Die Einwilligung ist eines der wichtigsten Tatbestandsmerkmale der Datenschutz-Grundverordnung (DSGVO). Denn grundsätzlich gilt im Datenschutz, dass die Verarbeitung personenbezogener Daten verboten ist. Es sei denn, die Verarbeitung ist durch eine Rechtsvorschrift erlaubt. Die wichtigsten Ausnahmen finden sich in Art. 6 Abs. 1 DSGVO – und nicht ohne Grund wird die Einwilligung an erster Stelle genannt.
Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO
Denn nach Art. 6 Abs. 1 lit. a ist die Verarbeitung dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Die Voraussetzungen für eine rechtmäßige Einwilligung werden in Art. 4 Nr. 11 und Art. 7 DSGVO konkretisiert.
Einwilligung muss freiwillig erfolgen
Das bedeutet, dass die betroffene Person eine echte und freie Wahl haben muss. Sie muss die Einwilligung jederzeit ohne Nachteile verweigern oder widerrufen können – siehe hierzu auch Erwägungsgrund (ErwGR.) 42 der DSGVO.
Dies ist in der Regel nicht der Fall, wenn die Erfüllung eines Vertrages von der Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrages nicht erforderlich ist (Art. 7 Abs. 4 i.V.m. ErwGr. 43 DSGVO, Koppelungsverbot).
Darüber hinaus stellt eine Einwilligung keine wirksame Rechtsgrundlage dar, wenn ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen besteht und es daher unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde. Ein Ungleichgewicht kann beispielsweise gegenüber Behörden oder im Arbeitsverhältnis gegenüber dem Arbeitgeber bestehen.
Aktive Willensbekundung erforderlich
Es bedarf einer unmissverständlichen Willensbekundung der betroffenen Person, dass sie mit der Verarbeitung einverstanden ist. Die Schriftform ist nicht erforderlich. Die bestätigende Handlung kann auch elektronisch, z.B. durch „Anklicken“ eines Feldes im Internet, oder mündlich erfolgen. Erforderlich ist jedoch ein aktives Verhalten.
Vorausgefüllte Kästchen oder die bloße Weiternutzung eines Dienstes reichen ebenso wenig aus wie das Scrollen auf einer Website oder das Wischen auf einem Smartphone oder Tablet. Dies gilt nach Auffassung des Europäischen Datenschutzausschusses auch nicht für die bloße Weiternutzung eines Dienstes.
Einwilligung hat in informierter Weise zu erfolgen
In ErwGr. 42 der DSGVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind. Auch muss die betroffene Person mindestens darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen.
Darüber hinaus muss die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, gegebenenfalls über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über die möglichen Risiken einer Datenübermittlung in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien gemäß Art. 46 DSGVO informiert werden.
Lese-Tipp: Auskunftsrecht in der DSGVO – aktuelle EuGH-Rechtsprechung und EDSA-Leitlinien
Nachweispflicht des Verantwortlichen
Der Verantwortliche ist nach Art. 7 Abs. 1 DSGVO ausdrücklich verpflichtet, die Erteilung der Einwilligung nachweisen zu können. Diese Verpflichtung steht im Zusammenhang mit der in Art. 5 Abs. 2 DSGVO geregelten Rechenschaftspflicht. Dies gilt nicht nur im Sinne einer Beweislastregel, wenn das Vorliegen einer Einwilligung bestritten wird, sondern generell.
Der Nachweis erteilter Einwilligungen muss daher auch bei Kontrollen durch die Aufsichtsbehörden erbracht werden können. Wird die Einwilligung elektronisch erteilt, muss der Verantwortliche sicherstellen, dass die Einwilligung protokolliert wird. Nicht ausreichend ist es beispielsweise, lediglich auf die ordnungsgemäße Gestaltung der entsprechenden Webseite zu verweisen, ohne im Einzelfall den Nachweis über die tatsächlich erteilte Einwilligung zu führen.
Der Verantwortliche muss außerdem durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Datenschutzgrundsätze, insbesondere die Rechenschaftspflicht, umgesetzt werden. Hierzu muss er technische Systeme einsetzen, die einen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ermöglichen.
Recht auf Widerruf der Einwilligung
Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. Der Widerruf hat Wirkung für die Zukunft. Verarbeitungen, die in der Vergangenheit aufgrund der Einwilligung vorgenommen wurden, bleiben daher rechtmäßig.
Auf die Widerruflichkeit der Einwilligung muss der Verantwortliche vor Abgabe der Einwilligung hinweisen. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein. Vor Anwendbarkeit der DSGVO erteilte Einwilligungen wirken nach Art. 171 DSGVO fort, sofern sie ihrer Art nach den Voraussetzungen der DSGVO entsprechen.
Folgen bei unwirksamer Einwilligung
Eine Einwilligung, die den dargestellten Anforderungen nicht genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden.
Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, etwa die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f DSGVO), ist grundsätzlich unzulässig. Denn der Verantwortliche hat die Grundsätze der Fairness und Transparenz zu beachten (Art. 5 Abs. 1 lit. a DSGVO). Ein willkürlicher Wechsel zwischen Einwilligung und anderen Rechtsgrundlagen ist nicht möglich.
Erweist sich die Einwilligung als unwirksam oder kann der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen, ist die darauf gestützte Datenverarbeitung rechtswidrig.
Verstöße gegen die Grundsätze der Verarbeitung einschließlich der Einwilligungsvoraussetzungen können nach Art. 83 Abs. 5 lit. a DSGVO von der zuständigen Aufsichtsbehörde mit einem Bußgeld geahndet werden. Darüber hinaus kommen je nach den Umständen des Einzelfalls auch Schadensersatzansprüche der betroffenen Person in Betracht.
Quelle: Kurzpapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK)