Die Einwilligung in die Verarbeitung

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Diese werden allgemein für die Datenverarbeitung in Art. 6 Abs. 1 DSGVO aufgezählt. In diesem Beitrag werfen wir einen genaueren Blick auf die wohl berühmteste Rechtsgrundlage: die Einwilligung.

 

Grundsätze

Ziel des Datenschutzes ist es, das Recht auf informationelle Selbstbestimmung der natürlichen Person zu schützen. Dieses Grundrecht ist in der Europäischen Grundrechtecharta (EUGRCh) in Art. 8 geregelt und wird im deutschen Recht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG verortet.
Wie Art. 8 Abs. 2 EUGRCh klarstellt, kann die Einwilligung die Verarbeitung der personenbezogenen Daten legitimieren. Dies begründet sich damit, dass der natürlichen Person das Recht zukommt, selbst über die sie betreffenden Daten zu bestimmen und damit auch zu erlauben, dass diese Daten verarbeitet werden. So sind auch Eingriffe in andere Grundrechte durch die Einwilligung des Betroffenen möglich.
Damit diese Einwilligung aber wirksam ist, sind einige Anforderungen zu erfüllen.
Für den Datenschutz wird die Einwilligung in Art. 4 Nr. 11 DSGVO definiert. Demnach muss die Einwilligung freiwillig, unmissverständlich, in informierter Weise und für einen bestimmten Fall als Willensbekundung gegeben werden, wobei sie grundsätzlich nicht an eine bestimmte Form gebunden ist.

 

Unmissverständliche Willensbekundung

Eine Willensbekundung stellt sich als ein nach außen erkennbares Verhalten einer Person dar, das sich eben auf deren Willen zurückführen lässt. Das heißt, dass es ein gewisses Maß aktiver Handlung durch die betroffene Person braucht, um etwas als Einwilligung werten zu können.
Wenn Du also einen Brief schreibst, in dem Du dem Empfänger die Verarbeitung seiner personenbezogenen Daten ankündigst, wenn er nicht aktiv widerspricht, kannst Du die Verarbeitung nicht auf die Einwilligung stützen. Denn bloßes Schweigen stellt grundsätzlich keine Willensbekundung in diesem Sinne dar. Bedenke aber, dass auch durch schlüssiges Verhalten eine Einwilligung gegeben werden kann.
Die Einwilligung muss aber auch unmissverständlich erteilt werden. Das bedeutet, dass klar sein muss, auf welchen Sachverhalt sich die Einwilligung konkret bezieht und dass die erklärende Person überhaupt eine Einwilligung abgeben wollte.
Gerade bei der Einwilligung durch schlüssiges Verhalten musst Du genau aufpassen, inwieweit tatsächlich eindeutig eine Einwilligung erteilt wurde.

 

Für den bestimmten Fall

Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn sich die Zwecke der Verarbeitung klar beschreiben lassen und die einwilligende Person auch in der Lage ist, die Verarbeitung auf einen von mehreren für die Verarbeitung angegebenen Zwecken zu begrenzen.
Wenn Du die Einwilligung beispielsweise mithilfe eines Formulars einholst, empfiehlt es sich, neben den einzelnen Zwecken Kästchen zum Abhaken zu platzieren, damit die betroffene Person deutlich machen kann, für welche Verarbeitungszwecke oder -tätigkeiten sie die Einwilligung erteilt.

 

