Einwilligungserklärung 1

Anforderungen an eine Einwilligungserklärung

Wenn im Wirkungsbereich der EU-Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten verarbeiten werden, so ist das nur zulässig, wenn eine rechtliche Grundlage hierfür vorhanden ist und eine solche Rechtsgrundlage geschaffen wird. Eine mögliche Rechtsgrundlage ist die informierte Einwilligungserklärung der betroffenen Person (Art. 6 (1) (a) DS-GVO). An die Einholung einer datenschutzkonformen Einwilligungserklärung sind jedoch zahlreiche rechtliche Anforderungen geknüpft. Ansonsten bestehen in diesem Zusammenhang umfangreiche Rechenschaftspflichten, die zusätzlich und ggf. auch über einen längeren Zeitraum sichergestellt werden müssen.

Das vorliegende Dokument beschreibt die Anforderungen an eine datenschutzkonforme (DS-GVO) Einwilligungserklärung.

Rechtliche Anforderungen an wirksame Einwilligungserklärung

Betroffene Personen können in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Grundlage hierfür sind übergreifen Art. 7 DS-GVO, Art, 8 DS-GVO (Kinder), Art. 9 DS-GVO (besondere Kategorien personenbezogener Daten). Weiterhin gibt es diverse spezialrechtliche Regelungen, die die Anforderungen an Einwilligungen in bestimmten Bereichen beschreiben (beispielsweise § 26 Abs. 2 BDSG). Hierbei muss die Einwilligung bestimmte Voraussetzungen erfüllen, um rechtlich wirksam zu sein und so vom Verantwortlichen als datenschutzrechtliche Grundlage genutzt werden zu können.

Informiertheit

Grundlage jeder gültigen, datenschutzrechtlichen Einwilligungserklärung ist das Bestehen angemessener Information zu dem Sachverhalt, zu dem die betroffene Person einwilligen soll. Eine Einwilligung zu Sachverhalten, über die die betroffene Person nicht informiert ist, ist nicht gültig.

Mindestinhalt der Information:

  • Beschreibung der näheren Umstände der Datenverarbeitung zu der eingewilligt werden soll, dabei kann die Beschreibung je nach Umfang und Komplexität der Verarbeitung stark variieren:
    • Beschreibung der Daten
    • Zweck der Datenverarbeitung
    • Beschreibung der Verarbeitung
    • Benennung wesentlicher Empfänger
  • Risiken aus Sicht der betroffenen Person
  • Ggf. weitere Beschreibungen, die für das Verständnis der Verarbeitung erforderlich sind
  • Beschreibung der Folgen einer Einwilligung aus Sicht der betroffenen Person
  • Beschreibung der Folgen einer Nicht-Einwilligung aus Sicht der betroffenen Person

Eindeutige bestätigende Handlung und Freiwilligkeit

Die Einwilligungserklärung muss freiwillig und durch eine unmissverständliche und aktive Handlung der betroffenen Person selbst erfolgen.

Wird eine Einwilligungserklärung unter Zwang (unter anderem Gruppenzwang), unter Vortäuschung falscher Tatsachen oder Verschweigen wesentlicher Umstände erteilt, ist diese regelmäßig ungültig. In Bereichen, in denen zwischen dem datenschutzrechtlich Verantwortlichen und der betroffenen Person ein Kräfteungleichgewicht herrscht, beispielsweise zwischen Arbeitgeber und Arbeitnehmer, wird an die Freiwilligkeit ein noch strengerer Maßstab angelegt.

Beispiel: Im Beschäftigtendatenschutz gem. § 26 Abs. 2 Satz 1,2 Bundesdatenschutzgesetz (BDSG):

„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen.“

Freiwilligkeit kann durch bestimmte Rahmenbedingungen hervorgehoben werden, z. B.:

  • Das Bestehen von Alternativen zur Abgabe einer Einwilligung
  • Die Möglichkeit, die Einwilligung sehr differenziert und in verschiedenen Abstufungen zu erteilen
  • Pro Zweck kann eine separate Einwilligung erteilt werden
  • Die Abgabe einer Einwilligung ist mit einem objektiv darstellbaren Vorteil für die betroffene Person verbunden

Bestimmte Rahmenbedingungen können der Freiwilligkeit entgegenwirken und zur Ungültigkeit führen, z. B.:

  • Zu geringe Informiertheit
  • Verbindung mehrerer Zwecke in einer großen, vollumfänglichen Einwilligung
  • Verstecken einer Einwilligung in einem anderen Sachkontext (z. B. versteckter Einbau einer Einwilligung in einem Vertragsabschluss)
  • Von der Abgabe der Einwilligung wird die Erfüllung eines Vertrages abhängig gemacht, obwohl der Vertrag die Einwilligung objektiv nicht erfordert (Kopplungsverbot).
  • Online-Einwilligungen: Voraktivierung von Checkboxen
  • Einsatz von Nudges

Widerrufbarkeit

Eine datenschutzrechtliche Einwilligungserklärung muss jederzeit widerrufbar sein. Über das Bestehen des Widerrufsrechts muss in der Einwilligungserklärung aktiv hingewiesen werden. Dabei ist auch darüber zu informieren, wie genau das Widerrufsrecht ausgeübt werden kann und was nach Abgabe eines Widerrufs mit den personenbezogenen Daten passiert (Folgen des Widerrufs).

Bei der Verwendung einer Einwilligungserklärung als Rechtsgrundlage für eine Datenverarbeitung muss prozessual eine Widerrufbarkeit sichergestellt werden. Hierzu gehört beispielsweise:

  • Beendigungsmöglichkeit für die Verarbeitung der Daten der widerrufenden Person
  • Löschung der personenbezogenen Daten, wenn diese nicht noch für andere legitime Zwecke verarbeitet werden dürfen
  • Information der Empfänger, die die Daten im Rahmen der Verarbeitung erhalten haben, sodass diese auch in deren Zuständigkeitsbereich den Widerruf prüfen und umsetzen können.

Die Abgabe eines Widerrufs muss so einfach gestaltet werden, wie die vorherige Einwilligung selbst. Es ist insbesondere nicht zulässig, wenn eine online erteilte Einwilligung ausschließlich schriftlich mittels Briefpost widerrufen werden darf.

Rechenschaftspflicht

Der Verantwortliche muss nachweisen können, dass die betroffene Person ihre Einwilligung erteilt hat. Die Rechenschaftspflicht umfasst auch den Nachweis, dass die Einwilligung unter der hier dargestellten rechtlichen Voraussetzung (Freiwilligkeit, aktive Handlung, Informiertheit usw.) erteilt wurde. Hierbei ist es nicht ausreichend, nur den Nachweis über einen bestehenden Einwilligungs-Prozess zu erbringen. Vielmehr ist ein Nachweis der tatsächlich abgegebenen Einwilligungserklärung im Einzelfall erforderlich.

Einwilligungserklärungen, die schriftlich erteilt werden, bieten die einfachste Möglichkeit eines Nachweises. Online erteilte Einwilligungserklärungen, erfordern eine Dokumentation der tatsächlich angezeigten Informations- und Einwilligungserklärungstexte, der genauen technischen Rahmenbedingungen (z. B. Checkbox nicht vorangekreuzt) sowie eine Protokollierung der erteilten Einwilligung.

Telefonisch erteilte (datenschutzrechtliche) Einwilligungserklärung, können deutlich schwer dokumentiert werden. Die erforderlichen Sprachaufzeichnungen auf Seiten der betroffenen Person sowie des beteiligten Mitarbeiters, bringen weitere rechtliche Herausforderungen mit sich, da in vielen Ländern die unbefugte Aufzeichnung von Telefongesprächen strafrechtlich sanktioniert werden kann.

Besondere Anforderungen im Zusammenhang mit Kindern und Jugendlichen

In vielen Anwendungsbereichen erfordert die Einwilligung eines Kindes oder Jugendlichen die Bestätigung bzw. Einwilligung der erziehungsberechtigten Personen.

Für Dienste der Informationsgesellschaft  (unter anderem kostenfreie und kostenpflichtige Online-Angebote) legt die DS-GVO fest, dass Erziehungsberechtigte zustimmen müssen, wenn die minderjährige Person jünger als 16 Jahre alt ist. Allerdings können die einzelnen EU-Mitgliedsstaaten in ihrer lokalen Zuständigkeit diese Altersgrenze auf bis zu 13 Jahren senken.

Außerhalb von Diensten der Informationsgesellschaft bietet die DS-GVO keine Orientierung für die Gestaltung von Einwilligungen bei Kindern und Jugendlichen.

Für eine hohe Rechtssicherheit bei der Gestaltung von datenschutzrechtlichen Einwilligungen bei Minderjährigen wird daher empfohlen, die gleichzeitige Einwilligung der Erziehungsberechtigten einzuholen.

Bildquellen:

  • Unterschreiben: amnaj (233955358) | stock.adobe.com