Sie ist der wohl größte Star der DSGVO: die Einwilligung. Gleichzeitig führt sie immer wieder zu Fragen und Verwirrungen. Deswegen widmet sich dieser Beitrag einzig und allein diesem zentralen Begriff. Er enthält die Basics zur Einwilligung im Datenschutz und zeigt auf, was es unbedingt zu beachten gilt und wo selbst die Einwilligung an ihre Grenzen gerät.
Der Inhalt im Überblick
- Einwilligung als Grundrechtsausübung im Datenschutz
- Die Einwilligung als Rechtsgrundlage für die Datenverarbeitung
- Anforderungen an eine Einwilligungserklärung nach der DSGVO
- Unterschied zwischen Einwilligung und ausdrücklicher Einwilligung
- Widerruf der Einwilligung
- Das Verhältnis der Einwilligung zu den anderen Rechtsgrundlagen
- Erlischt eine einmal erteilte Einwilligung nur durch Zeitablauf?
- Die Einwilligung als zentraler Begriff der DSGVO
Einwilligung als Grundrechtsausübung im Datenschutz
Die Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten ist ein zentraler Bestandteil des Datenschutzrechts. Datenschutz ist Grundrechtsschutz. Es geht darum, dass der Einzelne ein Recht auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung hat. Hinter letzterem Begriff verbirgt sich nichts anderes als das Recht eines jeden Bürgers, selbst zu bestimmen, wer welche Informationen über ihn erhält. Garantiert werden dieses Rechte sowohl durch das Grundgesetz (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG), als auch durch die Charta der Grundrechte der Europäischen Union, die in Artikel 8 sogar ausdrücklich die personenbezogenen Daten des Einzelnen schützt.
Grundrechte sind in erster Linie Abwehrrechte gegen den Staat, die aber die Möglichkeit bieten, diese Abwehrrechte durch sog. einfachgesetzliche Regelungen auszugestalten. Solch ein Gesetze ist z.B. das Bundesdatenschutzgesetz (BDSG). Die seit Mai 2018 anzuwendende Datenschutz-Grundverordnung ist dagegen höherrangiges Recht und regelt in unmittelbarer Anwendung, wie die von ihr betroffenen Persönlichkeitsrechte konkret ausgestaltet sind und wem gegenüber sie gelten sollen. Letzteres ist auch für den Datenschutz wichtig, da ein Recht auf Privatsphäre nicht nur gegenüber dem Staat gilt, sondern auch gegenüber nicht-öffentlichen Stellen wie etwa Unternehmen aus der Wirtschaft.
Durch die Einwilligung wird die betroffene Person in die Lage versetzt, über sein Persönlichkeitsrecht frei(er) zu verfügen und persönliche Informationen über sich selbst preiszugeben oder eben nicht. Zwar mehren sich in jüngerer Zeit die Stimmen, die die Einwilligung auch nachteilig sehen, weil dadurch die personenbezogenen Daten disponibel also frei gestaltbar und damit auch handelbar werden – mit der Folge, dass sich personenbezogene Daten immer stärker den Regeln des Kapitalismus unterwerfen und Objekt einer neuen Datenökonomie werden. Dennoch ist die Einwilligung in erster Linie eine Ermächtigung des Subjekts.
Die Einwilligung als Rechtsgrundlage für die Datenverarbeitung
In der DSGVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt, Art. 6 Abs. 1 Satz 1 DSGVO. Dieses Prinzip besagt, dass grundsätzlich jede Verarbeitung personenbezogener Daten rechtswidrig ist, außer es gibt im Einzelfall mindestens eine Rechtsgrundlage, auf der die jeweilige Verarbeitung beruht.
Die wohl bekannteste Rechtsgrundlage ist die Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO. Daneben gibt es aber noch fünf weitere explizite Rechtsgrundlagen, die allesamt gegenüber der Einwilligung gleichwertig sind, also genauso die Verarbeitung personenbezogener Daten rechtfertigen können.
