Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

DSGVO Einwilligungserklärung: Alle Infos auf einen Blick







Wie Sie als Verantwortlicher eine rechtmäßige Einwilligung über die Verarbeitung personenbezogener Daten bei den betroffenen Personen einholen und was Sie dabei beachten müssen, um am Ende keinen Datenverstoß zu begehen.

Als Verantwortlicher für die Verarbeitung personenbezogener Daten dürfen Sie diese nur verarbeiten, wenn eine Rechtsgrundlage Ihnen dies erlaubt. Eine Rechtsgrundlage stellt die Einwilligung der betroffenen Personen in die Verarbeitung der personenbezogenen Daten dar. Hierbei gilt es zu beachten, dass eine Einwilligung gewissen gesetzlichen Voraussetzungen unterliegt. Wir möchten Ihnen einen ersten Überblick über die Thematik „Einwilligungserklärung“ geben und die Besonderheiten sowie Voraussetzungen näher erläutern.

Wer muss eine Einwilligungserklärung bei den betroffenen Personen einholen?

Wenn Sie für die Datenverarbeitung verantwortlich sind, dann benötigen Sie unter Umständen eine Einwilligungserklärung. Wer Verantwortlicher ist definiert die DSGVO in Art. 4 Nr. 7. Hiernach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn Sie (auch gemeinsam mit anderen) über die Verarbeitung der personenbezogenen Daten entscheiden, also festlegen, welche Daten von wem, wann erhoben werden, sind Sie Verantwortlicher für eine Datenverarbeitung und müssen nun darüber nachdenken, ob Sie eine Einwilligungserklärung bei den betroffenen Personen einholen müssen oder können.

Wann benötigen Sie eine Einwilligungserklärung?

Wollen Sie als Verantwortlicher personenbezogene Daten verarbeiten, so dürfen Sie dies  nur wenn Sie die Datenverarbeitung auf eine Rechtsgrundlage stützen können.  Art. 6 Abs. 1 DSGVO nennt Ihnen verschiedene Rechtsgrundlagen aufgrund derer Sie personenbezogene Daten verarbeiten dürfen. Mögliche Rechtsgrundlagen für die Datenverarbeitung stellen der Vertrag oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b) DSGVO), eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO), die Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO), eine im öffentlichen Interesse liegende Aufgabe und Ausübung öffentlicher Gewalt sowie die Einwilligung dar.

Auf mindestens eine dieser Rechtsgrundlagen muss die Verarbeitung personenbezogener Daten beruhen. Es ist möglich, dass Sie die Datenverarbeitung auch auf mehrere Rechtsgrundlagen stützen können, dann sind Sie als Verantwortlicher in der Wahl der Rechtsgrundlage frei. Eine zusätzliche Einholung einer Einwilligungserklärung ist möglich. Allerdings muss die betroffene Person darüber unterrichtet werden, dass die Verarbeitung nicht nur auf dieser Einwilligung beruht, sondern eine weitere oder mehrere Rechtsgrundlagen die Verarbeitung stützen. Sollte eine Verarbeitungspflicht für Sie bestehen, etwa aus steuer- oder handelsrechtlichen Gründen, so können Sie keine Einwilligung bei den betroffenen Personen einholen.

Wollen Sie eine auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhenden Entscheidung treffen, benötigen Sie ebenfalls eine Einwilligungserklärung der betroffenen Personen (Art 22 DSGVO).

Bitte beachten Sie, dass eine zusätzliche Einholung einer Einwilligungserklärung bei bereits vorliegender und einschlägiger Rechtsgrundlage als zusätzliche Rechtsgrundlage möglich ist. Unterschieden werden muss dies von der pauschalen zur Sicherheit einholenden Einwilligungserklärung. Diese ist unzulässig, da eine Einwilligungserklärung der Zweckbindung unterliegt.


In was können die betroffenen Personen einwilligen?

Die betroffenen Personen können in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Soweit es sich hierbei um sensible Daten (Art. 9 DSGVO) handelt, ist eine Einwilligung zwingend erforderlich. Sensible Daten sind z.B. Gesundheitsdaten oder Daten aus denen sich die rassische und ethnische Herkunft hervorhebt.


Was ist eine Einwilligung?

Was unter einer Einwilligung zu verstehen ist definiert die DSGVO. Gemäß Art. 4 Nr. 11 DSGVO ist die Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen betätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Um die Bedeutung der Definition zu verstehen, gebietet sich ein Blick auf die Voraussetzungen.


Was sind die Voraussetzungen einer wirksamen Einwilligungserklärung?

Die Voraussetzungen der Einwilligungserklärung ergeben sich durch eine Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DSGVO i.V.m. Erwägungsgründen.

