8 min Zuletzt auktualisiert: 23.05.2023

Einwilligung DSGVO: Worauf Sie unbedingt achten müssen

Im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt in der Europäischen Union im Datenschutzrecht das Verbotsprinzip. Die Verarbeitung personenbezogener Daten ist generell verboten, solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat. Die Einwilligung der betroffenen Person gilt als Rechtsgrundlage für die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten.

Welche Angaben unterliegen dem Datenschutz?

Die DSGVO erlegt seit 2018 Unternehmen umfangreiche Pflichten zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten auf. Als personenbezogene Daten gelten alle Angaben über eine bestimmte oder bestimmbare Person. Dazu zählt die Telefonnummer, Anschrift, Geburts- und Kontodaten, aber auch das Aussehen oder Kfz-Kennzeichen einer Person.

Die Verarbeitung von personenbezogenen Daten ist nach Art. 6 Abs. 1 DSGVO unter der Erfüllung folgender Rechtsgrundlagen rechtmäßig:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was ist eine Einwilligung nach DSGVO?

Laut Art. 4 Nr. 11 DSGVO gilt als Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Unternehmen benötigen für jegliche Verarbeitung von personenbezogenen Daten die Einwilligungserklärung der betroffenen Person. Dies kann zum Beispiel aufgrund der länger als gesetzlich vorgegebenen Speicherung von Daten oder der Nutzung von Tracking-Cookies auf der Webseite der Fall sein.

Es gibt keine Formvorschriften für die Einwilligungserklärung. Im Sinne der Beweispflicht ist es jedoch sinnvoll, sie in übersichtlicher schriftlicher Form aufzusetzen.

Bedingungen

Nach Art. 7 DSGVO muss die/der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Eine schriftliche Einwilligungserklärung muss verständlich und leicht zugänglich aufbereitet sein.

Die betroffene Person muss über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten sowie über die/den Verantwortliche:n aufgeklärt werden. Hierbei wird ein aktives Verhalten vorausgesetzt. Kästchen dürfen beispielsweise nicht vorausgefüllt sein, sondern müssen von der oder dem NutzerIn selbst gesetzt werden.

Der Widerruf von Einwilligungen ist jederzeit möglich. Eine wichtige Bedingung für die Erteilung der Einwilligung ist zudem die Freiwilligkeit des/der Unterzeichnenden.

Freiwilligkeit

Die Einwilligung muss gemäß der DSGVO stets freiwillig erteilt werden. Die betroffene Person muss eine echte und freie Wahl haben. Dabei ist auch das Koppelungsverbot nach Art. 7 Abs. 4 DSGVO zu beachten: Die Erfüllung eines Vertrags darf nicht von einer Einwilligung abhängig sein, die nicht für den konkreten Vertrag erforderlich ist.

Einwilligungen gelten ebenfalls nicht als freiwillig, wenn zwischen den Verantwortlichen und den betroffenen Personen ein Ungleichgewicht besteht. Beispielsweise zwischen ArbeitnehmerInnen und ArbeitgeberInnen.

Widerruf

Die betroffene Person muss darüber informiert sein, dass sie jederzeit die Einwilligung widerrufen kann. Dies geschieht jedoch nur mit zukünftiger Wirkung. Für bereits abgeschlossene Verarbeitungsvorgänge gilt sie weiterhin als Rechtsgrundlage. Auch der Widerruf muss ohne Komplikationen und Nachteile für die oder den NutzerIn durchführbar sein.

Unwirksame Einwilligung

Wenn die Einwilligungserklärung nicht den oben genannten Anforderungen entspricht, gilt sie nicht als verbindlich. Dies tritt beispielsweise ein, wenn die betroffene Person nicht über die Verarbeitung der personenbezogenen Daten aufgeklärt wird oder nicht klar wird, wer die/der Verantwortliche ist. Eine Bearbeitung von personenbezogenen Daten ohne rechtsgültige Einwilligung gilt als rechtswidrig. Bei Verstößen gegen die Anforderungen kann die zuständige Aufsichtsbehörde nach Art. 83 Abs. 5 lit. a DSGVO Strafzahlungen gegenüber der/dem Verantwortlichen verhängen.
Tipp: Zur Erstellung der Einwilligungserklärung ist es deshalb ratsam, eine:n Datenschutzbeauftragte:n zurate zu ziehen.

Weitergabe an Dritte

Solang die Weitergabe der personenbezogenen Daten an Dritte für die Vertragserfüllung erforderlich ist, ist sie erlaubt. Beispielsweise, wenn die Adressdaten einer oder eines KundIn an den oder die PaketzustellerIn weitergeben werden.

In anderen Fällen kommt es möglicherweise zu einer Interessenabwägung. Eine Weitergabe an Dritte kann nach Art. 6 Abs. 1 lit. f DSGVO berechtigt sein, wenn das Unternehmen damit eine Gewinnmaximierung, Kostensenkung, Optimierung der Dienste oder Steigerung der Benutzerfreundlichkeit verfolgt. Wenn die Interessen der betroffenen Personen am Schutz der Daten nicht gegenüber dem Nutzen der Datenverarbeitung überwiegen, ist eine Weitergabe erlaubt.

Datenschutzerklärung

Die Datenschutzerklärung dient der vollumfänglichen Information der NutzerInnen über die Verarbeitung und Speicherung ihrer Daten. Jede:r Verantwortliche, die/der personenbezogene Daten verarbeitet, ist dazu verpflichtet über eine Datenschutzerklärung zu verfügen. Viele Unternehmen nutzen sie deshalb, um ihren Pflichten im Rahmen der Einwilligungserklärung nachzukommen. Dabei muss sich die konkrete Einwilligung deutlich von anderen Textpassagen der datenschutzrechtlichen Erklärung abheben.

Kathrin Schürmann, Rechtsanwältin und Datenschutzexpertin bei Schürmann Rosenthal Dreyer Rechtsanwälte, erklärt in diesem Video, worauf bei einer Einwilligung geachtet werden muss, damit man sich als Unternehmen DSGVO-konform verhält.

Für weitere Videos besuchen Sie unseren YouTube-Kanal oder schauen Sie in unseren Shop. Dort finden Sie spannende Online-Schulungen zum Thema Datenschutz, Informationssicherheit, Compliance und Arbeitsschutz.

Tipp: Lesen Sie hier, wie Sie bereits von Anfang an Produkte und Dienstleistungen DSGVO-konform entwickeln.


Quellen:

BfDI (2021). Einwilligung.

Europa (2021). Artikel 6. Rechtmäßigkeit der Verarbeitung.

Europa (2021). Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com