zuletzt aktualisiert am: 9. Juni 2021
Die DSGVO-konforme Einwilligung ist eine Art Legitimierung nach Art. 6 (und 9) DSGVO, um personenbezogenen Daten zu verarbeiten – jedoch nicht die einzige. Daneben gibt es beispielsweise
- die rechtlichen Verpflichtungen,
- die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung oder
- die berechtigten Interessen des Verantwortlichen.
Wenn ich keine andere Grundlage zur Verarbeitung habe, muss ich als Verantwortlicher auf die DSGVO-konforme Einwilligung zurückgreifen. Dabei sollte man sich als Verantwortlicher tatsächlich ernsthaft fragen, ob eine Einwilligung wirklich die richtige Grundlage ist.
Wie muss eine DSGVO-konforme Einwilligung sein?
Eine DSGVO-konforme Einwilligung ist freiwillig, konkret und informiert, nachweisbar und:
jederzeit widerrufbar!
Wenn eine Datenverarbeitung auch ohne explizite Einwilligung möglich ist (z.B. weil es für die Erfüllung des Vertrages notwendig ist), sollten Verantwortliche tatsächlich auf die Abfrage einer Einwilligung verzichten. Denn: Der Betroffene darf eine Einwilligung jederzeit widerrufen.
Wenn man die Datenverarbeitung auf Basis einer Einwilligung legitimiert, diese Einwilligung später jedoch widerrufen wird, darf man die Daten ab diesem Zeitpunkt nicht weiter nutzen. Muss man sie dennoch verwenden (z.B. weil das Gesetz eine Dokumentation vorschreibt), darf man nach Ansicht der Datenschutzkonferenz der Länder dann in der Regel nicht mehr auf einen anderen Erlaubnistatbestand zurückgreifen. (Siehe Kurzpapier Nr. 20 der DSK, S. 3)
Anders ausgedrückt, wenn Sie die Daten zur Erfüllung des Vertrags benötigen, dann sollten Sie keinesfalls eine Einwilligung abholen. Andernfalls schaffen Sie dem Vertragspartner mit dem Widerruf quasi ein sofortiges, außerordentliches Kündigungsrecht.
Und was heißt eigentlich „freiwillig, konkret und informiert, nachweisbar“?
freiwillig
„Freiwillig“ heißt, dass dem Betroffenen keine Nachteile entstehen dürfen, wenn er die Einwilligung nicht gibt. (Kopplungsverbot) Wenn beispielsweise ein Mitarbeiter befürchtet, seinen Job zu verlieren, wenn er die Einwilligung zur Veröffentlichung seines Fotos auf der Firmenwebsite nicht gibt, dann ist diese Einwilligung nicht freiwillig, also nicht rechtmäßig.
Oder wenn eine Dienstleistung (Rechtsgrundlage „Vertrag“) davon abhängig gemacht wird, ob man die Einwilligung zur Veröffentlichung seines Bildes zu Marketingzwecken gibt. Auch in diesem Fall ist die Einwilligung nicht freiwillig.
Natürlich darf auch nur der Betroffene selbst einwilligen. Es geht daher nicht, dass ein Chef/ Vorstand eine „generelle“ Einwilligung im Namen seiner Mitarbeitenden/ Mitglieder gibt.
Beispiel Firmenveranstaltung:
– Der Chef willigt ein, dass der Anbieter die Bilder der Veranstaltung zu Marketingzwecken nutzen darf.
+ Jeder Betroffenen willigt selbst beim Anbieter ein, welches Bild wo veröffentlicht werden darf.
Einwilligung als Rechtsgrundlage im Arbeitsverhältnis
Im Arbeitsverhältnis sind Einwilligungen, wie eben angedeutet, besonders kritisch, denn es gibt ein Machtgefälle. Eigentlich geht es nur in wenigen Fällen wie beispielsweise der Geburtstagsliste oder dem Bild auf der Website. Wichtig ist, dass die Interessen von Arbeitgeber und Arbeitnehmer „gleichgelagert“ sein müssen oder es einen wirtschaftlichen Vorteil für den Arbeitnehmer gibt. (§26 Abs. 2 BDSG) Das BDSG schreibt zudem die Schriftform vor.
konkret und informiert
„Informiert“ heißt im Grunde, dass der Verantwortliche alle Informationen nach Art. 13/14 DSGVO vorab gibt. Der Betroffene muss vorher wissen, wer verantwortlich ist und welche seiner personenbezogenen Daten zu welchem Zweck verarbeitet werden. Auch die Übermittlungen an Auftragsverarbeiter oder Dritte (vor allem, wenn sie im außereuropäischen Ausland ansässig sind) sind wichtig, um entscheiden zu können, ob mir als Betroffenem „das wert ist“.
„Konkret“ heißt, dass die Einwilligung getrennt von anderen Sachverhalten erfolgen muss. Sollen mehrere Sachverhalte mit einem Dokument per Einwilligung legitimiert werden, muss der Betroffene die Möglichkeit haben, einzeln auszuwählen. Außerdem muss er wissen, was passiert, wenn er seine Einwilligung nicht gibt.
nachweisbar
Eine Einwilligung ist ein aktives Verhalten des Betroffenen. Einwilligungen nach dem Prinzip „Wenn Sie unsere Website weiter nutzen, stimmen Sie zu, dass… “ sind ebenso wenig zulässig wie vor-ausgefüllte Kästchen. (vgl. auch mein Artikel zu „Cookies„)
Im Idealfall haben Sie ein Schriftstück mit Unterschrift oder können dokumentieren, wann ein Nutzer ein Häkchen gesetzt hat. Es kann aber unter Umständen auch ausreichen, wenn man feste Prozeduren hat, an die sich die Mitarbeiter halten müssen (SOPs/ Verfahrensanweisungen). Ob das zulässig ist, hängt auch davon ab, wofür man einwilligen soll. Die Schriftform wird zumindest von der DSGVO nicht vorgeschrieben, jedoch können andere Gesetze (z.B. BDSG) die Schriftlichkeit verlangen (siehe oben).
Wenn aus den SOP hervorgeht, dass der Betroffene zum Zeitpunkt x um Erlaubnis zu fragen ist und dies im System vermerkt wird, kann auch das als Nachweis gelten. Jedoch fehlt diesem Vorgehen die Beweiskraft. (Vergleiche auch Erwägungsgrund 42 DSGVO) Grundsätzlich sollten erteilte Einwilligungen vom Verantwortlichen jederzeit abrufbar sein.
Übrigens droht bei einer unrechtmäßigen Datenverarbeitung aufgrund fehlender Einwilligung nicht nur ein Bußgeld durch die Aufsichtsbehörde. Daher sollten Sie Ihre Rechtsgrundlage immer im Verzeichnis für Verarbeitungstätigkeiten dokumentieren. Ein Betroffener hat in diesem Fall auch das Recht auf Schadensersatz. (DSGVO) So hat eine Mitarbeiterin von ihrer ehemaligen Arbeitgeberin Schadensersatz erhalten, weil ein Foto von ihr auf Facebook veröffentlicht wurde und sie die Einwilligung lediglich zur Nutzung an der Homepage gegeben hatte. (Quelle: https://www.dataprotect.at/2020-foto-facebook-sche/)
Wofür benötigt man typischerweise eine Einwilligung?
Allgemein bekannt sind:
- Newsletter (Double-Opt-In)
- Cookies
- Bildveröffentlichung im Internet
Grundsätzlich sollte personalisierte Werbung auf einer Einwilligung beruhen. Unpersonalisierte Werbung sowie Werbung an Bestandskunden kann auch auf Basis eines berechtigten Interesses erfolgen. Dann muss der Kunde aber bei Vertragsbeginn darüber informiert werden und bei jedem Kontakt den Hinweis und die Chance zum Widerspruch haben. (In diesem Fall benötigen Sie ein gutes Datenmanagement, damit Sie diese Kunden nicht „aus Versehen“ anschreiben.)
Wie gestalte ich eine DSGVO-konforme Einwilligung?
