1. Die Einwilligung als Rechtsgrundlage – Art. 6 Abs. 1 lit. a DSGVO
Die DSGVO regelt die Zulässigkeit der Datenverarbeitung in Artikel 6. Eine von mehreren möglichen Rechtsgrundlagen ist die Einwilligung der betroffenen Person:
Art. 6 Abs. 1 lit. a DSGVO:
„Die Verarbeitung ist nur rechtmäßig, wenn … die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.“
Wichtig: Die Einwilligung ist damit nur eine von mehreren möglichen Rechtsgrundlagen. Andere sind z.B. die Vertragserfüllung (lit. b), rechtliche Verpflichtungen (lit. c), lebenswichtige Interessen (lit. d), öffentliche Aufgaben (lit. e) oder berechtigte Interessen (lit. f).
2. Begriff und Voraussetzungen der Einwilligung – Art. 4 Nr. 11 DSGVO
Die DSGVO definiert die Einwilligung in Art. 4 Nr. 11:
„…jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung…“
Konkret bedeutet das:
- Freiwilligkeit:
Die betroffene Person muss eine echte Wahl haben. Es darf kein Zwang, keine Nötigung oder erheblicher Nachteil bei Verweigerung bestehen. Besonders kritisch ist dies z.B. im Arbeitsverhältnis, da hier ein Abhängigkeitsverhältnis besteht.
- Bestimmtheit (Spezifität):
Die Einwilligung muss sich auf einen oder mehrere klar definierte Zwecke beziehen. Es darf keine „Blankoeinwilligung“ für beliebige Zwecke geben.
- Informiertheit:
Die betroffene Person muss vor Abgabe der Einwilligung verständlich und umfassend über folgende Punkte informiert werden:
- Wer verarbeitet die Daten? (Verantwortlicher)
- Welche Daten werden verarbeitet?
- Zu welchem Zweck?
- Gibt es eine Übermittlung an Dritte oder in Drittländer?
- Wie lange werden die Daten gespeichert?
- Hinweis auf das Widerrufsrecht
- Unmissverständlichkeit (Eindeutigkeit):
Die Einwilligung muss durch eine aktive Handlung erfolgen, z.B. Ankreuzen eines Feldes, Unterschrift, Klick auf einen Button. Stillschweigen, bereits angekreuzte Kästchen („Opt-out“) oder Inaktivität reichen nicht aus.
- Widerruflichkeit:
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass hierfür Nachteile entstehen dürfen.
3. Besondere Anforderungen bei besonderen Datenkategorien – Art. 9 DSGVO
Für sogenannte „besondere Kategorien personenbezogener Daten“ (z.B. Gesundheitsdaten, biometrische Daten, Daten zur religiösen oder politischen Überzeugung) gelten nach Art. 9 DSGVO noch strengere Anforderungen. Hier ist in der Regel eine ausdrückliche Einwilligung erforderlich.
4. Form der Einwilligung – Art. 7 DSGVO
Die Einwilligung kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist die Nachweisbarkeit:
Art. 7 Abs. 1 DSGVO:
„Macht die Verarbeitung auf eine Einwilligung … gestützt, so muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“
Das bedeutet: Unternehmen müssen dokumentieren, wann, wie und wozu die Einwilligung erteilt wurde.
5. Weitere Anforderungen und Hinweise
- Kopplungsverbot:
Die Erbringung einer Dienstleistung darf grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, wenn diese für die Dienstleistung nicht erforderlich ist (Art. 7 Abs. 4 DSGVO).
- Transparenz:
Die Informationen zur Einwilligung müssen klar, verständlich und leicht zugänglich sein. Keine „versteckten“ Klauseln oder juristischen Fachausdrücke!
- Minderjährige:
Für Kinder unter 16 Jahren (bzw. je nach Mitgliedstaat auch 13-16 Jahre) ist die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich (Art. 8 DSGVO).
- Widerruf:
Die betroffene Person muss vor Abgabe der Einwilligung darüber informiert werden, dass sie diese jederzeit widerrufen kann, und wie dies möglich ist.
6. Beispiele aus der Praxis
- Newsletter-Anmeldung:
Ein Häkchen muss aktiv gesetzt werden, das eindeutig auf die Einwilligung zur Datenverarbeitung für den Versand hinweist. Vorab angekreuzte Kästchen sind unzulässig.
- Cookies:
Für nicht technisch notwendige Cookies ist eine vorherige, informierte und freiwillige Einwilligung erforderlich.
7. Fazit
Die Einwilligung nach DSGVO ist eine eigenständige, aber sehr anspruchsvoll ausgestaltete Rechtsgrundlage. Sie erfordert Transparenz, Freiwilligkeit, Nachweisbarkeit und die Möglichkeit des jederzeitigen Widerrufs. Unternehmen sollten Einwilligungen nicht leichtfertig einholen, sondern immer prüfen, ob nicht eine andere Rechtsgrundlage einschlägig ist. Werden Einwilligungen eingeholt, müssen alle rechtlichen Anforderungen genau beachtet und dokumentiert werden.
Fragen oder Unsicherheiten?
Datenschutz ist komplex – bei Unsicherheiten empfiehlt sich die Beratung durch Datenschutzbeauftragte oder juristische Experten.
(Autor: Datenschutz Frick mit Hilfe durch AI Chat)
