Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

DSGVO Einwilligungserklärung: Alle Infos auf einen Blick







Wie Sie als Verantwortlicher eine rechtmäßige Einwilligung über die Verarbeitung personenbezogener Daten bei den betroffenen Personen einholen und was Sie dabei beachten müssen, um am Ende keinen Datenverstoß zu begehen.

Als Verantwortlicher für die Verarbeitung personenbezogener Daten dürfen Sie diese nur verarbeiten, wenn eine Rechtsgrundlage Ihnen dies erlaubt. Eine Rechtsgrundlage stellt die Einwilligung der betroffenen Personen in die Verarbeitung der personenbezogenen Daten dar. Hierbei gilt es zu beachten, dass eine Einwilligung gewissen gesetzlichen Voraussetzungen unterliegt. Wir möchten Ihnen einen ersten Überblick über die Thematik „Einwilligungserklärung“ geben und die Besonderheiten sowie Voraussetzungen näher erläutern.

Wer muss eine Einwilligungserklärung bei den betroffenen Personen einholen?

Wenn Sie für die Datenverarbeitung verantwortlich sind, dann benötigen Sie unter Umständen eine Einwilligungserklärung. Wer Verantwortlicher ist definiert die DSGVO in Art. 4 Nr. 7. Hiernach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn Sie (auch gemeinsam mit anderen) über die Verarbeitung der personenbezogenen Daten entscheiden, also festlegen, welche Daten von wem, wann erhoben werden, sind Sie Verantwortlicher für eine Datenverarbeitung und müssen nun darüber nachdenken, ob Sie eine Einwilligungserklärung bei den betroffenen Personen einholen müssen oder können.

Wann benötigen Sie eine Einwilligungserklärung?

Wollen Sie als Verantwortlicher personenbezogene Daten verarbeiten, so dürfen Sie dies  nur wenn Sie die Datenverarbeitung auf eine Rechtsgrundlage stützen können.  Art. 6 Abs. 1 DSGVO nennt Ihnen verschiedene Rechtsgrundlagen aufgrund derer Sie personenbezogene Daten verarbeiten dürfen. Mögliche Rechtsgrundlagen für die Datenverarbeitung stellen der Vertrag oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b) DSGVO), eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO), die Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO), eine im öffentlichen Interesse liegende Aufgabe und Ausübung öffentlicher Gewalt sowie die Einwilligung dar.

Auf mindestens eine dieser Rechtsgrundlagen muss die Verarbeitung personenbezogener Daten beruhen. Es ist möglich, dass Sie die Datenverarbeitung auch auf mehrere Rechtsgrundlagen stützen können, dann sind Sie als Verantwortlicher in der Wahl der Rechtsgrundlage frei. Eine zusätzliche Einholung einer Einwilligungserklärung ist möglich. Allerdings muss die betroffene Person darüber unterrichtet werden, dass die Verarbeitung nicht nur auf dieser Einwilligung beruht, sondern eine weitere oder mehrere Rechtsgrundlagen die Verarbeitung stützen. Sollte eine Verarbeitungspflicht für Sie bestehen, etwa aus steuer- oder handelsrechtlichen Gründen, so können Sie keine Einwilligung bei den betroffenen Personen einholen.

Wollen Sie eine auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhenden Entscheidung treffen, benötigen Sie ebenfalls eine Einwilligungserklärung der betroffenen Personen (Art 22 DSGVO).

Bitte beachten Sie, dass eine zusätzliche Einholung einer Einwilligungserklärung bei bereits vorliegender und einschlägiger Rechtsgrundlage als zusätzliche Rechtsgrundlage möglich ist. Unterschieden werden muss dies von der pauschalen zur Sicherheit einholenden Einwilligungserklärung. Diese ist unzulässig, da eine Einwilligungserklärung der Zweckbindung unterliegt.


In was können die betroffenen Personen einwilligen?

Die betroffenen Personen können in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Soweit es sich hierbei um sensible Daten (Art. 9 DSGVO) handelt, ist eine Einwilligung zwingend erforderlich. Sensible Daten sind z.B. Gesundheitsdaten oder Daten aus denen sich die rassische und ethnische Herkunft hervorhebt.


Was ist eine Einwilligung?

Was unter einer Einwilligung zu verstehen ist definiert die DSGVO. Gemäß Art. 4 Nr. 11 DSGVO ist die Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen betätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Um die Bedeutung der Definition zu verstehen, gebietet sich ein Blick auf die Voraussetzungen.


Was sind die Voraussetzungen einer wirksamen Einwilligungserklärung?

Die Voraussetzungen der Einwilligungserklärung ergeben sich durch eine Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DSGVO i.V.m. Erwägungsgründen.

Die Einwilligungserklärung hat folgende inhaltliche Anforderungen:

  • Freiwillig

Die Einwilligung muss von der betroffenen Person freiwillig erklärt werden. Es sollte nur dann davon ausgegangen werden, dass die betroffenen Personen ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen (Erwägungsgrund 42 Satz 5 zur DSGVO). Sie sollten als Verantwortlicher nachweisen können, dass die einwilligende Person die Erklärung freiwillig abgegeben hat.

  • Einzelfall

Eine Einwilligungserklärung muss stets für einen bestimmten Fall bei den betroffenen Personen eingeholt werden. Sie können als Verantwortlicher keine Sammeleinwilligungen einholen.

