Veröffentlicht von:

Rechtsanwältin Nina Hiddemann

Die datenschutzrechtliche Einwilligung

16.06.2021
3 Minuten Lesezeit

Die Verarbeitung personenbezogener Daten steht unter dem Vorbehalt der Erlaubnis, d. h. jede Datenverarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage.

Rechtsgrundlagen können sich u. a. aus der Datenschutzgrundverordnung, dem Bundesdatenschutzgesetz sowie zahlreichen Spezialgesetzen (SGB, etc.) ergeben. Fehlt es an gesetzlichen Erlaubnistatbeständen, die eine Verarbeitung ohne Einwilligung des Betroffenen erlauben, muss auf eine Einwilligung des Betroffenen zurückgegriffen werden. Gleiches gilt insbesondere, wenn besondere Datenkategorien (bspw. Gesundheitsdaten) verarbeitet werden sollen. Die Einwilligung nimmt im Verhältnis zu anderen Legitimationsgrundlagen eine gleichrangige Stellung ein, ist aber mit dem Risiko des jederzeitigen Widerrufs verbunden.

1. Form der Einwilligung

Erforderlich ist eine eindeutig bestätigende Handlung, die das Einverständnis der betroffenen Person mit der Datenverarbeitung unmissverständlich zum Ausdruck bringt. Ein besonderes Formerfordernis besteht nicht. In Erwägungsgrund 32 zur DSGVO werden u. a. auch mündliche Erklärungen oder Mausklicks genannt.

Nicht ausreichend sind

Stillschweigen
Untätigkeit
Vorangekreuzte Checkboxen (sog. Opt-Out)

Bei elektronischer Einholung einer Einwilligung muss gemäß Erwägungsgrund 32 S. 6 DSGVO „die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen“.

In bestimmten Bereichen können auf nationaler Ebene strengere Formvorschriften gelten. So bedarf die Einwilligung eines Beschäftigten in Deutschland der Schriftform „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“.

2. Freiwilligkeit

Die Einwilligung muss freiwillig erfolgen. Freiwillig ist sie, wenn der Betroffene eine echte Wahl hat.

Die Koppelung an einen Vertrag, für dessen Erfüllung die Verarbeitung der von der Einwilligung umfassten Daten nicht erforderlich ist, stellt ein Indiz für die Unfreiwilligkeit der Einwilligung dar.

Eine generelle Einwilligung für umfangreiche Datenverarbeitungen widerspricht dem sog. Trennungsgebot. Danach soll dem Betroffenen die Möglichkeit gegeben werden, einzelnen Datenverarbeitungsprozessen separat zuzustimmen. Es empfehlen sich bei elektronischen Einwilligungen daher gestufte Konzepte.

3. Fallbezogene Einwilligungserklärungen

Die Einwilligung muss auf einen konkreten Fall bezogen sein. Eine pauschale Einwilligung ohne Angabe des Zwecks der Datenverarbeitung ist unzulässig.

Zwar kann die Einwilligung auch mehrere Verarbeitungsvorgänge umfassen, sie muss die Konstellationen jedoch umreißen und eingrenzen. Generaleinwilligungen entsprechen diesen Anforderungen nicht.

4. Transparenz

Die Einwilligung muss informiert erfolgen, d. h. der Betroffene muss die Sachlage einschätzen können.

Mindestens mitzuteilen sind die Antworten auf die „4- W-Fragen“:

Wer will welche Daten wofür (zu welchem Zweck) und wie kann ich widerrufen?

Ist beabsichtigt Daten an Dritte weiterzugeben, muss der Datenempfängers (Name, Firma, Anschrift) sowie der Verarbeitungszweck des Dritten genannt werden. Informiert werden muss ferner über die Dauer der Verarbeitung und mögliche Folgen der Verweigerung der Einwilligung.

Die Informationen müssen leicht verständlich und transparent sein. Die Einwilligung muss zudem klar von anderen Sachverhalten getrennt dargestellt werden. Eine Einwilligung im Fließtext von AGB ist nicht wirksam.

