Datenschutzgrundverordnung: Was gilt für die Einwilligung?

Die Datenschutzgrundverordnung (DSGVO) findet seit dem 25. Mai 2018 in den EU-Mitgliedstaaten unmittelbar und vorrangig Anwendung. Unter anderem haben sich die Anforderungen an eine Einwilligung der betroffenen Person in die Verarbeitung sie betreffender Daten geändert – hier ein Überblick.

1. Wirksamkeit

Einwilligungen unter der DSGVO sind – ähnlich wie unter dem Bundesdatenschutzgesetz in der bis zum Inkrafttreten der DSGVO geltenden Fassung (BDSG aF) – nur wirksam, wenn sie vom Betroffenen freiwillig, unmissverständlich und informiert für den konkreten Fall erteilt werden. Der Verantwortliche trägt hierfür die Beweislast.

Einwilligungen von Kindern unter 16 Jahren in Dienste der Informationsgesellschaft, also mit unmittelbarem Bezug zum Internet, sind nur bei Erteilung durch gesetzliche Vertreter oder mit dessen Zustimmung wirksam (Art. 8 Abs. 1 DSGVO).

Unmissverständlich

Die Einwilligung ist unmissverständlich zu erklären, zum Beispiel durch Unterschrift oder das Setzen eines Häkchens bei elektronischer Form.

Opt-out-Erklärungen (etwa vorangekreuzte Felder) genügen hingegen nicht mehr (so auch der Europäische Gerichtshof in seiner Planet49 Entscheidung (EuGH, Rechtssache C 673/17)).

Bei besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist eine ausdrückliche Einwilligung erforderlich, so dass schlüssiges Handeln nicht mehr ausreicht (Art. 9 Abs. 2 DSGVO).

Freiwillig

Die Einwilligung muss unverändert freiwillig erteilt werden.
Freiwilligkeit fehlt:

  • bei klarem Ungleichgewicht zwischen Verantwortlichem und betroffener Person;
    Der deutsche Gesetzgeber nimmt ein solches Ungleichgewicht regelmäßig im Beschäftigungsverhältnis an (so § 26 Abs. 2 BDSG nF). Grund hierfür ist der regelmäßig bestehende faktische Druck auf Beschäftigte, ihre Einwilligung in eine Datenverarbeitung zu erteilen. Freiwilligkeit kann dort aber vorliegen, wo für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird (zum Beispiel bei Teilnahme an einem Aktienoptionsprogramm des Arbeitgebers), oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.
  • wenn in verschiedene Verarbeitungsvorgänge nicht gesondert eingewilligt werden kann, obwohl dies im Einzelfall angebracht ist (EG 43);
    So ist die pauschale Einwilligung in „Datenverarbeitung zu Werbezwecken“ keine wirksame Rechtsgrundlage, wenn die Daten durch das Unternehmen selbst zu ganz unterschiedlichen Werbemaßnahmen über unterschiedliche Dienste genutzt werden sollen, darüber hinaus aber auch noch an eine Vielzahl von Drittunternehmen zu deren eigenen Werbezwecken weitergeleitet werden.
    Unklar ist, was es bedeutet, dass die Einwilligung für alle mit einem Verarbeitungsvorgang verbundenen Zwecke erteilt werden soll (EG 32 S. 4): Denn wenn für einen der Verarbeitungszwecke eine sonstige Erlaubnis aus der DSGVO eingreift, kann der Verantwortliche ein Interesse daran haben, die Verarbeitung für diesen Zweck nicht auch auf eine Einwilligung zu stützen, da diese möglicherweise nicht von allen Betroffenen erteilt wird und zudem jederzeit frei widerruflich wäre.
  • wenn die Erfüllung eines Vertrags von einer Einwilligung zu einer – anderen – Datenverarbeitung abhängig gemacht wird, obwohl die Einwilligung für die Vertragserfüllung nicht erforderlich ist (Kopplungsverbot);
    Eine solche unzulässige Kopplung dürfte etwa beim Einsatz von sog. Cookie Walls gegeben sein, bei denen der Zugang zur Website und damit Nutzung der Inhalte nur bei Einwilligung möglich ist.
  • wenn der Widerruf der Einwilligung mit Nachteilen für den Nutzer verbunden ist.
    Eine solcher Nachteil liegt etwa vor, wenn die Nutzung der Leistung nach Widerruf nur noch eingeschränkt möglich ist, obwohl die Datenverarbeitung für die Leistung nicht erforderlich war.

