Im Datenschutzrecht gilt der Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, soweit und solange sie nicht durch eine entsprechende gesetzliche Bestimmung erlaubt wird. Das Datenschutzgesetz ist folglich, wie seit jeher, ein Verbotsgesetz mit Erlaubnistatbestand („Verbotsprinzip“). Dies wird im Wortlaut der Datenschutz-Grundverordnung (DSGVO), wonach die Verarbeitung nur rechtmäßig ist, wenn sie auf mindestens einen der dort genannten Rechtsgründe gestützt ist, eindeutig zum Ausdruck gebracht.[1]
Nach der DSGVO ist die Verarbeitung personenbezogener Daten somit nur dann rechtmäßig, wenn eine der sechs in Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung) aufgeführten Bedingungen erfüllt ist:
Art. 6 Abs. 1 DSGVO:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- […]
Was ist eine Einwilligung?
Laut Art. 4 Nr. 11 DSGVO:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck […]
- „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ […]
Die Verarbeitung biometrischer Daten zur eindeutigen Identifikation einer natürlichen Person ist darüber hinaus nur unter Berücksichtigung der engen Grenzen des Art. 9 DSGVO und § 22 BDSG möglich:
Artikel 9 der DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“):
- Die Verarbeitung personenbezogener Daten, aus denen […] hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten […]
- 22 BDSG regelt:
- Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderen Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig […]
Voraussetzungen der Einwilligung
Eine Einwilligung ist an bestimmte Voraussetzungen gebunden, d.h. sie muss bestimmte Anforderungen erfüllen, um rechtskonform und somit gültig zu sein. Die Bedingungen für die Einwilligung sind in Art. 7 DSGVO normiert: [2]
- Es bedarf einer unmissverständlich abgegebenen Willensbekundung der betroffenen Person, dass sie mit der Verarbeitung einverstanden ist. Notwendig ist ein aktives Verhalten. Vorausgefüllte Kästchen oder die bloße Weiternutzung eines Dienstes genügen nicht. Ebenso wenig genügt es als aktive Willensbekundung, wenn ein vorformulierter Einwilligungstext nicht durchgestrichen wird.
- Die Einwilligung muss freiwillig Die betroffene Person muss eine echte und freie Wahl haben. Sie muss die Einwilligung jederzeit ohne Nachteile verweigern oder zurückziehen können.
- Zudem darf zwischen Verantwortlichem und betroffener Person kein (klares) Ungleichgewicht bestehen, wie es etwa gegenüber Behörden oder im Beschäftigungsverhältnis häufig der Fall ist. In diesen Fällen ist deshalb vielfach keine Freiwilligkeit gegeben.
- Die Einwilligung muss in informierter Weise Die Einwilligungserklärung selbst muss klar und verständlich sein. Zudem muss die betroffene Person darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden sollen.
- Darüber hinaus ist die betroffene Person über die Art der verarbeiteten Daten zu informieren und
- über das Recht, die Einwilligung jederzeit widerrufen zu können.
- sind noch spezifische weitere Informationen zu geben.
Eindeutig und freiwillig
Die Einwilligung hat durch eine eindeutige bestätigende Handlung zu erfolgen, mit der freiwillig, für einen konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass der Betroffene mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Es besteht kein Schriftformerfordernis gemäß § 126 Abs. 1 BGB. Die Einwilligung kann auch elektronisch (z.B. per E-Mail), in einer mündlichen Erklärung oder durch das Anklicken eines Kästchens beim Besuch einer Internetseite erfolgen.
Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar (ErwG 32).
Um wirksam zu sein, muss die Einwilligung insbesondere freiwillig erfolgt sein. Nach Maßgabe des ErwG 43 ist eine Einwilligung dann nicht als freiwillig anzusehen, wenn ein klares Ungleichgewicht zwischen betroffener Person und dem Verantwortlichen der Datenverarbeitung besteht. Dies ist grundsätzlich im Rahmen von Arbeitsverhältnissen anzunehmen. Dennoch sind nach Ansicht des Europäischen Datenschutzausschusses (EDSA) auch im Rahmen von Arbeitsverhältnissen Situationen denkbar, in denen ein Arbeitgeber nachweisen kann, dass die Einwilligung in eine Verarbeitung freiwillig erfolgte, insbesondere dann, wenn die Verweigerung der Einwilligung keinerlei nachteilige Folgen für den Arbeitnehmer gehabt hätte.
Auch nach § 26 Abs. 2 BDSG kann eine Verarbeitung personenbezogener Daten von Beschäftigten grundsätzlich auf der Grundlage einer Einwilligung erfolgen. Allerdings sind bei der Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann danach insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Beweispflicht des Verantwortlichen
Eine Einwilligung kann wie oben dargelegt z. B. auch im (Double-)Opt-in-Verfahren (nicht Opt-out!) eingeholt werden, elektronisch oder auch telefonisch. Allerdings muss das Unternehmen, aus Datenschutzsicht der Verantwortliche, – d. h. derjenige, der für die Einwilligung für die zweckgebundene Verarbeitung verantwortlich ist (auch ein Auftragsverarbeiter kann im Rahmen einer Auftragsverarbeitung die Einwilligung beim Betroffenen einholen, letztendlich ist aber auch hier der Verantwortliche für die gesetzeskonforme Einholung verantwortlich) –, in der Lage sein, die gesetzeskonforme Einwilligung „beweisen zu können“ (Art. 5 Abs. 2 DSGVO – „Rechenschaftspflicht“). Die Abgabe einer Einwilligung durch bloßes Stillschweigen oder Untätigkeit ist nicht möglich (Erwägungsgrund 32).
