Zur Navigation springen Zum Inhalt springen Zum Footer springen
Teilen

E-Mail

Facebook

Twitter

LinkedIn

Xing

Link

Einwilligung in die Datenverarbeitung nach der DSGVO – Was muss ich beachten?

(11)

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), welche die bisher geltende EU-Datenschutzrichtlinie (95/46/EG) abgelöst hat, und immer noch herrscht Unsicherheit im Umgang mit der Verarbeitung personenbezogener Daten.

Was sind überhaupt personenbezogene Daten?

Personenbezogene Daten sind solche, die in irgendeiner Weise einen Personenbezug aufweisen, vgl. Art. 4 Nr. 1 DSGVO. Die DSGVO regelt nur die Verarbeitung von personenbezogenen Daten. Soweit personenbezogene Daten wie z. B. der Name, die Adresse, Telefonnummer, E-Mail-Adresse, Autokennzeichen oder die IP-Adresse von der betroffenen Person nicht verarbeitet werden sollen, findet die DSGVO auch keine Anwendung.

Wann ist eine Verarbeitung personenbezogener Daten rechtmäßig?

Grundsätzlich unterliegt die Verarbeitung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt. Eine Verarbeitung personenbezogener Daten ist demnach nur möglich, wenn eine sog. Erlaubnisnorm wie z. B. aus einer der in Art. 6 DSGVO normierten Ausnahmen, vorliegt. Die personenbezogene Datenverarbeitung war bereits nach früherem Recht mit Einwilligung der betroffenen Person möglich. Lediglich die Voraussetzungen einer Einwilligung haben sich mit Geltungsbeginn der DSGVO weiterentwickelt. In Art. 6 Abs. 1 lit. b DSGVO wird die Ausnahme der Datenverarbeitung mittels Einwilligung geregelt.

Was bedeutet „Einwilligung“ und wie hole ich eine wirksame Einwilligung in die Datenverarbeitung ein?

Die Einwilligung wird in Art. 4 Nr. 11 DSGVO als

jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“

beschrieben. 

Diese Definition bringt bereits die Voraussetzungen einer wirksamen Einwilligung mit sich. Die grundsätzlichen Anforderungen ergeben sich zusätzlich aus Art. 7 DSGVO und werden in den Erwägungsgründen 32 und 42 der DSGVO konkretisiert.

  • Eine wirksame Einwilligung muss freiwillig abgegeben werden. Freiwillig ist eine Einwilligungserklärung dann, wenn der Betroffene eine echte bzw. freie Wahlmöglichkeit hatte, ob er die Einwilligung überhaupt abgibt, sie verweigert oder zurückzieht, ohne dass ihm daraus Nachteile erwachsen. Das Merkmal der Freiwilligkeit ist besonders problematisch bei der Verarbeitung der Daten durch eine öffentliche Stelle (z. B. Behörde) oder innerhalb eines Beschäftigungsverhältnisses. Zwischen der Behörde/Arbeitgeber und dem Bürger/Arbeitnehmer herrscht in der Regel ein gewisses Ungleichgewicht aufgrund des bestehenden Über-/Unterordnungsverhältnisses. Dies könnte die Freiwilligkeit ausschließen. Das Merkmal der Freiwilligkeit muss in einem solchen Verhältnis daher besonders sorgfältig geprüft werden.
  • Die Einwilligung eines Betroffenen muss sich auf einen oder mehrere genau bestimmte Zwecke beziehen. Die Zwecke müssen außerdem genau erläutert werden und der Betroffene bereits vor oder spätestens bei Einholung der Einwilligung durch den Verantwortlichen über den Verwendungszweck der Daten informiert werden. Erforderlich ist also, dass sich die Einwilligung auf sämtliche beabsichtigte Verarbeitungsvorgänge und den jeweiligen zuvor festgelegten Zweck bezieht. Der Zweck muss so konkret wie möglich benannt werden. Pauschale oder sogenannte Blankoeinwilligungen genügen diesen Anforderungen nicht. Problematisch kann außerdem ein Vertragsschluss sein, der von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht wird, die für die Durchführung des Geschäfts nicht nötig sind. Dies kann einen Verstoß gegen das sog. Kopplungsverbot darstellen.
  • Der Verantwortliche muss gemäß Art. 7 Abs. 3 S. 3 DSGVO den Betroffenen über die Möglichkeit eines jederzeitigen Widerrufs seiner Einwilligung und dessen ausschließliche Wirkung für zukünftige Datenverarbeitungsvorgänge belehren. Dabei muss der Betroffene so leicht widerrufen können, wie er eingewilligt hat.
  • Der letzte Schritt zu einer wirksamen Einwilligung liegt darin, dass die betroffene Person die Einwilligung zur Verarbeitung der personenbezogenen Daten unmissverständlich zum Ausdruck bringt. Die Einwilligung muss folglich durch „eindeutige bestätigende Handlung“ (vgl. Erwägungsgrund 32) zustande kommen.

Die Einwilligung kann anders als vor Geltung der DSGVO grundsätzlich in jeder Form abgegeben/eingeholt werden. Es ist jedoch empfehlenswert, diese schriftlich abzugeben/einzuholen, insbesondere unter Berücksichtigung der Rechenschaftspflicht des für die Datenverarbeitung Verantwortlichen aus Art. 5 Abs. 2 DSGVO. Die Abgabe in elektronischer Form ist dabei auch möglich. Wichtig ist in jedem Fall, dass die Einwilligung möglichst beweissicher dokumentiert wird.

Die Einwilligung von Kindern und Jugendlichen unterliegt der Altersgrenze des Art. 8 DSGVO. Unter 16 Jahren ist die Einwilligung oder die zusätzliche Zustimmung der Erziehungsberechtigten erforderlich, soweit die Mitgliedsstaaten nichts anders geregelt haben.

Bei Fragen rund um die DSGVO steht Ihnen unsere Kanzlei gern zur Verfügung.


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Newsletter

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.