Die Einwilligungserklärung hat folgende inhaltliche Anforderungen:

  • Freiwillig

Die Einwilligung muss von der betroffenen Person freiwillig erklärt werden. Es sollte nur dann davon ausgegangen werden, dass die betroffenen Personen ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen (Erwägungsgrund 42 Satz 5 zur DSGVO). Sie sollten als Verantwortlicher nachweisen können, dass die einwilligende Person die Erklärung freiwillig abgegeben hat.

  • Einzelfall

Eine Einwilligungserklärung muss stets für einen bestimmten Fall bei den betroffenen Personen eingeholt werden. Sie können als Verantwortlicher keine Sammeleinwilligungen einholen.

  • Unmissverständlich

Eine weitere Voraussetzung ist, dass die einwilligende Person ihre Einwilligung unmissverständlich zum Ausdruck gebracht hat. Dies kann in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen betätigenden Handlung erfolgen (Art. 4 Nr. 11 DSGVO, Erwägungsgrund 32 zur DSGVO).

  • Zweckbindung

Die betroffene einwilligende Person muss ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs.1 lit. a) DSGVO). Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Bitte beachten Sie, dass Sie aus diesem Grund keine pauschale Einwilligungserklärung bei den betroffenen Personen einholen können, sondern der Zweckbindung unterliegen.

  • In informierter Weise

Damit die betroffene Person in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden (Wortlaut: Erwägungsgrund 42 Satz 4 zur DSGVO). Es genügt nicht nur, dass Sie als Verantwortlicher die Datenverarbeitung auf einen Zweck stützen können, weiterhin ist es erforderlich, dass Sie diesen Zweck der betroffenen Person nennen.

  • Hinweis auf Risiken

Sollten Sie eine Einwilligungserklärung der betroffenen Person vorlegen, so sollten Sie den Einwilligenden auf etwaige bestehende Risiken hinweisen, die durch die Verarbeitung der personenbezogenen Daten bestehen.

  • Form

Die Erklärung kann schriftlich, elektronisch oder auch mündlich erfolgen (Erwägungsgrund 32 DSGVO). Sie als Verantwortlicher müssen die Einwilligung im Zweifel nachweisen und somit empfiehlt es sich eine schriftliche oder elektronische Erklärung einzuholen, um besser der Nachweispflicht genügen zu können. Eine elektronische Erklärung könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen. Die betroffene Person muss hierbei in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisieren. Stillschweigen, bereits angekreuzter Kästchen (sog. Opt-Out) oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen (Erwägungsgrund 32 zur DSGVO).

Weiterhin sollte vom Verantwortlichen eine vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Die Einwilligungserklärung sollte in einer klaren und einfachen Sprache formuliert sein und sie sollte keine missbräuchlichen Klauseln beinhalten.

  • Belehrung über Widerruf

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Wo werden Einwilligungserklärungen aufbewahrt?

Ob Sie nun einen Ordner anlegen, in dem Sie alle Einwilligungserklärungen aufbewahren oder die jeweiligen Einwilligungserklärungen in fall- oder auftragsbezogenen Akten aufbewahren, bleibt Ihnen überlassen. Wir empfehlen Ihnen in Ihrem Unternehmen ein Datenschutzmanagementsystem zu etablieren, welches Ihnen das Auffinden und Pflegen der Einwilligungserklärungen ermöglicht. Sie sollten den für Ihr Unternehmen besten Weg wählen, um im Falle einer etwaigen Nachweispflicht nachkommen zu können.

Wie gehen Sie vor, wenn die betroffene Person ihre Einwilligungserklärung widerruft?

Sollte ein Widerruf bei Ihnen eingehen, sollten Sie diesen Widerruf dokumentieren und in Ihre Unterlagen einpflegen. Sie sollten dafür Sorge tragen, dass ab dem Zeitpunkt des Widerrufs eine Verarbeitung der widerrufenen Personen bezogenen Daten zeitnah unterbunden und verhindert wird. Ab dem erfolgten Widerruf haben Sie keine Rechtsgrundlage, die Ihnen eine Datenverarbeitung der widerrufenden Person gestattet. Sie laufen, ohne zeitnahe Reaktion, Gefahr einen Datenverstoß zu begehen.

Die widerrufenen Einwilligungserklärungen müssen Sie weiterhin aufbewahren. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 

Was passiert, wenn Sie keine Einwilligungserklärungen bei den betroffenen Personen eingeholt haben?

Sollten Sie keine Einwilligungserklärung bei den betroffenen Personen eingeholt haben und dennoch personenbezogene Daten verarbeiten, stellt dies einen Datenverstoß dar. Datenverstöße werden mit hohen Bußgeldern geahndet.


Was ist zu tun, wenn Sie vor Einführung der DSGVO Einwilligungserklärungen eingeholt haben?