Für besonders sensible Daten – die DSGVO spricht in Art. 9 DSGVO von besonderen Kategorien personenbezogener Daten – gelten strengere Regeln in Bezug auf die Rechtmäßigkeit der Verarbeitung. Aber auch hier können mit einer (ausdrücklichen) Einwilligung Daten verarbeitet werden. Im Übrigen findet die Einwilligung auch noch an weiteren Stellen der DSGVO Erwähnung, beispielsweise beim Profiling oder auch der Verarbeitung in anderen Ländern außerhalb der EU.
Anforderungen an eine Einwilligungserklärung nach der DSGVO
Der folgende Abschnitt beschäftigt sich mit den Anforderungen, die eine wirksame Einwilligungserklärung nach der DSGVO erfüllen muss. Grundlage aller Überlegungen ist die Definition in Art. 4. Nr. 11 DSGVO: Die „Einwilligung“ der betroffenen Person ist
„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […].“
Freiwilligkeit der Einwilligung
Die Abgabe der Einwilligungserklärung des Betroffenen muss absolut freiwillig erfolgen. Eine solche Freiwilligkeit liegt nur dann vor, wenn der Betroffene eine echte und freie Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen kann, ohne Nachteile zu erleiden (Erwägungsgrund 42).
Im Rahmen der Freiwilligkeit der Einwilligung muss auch das sog. Kopplungsverbot der DSGVO beachtet werden. Dieses besagt, dass bereits dann keine Freiwilligkeit im Sinne des Art. 4 Nr. 11 DSGVO vorliegt, wenn die Durchführung der beabsichtigten Verarbeitung (z.B. Vertragserfüllung bei einer Dienstleistung) von der Abgabe einer Einwilligungserklärung abhängig gemacht wird. Dies deckt sich auch mit Erwägungsgrund 43 Satz 2:
„Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Transparenz und Informiertheit des Einwilligenden
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden (Art. 7, 13 und 14 DSGVO). Dabei müssen alle weiteren, für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein (Erwägungsgrund 32). Der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren.
In welcher Form muss die Einwilligung abgegeben werden?
Die DSGVO gibt keine zwingende Form der Einwilligungserklärung vor – auch nicht die Schriftform. Der Erwägungsgrund 32 der DSGVO präzisiert dahingehend, dass die Einwilligung „etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“ erfolgen kann. Eine gesetzliche Verpflichtung besteht nicht. Die Regelung des (alten) BDSG, wonach grundsätzlich ein Schriftformerfordernis vorliegt, ist überholt.
Dennoch kann es ratsam sein, sich die Einwilligung in Schriftform oder zumindest elektronisch einzuholen, um die in Art. 7 Abs. 1 DSGVO angelegte Nachweispflicht zu erfüllen. Eine mündliche Einwilligungserklärung dürfte im Nachhinein schwierig nachzuweisen sein.
Einwilligungsfähigkeit
Um eine wirksame Einwilligungserklärung abgeben zu können, muss der Betroffene die erforderliche Einsichtsfähigkeit besitzen. Volljährigkeit ist keine zwingende Voraussetzung. Häufig wird bereits ab einem Alter von 16 Jahren eine ausreichende Einsichtsfähigkeit angenommen. Die Anforderungen an die Einwilligung von Kindern bei Diensten der Informationsgesellschaft sind in der DSGVO in Art. 8 noch einmal gesondert geregelt.
Unterschied zwischen Einwilligung und ausdrücklicher Einwilligung
Wie oben erwähnt gibt es neben der Einwilligung auch die ausdrückliche Einwilligung. Eine solche, über die „normale“ Einwilligung hinausgehende Erklärung ist dann gesetzlich vorgeschrieben, wenn die Risiken der Datenverarbeitung erhöht sind, was beispielsweise bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO der Fall ist oder bei automatisierten Entscheidungen (einschließlich Profiling) nach Art. 22 DSGVO. Der Unterschied besteht darin, dass eine konkludente Handlung für eine ausdrückliche Einwilligung nicht mehr ausreicht. Zudem muss in der ausdrücklichen Erklärung die jeweils besondere Verarbeitung Erwähnung finden.
