Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, wie eine wirksame Einwilligung zur Nutzung personenbezogener Daten beschaffen sein muss.
Die Datenschutzgrundverordnung ist sehr restriktiv, was die Wirksamkeit einer Einwilligung angeht. In vielen Fällen erklärt sie eine Einwilligung, die eigentlich vorliegt, für unbeachtlich.
Eine Einwilligung muss insbesondere den folgenden Kriterien entsprechen:
- Bezogen auf einen bestimmten Fall und einen bestimmten Zweck: Eine „Pauschaleinwilligung“ wäre unwirksam. Sie muss sich auf einen konkreten Fall beziehen, nicht auf eine eher abstrakt beschriebene Vielzahl von Fällen. Und sie muss den Verarbeitungszweck konkret benennen, eine zu abstrakte Beschreibung führt zur Unwirksamkeit.
- Freiwillig: Eine Einwilligung ist nach dem Konzept der Datenschutzgrundverordnung nur dann „freiwillig“, wenn der Einwilligende die „echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (Erwägungsgrund 42). Die Datenschutzgrundverordnung verlangt hier eine Abwägungsentscheidung.
- In informierter Weise: Die einwilligende Person muss wissen, dass und in welchem Umfang die Einwilligung erteilt wird. Vor allem sollte die Einwilligung klar auf eine bestimmte verantwortliche Stelle bezogen sein, auf die sich die Einwilligung bezieht. Gleichzeitig sollte der Einwilligende auf die Möglichkeit hingewiesen werden, die Einwilligung mit Wirkung (nur) für die Zukunft auch widerrufen zu können.
- Unmissverständlich: Sowohl das Ersuchen um Einwilligung als auch die Einwilligung selbst sollten in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen. Es besteht aber kein strenger Schriftformvorbehalt. Es reicht jede Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, aus der sich ergibt, dass der Einwilligende mit der Verarbeitung der Daten einverstanden ist. Es gilt allerdings ein generelles „Opt-In“-Prinzip, d.h. reines Schweigen bzw. Untätigbleiben gilt nicht als Einwilligung. Vorausgewählte Checkboxen führen deshalb nicht zu einer wirksamen Einwilligung.
- Nachweisbar: Das reine Behaupten einer Einwilligung reicht im Zweifelsfall (z.B. in einem Gerichtsverfahren oder bei Audits einer Behörde) nicht aus. Die Beweispflicht für das Vorliegen einer Einwilligung liegt bei der verantwortlichen Stelle.
- Vereinbar mit AGB-Recht: Einwilligungsklauseln unterfallen darüber hinaus häufig auch der allgemeinen AGB Inhaltskontrolle. Sie sind also z.B. auch dann unwirksam, wenn sie „missbräuchlich“ oder „überraschend“ sind.
Insgesamt sind die Vorgaben für wirksame Einwilligungserklärungen so eng geworden, dass Datenverarbeitungen, die sich ausschließlich auf Einwilligungserklärungen stützen in vielen Fällen in eine rechtliche Grauzone geraten.
Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download
Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.elaine.io/checkliste-datenschutzgrundverordnung
Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung