Einwilligung

Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.

Genaue Prüfung der einschlägigen Rechtsgrundlage erforderlich

Grundsätzlich ist fast jede Datenverarbeitung erlaubt, wenn die von ihr betroffene Person Ihnen eine entsprechende Einwilligung gegeben hat. Mit dem Einverständnis der betroffenen Person ist damit so ziemlich jeder Verarbeitungsvorgang möglich. Das heißt aber nicht, dass für jede Verarbeitung auch eine Einwilligung erforderlich ist. Es muss genau geprüft werden, welche der Rechtsgrundlagen des Art. 6 DS-GVO einschlägig ist. Zum Wesen der Einwilligung gehört ihre Freiwilligkeit. Freiwillig bedeutet, dass die betroffene Person nicht verpflichtet ist, Ihnen ihre Zustimmung zur Datenverarbeitung zu geben, und – falls die Einwilligung erteilt wurde – die Zustimmung jederzeit widerrufen kann. Wird die Einwilligung nicht erteilt oder wird sie widerrufen, ist die Verarbeitung der personenbezogenen Daten nicht (mehr) zulässig. Die Einwilligung kommt daher als Rechtsgrundlage für die Erhebung, Speicherung und Verwendung personenbezogener Daten nur dann in Betracht, wenn Sie im Zweifel auf die Verarbeitungstätigkeit auch verzichten können.

Basiert der Vorgang in der Realität auf einem anderen Erlaubnistatbestand und es wird dennoch eine Einwilligung eingeholt, ist die Verarbeitung ebenfalls unzulässig. Eine falsche Einordnung kann unter Umständen dazu führen, dass gegen den Verantwortlichen ein Bußgeld verhängt wird, wenn er eine detaillierte Prüfung der übrigen Rechtsgrundlagen nicht nachweisen kann. Beispielsweise handelt es sich bei der Behandlung von Patienten oder der Abwicklung von Bestellungen um Handlungen zur Erfüllung des Vertrags, also um eine vertragliche Maßnahme nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO. Nicht zwingend erforderlich für die Vertragserfüllung ist hingegen die häufig angebotene Sendungsnachverfolgung. Hierbei handelt es sich meist um einen freiwilligen Zusatzservice, sodass für die Weitergabe der E-Mail-Adresse an den Versanddienstleister eine Einwilligung nötig ist.

Anforderungen an eine wirksame Einwilligung

Um eine wirksame Einwilligung einzuholen, müssen die speziellen Anforderungen der Art. 7, 8 DS-GVO sowie die zugehörigen Erwägungsgründe beachtet werden. Folgende Punkte müssen gewährleistet sein:

  • Die Einwilligung ist zeitlich vor Beginn der Datenverarbeitung einzuholen.
  • Die Einwilligung muss freiwillig erfolgen, das heißt, Betroffenen dürfen durch Verweigerung/Widerruf keine Nachteile entstehen.
  • Die Einwilligung muss informiert erfolgen, das heißt, sie muss insbesondere Angaben über die konkrete Verarbeitung, deren Zweck und den Verantwortlichen enthalten sowie die Freiwilligkeit und das Widerrufsrecht herausstellen.
  • Die Einwilligung muss klar und verständlich formuliert sein, das heißt, auf komplizierte Formulierungen und Fachsprache sollte verzichtet werden.
  • Es muss die Möglichkeit bestehen, die Einwilligung jederzeit zu widerrufen, und der Betroffene muss im Voraus auf sein Widerrufsrecht hingewiesen werden.
  • Es muss nachweisbar sein, dass eine Einwilligung unter den genannten Voraussetzungen eingeholt wurde, das heißt, ihr Bestehen muss beweisbar und dokumentiert sein.

Ein Formerfordernis gibt es bei der Einwilligung grundsätzlich nicht, das heißt, die Einwilligung kann schriftlich, elektronisch oder konkludent, also durch eine schlüssige Handlung erfolgen. Einzige Ausnahme ist die Einwilligung von Mitarbeitern, hier schreibt § 26 Abs. 2 S. 3 BDSG die Schriftform oder wahlweise die elektronische Form vor.

Widerrufsrecht der Betroffenen

Unabhängig von der Form der Einwilligung steht dem Betroffenen nach Art. 7 Abs. 3 S. 1 DS-GVO ein Widerrufsrecht zu. Er kann seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, das heißt, die Rechtmäßigkeit der Verarbeitung vor dem Widerruf bleibt unberührt (Art. 7 Abs. 3 S. 2 DS-GVO).
Hat der Betroffene seine Einwilligung widerrufen, dürfen die betreffenden personenbezogenen Daten nicht mehr verarbeitet werden. In der Praxis hat das zur Folge, dass die Umsetzung des Widerrufs auch möglich sein muss, das heißt, die Verarbeitung abgebrochen werden kann. Werden beispielsweise Bilder von Mitarbeitern auf Homepages auf Basis einer Einwilligung veröffentlicht, müssen die Bilder bei Widerruf von der Seite entfernt werden. Bei Flyern gestaltet sich das Ganze allerdings etwas komplizierter, verteiltes Werbematerial kann nicht oder nur mit einem extrem hohen Aufwand wieder eingesammelt werden. In solchen Fällen müssen die Rechte des Betroffenen gegen die Interessen des Unternehmens, also der Aufwand und die Kosten eines neuen Drucks, abgewogen werden. Es herrscht überwiegend die Meinung, dass in solchen Fällen die Flyer nicht eingesammelt werden müssen, sondern erst bei einem neuen Druck das Bild des Betroffenen entfernt werden muss.

Um auf der sicheren Seite zu sein, sollte bei solchen Verarbeitungen, bei der die Umsetzung des Widerrufs kaum möglich ist, ein gesonderter Vertrag mit den Betroffenen geschlossen werden, ggfs. gegen eine Vergütung. Dann kann die Verarbeitung nämlich als vertragliche Maßnahme auf Art. 6 Abs. 1 S. 1 lit. b) DS-GVO gestützt werden.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Gestaltung von Einwilligungen oder sind Sie sich nicht sicher, ob Ihre bereits eingeholten Einwilligungen auch wirksam sind? Wir beraten und unterstützen Sie gerne!

Kontakt aufnehmen