Sollten Sie vor Einführung der DSGVO (vor dem 25. Mai 2018) Einwilligungserklärungen bei den betroffenen Personen eingeholt haben, so sind diese nicht automatisch unwirksam. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO mit ihr in Einklang gebracht werden (Erwägungsgrund 171 zur DSGVO). Unter Umständen kann es erforderlich sein, erneut eine Einwilligungserklärung bei den betroffenen Personen einzuholen.

Fazit:

Die Einwilligungserklärung der betroffenen Personen ist ein datenschutzrechtlich komplexes Thema und bringt viele Besonderheiten mit sich. Um am Ende keinen Datenverstoß zu begehen und die Daten Ihrer Kunden rechtmäßig zu verarbeiten, empfehlen wir Ihnen die Beauftragung unserer Rechtsanwälte und Rechtsanwältinnen für Datenschutz.

Sie suchen nach einer Plattform zum Datenschutz, um sich weiterzubilden?


Besuchen Sie uns auf unserer Datenschutz-Plattform: www.kolbcom.de. Wir haben für Sie als Verantwortlichen und für Ihre Mitarbeiter eine Plattform geschaffen, auf der Sie sich online auf dem Gebiet des Datenschutzes weiterbilden können.  

Einleitung

Nach seiner Entscheidung zu dem Einsatz von Social Media Plugins, bspw. den Facebook Like-Button (mehr hierzu), traf der EuGH erneut eine bahnbrechende Entscheidung, die den Einsatz von (Marketing- und Werbe-) Cookies betrifft.

Die Entscheidung, welche für Websitebetreiber und –besucher praxisfern und umständlich erscheint, findet seinen Ursprung in der seit dem 25.05.2018 geltenden Datenschutzgrundverordnung (DSGVO) und ist dogmatisch betrachtet kaum zu beanstanden.

Die Entscheidung des EuGH vom 01.10.2019 – Rechtssache C-673/17

Der zugrundeliegende Sachverhalt ist denkbar einfach und vermutlich jedermann bekannt:

Ein Websitebetreiber verwendete auf seiner Website diverse Cookies, um das Nutzungsverhalten der Websitebesucher zu analysieren und unter Hinzuziehung von weiteren Kooperations- und Werbepartnern individualisierte und interessengerichtete Werbung zu erstellen. Der Websitebesucher bzw. Nutzer musste hierfür bei dem (ersten) Besuch  der Website einen Cookie-Banner betätigen.

Der Banner enthielt u.a. einen Hinweistext, in dem sich der Teilnehmer damit einverstanden erklärte, dass Cookies, die dessen Surf- und Nutzungsverhalten auswerten und interessengerichtete Werbung generieren sollten, eingesetzt werden. Neben diesem Hinweistext befand sich ein Ankreuzkästchen, welches mit einem voreingestellten Häkchen (für die Erklärung dieser Einwilligung) versehen war. Der EuGH erkannte diese Praxis der Einholung einer Einwilligung für rechtswidrig.

Er führte aus, dass eine (datenschutzrechtliche) Einwilligung nur dann angenommen werden kann, wenn eine aktive Willensbekundung des Erklärenden, vorliegend des Websitebesuchers, vorliegt. Diese könne folglich erst dann bejaht werden, wenn der Websitebesucher ein Ankreuzkästchen aktiv setze.

Dementsprechend könne ein „[…]Stillschweigen, bereits angekreuzter Kästchen oder die Untätigkeit […].“ keine wirksame Einwilligung des Websitebesuchers bilden. Gerade dies sei jedoch der Fall, wenn „[…] der Nutzer zur Verweigerung seiner Einwilligung [voreingestellte Ankreuzkästchen] abwählen muss […]“, weshalb im Falle voreingestellter Ankreuzkästchen, keine wirksame Einwilligung angenommen werden könne.

Darüberhinausgehend erklärte der EuGH, eine Einwilligung sei auch stets daran geknüpft, dass „[…] der Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Die klaren und umfassenden Informationen müssen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu ermitteln, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zählen zu den klaren und umfassenden Informationen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.“.

Dies bedeutet, dass der Abgabe einer Einwilligung stets eine umfassende und dezidierte Belehrung bzw. Informierung des Websitebesuchers vorgeschaltet sein muss, in der ihm der Einsatz von Cookies, der Umgang mit seinen personenbezogenen Daten und die (rechtliche) Folgen seiner Einwilligung dargelegt werden. Ein Eingriff in die Privatsphäre (des Websitebesuchers) durch die Erstellung etwaiger Nutzungsprofile auf Grundlage einer Einwilligung, sei nur dann gerechtfertigt, wenn dem Websitebesucher die Tragweite seiner Erklärung bewusst sei, so der EuGH.

Der Ausblick

Wie bereits dargelegt ist die Entscheidung des EuGH geradezu revolutionär und alteriert die bisher gängige Praxis von Websitebetreibern.

Während Websitebetreiber in der Vergangenheit entweder bereits angekreuzte Häkchen verwendeten oder den Einsatz etwaiger Cookies auf ein berechtigtes Interesse stützten (und mithin nicht das Bedürfnis sahen, eine Einwilligung des Websitebesuchers einzuholen), besteht von nun an die rechtliche Verpflichtung, dass die bisherigen Cookie-Banner so umgestellt werden, dass der Nutzer den Einsatz von Cookies aktiv bestätigen muss. Des Weiteren ist er vor Abgabe der Einwilligung in transparenter Art und Weise darüber aufzuklären, welche Cookies zum welchen Zweck eingesetzt werden.

In Zeiten, in denen der eCommerce floriert und die Website als das Aushängeschild eines Unternehmers fungiert, ist die Einhaltung einer besonderen Sorgfalt bei der Verwendung von Cookies und der damit verbundenen Einholung einer Einwilligung sowie der entsprechenden Belehrung der Kunden bzw. Websitenutzer dringend erforderlich.

Sie benötigen anwaltliche Beratung im Datenschutzrecht? Gerne setzen wir uns für Ihre Sache ein. Melden Sie sich jetzt zu einem Erstgespräch mit einem unserer Rechtsanwälte für Datenschutzrecht.

Der Facebook-Like-Button wird dieses Jahr 20 Jahre alt und ist weiterhin auf vielen Websites zu finden. Als kostenloses Empfehlungsmarketing ist er bei vielen Webseitenbetreibern sehr beliebt, auch wenn die datenschutzrechtlichen Bedenken bereits seit geraumer Zeit bestehen und von Seiten der Datenschutzbehörden immer wieder geäußert wurden. Moniert wurde insbesondere, dass bereits bei Aufruf der Webseite automatisch Daten des Besuchers an Facebook übermittelt werden und dies unabhängig davon, ob der Besucher selbst ein Facebook-Profil hat. Facebook kann dadurch Nutzerprofile über eine Vielzahl von Personen erstellen, ohne dass diese hiervon etwas mitbekommen. Im Zusammenhang mit der Nutzung von solchen Social Media Plugins stellen sich gleich mehrere datenschutzrechtliche Fragen, insbesondere hinsichtlich der datenschutzrechtlichen Verantwortlichkeit des Webseitenbetreibers sowie der Erforderlichkeit einer Einwilligung der Betroffenen.

  • Webseitenbetreiber und Facebook sind gemeinsame Verantwortliche

Eine klare Entscheidung hat der EuGH in seinem Urteil in der Sache Verbraucherzentrale NRW gegen FashionID (Urteil vom 29. Juli 2019, C-40/17) nun zur Frage der Verantwortlichkeit getroffen. Nach Ansicht des Gerichtshofs ist der Webseitenbetreiber, der das Social Plugin auf der eigenen Seite installiert für jede Datenverarbeitung die er damit verursacht hat und kontrollieren kann Verantwortlicher im Sinne der DS-GVO und zwar gemeinsam mit Facebook. Das bedeutet, dass der Webseitenbetreiber und Facebook gemeinsame Verantwortliche im Sinne der DS-GVO bezüglich der Erhebung der Besucherdaten sowie deren Weiterleitung an Facebook sind. Dies hat zur Folge, dass diesbezüglich der Webseitenbetreiber sowohl für die Rechtmäßigkeit der Verarbeitung sorgen als auch die Betroffenen ausreichend informieren muss. Für die weitere Verarbeitung ist Facebook nach Ansicht des EuGH allerdings allein Verantwortlicher, da der Webseitenbetreiber diesbezüglich weder Zweck noch Mittel der Verarbeitung mitbestimmen kann.

  • Entscheidung zu Erforderlichkeit einer Einwilligung

Nach wie vor nicht entschieden ist die Frage nach der Erforderlichkeit einer Einwilligung zur Erhebung und Weiterleitung der Besucherdaten. Als Rechtsgrundlage für die Datenverarbeitung kommt neben einer Einwilligung lediglich ein berechtigtes Interesse der Verantwortlichen nach Art. 6 Abs. 1 lit f) DS-GVO. Eine Entscheidung hierüber muss nun das OLG Düsseldorf im Verfahren gegen Fashion ID treffen. Websitebetreiber sind weiterhin auf der sichereren Seite, wenn sie die bereits bekannte Zwei-Klick-Lösung umsetzen. Dabei sind die Buttons standardmäßig inaktiv und müssen erst durch die Besucher nach erfolgter Belehrung aktiviert werden.

Sie benötigen anwaltliche Beratung im Datenschutzrecht? Gerne setzen wir uns für Ihre Sache ein. Melden Sie sich jetzt zu einem Erstgespräch mit einem unserer Rechtsanwälte für Datenschutzrecht.

RAin Lara Herning

Call Now ButtonKontakt aufnehmen