Da die DSGVO keine Schriftform voraussetzt, gibt es auch keine vorgeschriebenen Form. Der Art. 7 DSGVO Bedingungen für die Einwilligung betont, dass sie in „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen muss.
Es gibt jedoch Muster-Einwilligungen, die die wichtigsten Punkte aufgreifen:
Der Widerruf der Einwilligung muss übrigens so einfach wie Einwilligung selbst gestaltet sein. Reicht für die Einwilligung ein Klick, muss auch der Widerruf mit einem Klick möglich sein. Klauseln nach dem Motto „Schreiben Sie uns einen Brief an…“, wenn die Einwilligung per Maus-Klick möglich war, sind unzulässig.
Damit eine Verarbeitung auf Grundlage einer Einwilligung rechtmäßig ist, muss die Einwilligung vor der Verarbeitung erfolgen. Es ist grundsätzlich nicht nötig, eine Einwilligung regelmäßig erneuern zu lassen. Ausnahmen könnten hier bei Werbe-Einwilligungen aus dem Wettbewerbsrecht hervorgehen oder aber bei Verarbeitung von personenbezogenen Daten von Minderjährigen.
Besonderheit „Kinder“
Minderjährige können nach Artikel 8 DSGVO grundsätzlich selbst einwilligen. Im Online-Bereich („Dienste der Informationsgesellschaft“) gilt laut DSGVO die Einwilligungsfähigkeit ab 16 Jahren (bzw. 13 Jahren, wenn nationale Gesetze dies erlauben – die deutschen Gesetze tun dies nicht.). Darunter muss zwingend die Einwilligung der Erziehungsberechtigten eingeholt werden. Dabei muss diese Einwilligung nachweisbar sein und es muss entsprechende Verfahren geben, um das Alter genau zu verifizieren. Zudem gelten auch hier die Bedingungen für eine wirksame Einwilligung, vor allem der Punkt „leicht verständlich“.
Im Artikel 8 DSGVO geht es um die „Dienste der Informationsgesellschaft“, die „einem Kind direkt gemacht“ werden, z.B.
- der Verkauf von Waren über das Internet (z.B. auch Klingeltöne),
- der Online-Abruf von Videos,
- Dienste, die Informationen bereitstellen,
- Suchmaschinen oder auch
- soziale Netzwerke.
Der Artikel 8 richtet sich besonders an Plattformen, wie Schülerportale, Spiele-Seiten etc. Hier ist ausschlaggebend, wie „kindgerecht“ die Ansprache ist. Wenn lustige, bunte Comicfiguren den Nutzer mit „Du“ ansprechen und zum Spielen/ Kaufen animieren, nutzt auch ein verstecktes Mindestalter von 16 Jahren nichts….
Spannend ist, ob facebook, whatsapp, TikTok und Co. mitzählen. Daher hat Whatsapp und jüngst auch TikTok ein Mindestalter von 16 Jahren für seinen Dienst angesetzt. (Dies müssen besondersVereine und Bildungseinrichtungen berücksichtigen!)
Absichtlich unberührt bleibt im Übrigen
„das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind“ (Art. 8 DSGVO Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft).
Das heißt, Kinder und Jugendliche zwischen 7 und 18 Jahren sind nur beschränkt geschäftsfähig. Verträge müssen also über die Erziehungsberechtigten geschlossen werrden. Der Artikel 17 DSGVO gewährt Minderjährigen zudem erleichterte Bedingungen zur Löschung.
Übrigens: Die Sanktionen gegen unrechtmäßige Verarbeitung personenbezogener Daten liegen im höheren Bußgeldbereich.
zum Weiterlesen:
- https://www.datenschutz-bayern.de/datenschutzreform2018/einwilligung.pdf
- https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_13.pdf
- https://www.klicksafe.de/themen/datenschutz/datenschutz-grundverordnung/welche-altersstufen-sieht-die-dsgvo-vor/
- data-kids.de
Bildquellen
- einwilligung-mangastyle: stock.adobe.com: トラノスケ
- Einwilligung: Pixabay - megan_rexazin