5. Widerruflichkeit

Die Einwilligung muss jederzeit mit Wirkung für die Zukunft widerrufen werden können. Der Betroffene hat insoweit das Recht ausdrücklich über dieses Widerrufsrecht belehrt zu werden. Der Widerruf muss zudem so einfach wie die Erteilung der Einwilligung möglich sein. Wird für den Widerruf einer elektronisch erteilten Einwilligung Schriftform verlangt, liegt ein Verstoß gegen die DSGVO vor.

6. Nachweisbarkeit

Art. 5 Abs. 2 DSGVO und Art. 7 Abs. 1 DSGVO legen dem Verantwortlichen eine Pflicht zum Nachweis der Einwilligung auf (sog. Rechenschaftspflicht). Der Verantwortliche muss also technische und organisatorische Maßnahmen treffen, die Einholung einer Einwilligung nachweisen zu können.

Möglich ist dies bspw. durch die Protokollierung einer elektronisch erteilten Einwilligung. Dies erfordert mindestens die Protokollierung folgender Parameter in den Logdateien:

Einwilligungstext
Anklicken der Checkbox
Name des Einwilligenden oder sonstiges Identifikationsmerkmal
Timestamp (Eingabezeitpunkt)

Darüber hinaus ist eine Verifikation der Identität des Einwilligenden nötig, bspw. durch das sog. Double-Opt-In Verfahren, das auch zur Anmeldung von Newslettern verwendet wird.

Checkliste Einwilligung

auf optische Hervorhebung achten (bspw. deutliche Überschrift verwenden)
ausdrückliche Einwilligung durch Opt-In
Einwilligung muss freiwillig sein; möglichst keine Koppelung an besondere Umstände
Möglichkeit abgestufter Einwilligungen geben
verständliche Informationen bereitstellen
verständlich über Widerrufsmöglichkeit belehren
verständliche Formulierungen nutzen („Ich bin einverstanden“ etc.)
einfache Widerrufsmöglichkeit zur Verfügung stellen
Nachweise für die Erteilung der Einwilligung sichern

Benötigen Sie Unterstützung im Bereich des Datenschutzrechts, sprechen Sie mich gerne unverbindlich an.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwältin Nina Hiddemann

Veröffentlicht von:

Rechtsanwältin Nina Hiddemann

Datenschutzrecht • Gewerblicher Rechtsschutz • IT-Recht

Allgemeines Vertragsrecht • Urheberrecht & Medienrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwältin Nina Hiddemann

Pekinger Gericht spricht Schadenersatz wegen der Imitierung einer Stimme durch KI zu

Ein Pekinger Gericht hat am 23. April 2024 eine Persönlichkeitsrechtsverletzung einer Synchronsprecherin bejaht, weil deren Stimme von verschiedenen Beteiligten ohne Zustimmung mittels KI imitiert ... Weiterlesen
NIS-2-Richtlinie - Ein kurzer Überblick

Unternehmen und öffentliche Einrichtigungen sind zunehmend Cyberangriffen ausgesetzt. Um das Cyberniveau in der EU verpflichtend auf ein hohes Niveau zu heben, ist inzwischen die sog. ... Weiterlesen
Kann ein Patient kostenlos eine Kopie seiner Patientenakte verlangen?

Diese Frage haben sich sicher schon viele Behandler und Patienten gestellt. Der Anspruch aus nationalem Zivilrecht Zivilrechtlich sieht das Bürgerliche Gesetzbuch in § 630g Abs. 1 BGB vor, dass ... Weiterlesen

Alle Rechtstipps von Rechtsanwältin Nina Hiddemann

Weitere

Beiträge zum Thema

Cookies & Einwilligung – Stellungnahme des EuGH

29.01.2020

Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: ... Weiterlesen
EuGH-Urteil über die Einwilligung zu Cookies

04.10.2019

Der EuGH urteilte am Dienstag (01.10.2019) über eine Rechtsfrage betreffend Internet-Cookies, deren Speicherung ... Weiterlesen
WhatsApp und Facebook – Datenübermittlung auch ohne Einwilligung

21.09.2016

WhatsApp will Daten seiner Nutzer – wie insbesondere Telefonnummern in den Adressbüchern ihrer Smartphones – an ... Weiterlesen