Als freiwillig wird die Einwilligung nur betrachtet, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat. Besteht zwischen der betroffenen Person und dem Verantwortlichen ein (klares) Ungleichgewicht, ist eine Einwilligung als alleinige Rechtsgrundlage für die Verarbeitung nicht ausreichend. Der Verzicht bzw. die Ablehnung einer Einwilligung darf keine Nachteile für die betroffene Person haben. Des Weiteren muss diese die Möglichkeit haben, ihre Einwilligung zurückzuziehen (widerrufen).
Kopplungsverbot
Besonderes Augenmerk ist auf das Kopplungsverbot (Art. 7 Abs. 4 DSGVO) zu legen: Auf keinen Fall kann eine Annahme eines Vertrags mit der Einwilligung zur Verarbeitung von personenbezogenen Daten gekoppelt werden, wenn diese Verarbeitung nicht zur Erfüllung des Vertrags erforderlich ist. Die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung dürfen folglich auch nicht von einer Einwilligung in solche Verarbeitungen abhängig gemacht werden (Freiwilligkeit), die für die Erfüllung des Vertrags oder die Erbringung der Dienstleistung nicht erforderlich sind.
Daher ist auch eine Vertragsannahme von einer Einwilligung zu entkoppeln, d. h. jeweils
- eine Unterschrift bzw. ein Opt-in für die Vertragsannahme und
- eine Unterschrift bzw. ein Opt-in für die Einwilligung.
Der beste Zeitpunkt…
… ist vor Beginn der Datenverarbeitung. Es ist auch der einzige Zeitpunkt, an dem eine Einwilligung gesetzeskonform eingeholt werden kann. Diese Voraussetzung ist zwar nicht explizit geregelt, sie ergibt sich aber aus der Funktion der Einwilligung, eine Datenverarbeitung zu legitimieren.[3]
Was bedeutet „in informierter Weise“ (Transparenzpflichten)?
Mit der Einführung der DSGVO wurden die Betroffenenrechte bewusst gestärkt: „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ (ErwG 11). Einer der Hauptpfeiler sind die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung:
- Art. 13 DSGVO Informationspflichten bei der Direkterhebung sowie
- Art. 14 DSGVO als Pendant bei der Erhebung von Daten bei Dritten.
Der Europäische Datenschutzausschuss (EDSA) setzt grundsätzlich voraus, dass dem Betroffenen vor der Abgabe der Einwilligung die folgenden Mindestinformationen gegeben werden müssen:
- Identität des Verantwortlichen;
- Verarbeitungszwecke;
- die verarbeiteten Daten;
- die Absicht einer ausschließlich automatisierten Entscheidung und
- die Absicht einer Datenübermittlung in Drittländer.
Die Verarbeitungszwecke müssen konkret beschrieben werden. Häufig finden sich allerdings Formulierungen wie z. B.
- „um die Webseite optimal zu gestalten und zu verbessern“;
- „für Werbemaßnahmen“;
- „für die Zusendung unseres Newsletters und Informationen“.
Solche Formulierungen sind nicht ausreichend.
Gültigkeit bis in alle Ewigkeit….
Eine Einwilligung kann jederzeit für die Zukunft widerrufen werden – und darin liegt das Problem einer Einwilligung. Der Widerruf der Einwilligung durch die betroffene Person führt zum Wegfall der Rechtsgrundlage für die Verarbeitung (Art. 7 Abs. 3 DSGVO) und ist entsprechend durch den Verantwortlichen umzusetzen.
Der Widerruf kann jederzeit für die Zukunft (also nicht rückwirkend) erfolgen. Der Widerruf kann durch den Betroffenen formlos erfolgen – per E-Mail, Post, Telefax oder Telefon.
Art. 7 Abs. 3 Satz 4 DSGVO fordert hier ausdrücklich, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss:
[…] 2Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 3Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Und auch hier gilt: Der Datenschutzbeauftragte ist rechtzeitig einzubeziehen, am besten von Anfang an (Art. 38 Abs. 1 DSGVO).
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
[1] vgl. Heberlein: Kapitel II. Grundsätze, S. 208, Rn. 4. In: Ehmann/Selmayr (Hrsg.): DS-GVO Kommentar, 2. Auflage 2018, C. H. BECK oHG, München.
[2] vgl. https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Einwilligung.html?nn=340692 [zuletzt abgerufen am: 11.10.2021].
[3] Buchner/Kühling, In: Kühling/Buchner: DS-GVO/BDSG, 3. Auflage 2020, Art. 7, Rn. 30.