Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

21. April 2021

Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)

Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)
Bild: vladwel / iStock / Thinkstock
0,00 (0)
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Was fordert die DSGVO zur Einwilligung?

Die Einwilligung ist eine von mehreren Rechtsgrundlagen, auf die Verantwortliche sich bei ihrer Datenverarbeitung stützen können.

Sie ist allerdings nicht die beste, da eine betroffene Person ihre Einwilligung jederzeit widerrufen kann. Findet sich jedoch keine andere rechtliche Grundlage, gilt es, die folgenden Punkte zu beachten.

Informierte Einwilligung

Die Datenschutz-Grundverordnung (DSGVO) schreibt eine informierte Einwilligung vor, die sich auf eine ganz konkrete Verarbeitung von personenbezogenen Daten bezieht (Artikel 6 Absatz 1 Buchstabe a DSGVO).

Eindeutige bestätigende Handlung

Die Schriftform ist nicht notwendig. Jedoch eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.

Dies ist in Form einer Erklärung möglich, die auch elektronisch erfolgen kann.

Dabei müssen Verantwortliche beachten: Erst wenn der Nutzer seine  Einwilligung(en) durch eine aktive Handlung abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich stattfinden. Das müssen technische Maßnahmen gewährleisten.

Eine aktive Handlung ist im Online-Bereich etwa das Setzen von Häkchen in einem Cookie-Banner oder der Klick auf eine Schaltfläche.

Nachweispflicht

Wichtig ist in jedem Fall, dass der Verantwortliche imstande ist, die Einwilligung nachzuweisen.

Ebenso muss er Widerrufe und Widersprüche zu Einwilligungen dokumentieren.

Unternehmen sollten also an entsprechende Datenfelder z.B. für Sperrkennzeichen, Einwilligungen und Widersprüche jeweils mit Datum in den betroffenen Datenbanken und Systemen denken.

Ebenso muss die Einwilligungserklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sein. Das ist natürlich leichter gesagt als getan.

Wo finde ich Beispiele für Einwilligungen?

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Einwilligung verabschiedet, die ursprünglich die Artikel 29 Datenschutzgruppe veröffentlicht hatte.

Dort finden sich auch hilfreiche Beispiele für Einwilligungen in eine Datenverarbeitung.

Was passiert, wenn jemand seine Einwilligung widerruft?

  • Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen.
  • Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der Datenverarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgte, nicht. Diese Datenverarbeitung bleibt also rechtmäßig.
  • Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht informieren, bevor sie die Einwilligung erteilt.
  • Eine Einwilligung zu widerrufen, muss so einfach sein wie sie zu erteilen.

Widerrufen betroffene Personen also ihre Einwilligung, berührt dies nicht die bis zu diesem Zeitpunkt erfolgte Verarbeitung. Wohl aber die zukünftige, die ohne andere Rechtsgrundlage nicht mehr stattfinden darf.

Gelten vor der DSGVO erteilte Einwilligungen weiter?

Viele Unternehmen nahmen mit großer Erleichterung zur Kenntnis, dass bis zum 25. Mai 2018 erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten. Vorausgesetzt, sie entsprechen der Art nach den Bedingungen der DSGVO.

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen, so die Aufsichtsbehörden im entsprechenden Kurzpapier.

Besondere Beachtung verdienen die folgenden Forderungen der Datenschutz-Grundverordnung. Sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.

Dabei geht es insbesondere um

  • die Freiwilligkeit („Kopplungsverbot“) und
  • die Altersgrenze (16 Jahre, soweit im nationalen Recht nichts anderes bestimmt ist).

Fazit: informiert, freiwillig und nachweisbar

Die informierte und freiwillig erteilte Einwilligung ist also von zentraler Bedeutung.

Verantwortliche müssen allerdings darauf achten, dass sie die Einwilligung auch nachweisen können. Die Praxis zeigt, dass bei dieser  Nachweispflicht bei vielen Unternehmen noch Handlungsbedarf besteht.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.