Im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt in der Europäischen Union im Datenschutzrecht das Verbotsprinzip. Die Verarbeitung personenbezogener Daten ist generell verboten, solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat. Die Einwilligung der betroffenen Person gilt als Rechtsgrundlage für die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten.
Die DSGVO erlegt seit 2018 Unternehmen umfangreiche Pflichten zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten auf. Als personenbezogene Daten gelten alle Angaben über eine bestimmte oder bestimmbare Person. Dazu zählt die Telefonnummer, Anschrift, Geburts- und Kontodaten, aber auch das Aussehen oder Kfz-Kennzeichen einer Person.
Die Verarbeitung von personenbezogenen Daten ist nach Art. 6 Abs. 1 DSGVO unter der Erfüllung folgender Rechtsgrundlagen rechtmäßig:
Laut Art. 4 Nr. 11 DSGVO gilt als Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Unternehmen benötigen für jegliche Verarbeitung von personenbezogenen Daten die Einwilligungserklärung der betroffenen Person. Dies kann zum Beispiel aufgrund der länger als gesetzlich vorgegebenen Speicherung von Daten oder der Nutzung von Tracking-Cookies auf der Webseite der Fall sein.
Es gibt keine Formvorschriften für die Einwilligungserklärung. Im Sinne der Beweispflicht ist es jedoch sinnvoll, sie in übersichtlicher schriftlicher Form aufzusetzen.
Nach Art. 7 DSGVO muss die/der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Eine schriftliche Einwilligungserklärung muss verständlich und leicht zugänglich aufbereitet sein.
Die betroffene Person muss über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten sowie über die/den Verantwortliche:n aufgeklärt werden. Hierbei wird ein aktives Verhalten vorausgesetzt. Kästchen dürfen beispielsweise nicht vorausgefüllt sein, sondern müssen von der oder dem NutzerIn selbst gesetzt werden.
Der Widerruf von Einwilligungen ist jederzeit möglich. Eine wichtige Bedingung für die Erteilung der Einwilligung ist zudem die Freiwilligkeit des/der Unterzeichnenden.
Die Einwilligung muss gemäß der DSGVO stets freiwillig erteilt werden. Die betroffene Person muss eine echte und freie Wahl haben. Dabei ist auch das Koppelungsverbot nach Art. 7 Abs. 4 DSGVO zu beachten: Die Erfüllung eines Vertrags darf nicht von einer Einwilligung abhängig sein, die nicht für den konkreten Vertrag erforderlich ist.
Einwilligungen gelten ebenfalls nicht als freiwillig, wenn zwischen den Verantwortlichen und den betroffenen Personen ein Ungleichgewicht besteht. Beispielsweise zwischen ArbeitnehmerInnen und ArbeitgeberInnen.
Die betroffene Person muss darüber informiert sein, dass sie jederzeit die Einwilligung widerrufen kann. Dies geschieht jedoch nur mit zukünftiger Wirkung. Für bereits abgeschlossene Verarbeitungsvorgänge gilt sie weiterhin als Rechtsgrundlage. Auch der Widerruf muss ohne Komplikationen und Nachteile für die oder den NutzerIn durchführbar sein.
Wenn die Einwilligungserklärung nicht den oben genannten Anforderungen entspricht, gilt sie nicht als verbindlich. Dies tritt beispielsweise ein, wenn die betroffene Person nicht über die Verarbeitung der personenbezogenen Daten aufgeklärt wird oder nicht klar wird, wer die/der Verantwortliche ist. Eine Bearbeitung von personenbezogenen Daten ohne rechtsgültige Einwilligung gilt als rechtswidrig. Bei Verstößen gegen die Anforderungen kann die zuständige Aufsichtsbehörde nach Art. 83 Abs. 5 lit. a DSGVO Strafzahlungen gegenüber der/dem Verantwortlichen verhängen.
Tipp: Zur Erstellung der Einwilligungserklärung ist es deshalb ratsam, eine:n Datenschutzbeauftragte:n zurate zu ziehen.
Solang die Weitergabe der personenbezogenen Daten an Dritte für die Vertragserfüllung erforderlich ist, ist sie erlaubt. Beispielsweise, wenn die Adressdaten einer oder eines KundIn an den oder die PaketzustellerIn weitergeben werden.
In anderen Fällen kommt es möglicherweise zu einer Interessenabwägung. Eine Weitergabe an Dritte kann nach Art. 6 Abs. 1 lit. f DSGVO berechtigt sein, wenn das Unternehmen damit eine Gewinnmaximierung, Kostensenkung, Optimierung der Dienste oder Steigerung der Benutzerfreundlichkeit verfolgt. Wenn die Interessen der betroffenen Personen am Schutz der Daten nicht gegenüber dem Nutzen der Datenverarbeitung überwiegen, ist eine Weitergabe erlaubt.
Die Datenschutzerklärung dient der vollumfänglichen Information der NutzerInnen über die Verarbeitung und Speicherung ihrer Daten. Jede:r Verantwortliche, die/der personenbezogene Daten verarbeitet, ist dazu verpflichtet über eine Datenschutzerklärung zu verfügen. Viele Unternehmen nutzen sie deshalb, um ihren Pflichten im Rahmen der Einwilligungserklärung nachzukommen. Dabei muss sich die konkrete Einwilligung deutlich von anderen Textpassagen der datenschutzrechtlichen Erklärung abheben.
Kathrin Schürmann, Rechtsanwältin und Datenschutzexpertin bei Schürmann Rosenthal Dreyer Rechtsanwälte, erklärt in diesem Video, worauf bei einer Einwilligung geachtet werden muss, damit man sich als Unternehmen DSGVO-konform verhält.
Für weitere Videos besuchen Sie unseren YouTube-Kanal oder schauen Sie in unseren Shop. Dort finden Sie spannende Online-Schulungen zum Thema Datenschutz, Informationssicherheit, Compliance und Arbeitsschutz.
Tipp: Lesen Sie hier, wie Sie bereits von Anfang an Produkte und Dienstleistungen DSGVO-konform entwickeln.
Quellen:
BfDI (2021). Einwilligung.
Europa (2021). Artikel 6. Rechtmäßigkeit der Verarbeitung.
Europa (2021). Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679.