Informiert

Vor Erteilung der Einwilligung ist die betroffene Person auf die geplante Verarbeitung ihrer personenbezogenen Daten hinzuweisen, mindestens aber über die Identität des Verantwortlichen und die Zwecke der Verarbeitung (EG 42) sowie nach Auffassung des Europäischen Datenschutzausschusses über die (Art der) Daten, die verarbeitet werden sollen. Bei Verarbeitung sensitiver Daten (z.B. Gesundheitsdaten) muss die Einwilligungserklärung diese nach wie vor ausdrücklich nennen.

Darüber hinaus ist zu informieren:

  • verständlich, leicht zugänglich und in klarer und einfacher Sprache (EG 42). Auslegungsschwierigkeiten gehen zu Lasten des Verantwortlichen, zumal es sich in der Regel um Allgemeine Geschäftsbedingungen handeln dürfte.
  • nach Auffassung des Europäischen Datenschutzausschusses über Risiken bei Datenübermittlungen in Drittländer ohne angemessenes Datenschutzniveau (Art. 49 Abs. 1 lit. a DS-GVO).
  • ebenso nach Auffassung des Europäischen Datenschutzausschusses über das Widerspruchsrecht (Art. 7 Abs. 3 DS-GVO).
  • soweit einschlägig, dass die Datenverarbeitung für eine automatisierte Entscheidung im Einzelfall erfolgt (Art. 22 Abs. 2 lit. c DS-GVO).

Für den bestimmten Fall

Diese Voraussetzung hängt eng mit der Forderung nach ausreichender Information als Grundlage für eine wirksame Einwilligung zusammen. Sie setzt voraus, dass die Zwecke, für die die Daten auf der Grundlage der Einwilligung verarbeitet werden sollen, bestimmt sind, dass die Einwilligungen hinreichend granular erteilt werden können und dass die Informationen im Zusammenhang mit der Einholung der Einwilligung hinreichend getrennt von anderen Informationen werden.

So spielten bei dem gegen Google verhängten Bußgeld in Höhe von 50 Millionen Euro durch die französische Aufsichtsbehörde CNIL auch die Mängel bei der Einwilligung der Datenverarbeitung zu Werbezwecken durch Cookies eine wesentliche Rolle.

Bußgeld gegen Google wegen mangelhafter Einwilligung

Nach Auffassung der französischen Aufsichtsbehörde war die Einwilligung rechtsfehlerhaft, da sie:

  • nicht informiert
    Die Informationen waren lückenhaft, so fehlten Informationen über die Google
    -Dienste, -Websites und -Anwendungen, die die erhobenen Daten nutzten und über Speicherfristen.
  • nicht transparent
    Die Informationen waren für die Nutzer nicht unmittelbar vorhanden, sondern erst auf tieferliegenden Ebenen durch Anklicken zugänglich.
  • nicht gesondert für den bestimmten Fall
    Es konnte nicht gesondert ein einzelne Werbemaßnahen durch Google und Dritte eingewilligt werden, sondern lediglich pauschal zu Werbezwecken.  
  • nicht unmissverständlich
    Einwilligungskästchen waren bereits vorausgewählt.

