Immer auf dem Laufenden bleibenWenn im Wirkungsbereich der EU-Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten verarbeiten werden, so ist das nur zulässig, wenn eine rechtliche Grundlage hierfür vorhanden ist oder eine solche Rechtsgrundlage geschaffen wird. Eine mögliche Rechtsgrundlage ist die informierte Einwilligungserklärung der betroffenen Person (Art. 6 Abs. 1 lit. a) DS-GVO). An die Einholung einer datenschutzkonformen Einwilligungserklärung sind jedoch zahlreiche Anforderungen geknüpft. Diese beziehen sich sowohl auf die Inhalte als auch die Form einer Einwilligung. Daneben bestehen umfassende Rechenschaftspflichten, die zusätzlich und auch über einen längeren Zeitraum sichergestellt werden müssen.
Inhalt
Rechtliche Anforderungen an wirksame Einwilligungserklärung
Die Verarbeitung von personenbezogenen Daten kann aufgrund einer Einwilligung der betroffenen Person erfolgen. Wesentliche Anforderungen hierfür sind in Art. 7 DS-GVO, Art. 8 DS-GVO (Kinder), Art. 9 DS-GVO (besondere Kategorien personenbezogener Daten) festgelegt. Daneben gibt es diverse spezialrechtliche Regelungen, die die Anforderungen an Einwilligungen in bestimmten Themen-Bereichen festlegen. (Beispielsweise in § 26 Abs. 2 BDSG für Einwilligungen von Beschäftigten).
Die Einwilligung muss alle zugehörigen Voraussetzungen erfüllen, um rechtlich wirksam zu sein. Nur so kann diese von Verantwortlichen als datenschutzrechtliche Grundlage genutzt werden.
Informiertheit
Grundlage jeder gültigen, datenschutzrechtlichen Einwilligungserklärung ist das Bestehen angemessener Information zu dem Sachverhalt, zu dem die betroffene Person einwilligen soll. Eine Einwilligung zu Sachverhalten, über die die betroffene Person nicht informiert ist, ist nicht gültig.
Mindestinhalt der Information:
- Beschreibung der näheren Umstände der Datenverarbeitung zu der eingewilligt werden soll, dabei kann die Beschreibung je nach Umfang und Komplexität der Verarbeitung stark variieren:
- Beschreibung der Daten
- Zweck der Datenverarbeitung
- Beschreibung der Verarbeitung
- Benennung wesentlicher Empfänger
- Risiken aus Sicht der betroffenen Person
- Ggf. weitere Beschreibungen, die für das Verständnis der Verarbeitung erforderlich sind
- Beschreibung der Folgen einer Einwilligung aus Sicht der betroffenen Person
- Beschreibung der Folgen einer Nicht-Einwilligung aus Sicht der betroffenen Person
Freiwilligkeit
Eine Einwilligungserklärung muss immer freiwillig erfolgen.
Wird eine Einwilligungserklärung unter Zwang (unter anderem Gruppenzwang), unter Vortäuschung falscher Tatsachen oder Verschweigen wesentlicher Umstände erteilt, ist diese regelmäßig ungültig. In Bereichen, in denen zwischen dem datenschutzrechtlich Verantwortlichen und der betroffenen Person ein Kräfteungleichgewicht herrscht, beispielsweise zwischen Arbeitgeber und Arbeitnehmer, wird an die Freiwilligkeit ein noch strengerer Maßstab angelegt.
Beispiel: Im Beschäftigtendatenschutz gem. § 26 Abs. 2 Satz 1,2 Bundesdatenschutzgesetz (BDSG):
„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen.“
Freiwilligkeit kann durch bestimmte Rahmenbedingungen hervorgehoben werden, z. B.:
- Das Bestehen von Alternativen zur Abgabe einer Einwilligung
- Die Möglichkeit, die Einwilligung sehr differenziert und in verschiedenen Abstufungen zu erteilen
- Pro Zweck kann eine separate Einwilligung erteilt werden
- Die Abgabe einer Einwilligung ist mit einem objektiv darstellbaren Vorteil für die betroffene Person verbunden
Bestimmte Rahmenbedingungen können der Freiwilligkeit entgegenwirken und zur Ungültigkeit führen, z. B.:
- Zu geringe Informiertheit
- Verbindung mehrerer Zwecke in einer großen, vollumfänglichen Einwilligung
- Verstecken einer Einwilligung in einem anderen Sachkontext (z. B. versteckter Einbau einer Einwilligung in einem Vertragsabschluss)
- Von der Abgabe der Einwilligung wird die Erfüllung eines Vertrages abhängig gemacht, obwohl der Vertrag die Einwilligung objektiv nicht erfordert (Kopplungsverbot).
- Online-Einwilligungen: Voraktivierung von Checkboxen
- Einsatz von Nudges
Eindeutige bestätigende Handlung
Die Einwilligung muss durch eine unmissverständliche und aktive Handlung der betroffenen Person selbst erfolgen. Somit darf aus einem Nichtstun oder Nichtwidersprechen keine Einwilligung abgeleitet werden.
