Einwilligung nach der Datenschutz-Grundverordnung (DSGVO)
Eine Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 DSGVO nur dann rechtmäßig, wenn sie auf eine der sechs genannten Rechtsgrundlagen gestützt werden kann. Nach Art. 6 Abs. 1 lit. a) DSGVO ist eine Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die DSGVO regelt insbesondere in Art. 7 DSGVO spezielle Anforderungen für die Wirksamkeit einer Einwilligung.
Nach Artikel 4 Nr. 11 DSGVO ist eine „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Freiwilligkeit
Eine freiwillige Einwilligung liegt nur vor, wenn eine echte und freie Wahl, mithin die Möglichkeit besteht, die Einwilligung zu verweigern oder zurückzuziehen, ohne dass Nachteile eintreten. Die Erfüllung eines Vertrages darf daher im Sinne des sog. Koppelungsverbots nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist (Artikel 7 Abs. 4 DSGVO).
Vorab zu erteilende Informationen
Vorab muss darüber informiert werden, wer für die Datenverarbeitung verantwortlich ist und zu welchen Zwecken personenbezogene Daten verarbeitet werden sollen. Wird eine vorformulierte Einwilligungserklärung bereitgestellt, so muss diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gefasst sein. Nach Auffassung des Europäischen Datenschutzausschusses ist zudem über die Art der Daten, über das Widerrufsrecht, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DSGVO zu informieren.
Unmissverständliche Willensbekundung
Einwilligungen müssen nicht schriftlich abgegeben werden. Allerdings muss eine unmissverständlich abgegebene Willensbekundung vorliegen. Diese kann in Form einer Erklärung oder durch eine sonstige eindeutig bestätigende Handlung – wie das Anklicken eines Feldes oder eine mündliche Aussage – erfolgen. Dabei muss das Einverständnis zur Datenverarbeitung unmissverständlich sein. Stillschweigen, bereits angeklickte Kästchen oder Untätigkeit stellen keine Einwilligung dar.
Im Gegensatz zur bisherigen Rechtsprechung (BGH, 11.11.2009, VIII ZR 12/08) reicht es nicht mehr aus, auf Vertragsklauseln zu verweisen, die eine fiktive Einwilligung enthalten. Ein vorformulierter Einwilligungstext, der nicht durchgestrichen wird oder ein Kreuz zur Nichterteilung einer Einwilligung ist keine wirksame Einwilligung.
Nachweis
Nach Artikel 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf der Einwilligung beruht. Wird die Einwilligung elektronisch erteilt, ist daher sicherzustellen, dass die Einwilligung protokolliert wird. Mit Blick auf die Nachweispflicht sind mündliche Einwilligungen eher wenig praktikabel.
Widerruf
Nach Artikel 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf durchgeführten Verarbeitung personenbezogener Daten nicht berührt. Die betroffene Person muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Besondere Kategorien personenbezogener Daten
Für die Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten, genetische Daten oder biometrische Daten ist gemäß Artikel 9 Abs. 2 lit. a DSGVO eine ausdrückliche Einwilligung erforderlich. Konkludente Handlungen sind in diesem Zusammenhang ausgeschlossen. Für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft enthält Artikel 8 DSGVO besondere Bedingungen. Im Beschäftigtendatenschutz sieht das neue BDSG grundsätzlich weiterhin das Erfordernis der Schriftform vor.
Fortgeltung „alter“ Einwilligungen
Einwilligungen, die vor der Anwendbarkeit der DSGVO erteilt wurden gelten grundsätzlich weiterhin. Voraussetzung dafür ist, dass sie ihrer Art nach den Bedingungen der DSGVO entsprechen. Dabei ist entscheidend, dass die Einwilligung nachgewiesen werden kann und freiwillig abgegeben wurde. Außerdem muss die betroffene Person vorab insbesondere darüber informiert worden sein, wer Verantwortlicher für die Datenverarbeitung ist und zu welchem Zweck personenbezogene Daten verarbeitet werden. Darüber hinaus muss über das Widerrufsrecht informiert worden sein und es müssen Mechanismen bereitstehen, die den Widerruf der Einwilligung ermöglichen. Einwilligungen, die diesen Anforderungen nicht genügen sind unwirksam und damit keine wirksame Rechtsgrundlage für eine Verarbeitung personenbezogener Daten.
Folgen einer unwirksamen Einwilligung
Im Falle einer unwirksamen Einwilligung kann die Datenverarbeitung grundsätzlich nicht auf eine andere Rechtsgrundlage wie die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Artikel 6 Abs. 1 lit. f DSGVO) gestützt werden. Dies liegt daran, dass der Verantwortliche die Grundsätze der Fairness und Transparenz (Artikel 5 Abs. 1 lit. a DSGVO) zu beachten hat.
Bei Verstößen gegen die Grundsätze der Verarbeitung einschließlich der Bedingungen für die Einwilligung kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Artikel 83 Abs. 5 lit. a DSGVO eine Geldbuße verhängt werden.
Bei Fragen zur Datenschutz-Grundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.