Anforderungen an eine (datenschutz-rechtliche) Einwilligung

08.11.2019 - Michael Kornfeld

Die (datenschutzrechtliche) Einwilligung ist ein zentrales Element der DSGVO (Datenschutz-Grundverordnung). Denn sie legitimiert – neben anderen Grundlagen wie ein Vertrag oder eine gesetzliche Verpflichtung – die Verarbeitung der personenbezogenen Daten.

 

Die DSGVO legt jedoch recht strenge Maßstäbe an, was die Erteilung der Einwilligung betrifft. So kann man beispielsweise ein Stillschweigen nicht als Zustimmung interpretieren.

 

Ein konkretes Beispiel: Ein „Weitersurfen“ auf einer Website ist keine Einwilligung darin, dass ein Cookie (zu Marketing-Zwecken) gesetzt wird, auch wenn der Text in einem Cookie-Banner das so beschreibt.

 

Wenn die formellen Voraussetzungen für die Einwilligung jedoch nicht erfüllt werden, ist auch die Einwilligung selber ungültig. Und damit ist der Datenverarbeitung die rechtliche Grundlage entzogen und die Daten müssen gelöscht werden.

 

Damit stellt sich zwangsläufig die Frage: Welche Kriterien muss eine Einwilligung erfüllen, damit sie rechtskonform ist? Hier finden Sie eine Liste der wichtigsten Anforderungen, die an eine gültige (datenschutzrechtliche) Einwilligung gestellt werden.

 

Die Einwilligung muss freiwillig sein.

Eine Einwilligung muss immer ohne Zwang erfolgen. In diesem Zusammenhang wird oft das "Koppelungsverbot" genannt: Der Bezug von Informationen oder Leistungen darf nicht von der Zustimmung zu einer Datenverarbeitung abhängig gemacht werden, wenn diese dafür gar nicht erforderlich ist.

 

Ein klassisches Beispiel: Gewinnspiele: Dort wird teilweise noch immer die Teilnahme zwingend mit der Einwilligung zur Anmeldung für einen Newsletter verknüpft. Der Teilnehmer des Gewinnspiels würde die Teilnahme damit faktisch mit seinen Daten "bezahlen". Das ist nicht freiwillig - und daher nicht zulässig.

 

Die Einwilligung muss informiert erfolgen.

Eine Einwilligung ist nur dann gültig, wenn der Betroffene auch weiß, wofür genau er eigentlich sein Einverständnis gibt. Es muss ihm also der Umfang und das Ausmaß der Einwilligung klar sein: Welche Daten werden gespeichert, zu welchem Zweck, wie lange, werden die Daten weitergegeben – und wenn ja, an wen?

 

Wichtig: Eine solche Information muss leicht auffindbar und verständlich sein. Sie muss also direkt beim Ort der Einwilligung ersichtlich sein (also zum Beispiel bei einem Anmeldeformular) und darf nicht irgendwo in den Untiefen einer Website versteckt werden.

 

Was oft übersehen wird: Auch das Sprachniveau der Zielgruppe ist zu berücksichtigen, was die Verständlichkeit betrifft: Ein typisches „Juristen-Kauderwelsch“ wäre also für die meisten Zielgruppen nicht ausreichend. Und für eine jüngere Zielgruppe wird man die Einwilligung auch anders formulieren müssen als für Akademiker.

 

Die Einwilligung muss vorab erteilt werden.

Hier ist es genau wie bei der Zustimmung für einen Newsletter: Diese Zustimmung muss ebenfalls vor dem ersten Versand eingeholt werden. Man darf also einer Person kein Mail schicken, um eine Zustimmung einzuholen, denn bereits dieses erste Mail wäre ein unerwünschtes (und ungesetzliches) Werbemail.

 

Ähnliches gilt für die datenschutzrechtliche Einwilligung: Auch sie muss eingeholt werden, bevor die Datenverarbeitung erfolgt. Was eigentlich banal klingt, wird in der Praxis oft nicht umgesetzt.

 

Ein Beispiel: Ein Marketing-Cookie darf erst gesetzt werden, wenn der Besucher einer Website bei einem Cookie-Banner seine Einwilligung erteilt hat. Erfolgt diese Einwilligung nicht, zum Beispiel weil der User einfach "weitersurft", dürfen Marketing-Cookies nicht gesetzt werden!

 

Nur eine aktive Einwilligung ist gültig.

Stillschweigen ist keine Zustimmung. Ein Betroffener muss also aktiv seine Einwilligung erteilen.

 

Das bedeutet konkret: Eine vor-angehakte Checkbox ist für eine gültige Einwilligung nicht ausreichend. Das hat auch vor kurzem der EuGH in einem aktuellen Urteil klargestellt.

 

Die Einwilligung ist widerruflich.

Eine Einwilligung hat einen großen Haken: Sie kann durch den Betroffenen jederzeit und ohne Angabe von Gründen widerrufen werden.

 

In der Praxis bedeutet so ein Widerruf, dass die Datenverarbeitung in vielen Fällen damit unzulässig wird. Denn mit dem Widerruf fällt die Grundlage für die Datenverarbeitung mit einem Mal weg (außer es stehen der Löschung Aufbewahrungspflichten gegenüber, wie das zum Beispiel für die Daten einer Rechnungslegung erforderlich ist).

 

Ein konkretes Praxis-Beispiel: Bei einer Newsletter-Abmeldung bzw. einem Widerruf der Datenschutz-Zustimmung muss der Empfänger in vielen Fällen gelöscht (oder zumindest anonymisiert) werden. Denn mit dem Widerruf der Einwilligung fällt die Grundlage für die Datenspeicherung weg.

 

Übrigens: Der Widerruf muss dem Betroffenen genauso leicht gemacht werden wie die Erteilung der Einwilligung. Wenn die Einwilligung also durch eine simple Checkbox erfolgt ist, kann das Unternehmen für den Widerruf nicht auf das Ausfüllen eines langen Formulars bestehen.

 

Protokollieren Sie die Einwilligungen!

Ein letzter Tipp: Die DSGVO sieht eine klare Dokumentationspflicht für den Verantwortlichen vor. Im Zweifelsfall müssen Sie als Verantwortlicher die Einwilligung (samt Inhalt!) beweisen – nicht der Betroffene muss beweisen, dass er die Einwilligung nicht erteilt hat.

 

Das bedeutet schlicht und einfach, dass jede Einwilligung detailliert protokolliert werden sollte – am besten mit dem genauen Wortlaut und dem genauen Zeitpunkt.

 

Das ist alles unmöglich? Keineswegs!

Ja, es gibt eine ganze Reihe von "Formvorschriften", damit eine Datenschutz-Einwilligung auch wirklich gültig eingeholt wird und damit Bestand hat – doch unmöglich ist das keineswegs.

 

Da hier ein Fehler massive Konsequenzen haben könnte, durch die im schlimmsten Fall der Datenverarbeitung die rechtliche Grundlage entzogen wird, sollte man die entsprechenden Formulare und Prozesse am besten zwei Mal überprüfen.

 

Dann klappt’s auch mit dem Nachbarn.

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus