Zum Inhalt springen Zur Navigation springen
Die Verschlimmbesserung der Einwilligung nach DSGVO

Die Verschlimmbesserung der Einwilligung nach DSGVO

Die aktuelle allgemeine Verunsicherung rund um die Datenschutz-Grundverordnung führt in letzter Zeit dazu, dass Unternehmen für Datenverarbeitungen jeglicher Art eine Einwilligung einfordern. In vielen Fällen sind die Einwilligungen jedoch weder korrekt eingeholt, noch rechtlich erforderlich. Folge der Einwilligungsschwemme ist ein erheblicher Organisations- und Dokumentationsaufwand, eine Einwilligungsmüdigkeit bei den Betroffenen und im Ergebnis keine rechtskonforme Datenverarbeitung.

Anlass und Ausmaß der Einwilligungsschwemme

Anlass der zahlreichen Einwilligungen ist sicherlich die große Rechtsunsicherheit der DSGVO und damit einhergehend eine Art „Massenpanik“. Da nahezu jedes Unternehmen überarbeitete Einwilligungsklauseln an Geschäftspartner versendet, ist dies für viele weitere Unternehmen Anlass, hier gleich zu ziehen. Überspitzte und sogar fehlerhafte Medienberichte tun ihr übriges. Ein weit verbreiteter Irrglaube ist außerdem, mit einer Einwilligung „gehe man auf Nummer sicher“. Dieser Einwilligungstrend zeichnet sich speziell durch folgende Klauseln aus:

„Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu“

„Ich stimme der Datenschutzerklärung und den AGB zu“

„Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu“.

Die Einwilligung ist nicht unbedingt die bessere Lösung, …

… denn sie hat einige Fallstricke und Schwachstellen. Diese wären:

  • Die Einwilligung muss konkret und für verschiedene Verarbeitungszwecke separat erfolgen. Das erfordert, dass die jeweiligen Verarbeitungszwecke transparent herausgearbeitet und wenn erforderlich durch separate Opt-in-Optionen angeboten werden müssen. An die richtige Darstellung der Einwilligungserklärung sind damit mitunter hohe Hürden gesteckt.
  • Das Erfordernis der Freiwilligkeit muss gewahrt werden. Das bedeutet u.a. auch, dass die Erfüllung eines Vertrages nicht von einer Einwilligung abhängig sein darf (Koppelungsverbot).
  • Es muss das Widerrufsrecht eingeräumt werden. Wer seine Datenverarbeitung auf eine Einwilligung stützt, muss also damit rechnen, dass dies nicht von Dauer ist. Es müssen außerdem Möglichkeiten und Prozesse zur Ausübung und Dokumentation der Widerrufsmöglichkeit geschaffen werden.
  • Es muss auch über die Folgen des Widerrufs informiert werden. Unterbleibt eine Belehrung, mangelt es an der Freiwilligkeit.
  • An Einwilligungen im Beschäftigungsverhältnis sind strengere Anforderungen gesetzt. Eine Einwilligung ist die Ausnahme! Gut verständlich sind die Beispiele im Kurzpapier Beschäftigtendatenschutz, z.B. für Zusatzleistungen des Arbeitgebers, wie die private Nutzung  dienstlicher Fahrzeuge, von Telefon und EDV-Anlagen. Weitere Beispiele finden Sie im Ratgeber Beschäftigtendatenschutz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (z.B. zur Veröffentlichung von Mitarbeiterfotos).
  • Und das Wichtigste zum Schluss: Ist eine Einwilligung widerrufen worden oder nicht rechtskonform eingeholt, ist ein Rückgriff auf einen gesetzlichen Tatbestand ausgeschlossen.

Beispiele für die Anforderungen an die Einwilligung finden Sie im WP259 der Artikel-29-Datenschutzgruppe.

Wann ist eine Einwilligung erforderlich?

Es gibt Fälle, die nur auf Basis einer Einwilligung datenschutzrechtlich möglich sind. Oftmals kommt es jedoch auch auf die individuelle Datenverarbeitung an. Beispiele, bei denen eine Einwilligung erforderlich ist, liefern u.a. die aktuellen Tätigkeitsberichte der Aufsichtsbehörden und DSK-Kurzpapiere:

  • Werbung per Telefon / E-Mail (Ausnahme Bestandskundenwerbung)
  • Tonbandaufnahmen im Call-Center
  • Fotos der Mitarbeiter im Intranet
  • Weitergabe von E-Mail-Adressen zur Sendungsverfolgung an Transportdienstleister

Datenverarbeitungen wenn möglich auf gesetzliche Erlaubnisse stützen

In der Regel existieren für eine Vielzahl an Datenverarbeitungen – sei es im Rahmen der Kundenbeziehung oder des Beschäftigungsverhältnisses – schon gesetzliche Erlaubnistatbestände. Die Einwilligung ist hingegen kein Allheilmittel und bietet wegen ihrer hohen Formanforderung nicht unbedingt mehr Rechtssicherheit.

In vielen Fällen ist es daher die bessere Option, die Datenverarbeitung auf eine Rechtsgrundlage zu stützen. Da vieles im Datenschutz eine Einzelfallentscheidung ist, dürfe für die Zulässigkeit eher entscheidend sein, ob die Grundsätze der Transparent, Datensparsamkeit sowie Löschfristen eingehalten werden.

Weitere Informationen zur Einwilligung mit Links zu Meinungen von Datenschutzbehörden und Fachbeiträgen finden Sie hier:
dsgvo-gesetz.de/themen/einwilligung

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Leider scheinen viele Firmen übervorsichtig oder einfach nur schlecht beraten zu sein.
    Anders kann ich es mir nicht erklären, dass viele nur noch Verarbeitungen im Auftrag oder die Einwilligung als Rechtsgrundlage sehen.

    Das nervt einfach nur noch, wenn man ständig mit den Anfragenden diskutieren muss, warum die denn jetzt ernsthaft der Meinung sind, dass wir explizit für die Verarbeitung unserer Daten bei einem normalen Handelsgeschäft einwilligen müssen oder warum für so ein Geschäft auf einmal ein AV-Vertrag notwendig ist.

    Damit tut man dem Datenschutz einen Bärendienst.

  • Hallo, meistens geht es doch bei den Kontaktaufnahmen um die dokumentierte Informationspflicht nach Art. 13/14. Da herrscht bei Vielen Unsicherheit, wie sie die schon vorhandene Verarbeitung nur mit dem ersten Argument aus Erwägungsgrund 62, „…erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat…“, ggf. nachweisen können.

  • Hallo Dr. Datenschutz.

    Den Punkt verstehe ich nicht ganz:
    „Und das wichtigste zum Schluss: Ist eine Einwilligung widerrufen worden, oder nicht rechtskonform eingeholt, ist ein Rückgriff auf einen gesetzlichen Tatbestand ausgeschlossen.“

    Würde das bedeuten, dass dann Aufbewahrungspflichten aus HGB, etc. nicht mehr einzuhalten wären? Oder sind diese dann durch andere Tatbestände begründet?

    Danke für die Klärung.

    • Nein, diese Aussage bezieht sich nur auf den Verarbeitungszweck, für den die Einwilligung ursprünglich eingeholt wurde. Wenn Sie z.B. eine Einwilligung für einen konkreten Verarbeitungsvorgang widerrufen wurde oder rechtlich nicht haltbar ist, können Sie die Datenverarbeitung z.B. nicht alternativ auf das berechtigte Interesse stützen..

      Davon unabhängig ist jedoch die Frage der gesetzlichen Aufbewahrungspflichten. Hierzu sind Sie bereits nach Art. 6 Abs. 1 lit c DSGVO berechtigt. Eine Einwilligung ist hier nicht erforderlich.

  • Brauche ich als Heilpraktikerin von dem Patienten eine „Einwilligungserklärung in die Datenverarbeitung“, wenn ich die Patientenakten, und die Kontaktdaten nicht an dritte weiterleite?
    Sollte ein Patient diese Einwilligungserklärung wiederrufen, muß ich dann die Akten trotzdem 10 Jahre aufheben, oder alles Löschen?

