WISSENSWERTES | 08.11.2017

Einwilligung unter der EU-Datenschutz­grundverordnung (Art. 6 Abs. 1 lit. a DSGVO)

Zu den auch unter der DSGVO wichtigsten Erlaubnistatbeständen gehört nach wie vor die Einwilligung der betroffenen Person. Auf deren Grundlage (Art. 6 Abs. 1 lit. a DSGVO) kann die Verarbeitung personenbezogener Daten unter den in Art. 7 DSGVO näher aufgeschlüsselten Bedingungen rechtmäßig sein. Diese Bedingungen sollen nachfolgend überblicksartig dargestellt werden:

Bedingungen für die Einwilligung in die Verarbeitung personenbezogener Daten

Erwägungsgrund 32 der DSGVO gibt eine erste Richtschnur vor, wie mit dem Erlaubnistatbestand der Einwilligung umzugehen ist. Demnach sollte die Einwilligung durch eine eindeutige Bestätigung der Handlung erfolgen, mit der

• freiwillig,
• für den konkreten Fall,
• in informierter Weise und
• unmissverständlich

bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dies etwa in Form einer schriftlichen Erklärung, die allerdings auch elektronisch abgegeben werden kann.

Informationsdefizit überwinden und Freiwilligkeit gewährleisten

Wird die Einwilligung von der betroffenen Person durch eine schriftliche Erklärung abgefordert, die noch andere Sachverhalte betrifft, muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form, einer klaren und einfachen Sprache und auf eine Weise erfolgen, die sie von anderen Sachverhalten klar abgrenzbar macht (Art. 7 Abs. 2 DSGVO).

Nach wie vor steht die Freiwilligkeit der Einwilligung auch unter der Datenschutzgrundverordnung im Vordergrund. Dabei ist insbesondere zu berücksichtigen, ob eine Vertragserfüllung beispielsweise von der Abgabe einer Einwilligung abhängig gemacht wird (Art. 7 Abs. 4 DSGVO). Gemäß Erwägungsgrund 42 der Datenschutzgrundverordnung soll nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurück zu ziehen, ohne Nachteile zu erleiden.

Mitwirkungshandlung der betroffenen Person unerlässlich

Unter Verweis auf Erwägungsgrund 32 der DSGVO wurde bereits darauf dargelegt, dass die Einwilligung durch eine eindeutig bestätigende Handlung der betroffenen Person zu erfolgen hat. Die Rechtmäßigkeit der Erklärung einer Einwilligung kann demnach nur dann als erfüllt angesehen werden, wenn die betroffene Person das Einverständnis zur Verarbeitung ihrer personenbezogenen Daten klar und eindeutig zu erkennen gibt. Die DSGVO gibt hier in dem vorgenannten Erwägungsgrund als Beispiel etwa das Anklicken eines Kästchens beim Besuch einer Internetseite an. Umgekehrt bedeutet dies allerdings, dass bereits vorgefertigte Erklärungen, z.B. durch angekreuzte Kästchen oder das sonstige Ausnutzen der Untätigkeit der betroffenen Personen („Opt-out“) keine Einwilligung im Sinne der DSGVO darstellen können. Die betroffene Person hat zudem nach wie vor das Recht, ihre Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO).

Praxishinweis

Insbesondere vor dem Hintergrund des Kopplungsverbotes bei Einwilligungen (Art. 7 Abs. 4 DSGVO; Erwägungsgrund 43) dürfte der Leistungsaustausch Ware oder Dienstleistung gegen Daten schwieriger werden, wenn die Erbringung der Leistung gerade auch (oder einzig und allein) von der Abgabe der Daten der betroffenen Personen abhängig gemacht wird. Auf Grundlage dieser primärrechtlichen Vorgaben werden die Aufsichtsbehörden gehalten sein, die entsprechenden Geschäftsmodelle strenger zu überprüfen. In diesem Bereich tätige Unternehmen sind daher gut beraten, wenn sie zukünftige und auch bereits bestehende Einwilligungen sowie die darauf beruhenden Datenverarbeitungen auf den Prüfstand stellen und gegebenenfalls an die neue Rechtslage anpassen.

Diesen Leitfaden in Form einer Checkliste haben wir hier für Sie zusammengestellt:

Checkliste

 

Aktuelle Beiträge von Dr. Knut Karnapp

WISSENSWERTES | 12.11.2019

Verjährung von Datenschutzverstößen nach DSGVO

In jüngerer Vergangenheit ist die Frage nach der Verjährung von Datenschutzverstößen vermehrt in den Fokus von Unternehmen geraten. Die Datenschutzgrundverordnung (DSGVO)  selbst trifft zur Verjährung keine Regelung. Nach dem deshalb einschlägigen deutschen Recht unterliegen Verstöße gegen Datenschutzvorschriften alle...

WISSENSWERTES | 06.11.2019

DSGVO: Rekordbußgeld gegen Deutsche Wohnen – Löschbedarf bei unstrukturierten Datenbeständen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer gestern veröffentlichten Pressemitteilung (Az.: 711.412.1) den Erlass eines „Millionen-Bußgeldes“ gegen eine Immobiliengesellschaft bekannt gemacht. Die Deutsche Wohnen SE soll dem...