Freiwilligkeit

Die Einwilligung muss freiwillig erteilt werden. Nach Art. 7 Abs. 4 DSGVO ist diesem Umstand auch besondere Bedeutung zuzumessen.
Freiwillig ist eine Entscheidung immer dann, wenn sie nicht durch Zwang ausgelöst wurde. Zwang kann sich in verschiedenen Varianten darstellen; so kann durch physische Gewalt Zwang ausgeübt werden, ebenso aber auch durch die Androhung von Nachteilen. Letzteres ist vor allem im Arbeitsverhältnis relevant; möchte der Arbeitgeber eine Verarbeitung mittels Einwilligung rechtfertigen, so darf er an die Verweigerung der Einwilligung keine negative Folge knüpfen. Denn ansonsten bestimmt die Angst vor der Folge die Entscheidung.
In diesem Zusammenhang wird auch der Begriff „Kopplungsverbot“ verwendet. Die Durchführung eines Vertrages darf zum Beispiel nicht an eine Einwilligung geknüpft werden, wenn die Verarbeitung für die Durchführung des Vertrages nicht erforderlich ist. Wenn Dein Vermieter den Abschluss eines Mietvertrages an die Einwilligung in die Verarbeitung Deiner DNA knüpft, läge ein sehr extremes Beispiel für das Kopplungsverbot vor.
Ein bekanntes Beispiel für die Freiwilligkeit sind Cookie-Banner. Diese waren lange Zeit so gestaltet, dass die weitere Benutzung der Website als Einwilligung in das Setzen von Cookies gelten sollte. Damit besteht allerdings eine negative Folge – die Unmöglichkeit des Besuches der Website ohne Erteilung der Einwilligung – sodass diese Banner den Anforderungen der DSGVO nicht genügen.

 

Informierte Einwilligung

Die Einwilligung muss in informierter Weise abgegeben werden. Mit anderen Worten: die betroffene Person muss über die wesentlichen Informationen verfügen, die sie für die Abgabe der Einwilligung benötigt. Sie muss also in der Lage sein, die Vor- und Nachteile der Verarbeitung abzuwägen um sich ein Bild davon zu machen, ob sie die Einwilligung erteilen möchte oder nicht. Dafür sind jedenfalls die Verarbeitungszwecke erforderlich, also eine Information darüber, was Du mit den Daten vorhast.
Um sicherzugehen, dass die Anforderung der Informiertheit ausreichend gewürdigt ist, solltest Du möglichst alle Informationen zusammentragen, die für eine Entscheidung über die Einwilligung relevant sind.

 

Form

Die Einwilligung ist nicht an eine Form gebunden (im Anwendungsbereich des kirchlichen Datenschutzgesetzes ist dies übrigens anders; hier ist grundsätzlich eine schriftliche Einwilligung einzuholen). Sie muss aber nachweisbar sein. Dies dient auch dem eigenen Interesse des Verantwortlichen. Denn wenn eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage erfolgt, ist diese rechtswidrig und damit auch bußgeldbewehrt. Die Einwilligung lässt sich natürlich in schriftlicher oder elektronischer Form am besten nachweisen.

 

Widerruf

Die Einwilligung ist jederzeit und frei widerrufbar. Wird sie widerrufen, darf ab diesem Moment keine Verarbeitung der personenbezogenen Daten mehr für die Zukunft erfolgen. Dabei wird aber die Rechtmäßigkeit der bislang erfolgten Verarbeitung nicht berührt. Wenn also die Einwilligung in das Aushängen eines Fotos widerrufen wird, muss das Foto zwar sofort abgenommen werden; das bis dahin erfolgte Aushängen wird aber nicht plötzlich rechtswidrig, sofern Du alle anderen Anforderungen an die Einwilligung eingehalten hast.
Der Widerruf muss so einfach wie die Erteilung der Einwilligung ausgestaltet sein. Das kennst Du von Newslettern, in denen unten ein kleiner Button zum Abbestellen eingefügt ist. Ist der Aufwand zu groß, kann die betroffene Person in ihrer freien Entscheidung über die Verarbeitung erheblich eingeschränkt werden.

 

Fazit

Die Einwilligung ist zwar die bekannteste Rechtsgrundlage für die Verarbeitung personenbezogener Daten; sie ist aber gleichzeitig an viele Voraussetzungen geknüpft. Nur eine Unterschrift des Betroffenen reicht also wie oben aufgezeigt nicht aus, um die Verarbeitung rechtmäßig zu gestalten. Prüfe also stets genau, ob Du alle Anforderungen der Rechtsgrundlagen erfüllst und insbesondere auch, ob die Einwilligung überhaupt die passende Rechtsgrundlage ist.

Kontaktiere Uns