    • Grundsätzlich ist eine Einwilligung nicht erforderlich, wenn die Datenverarbeitung zum Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik oder Behandlung und Versorgung im Gesundheitswesen erfolgt (Art. 9 Abs. 2 lit h DSGVO). Die Datenverarbeitung ist dann schon aufgrund des Behandlungsvertrages zulässig. Die Patientenakten müssen auch nach Widerruf einer Einwilligung aufbewahrt werden. Die Aufbewahrungspflicht ist gesetzlich geregelt und damit verpflichtend.

      Konkretere Informationen und Handlungsempfehlungen finden Sie sicherlich bei den Berufsverbänden der Heilpraktiker.

  • Zur Privatnutzung von Internet und E-Mail, Fotos im Intranet kann ich keine Beispiele in dem verlinkten DSK-Kurzpapier finden?

    • In Abschnitt II des Kurzpapieres steht, dass die Einwilligung überwiegend dann zum Einsatz kommt, wenn Gegenstand der Datenverarbeitung nicht das Arbeitsverhältnis als solches betrifft, sondern eine freiwillige Zusatzleistung des Arbeitgebers, wie z.B. die private Nutzung von Telefon und EDV-Anlagen. Unter die private Nutzung von Telefon-und EDV-Anlagen fällt üblicherweise die Privatnutzung von Internet-und E-Mail am Arbeitsplatz. Bei der Nutzung von Fotos im Beschäftigtenverhältnis handelt es sich in der Regel auch um einen klassischen Fall, in dem es an der Erforderlichkeit des § 26 BDSG fehlt, und daher nur eine Einwilligung in Betracht kommt. Natürlich kommt es aber auch hier immer auf dem Einzelfall an. Da es sich hier nicht um ein wörtliches Zitat des Kurzpapieres handelt, haben wir die Textpassage zur Vermeidung von Missverständnissen angepasst.

  • Hallo Dr. Datenschutz,
    „Werbung per Telefon / E-Mail (Ausnahme Bestandskundenwerbung)“: Bedeutet das, dass ich für meinen Newsletter an Bestandskunden keine Double-Opt-In-Einwilligung hätte einholen müssen?

    • Das kommt darauf an, was mit dem Newsletter beworben wird. Lässt sich der Inhalt des Newsletters unter § 7 Abs. 3 UWG subsumieren (eigene ähnliche Produkte und Dienstleistungen) und sind auch die übrigen Voraussetzungen erfüllt ( Bestandskunde, kein Werbewiderspruch, Hinweispflicht bei Erhebung und in jeder werblichen Ansprache), ist keine Einwilligung erforderlich. Ein Double-Opt-In ist auch nur zur Verifizierung der E-Mail-Adresse erforderlich.

  • Hallo Dr.Datenschutz,
    unser Arbeitgeber hat eine Information versendet, in der er bekannt gibt, dass die Kollegen ihre Einwilligung zu Fotoaufnahmen auf der Betriebsfeier schon mit ihrer Teilnahme an der Feier geben.Wer damit nicht einverstanden ist sollte dieser Feier gleich ganz fernbleiben. Ist das ausreichend und rechtssicher? Vielen Dank im Voraus!

    • Ich bezweifele, dass hier von einer rechtskonformen Einwilligung ausgegangen werden kann. Der Einwilligungstext scheint nicht hinreichend konkret. Es müsste zumindest noch angegeben werden, wo und wie die Fotos anschließend verwendet werden. In der hier beschriebenen Form wäre, wenn überhaupt, nur das Fotografieren zulässig, nicht jedoch das Veröffentlichen.
      Außerdem müssten Sie darauf hingewiesen werden, dass Sie selbstverständlich die Möglichkeit haben, Ihre Einwilligung zu widerrufen.
      Davon abgesehen ist sehr fraglich, ob alleine die Teilnahme an der Feier schon als Einverständnis gewertet werden kann und die Anforderungen des Erwägungsgrundes 32 erfüllt. Zudem erfordert § 26 Abs. 3 BDSG-Neu grundsätzlich die Schriftform für Einwilligungen im Beschäftigungsverhältnis. Es ist demnach problematisch, ob und wie eine Einwilligung in diesen Fällen taugliche Rechtsgrundlage sein kann.

