Die Einwilligung

Die Datenverarbeitung kann grundsätzlich durch eine Einwilligung legitimiert werden. Gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO ist die Verarbeitung von personenbezogenen Daten unter anderem dann rechtmäßig, wenn

 

die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt hat.

 

Damit eine Einwilligung die Verarbeitung von personenbezogenen Daten legitimieren kann, muss sie wirksam sein. Die Wirksamkeit muss der für die Datenverarbeitung Verantwortliche im Zweifel nachweisen können.

 

Laut den Erwägungsgründen der DSGVO sollte die Einwilligung durch eine eindeutige bestätigende Handlung des Betroffenen erfolgen. Die Einwilligung muss insbesondere

 

1. freiwillig,
2. für den konkreten Fall,
3. in informierter Weise und
4. unmissverständlich durch den Betroffenen bekundet werden.

 

Die Einwilligung kann beispielsweise durch eine schriftliche oder elektronische Erklärung erteilt werden. Zudem kann die Einwilligung auch mündlich erteilt werden, da die Einwilligung grundsätzlich formlos möglich ist. Hierbei können in der Praxis dann jedoch Nachweisprobleme auftreten. Eine Ausnahme von der Formfreiheit besteht im Arbeitnehmerdatenschutz gemäß dem Bundesdatenschutzgesetz (BDSG).

 

Weiterhin muss die Einwilligung freiwillig, das heißt ohne Druck und ohne Zwang, für einen konkreten Zweck und in informierter Weise erteilt worden sein.

Reines Schweigen kann nach der Definition gemäß der DSGVO ("unmissverständlich bekundet") keine wirksame Einwilligung darstellen. Im Onlinebereich darf die Einwilligung beispielsweise nicht bereits vorangekreuzt sein (Opt-Out-Button).

 

Freiwilligkeit fehlt unter anderem dann, wenn die Leistung des verantwortlichen Unternehmers von der Einwilligung abhängig gemacht wird. Eine Kopplung von Leistung und Einwilligung ist unzulässig.

 

Praxisbeispiel: Wer einen Newsletter online versenden möchte, muss vorab die Einwilligung der Adressaten einholen. Eine schriftliche Einwilligung würde den wirtschaftlichen Aufwand um ein vielfaches übersteigen. Mithin werden die Einwilligungen elektronisch per „double opt-in“ eingeholt. Hier wird die Einwilligung aktiv durch den Adressaten erteilt und Missbräuche weitgehend ausgeschlossen. Die Einwilligung wäre somit freiwillig.

 

Achtung: Neben der Freiwilligkeit muss zwingend auch die Art, der Umfang und der Zweck der Datenverarbeitung vorab bekannt gemacht werden!

 

Die Freiwilligkeit hat zugleich zur Folge, dass die einmal erteilte Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann.

 

Bei der Erteilung der Informationen ist darauf zu achten, dass diese leicht verständlich und wahr sind und sich an den Verständnismöglichkeiten eines durchschnittlich informierten und angemessen aufmerksamen Durchschnittsbürger orientieren.

 

Wer die Einwilligung mit anderen (schriftlichen) Erklärungen des Betroffenen verbinden will, muss die datenschutzrechtlichen Informationen besonders (grafisch) hervorheben. In der Praxis empfiehlt es sich jedoch, die Einwilligung von anderen Erklärungen zu trennen.

 

Beim Arbeitnehmerdatenschutz ist, zum Schutz der betroffenen Personen (Arbeitnehmer), nach dem Bundesdatenschutzgesetz (BDSG) die Schriftform für die Einwilligung einzuhalten.

 

Bei Rückfragen stehe ich Ihnen als Rechtsanwältin und als externe Datenschutzbeauftragte gerne zur Verfügung.