Zeichen für fehlende oder unzureichende bestätigende Handlungen sind:
- vorangekreuzte Checkboxen in einem Einwilligungsformular – egal ob dies digital oder in Papierform vorliegt
- ein ausbleibender Widerspruch, wenn Daten einfach so verarbeitet werden
- ein Lächeln in eine Kamera (für die Veröffentlichung von Foto- oder Filmaufnahmen)
Widerrufbarkeit
Eine datenschutzrechtliche Einwilligungserklärung muss jederzeit widerrufbar sein. Über das Bestehen des Widerrufsrechts muss in der Einwilligungserklärung aktiv hingewiesen werden. Dabei ist auch darüber zu informieren, wie genau das Widerrufsrecht ausgeübt werden kann und was nach Abgabe eines Widerrufs mit den personenbezogenen Daten passiert (Folgen des Widerrufs).
Bei der Verwendung einer Einwilligungserklärung als Rechtsgrundlage für eine Datenverarbeitung muss prozessual eine Widerrufbarkeit sichergestellt werden. Hierzu gehört beispielsweise:
- Beendigungsmöglichkeit für die Verarbeitung der Daten der widerrufenden Person
- Löschung der personenbezogenen Daten, wenn diese nicht noch für andere legitime Zwecke verarbeitet werden dürfen
- Information der Empfänger, die die Daten im Rahmen der Verarbeitung erhalten haben, sodass diese auch in deren Zuständigkeitsbereich den Widerruf prüfen und umsetzen können.
Die Abgabe eines Widerrufs muss so einfach gestaltet werden, wie die vorherige Einwilligung selbst. Es ist beispielsweise nicht zulässig, wenn eine online erteilte Einwilligung ausschließlich schriftlich mittels Briefpost widerrufen werden darf.
Rechenschaftspflicht
Der Verantwortliche muss nachweisen können, dass die betroffene Person ihre Einwilligung erteilt hat. Die Rechenschaftspflicht umfasst auch den Nachweis, dass die Einwilligung unter der hier dargestellten rechtlichen Voraussetzung (Freiwilligkeit, aktive Handlung, Informiertheit usw.) erteilt wurde. Hierbei ist es nicht ausreichend, nur den Nachweis über einen bestehenden Einwilligungs-Prozess zu erbringen. Vielmehr ist ein Nachweis der tatsächlich abgegebenen Einwilligungserklärung im Einzelfall erforderlich.
Einwilligungserklärungen, die schriftlich erteilt werden, bieten die einfachste Möglichkeit eines Nachweises. Online erteilte Einwilligungserklärungen, erfordern eine Dokumentation der tatsächlich angezeigten Informations- und Einwilligungserklärungstexte, der genauen technischen Rahmenbedingungen (z. B. Checkbox nicht vorangekreuzt) sowie eine Protokollierung der erteilten Einwilligung.
Telefonisch erteilte (datenschutzrechtliche) Einwilligungserklärung, können deutlich schwer dokumentiert werden. Die erforderlichen Sprachaufzeichnungen aufseiten der betroffenen Person sowie des beteiligten Mitarbeiters, bringen weitere rechtliche Herausforderungen mit sich, da in vielen Ländern die unbefugte Aufzeichnung von Telefongesprächen strafrechtlich sanktioniert werden kann.
Besondere Anforderungen im Zusammenhang mit Kindern und Jugendlichen
In vielen Anwendungsbereichen erfordert die Einwilligung eines Kindes oder Jugendlichen die Bestätigung bzw. Einwilligung der erziehungsberechtigten Personen.
Für Dienste der Informationsgesellschaft (unter anderem kostenfreie und kostenpflichtige Online-Angebote) legt die DS-GVO fest, dass Erziehungsberechtigte zustimmen müssen, wenn die minderjährige Person jünger als 16 Jahre alt ist. Allerdings können die einzelnen EU-Mitgliedsstaaten in ihrer lokalen Zuständigkeit diese Altersgrenze auf bis zu 13 Jahren senken.
Außerhalb von Diensten der Informationsgesellschaft bietet die DS-GVO keine Orientierung für die Gestaltung von Einwilligungen bei Kindern und Jugendlichen.
Grundsätzlich ist es nicht erforderlich, dass eine Einwilligung nur von volljährigen Personen erteilt werden kann. Vielmehr ist hier die individuelle Einsichtsfähigkeit über die Folgen der Einwilligung ausschlaggebend.
Für eine hohe Rechtssicherheit bei der Gestaltung von datenschutzrechtlichen Einwilligungen bei Minderjährigen wird daher empfohlen, die gleichzeitige Einwilligung der Erziehungsberechtigten einzuholen.
Lassen Sie sich unterstützen
Kostenfreier KennenlernterminHaben Sie Fragen zum Thema Einwilligung? Möchten Sie Ihre Einwilligungserklärungen überprüfen oder neu erstellen lassen? Wir unterstützen Sie gerne: Vereinbaren Sie mit uns einen kostenfreien Kennenlern- und Informationstermin.
Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn sich die Verarbeitung auf eine geeignete Rechtsgrundlage stützt. Eine solche Rechtsgrundlage kann […]
Worum geht es? Die freie Entfaltung der Persönlichkeit ist ein Grundrecht (Art. 2 Abs. 1 GG). Dies beinhaltet auch das […]
Bildquellen:
- Stempel TIPPS #466145213: Butch (editiert von TR) | stock.adobe.com
- Unterschreiben: amnaj (233955358) | stock.adobe.com
