Nach Art. 6 Abs. 1 lit. a) DS-GVO ist der Umgang mit personenbezogenen Daten auch dann zulässig, wenn die betroffene Person hierzu eine wirksame Zustimmung (freiwillige Einwilligung) erteilt hat.
Einwilligung im Beschäftigungsverhältnis
Die Voraussetzungen für eine wirksame Einwilligungserklärung werden in Art. 7 DS-GVO geregelt. Mit § 26 Abs. 2 BDSG regelt der deutsche Gesetzgeber im Rahmen der Öffnungsklausel des Art. 88 Abs. 1 DS-GVO die Bedingungen unter denen personenbezogene Daten im Beschäftigungsverhältnis auf Basis einer Einwilligung des Beschäftigten verarbeitet werden können (ErwG 155).
Kritisch zu bewerten ist die Nutzung und das Einstellen von Fotos von Beschäftigten, z.B. auf der Internetseite des Arbeitgebers, der Voraussetzung des § 26 Abs. 1 BDSG. Dies bedeutet, dass die Veröffentlichung von Aufnahmen wie z.B. Fotos von Beschäftigten nicht nach § 26 Abs. 1 BDSG gedeckt sind. Es kann dem Grunde nach daher nur mit einer Einwilligung eine Rechtsgrundlage geschaffen werden
Die Erklärung sollte in der Muttersprache des Beschäftigten vorgelegt werden, wenn davon ausgegangen werden kann, dass er des Deutschen nicht hinreichend mächtig ist. Ansonsten kann von einem freiwilligen und informierten Verzicht regelmäßig nicht gesprochen werden.*
Voraussetzungen
Der beste Zeitpunkt für die Einholung einer Einwilligung, nicht nur im Beschäftigtenkontext, ist vor Beginn der Datenverarbeitung. Es ist auch der einzige Zeitpunkt, an dem eine Einwilligung gesetzeskonform eingeholt werden kann. Diese Voraussetzung ist zwar nicht explizit geregelt, sie ergibt sich aber aus der Funktion der Einwilligung, eine Datenverarbeitung zu legitimieren.
In Art. 4 Nr. 11 DS-GVO sind die Voraussetzungen für eine wirksame Einwilligung definiert. Der Betroffene, d.h. hier der Beschäftigte, hat diese in „informierter Weise“ zu erklären. Die Nennung des Verantwortlichen und die Verarbeitungszwecke (ErwG 42) umfasst dies ebenso wie auch alle Pflichtinformationen nach Art. 13 DS-GVO.
Allgemeine Checkliste für Einwilligungen
Nachstehende Punkte sollte eine Einwilligung enthalten:
- Angaben zum Verantwortlichen
- Darstellung des Verwendungszweckes
- Kategorien der personenbezogenen Daten (welche erhoben und verarbeitet werden)
- Empfänger der Daten
- Hinweis auf Freiwilligkeit
- Bestehen des Widerrufsrechts und dessen Folgen (für die Zukunft)
- Weitere Pflichtinformationen.
- Angaben zur Dauer der Verarbeitung (z.B. Speicherdauer)
- Informationen zu den Betroffenenrechten sowie dem Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde
- Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden, ansonsten Ansprechpartner)
- ggf. Bestehen einer automatischen Entscheidungsfindung (Art. 22 DS-GVO)
Nachweispflichten
Es gelten neben den Bestimmungen der DS-GVO zur Einwilligung auch die Nachweispflichten des Verantwortlichen. Der Arbeitgeber hat gem. Art. 7 Abs. 1 DS-GVO die Wirksamkeit der Einwilligung durch seinen Beschäftigten nachzuweisen, wenn diese zur Legitimierung der Datenverarbeitung gilt und er sich darauf beruft. Der Arbeitgeber trägt daher das Risiko der Wirksamkeit der Einwilligung.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
* vgl. Thüsing/Traut in: Thüsing: Beschäftigtendatenschutz und Compliance, Rn. 44, 3. Auflage 2021, C.H. Beck