2. Form

Für die Einwilligung ist keine bestimmte Form vorgeschrieben (außer etwa im Beschäftigungsverhältnis nach § 26 Abs. 2 S. 3 BDSG nF); möglich sind also beispielsweise Schriftform oder elektronische Form, oder aber auch die Einwilligung durch eine andere bestätigende Handlung. Die Einwilligung kann auch durch schlüssiges Handeln und konkludent erklärt werden, allerdings muss der Verantwortliche nachweisen können, dass der Betroffene tatsächlich mit seinem Handeln eingewilligt hat. Manche Datenschutzbehörden empfehlen deshalb zu Nachweiszwecken gleichwohl die Schriftform.

Schriftliche Einwilligungen

Sollten Einwilligungen schriftlich erteilt werden, sind sie in verständlicher und leicht zugänglicher Form, sowie in klarer und einfacher Sprache zu ermöglichen. Für elektronisch erteilte Einwilligungen bedarf es einer klaren und knappen Form, ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird (EG 32).

Schriftlich erteilte Einwilligungen, die neben anderen Erklärungen erteilt werden (z.B. in Allgemeinen Geschäftsbedingungen), müssen von den anderen Erklärungen klar unterscheidbar sein, etwa durch Fettdruck oder Umrahmung.

3. Widerruflichkeit

Die nach der DS-GVO erteilte Einwilligung in die Verarbeitung personenbezogener Daten muss für die betroffene Person jederzeit widerruflich sein.

Information über Widerruflichkeit

Über die jederzeitige Widerruflichkeit der Einwilligung ist in jedem Fall bei Einholung der Einwilligung zu informieren, ebenso wie darüber, dass die Datenverarbeitung bis zum Widerruf rechtmäßig bleibt.

Widerruf so einfach wie Einwilligung

Der Widerruf muss so einfach sein, wie die Erteilung der Einwilligung. Um dies sicherzustellen, sollte für die Einwilligung und ihren Widerruf dasselbe Medium benutzt werden.

Erfolgt die Einwilligung elektronisch durch Setzen eines Häkchens, so wäre etwa die Angabe einer Telefonnummer, unter der der Widerruf wochentags zwischen 9 und 17 Uhr erklärt werden kann, ungenügend, da der Widerruf deutlich aufwändiger ist, als die Einwilligung. 

4. Nachweispflicht

Den Verantwortlichen trifft eine Nachweispflicht dafür, dass der Betroffene seine Einwilligung in die Verarbeitung gegeben hat (EG 42 S. 1).

Hierbei ist der Grundsatz der Datensparsamkeit zu beachten, der Verantwortliche sollte also nur so viele personenbezogene Daten speichern, wie er benötigt, um den Beweis für das Vorhandensein einer wirksamen Einwilligung zu erbringen. Der Nachweis muss für die gesamte Dauer der Datenverarbeitung auf Grundalge der Einwilligung erbracht werden können.

5. Beispiel für eine Einwilligung

Ein möglicher Einwilligungstext unter der DSGVO könnte lauten:

„Einwilligung:
Hiermit willige ich ein, dass [●] meine personenbezogenen Daten (Name, Kontaktdaten, Informationen über meine Krankenversicherung) zu folgenden Zwecken erhebt, verarbeitet und nutzt:

  • [●]

  • [●] ist ferner berechtigt, meine personenbezogenen Daten an Unternehmen [●], [●] und [●] weiterzugeben, damit diese sie für die vorstehend genannten Zwecke verarbeiten. Diese verbundenen Unternehmen befinden sich teilweise in Ländern außerhalb der EU, die kein vergleichbares Datenschutzniveau aufweisen. Darin liegt ein besonderes Risiko, da sonstige Garantien für den Schutz meiner personenbezogenen Daten wie etwa ein Angemessenheitsbeschluss der Europäischen Kommission oder EU-Standardvertragsklauseln nicht vorliegen.

Diese Einwilligung ist freiwillig. Ich kann sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs berührt wird. Den Widerruf kann ich schriftlich oder per E-Mail an [Name, Kontaktdaten] richten.“

Name, Datum, Unterschrift