WISSENSWERTES | 08.11.2017

Einwilligung unter der EU-Datenschutz­grundverordnung (Art. 6 Abs. 1 lit. a DSGVO)

Zu den auch unter der DSGVO wichtigsten Erlaubnistatbeständen gehört nach wie vor die Einwilligung der betroffenen Person. Auf deren Grundlage (Art. 6 Abs. 1 lit. a DSGVO) kann die Verarbeitung personenbezogener Daten unter den in Art. 7 DSGVO näher aufgeschlüsselten Bedingungen rechtmäßig sein. Diese Bedingungen sollen nachfolgend überblicksartig dargestellt werden:

Bedingungen für die Einwilligung in die Verarbeitung personenbezogener Daten

Erwägungsgrund 32 der DSGVO gibt eine erste Richtschnur vor, wie mit dem Erlaubnistatbestand der Einwilligung umzugehen ist. Demnach sollte die Einwilligung durch eine eindeutige Bestätigung der Handlung erfolgen, mit der

• freiwillig,
• für den konkreten Fall,
• in informierter Weise und
• unmissverständlich

bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dies etwa in Form einer schriftlichen Erklärung, die allerdings auch elektronisch abgegeben werden kann.

Informationsdefizit überwinden und Freiwilligkeit gewährleisten

Wird die Einwilligung von der betroffenen Person durch eine schriftliche Erklärung abgefordert, die noch andere Sachverhalte betrifft, muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form, einer klaren und einfachen Sprache und auf eine Weise erfolgen, die sie von anderen Sachverhalten klar abgrenzbar macht (Art. 7 Abs. 2 DSGVO).

Nach wie vor steht die Freiwilligkeit der Einwilligung auch unter der Datenschutzgrundverordnung im Vordergrund. Dabei ist insbesondere zu berücksichtigen, ob eine Vertragserfüllung beispielsweise von der Abgabe einer Einwilligung abhängig gemacht wird (Art. 7 Abs. 4 DSGVO). Gemäß Erwägungsgrund 42 der Datenschutzgrundverordnung soll nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurück zu ziehen, ohne Nachteile zu erleiden.

Mitwirkungshandlung der betroffenen Person unerlässlich

Unter Verweis auf Erwägungsgrund 32 der DSGVO wurde bereits darauf dargelegt, dass die Einwilligung durch eine eindeutig bestätigende Handlung der betroffenen Person zu erfolgen hat. Die Rechtmäßigkeit der Erklärung einer Einwilligung kann demnach nur dann als erfüllt angesehen werden, wenn die betroffene Person das Einverständnis zur Verarbeitung ihrer personenbezogenen Daten klar und eindeutig zu erkennen gibt. Die DSGVO gibt hier in dem vorgenannten Erwägungsgrund als Beispiel etwa das Anklicken eines Kästchens beim Besuch einer Internetseite an. Umgekehrt bedeutet dies allerdings, dass bereits vorgefertigte Erklärungen, z.B. durch angekreuzte Kästchen oder das sonstige Ausnutzen der Untätigkeit der betroffenen Personen („Opt-out“) keine Einwilligung im Sinne der DSGVO darstellen können. Die betroffene Person hat zudem nach wie vor das Recht, ihre Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO).

Praxishinweis

Insbesondere vor dem Hintergrund des Kopplungsverbotes bei Einwilligungen (Art. 7 Abs. 4 DSGVO; Erwägungsgrund 43) dürfte der Leistungsaustausch Ware oder Dienstleistung gegen Daten schwieriger werden, wenn die Erbringung der Leistung gerade auch (oder einzig und allein) von der Abgabe der Daten der betroffenen Personen abhängig gemacht wird. Auf Grundlage dieser primärrechtlichen Vorgaben werden die Aufsichtsbehörden gehalten sein, die entsprechenden Geschäftsmodelle strenger zu überprüfen. In diesem Bereich tätige Unternehmen sind daher gut beraten, wenn sie zukünftige und auch bereits bestehende Einwilligungen sowie die darauf beruhenden Datenverarbeitungen auf den Prüfstand stellen und gegebenenfalls an die neue Rechtslage anpassen.

Diesen Leitfaden in Form einer Checkliste haben wir hier für Sie zusammengestellt:

Checkliste

 

Aktuelle Beiträge von Dr. Knut Karnapp

WISSENSWERTES | 21.06.2019

Erstes DSGVO-Jubiläum – ein Zwischenfazit für Unternehmen

Am 25. Mai 2019 jährte sich das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) das erste Mal. Die Unternehmerschaft hat in den letzten 12 Monaten viel Geld in die Hand genommen, um sich gesetzes- und verordnungskonform aufzustellen und vor allem mögliche Bußgeldrisiken von (hypothetisch) EUR 20.000.000 oder 4 % ...

WISSENSWERTES | 27.05.2019

Geschäftsgeheimnisschutzgesetz – Unternehmen in der Pflicht

Am 21. März 2019 hat der Deutsche Bundestag das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) beschlossen und damit die Geschäftsgeheimnisrichtlinie (Richtlinie [EU] 2016/943) umgesetzt. Das Gesetz ist am 26. April 2019 in Kraft getreten und hat eine grundlegende Neuregelung des Schutzes von Geschäftsgeheimni...