  • Unmissverständlich

Eine weitere Voraussetzung ist, dass die einwilligende Person ihre Einwilligung unmissverständlich zum Ausdruck gebracht hat. Dies kann in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen betätigenden Handlung erfolgen (Art. 4 Nr. 11 DSGVO, Erwägungsgrund 32 zur DSGVO).

  • Zweckbindung

Die betroffene einwilligende Person muss ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs.1 lit. a) DSGVO). Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Bitte beachten Sie, dass Sie aus diesem Grund keine pauschale Einwilligungserklärung bei den betroffenen Personen einholen können, sondern der Zweckbindung unterliegen.

  • In informierter Weise

Damit die betroffene Person in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden (Wortlaut: Erwägungsgrund 42 Satz 4 zur DSGVO). Es genügt nicht nur, dass Sie als Verantwortlicher die Datenverarbeitung auf einen Zweck stützen können, weiterhin ist es erforderlich, dass Sie diesen Zweck der betroffenen Person nennen.

  • Hinweis auf Risiken

Sollten Sie eine Einwilligungserklärung der betroffenen Person vorlegen, so sollten Sie den Einwilligenden auf etwaige bestehende Risiken hinweisen, die durch die Verarbeitung der personenbezogenen Daten bestehen.

  • Form

Die Erklärung kann schriftlich, elektronisch oder auch mündlich erfolgen (Erwägungsgrund 32 DSGVO). Sie als Verantwortlicher müssen die Einwilligung im Zweifel nachweisen und somit empfiehlt es sich eine schriftliche oder elektronische Erklärung einzuholen, um besser der Nachweispflicht genügen zu können. Eine elektronische Erklärung könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen. Die betroffene Person muss hierbei in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisieren. Stillschweigen, bereits angekreuzter Kästchen (sog. Opt-Out) oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen (Erwägungsgrund 32 zur DSGVO).

Weiterhin sollte vom Verantwortlichen eine vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Die Einwilligungserklärung sollte in einer klaren und einfachen Sprache formuliert sein und sie sollte keine missbräuchlichen Klauseln beinhalten.

  • Belehrung über Widerruf

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Wo werden Einwilligungserklärungen aufbewahrt?

Ob Sie nun einen Ordner anlegen, in dem Sie alle Einwilligungserklärungen aufbewahren oder die jeweiligen Einwilligungserklärungen in fall- oder auftragsbezogenen Akten aufbewahren, bleibt Ihnen überlassen. Wir empfehlen Ihnen in Ihrem Unternehmen ein Datenschutzmanagementsystem zu etablieren, welches Ihnen das Auffinden und Pflegen der Einwilligungserklärungen ermöglicht. Sie sollten den für Ihr Unternehmen besten Weg wählen, um im Falle einer etwaigen Nachweispflicht nachkommen zu können.

Wie gehen Sie vor, wenn die betroffene Person ihre Einwilligungserklärung widerruft?

Sollte ein Widerruf bei Ihnen eingehen, sollten Sie diesen Widerruf dokumentieren und in Ihre Unterlagen einpflegen. Sie sollten dafür Sorge tragen, dass ab dem Zeitpunkt des Widerrufs eine Verarbeitung der widerrufenen Personen bezogenen Daten zeitnah unterbunden und verhindert wird. Ab dem erfolgten Widerruf haben Sie keine Rechtsgrundlage, die Ihnen eine Datenverarbeitung der widerrufenden Person gestattet. Sie laufen, ohne zeitnahe Reaktion, Gefahr einen Datenverstoß zu begehen.

Die widerrufenen Einwilligungserklärungen müssen Sie weiterhin aufbewahren. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 

Was passiert, wenn Sie keine Einwilligungserklärungen bei den betroffenen Personen eingeholt haben?

Sollten Sie keine Einwilligungserklärung bei den betroffenen Personen eingeholt haben und dennoch personenbezogene Daten verarbeiten, stellt dies einen Datenverstoß dar. Datenverstöße werden mit hohen Bußgeldern geahndet.


Was ist zu tun, wenn Sie vor Einführung der DSGVO Einwilligungserklärungen eingeholt haben?

Sollten Sie vor Einführung der DSGVO (vor dem 25. Mai 2018) Einwilligungserklärungen bei den betroffenen Personen eingeholt haben, so sind diese nicht automatisch unwirksam. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO mit ihr in Einklang gebracht werden (Erwägungsgrund 171 zur DSGVO). Unter Umständen kann es erforderlich sein, erneut eine Einwilligungserklärung bei den betroffenen Personen einzuholen.

Fazit:

Die Einwilligungserklärung der betroffenen Personen ist ein datenschutzrechtlich komplexes Thema und bringt viele Besonderheiten mit sich. Um am Ende keinen Datenverstoß zu begehen und die Daten Ihrer Kunden rechtmäßig zu verarbeiten, empfehlen wir Ihnen die Beauftragung unserer Rechtsanwälte und Rechtsanwältinnen für Datenschutz.

Sie suchen nach einer Plattform zum Datenschutz, um sich weiterzubilden?


Besuchen Sie uns auf unserer Datenschutz-Plattform: www.kolbcom.de. Wir haben für Sie als Verantwortlichen und für Ihre Mitarbeiter eine Plattform geschaffen, auf der Sie sich online auf dem Gebiet des Datenschutzes weiterbilden können.  

Call Now ButtonKontakt aufnehmen