Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)
Was fordert die DSGVO zur Einwilligung?
Die Einwilligung ist eine von mehreren Rechtsgrundlagen, auf die Verantwortliche sich bei ihrer Datenverarbeitung stützen können.
Sie ist allerdings nicht die beste, da eine betroffene Person ihre Einwilligung jederzeit widerrufen kann. Findet sich jedoch keine andere rechtliche Grundlage, gilt es, die folgenden Punkte zu beachten.
Informierte Einwilligung
Die Datenschutz-Grundverordnung (DSGVO) schreibt eine informierte Einwilligung vor, die sich auf eine ganz konkrete Verarbeitung von personenbezogenen Daten bezieht (Artikel 6 Absatz 1 Buchstabe a DSGVO).
Eindeutige bestätigende Handlung
Die Schriftform ist nicht notwendig. Jedoch eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt.
Dies ist in Form einer Erklärung möglich, die auch elektronisch erfolgen kann.
Dabei müssen Verantwortliche beachten: Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich stattfinden. Das müssen technische Maßnahmen gewährleisten.
Eine aktive Handlung ist im Online-Bereich etwa das Setzen von Häkchen in einem Cookie-Banner oder der Klick auf eine Schaltfläche.
Nachweispflicht
Wichtig ist in jedem Fall, dass der Verantwortliche imstande ist, die Einwilligung nachzuweisen.
Ebenso muss er Widerrufe und Widersprüche zu Einwilligungen dokumentieren.
Unternehmen sollten also an entsprechende Datenfelder z.B. für Sperrkennzeichen, Einwilligungen und Widersprüche jeweils mit Datum in den betroffenen Datenbanken und Systemen denken.
Ebenso muss die Einwilligungserklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sein. Das ist natürlich leichter gesagt als getan.
Wo finde ich Beispiele für Einwilligungen?
Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Einwilligung verabschiedet, die ursprünglich die Artikel 29 Datenschutzgruppe veröffentlicht hatte.
Dort finden sich auch hilfreiche Beispiele für Einwilligungen in eine Datenverarbeitung.
Was passiert, wenn jemand seine Einwilligung widerruft?
- Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen.
- Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der Datenverarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgte, nicht. Diese Datenverarbeitung bleibt also rechtmäßig.
- Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht informieren, bevor sie die Einwilligung erteilt.
- Eine Einwilligung zu widerrufen, muss so einfach sein wie sie zu erteilen.
Widerrufen betroffene Personen also ihre Einwilligung, berührt dies nicht die bis zu diesem Zeitpunkt erfolgte Verarbeitung. Wohl aber die zukünftige, die ohne andere Rechtsgrundlage nicht mehr stattfinden darf.
Gelten vor der DSGVO erteilte Einwilligungen weiter?
Viele Unternehmen nahmen mit großer Erleichterung zur Kenntnis, dass bis zum 25. Mai 2018 erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten. Vorausgesetzt, sie entsprechen der Art nach den Bedingungen der DSGVO.
Bisher rechtswirksame Einwilligungen erfüllten grundsätzlich diese Bedingungen, so die Aufsichtsbehörden im entsprechenden Kurzpapier.
Besondere Beachtung verdienen die folgenden Forderungen der Datenschutz-Grundverordnung. Sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.
Dabei geht es insbesondere um
- die Freiwilligkeit („Kopplungsverbot“) und
- die Altersgrenze (16 Jahre, soweit im nationalen Recht nichts anderes bestimmt ist).
Fazit: informiert, freiwillig und nachweisbar
Die informierte und freiwillig erteilte Einwilligung ist also von zentraler Bedeutung.
Verantwortliche müssen allerdings darauf achten, dass sie die Einwilligung auch nachweisen können. Die Praxis zeigt, dass bei dieser Nachweispflicht bei vielen Unternehmen noch Handlungsbedarf besteht.