opt-in beim Newsletterversand)
  • Es sind geeignete technische und ggf. organisatorische Maßnahmen zu definieren, um die Rechenschaftspflicht zu erfüllen

Welche Rechte hat die betroffene Person bei einer erteilten Einwilligung?

  • Die Einwilligung kann jederzeit widerrufen werden
  • Der Widerruf richtet sich auf die zukünftige Datenverarbeitungen
  • Bereits rechtmäßig erfolgte Verarbeitungstätigkeiten bleiben vom Widerruf unberührt
  • Auf das Widerrufsrecht ist der Betroffene vor Abgabe der Einwilligung hinzuweisen
  • Der Widerruf muss so einfach wie die Erteilung sein

Sind die Zustimmungen vor der DSGVO noch gültig?

Ja, sofern folgende Punkte bereits berücksichtigt wurden: 

  • Die Erteilung der Einwilligung kann nach Art. 7 Abs. 1 DSGVO nachgewiesen werden;
  • Die Einwilligung erfolgte freiwillig;
  • Der Verarbeitungszweck ist unmissverständlich für den Betroffenen bekannt;
  • Möglichkeit des Widerrufs besteht
  • Bei Einwilligungen von Kindern sind die Voraussetzungen des Art. 8 DSGVO zu beachten (siehe Frage in den FAQs)

Bereits erteilte Einwilligungserklärungen sind ungültig, wenn die genannten Voraussetzungen nicht erfüllt sind.

Was sind die Folgen unwirksamer Einwilligungen?

  • Die Verarbeitung darf nicht durchgeführt werden und ist somit rechtswidrig
  • Auch ist die Stützung auf eine andere Rechtsgrundlage z.B. berechtigtes Interesse unzulässig
  • Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden

Besondere Kategorien und Einwilligungen von Kindern

  • Besondere Kategorien von Daten“ nach Art. 9 Abs. 2 lit. a DSGVO dürfen nur mit Einwilligung verarbeitet werden, sofern nicht ein anderer Ausnahmetatbestand nach Art. 9 Abs. lit. b DSGVO gilt. Dies kann sein:
    Arbeit- und Sozialrecht, Schutz lebenswichtiger Interessen, Daten wurden durch den Betroffenen veröffentlicht, wichtig für justizielle Tätigkeit (…)
  • Art. 8 DSGVO behandelt die Voraussetzungen für Einwilligungen bei Kindern:
    Gültig, wenn das Kind mind. 16 Jahre alt ist (nationale Abweichung bis minimum 13. Lebensjahr möglich), Verantwortlicher stellt sicher, dass die Einwilligung durch die Sorgeberechtigten erfolgte

Quellen

Diesen Beitrag teilen