  • Hallo!
    Ist es erforderlich, dass der „Versicherungsvertreter“ einer eigenständigen Vermögensberatung meiner Wohngebäudeversicherung, also nicht angestellter der Versicherung jedoch offiziell als Ansprechpartner/Betreuer im Vertrag aufgeführt, eine Datenschutzerklärung/Einwilligung einholt?
    Hier müsste doch Art.6 (1) b DSGVO greifen, welche die Verarbeitung ohne Einwilligung gestattet.
    In dem Schreiben wird mir mitgeteilt, dass ohne meiner Einwilligung: „..können wir bzw. der Berater Sie nicht mehr betreuen“.
    Das glaube ich nicht! Ich vermute hier den Hintergrund, mit meiner Einwilligung über den DSGVO – Rahmen hinaus, meine Daten weiterzugeben, da ich auch der Weitergabe an Berater, die mich „indirekt beraten“, zustimmen würde. Zudem wird mit der Einwilligung auch der Verarbeitung von „..sogenannten besonderen Arten von personen bezogenen Daten…“ zugestimmt.
    Wie beurteile Sie das?

    • Bei der Rechtsgrundlage ist grds. zu differenzieren:
      Artikel 6 Abs. 1 lit. b DSGVO legitimiert die Verarbeitung der Daten für vertragliche und vorvertragliche Maßnahmen. Hier wäre die Verarbeitung durch die Wohngebäudeversicherung wohl abgedeckt. Bei den vorvertraglichen Maßnahmen kommt hinzu, dass diese Maßnahmen auf Anfrage der betroffenen Person erfolgen. Für die Verarbeitung durch eine dritte Stelle oder wenn die Anfrage nicht durch die betroffene Person erfolgte, genügt diese Rechtsgrundlage somit nicht.

      Somit ist hier zu fragen, inwieweit Artikel 6 Abs. 1 lit. b DSGVO auch die Verarbeitung Ihrer Daten im Rahmen einer Vermögensberatung abdecken kann, wenn der Vertrag nach Ihren Angaben nur im Rahmen der Wohngebäudeversicherung besteht. Es erscheint bei einem ersten groben Überblick nicht abwegig, eine alternative Rechtsgrundlage heranzuziehen. Nach dem Grundsatz der Transparenz müssen Sie genau informiert werden, wie Ihre Daten – auch im Rahmen einer Einwilligung – verarbeitet werden.

      Wir können im Rahmen des Blogs nicht zu einzelnen Fällen beraten, aber in komplexen Strukturen empfehlen wir genau zu differenzieren und abzugrenzen.

  • Vielen Dank, sehr informativ. Doch eine grundsätzliche Frage aus Eigeninteresse. Wenn ich von jemandem z.B. zwecks einer Bewerbung direkt kontaktiert werde, liegt ja erstmal eine Einwilligung der Datenverarbeitung über das gewählte Medium vor. Ich würde dann den Eingang der Bewerbung bestätigen und die Datenschutzhinweise in dieser Mail mitübersenden.
    Dann benötige ich jedoch keine anschließende Bestätigung der Kenntnisnahme des Bewerbers, also eine erneute Rückmeldung des Bewerbers. Sondern bin meinen Informationspflichten dann ausreichend nachgekommen, oder sehen Sie dies anders?

    • Genau, Informationspflichten müssen bei Erhebung der personenbezogenen Daten übermittelt werden. Im Bewerbungsverfahren können diese entweder per Datenschutzerklärung in ein Bewerbertool integriert werden, oder die Informationspflichten werden mit der Bestätigungsmail übermittelt. Eine Unterschrift bzw. Bestätigung der Kenntnisnahme durch den Betroffenen ist hingegen nicht erforderlich.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.