Widerruf der Einwilligung
Der datenschutzrechtliche Verantwortliche muss sicherstellen, dass der Betroffene seine Einwilligung jederzeit widerrufen kann, damit er weiterhin über sein Persönlichkeitsrecht verfügen kann. Auch hierüber muss er vor der Abgabe der Einwilligung informiert werden.
Die Datenschutz-Grundverordnung bestimmt nämlich in Art. 7 Nr. 3 DSGVO, dass der Betroffene erstens ein Recht zum Widerruf seiner Einwilligung hat, er zweitens vor Abgabe der Einwilligung über sein Widerrufsrecht aufgeklärt werden muss und drittens der Widerruf der Einwilligung genauso leicht möglich sein muss, wie die Abgabe selbst.
Folge des Widerrufs ist, dass die Einwilligung mit Wirkung für die Zukunft erlischt. Die bisherigen Verarbeitungen, die auf der Grundlage der Einwilligung erfolgten, verbleiben damit also rechtmäßig. Lediglich Verarbeitungen nach erfolgtem Widerruf können nicht mehr auf die ursprüngliche Einwilligung gestützt werden.
Sollte eine Einwilligung ohne vollständige Widerrufsbelehrung eingeholt werden, kann dies zur Konsequenz haben, dass die Einwilligung unwirksam und die (eigentlich) darauf gestützte Verarbeitung rechtswidrig ist.
Das Verhältnis der Einwilligung zu den anderen Rechtsgrundlagen
Wie bereits oben festgestellt, ist die Einwilligung mit den anderen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO gleichrangig. Zudem kann eine Verarbeitung nach dem ausdrücklichen Wortlaut der Norm auf mehr als eine Rechtsgrundlage gestützt werden („mindestens eine der nachstehenden Bedingungen“).
Etwas komplizierter wird es jedoch dann, wenn sich die Einwilligung im Nachhinein doch als unwirksam erweist. Kann sich der Verantwortlich in einem solchen Fall einfach auf eine andere Rechtsgrundlage berufen, wie beispielsweise dessen überwiegende berechtigten Interessen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO?
Der Europäische Datenschutzausschuss lehnt einen solche Lösung ab und spricht von einem Rückgriffsverbot. Der Betroffene dürfe darauf vertrauen, dass im Falle einer erteilten Einwilligung die Verarbeitung auch nur und ausschließlich auf dieser Grundlage erfolgt.
Andere Stimmen aus Literatur und Rechtsprechung sind weniger rigoros, betonen aber gleichzeitig, dass im Kern die Grundsätze der Verarbeitung nach Treu und Glauben sowie die Transparenz für die betroffene Person (Art. 5 Abs. 1 lit. a DSGVO) entscheidend sind. Stützt sich der Verantwortliche gegenüber dem Betroffenen einzig auf die Verarbeitung auf Grundlage der Einwilligung, dürfte ein nachträglicher Wechsel der Rechtsgrundlage nicht ohne weiteres möglich sein. Insbesondere sind hier die Informationspflichten nach Art. 13 und 14 DSGVO zu beachten.
Erlischt eine einmal erteilte Einwilligung nur durch Zeitablauf?
Ob eine einmal erteilte Einwilligung durch Zeitablauf (irgendwann) erlischt, ist in der Fachwelt umstritten. Auf der einen Seite steht die grundsätzliche Idee des umfassenden Einverständnisses des Betroffenen in die Verarbeitung seiner personenbezogenen Daten. Dieses Einverständnis wird dabei – sofern nicht anders geregelt – ohne eine zeitliche Befristung abgegeben. Dies spiegelt sich auch in einzelnen gerichtlichen Entscheidungen wider, die eher keinen zeitlichen Ablauf einer einmal erklärten Einwilligung befürworten. Hierfür spricht u.a. auch der Umstand, dass die DSGVO gerade keine explizite Regelung enthält, die eine Einwilligung nach einem bestimmten Zeitraum auslaufen lässt.
Auf der anderen Seite ist (ein) Ziel der DSGVO auch der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 Abs. 1 DSGVO). Daraus resultieren eine gewisse Hoheit und Kontrolle über die eigenen Daten. Insofern könnte es vertretbar sein, eine Einwilligung jedenfalls nicht für einen unendlichen Zeitraum als gültig zu betrachten. Die Aufsichtsbehörden tendieren eher zu dieser Ansicht und befürworten einen Zeitablauf der Einwilligung.
Die Einwilligung als zentraler Begriff der DSGVO
Es zeigt sich: die Einwilligung ist einer der zentralen Begriffe der DSGVO! Die Relevanz für die Praxis kann dabei nicht genug betont werden. Wer personenbezogene Daten auf der Grundlage einer Einwilligung verarbeiten möchte, muss zwingend darauf achten, den Betroffenen umfassend über die Umstände der Erhebung und Verarbeitung (Zweck, Umfang etc.) zu informieren. Auf keinen Fall darf dabei das Widerrufsrecht vergessen werden. Zugleich muss die Erteilung einer Einwilligung immer freiwillig für den Betroffenen sein. Wer besondere Kategorien personenbezogener Daten – wie Gesundheitsdaten – verarbeiten möchte, muss sogar eine ausdrückliche Einwilligung vom Betroffenen einholen.
„Muss es weiterhin die Möglichkeit zum Widerruf geben?“
Nach geltendem Richt muss bei Offline-Einwilligungen nicht auf das Widerrufsrecht hingewiesen werden, nur nach dem TMG. Insofern ergibt sich ene Änderung
Wann bzw. für wen gilt die DSGVO?
Art. 3 DSGVO – Räumlicher Anwendungsbereich
Art. 99 DSGVO – Inkrafttreten und Anwendung
Wie sehen Sie das Verhältnis zum berechtigten Interesse und der Einwilligung? Wann spielt eine Einwilligung überhaupt noch eine Rolle? Können Sie Beispiele nennen? Vielen Dank!
Formal rechtlich ist das berechtigte Interesse und die Einwilligung gleich geordnet. Jedes für sich reicht aus, dass eine Verarbeitung rechtmäßig ist (siehe Art. 6 DSGVO). Ein praktisch relevantes Potential des berechtigten Interesses liegt wohl darin, dass Verarbeitungen, für die nur sehr schwer eine Einwilligung eingeholt werden kann, dennoch durch ein berechtigtes Interesse legitimiert werden können. Bsp.: Im Konzern Übermittlung von gewissen Personaldaten von den Töchtern zur Muttergesellschaft. Gleichwohl wird die Einwilligung ihre Daseinsberechtigung behalten. Bsp.: Verknüpfung des Surfverhaltens mit personenbezogenen Kontodaten eines Nutzer-Accounts. Hier ist kaum vorstellbar, dass die Grundrechte der Betroffenen das berechtigte Interesse nicht überwiegen. Allerdings könnten sich für diesen Fall – dies bleibt abzuwarten – Besonderheiten aus der geplanten E-Privacy-Verordnung ergeben.
Was passiert denn mit den bestehenden Einwilligungen? Müssen diese erneut eingeholt werden oder genügt eine Information über die Änderung der Datenschutzerklärung?
Zur Fortgeltung bestehender Einwilligungen haben sich die Aufsichtsbehörden bereits in einem Beschluss geäußert: https://www.lda.bayern.de/media/dk_einwilligung.pdf.
Außerdem finden Sie Informationen zur Fortgeltung der Einwilligung im Informationspapier der Bayrischen Aufsichtsbehörde: https://www.lda.bayern.de/media/baylda_ds-gvo_9_consent.pdf.
Hallo,
im Internet habe ich mich bereits zum Thema
EU-Datenschutz-Grundverordnung: schlau gemacht. Ich fand allerdings nur den Grund warum die Verordnung eingeführt wird. Allerdings nicht was ich konkret als kleiner e.V. Verein mit 50 Mitgliedern umsetzen muß.
Gilt das für uns „Mini juristische Personen“ in gleichem Maße ? Da könnte man ja dann seinen Job kündigen und nur noch Daten schützen.
Bitte beachten Sie die Handreichungen für kleine Unternehmen und Vereine des BayLDA:
https://www.lda.bayern.de/de/kleine-unternehmen.html
Hallo,
ich habe mich auch schon ausführlich mit der DSGVO habe aber noch folgende Frage:
Ich muss dem Kunden sagen was ich mit seinen Daten mache wenn er mir eine Anfrage über unsere Seite sendet. Sendet er mir eine Anfrage über das Anfrageformular kann ich einen „Haken“ einfügen den der Kunde anhaken muss damit er die Verarbeitung seiner Daten gelesen hat. Sollte der Kunde die Mailadresse aus dem Impressum kopieren umgeht er diesen Schritt mit der Bestätigung zur Verarbeitung seiner Daten.
Wie kann man dieses Problem in der Praxis beheben?
Vielen Dank im Voraus
Es dürfte auch im Rahmen des Kontaktformulars ausreichend sein, unter dem Kontaktformular eine datenschutzrechtliche Belehrung (Beispiel: „Wir verwenden Ihre über das Kontaktformular erhobenen personenbezogenen Daten nur zum Zwecke der Bearbeitung Ihres Anliegens.“) und einen Link zur Datenschutzerklärung ohne Checkbox einzufügen.
Nutzt der Kunde eine E-Mail-Adresse aus Ihrem Impressum, sollte von der Impressumsseite (wie am besten von jeder Ihrer Unterseiten) ein schnell auffindbarer Link zur Datenschutzerklärung führen. Dort muss erklärt sein, wie der Umgang mit Daten im Rahmen von Anfragen bei Ihnen aussieht.
Hallo,
unsere Newsletter-Datenbank wurde gemäß §7 Abs. 3 UWG rechtmäßig erstellt (ausschließlich E-Mail-Adressen, die uns unsere Kunden gegeben haben; ausschließlich unsere Produkte; Abmeldung jederzeit möglich). Eine gesonderte Einwilligung liegt nicht vor. Gilt das nach wie vor oder verlangt das DSGVO jetzt eine Einwilligungserklärung unserer Kunden? Wo finde ich den relevanten Absatz im DSGVO? Vielen Dank für eine Antwort!
Die Regelung des § 7 UWG wird durch die Anwendbarkeit der DSGVO nicht verdrängt. Sofern also Ihre Datenbank wie beschrieben unter den Voraussetzungen des § 7 Abs. 3 UWG aufgebaut wurde, können Sie diese weiter wie gewohnt nutzen und benötigen keine neuerliche Einwilligung.
Hallo, aus aktuellem Anlass stellt sich mir die Frage, was mit der Einwilligungserklärung passiert, wenn es eigentlich eine gesetzliche Grundlage zur Erhebung und Verarbeitung personenbezogener Daten gibt.
Um kurz etwas weiter auszuholen: Aufgrund der Corona-Pandemie werden einem ständig Blätter unter die Nase gehalten, die man mit seinen personenbezogenen Daten ausfüllen und damit bestätigen soll, dass man z.B. die Hygienevorschriften einer Einrichtung gelesen und verstanden hat und das man mit keinem Infizierten in Kontakt war bzw. selbst keine Symptome aufweist. Im Falle eines Falles werden die Daten an das zuständige Gesundheitsamt weitergeleitet. Die Erfassung und ggf. die Weiterleitung der Daten sind per Verordnung vorgeschrieben. Es gibt also eine gesetzliche Grundlage dafür, weshalb lediglich eine Informationspflicht besteht, aber meines Erachtens nach sich die Einwilligung erübrigt. Trotzdem findet sich unter den meisten dieser Blätter ein Ankreuzfeld, mittels dessen man sich mit der Erfassung und Verarbeitung der Daten einverstanden erklärt. Dies widerspricht jedoch in jeglicher Form der Einwilligung im Sinne der DSGVO. Hier ist weder die Freiwilligkeit gegeben noch ist die Einwilligung wiederrufbar.
Zu meiner Frage: Wenn es also dieses Ankreuzfeld trotz einer gesetzlichen Grundlage gibt, was passiert dann mit der Einwilligung? Kann ich diese doch zurückziehen, weil nach DSGVO die Einwilligung zurückgezogen werden kann? Wenn ich die Einwilligung nicht gebe, darf mir theoretisch kein Nachteil entstehen und freiwillig muss sie an sich auch sein, doch ist mir schon mehrfach untergekommen, dass man mir gesagt hat, dass ich diese Feld ankreuzen „muss“. Womit die Freiwilligkeit nicht gegeben ist. Inwiefern beißen sich die gesetzliche Vorschrift und die verlangte Einwilligung? Könnte es der jeweiligen Einrichtung ggf. zum Nachteil werden, wenn sie eine Einwilligung fordern, trotzdem es eine gesetzliche Grundlage gibt? Wie sieht es rechtlich aus?
Über eine Antwort würde ich mich sehr freuen.
Vielen Dank für Ihre Nachricht, die einige sehr interessante Rechtsfragen aufwirft.
Insbesondere an den Landesvorschriften, die aufgrund der Corona-Pandemie erlassen wurden, wird häufig Kritik geübt, da bereits der Wortlaut vieler Verordnungen Unzulänglichkeiten aufweist.
So konnte man in § 2 Abs. 3 CoronaVO Gaststätten in Baden-Württemberg bspw. lesen:
„Zu Zwecken der Kontaktnachverfolgung erheben und verarbeiten Betreiber mit Einverständnis der Gäste folgende Daten:
– Name des Gastes
– Datum und Uhrzeit des Besuchs, und
– Kontaktdaten, beispielsweise E-Mail-Adresse oder Telefonnummer
Die Daten sind vom Betreiber vier Wochen nach Erhebung zu löschen.“
Nun stellt sich nicht nur dem „normalen“ Gastwirt sondern auch dem Juristen die Frage, wie dies umgesetzt werden soll. Einerseits gibt es scheinbar die gesetzliche Pflicht, andererseits sollen die Daten „mit Einverständnis“ (m.a.W. der Einwilligung) des Betroffenen erhoben werden.
An dieser Stelle wird man wahrscheinlich juristische Kunstgriffe heranziehen oder aber die Vorschrift als in der Praxis nicht umsetzbar ansehen müssen.
Im Ergebnis haben Sie m.E. aber Recht, dass es einer Einwilligung weder bedarf, noch eine solche wirksam eingeholt werden kann, sofern eine gesetzliche Pflicht zur Datenverarbeitung besteht.
Denn Freiwilligkeit liegt nur dann vor, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (vgl. Erwägungsgrund Nr. 42 Satz 5). Dies ist in Ihrem Beispiel aber gerade nicht der Fall, da der Einlass verweigert wird, wenn man seine „Einwilligung“ nicht erteilt.
Zu der Thematik, ob eine Einwilligung neben anderen gesetzlichen Erlaubnistatbeständen (insbes. Art. 6 Abs. 1 S. 1 lit. b – f DSGVO) eingeholt werden kann und den Auswirkungen bei Unwirksamkeit oder Widerruf einer solchen, hatten sich in der Vergangenheit bereits die Aufsichtsbehörden geäußert und dies im Kurzpapier Nr. 20 der DSK als unzulässig erachtet, da bei dem Betroffenen zunächst der Anschein einer freien Wahl gesetzt wird, der aber tatsächlich nicht besteht. In diesen Fällen solle ein Rückgriff auf andere Rechtsgrundlagen mangels Transparenz verwehrt sein:
„Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung heran-gezogen werden. Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f DS-GVO), ist grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DS-GVO) beachten. Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich.“
Folgt man dieser Ansicht, dann wäre jedenfalls eine Einwilligung trotz Vorliegen einer gesetzlicher Grundlage kaum zu vertreten.
In der Praxis sollte eine Einwilligung stets als Ultima Ratio angesehen und nur dann herangezogen werden, wenn andere Rechtsgrundlagen realistischerweise nicht in Betracht kommen.
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.
Ich arbeite für die Agentur für Arbeit. Hier sollen die Jugendlichen eine Einverständniserklärung zur zur Weitergabe von Daten in einer Arbeitsamtmaßnahme unterschreiben. Keine Unterschrift – keine Teilnahme. Man braucht die Daten, sonst kann man nicht mit dem Schüler arbeiten. Aber: Einwilligung oder Einverständnis? Oder ist das Haarspalterei? Vielen Dank für Ihre Mühe.
Ich kann Ihre Frage sehr gut nachvollziehen. Allerdings ist es aus der Entfernung und ohne genauere Kenntnis des Sachverhalts sowie der relevanten Normen und Gesetze schwierig, hierzu eine zutreffende Aussage zu treffen. Insbesondere dürfte aber zu klären sein, ob es einerseits um eine datenschutzrechtliche Einwilligung geht und ob nicht auch andere Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten einschlägig sein könnte.
Es scheint aber, dass dies eine gute Nachfrage für Ihre/n Datenschutzbeauftragte/n ist.
Den Absatz „Unterschied zwischen Einwilligung und ausdrücklicher Einwilligung“ finde ich in dieser Form fragwürdig: „Der Unterschied besteht darin, dass eine konkludente Handlung für eine ausdrückliche Einwilligung nicht mehr ausreicht“?? Reicht bei Art. 6 ebenfalls nicht aus, sondern auch dort wird eine „unmissverständlich abgegebene Willensbekundung (…) oder eine sonstige eindeutige bestätigende Handlung“ verlangt. „Zudem muss in der ausdrücklichen Erklärung die jeweils besondere Verarbeitung Erwähnung finden“?? Wo liegt der wesentliche Unterschied zu „einem oder mehreren bestimmten Zwecken“ in Art. 6 Abs. 1a)?
Vielen Dank für die Anmerkung / Kritik! Es ist richtig, dass die Trennung von „Einwilligung“ und „ausdrücklicher Einwilligung“ nicht immer ganz leicht fällt, insbesondere, da der Verordnungsgeber keine Legaldefinition für letztere mitgegeben hat.
Allerdings dürfte es der Systematik entsprechen, höhere Anforderungen an die „ausdrückliche Einwilligung“ zu stellen im Vergleich zu „Einwilligung“. U.a. in der Wissenschaft wird diese Unterscheidung in der im Artikel genannten Art und Weise durchgeführt.
Im Hinblick auf das Thema der konkludenten Einwilligung ist zu berücksichtigen, dass eine Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO durchaus konkludent – also durch schlüssiges Verhalten – abgegeben werden kann (die Frage nach der ausreichenden Dokumentation mal außen vor gelassen). Dies soll jedoch bei der „ausdrücklichen Einwilligung“ gerade nicht mehr ausreichen, was den besonderen Charakter der angestrebten Datenverarbeitung widerspiegelt.
Kann das Erheben personenbezogener Daten in einer Arztpraxis, insbesondere pbD gem. Art. 9 DS-GVO, nicht grundsätzlich ohne ausdrückliche Einwilligung erfolgen, wenn das Erheben sich statt dessen auf die Rechtsgrundlage gem. Art. 9, Abs. 2, lit. h (und evtl. auch gem. .Art. 6, Abs. 1, lit. b, lit. c oder lit. d) beruft?
Oft wird es in den Praxen verlangt, Einwilligungserklärungen zu unterschreiben, obwohl diese a.G. der oben genannten Rechtsgrundlagen eine Einwilligung, auch eine ausdrückliche Einwilligung, m.E. überflüssig machen?
In den meisten Fällen ist das Einholen einer Einwilligung in Arztpraxen überflüssig. Eine Vielzahl der Datenverarbeitungen erfolgt zur Erfüllung des Behandlungsvertrages und ist damit bereits von Art. 9 Abs. 2 lit h DSGVO gedeckt. Die häufig in Arztpraxen gelebte Praxis, z.b. das Einholen einer Einwilligung für das Aufrufen des Namens im Wartezimmer oder das schlichte Speichern von Daten in der Patientenakte, ist rechtlich nicht nachvollziehbar.
Es kann aber durchaus Fälle geben, für die eine Einwilligung in Frage kommt oder auch gesetzlich vorgeschrieben ist. Das wäre z.b. der Fall für die Nutzung der Online-Terminbuchung, Videosprechstunde oder auch eine Terminerinnerung oder andere Kommunikation per E-Mail oder Telefon.
Wie verhält es sich in diesem Fall:
Als Beispiel: Ich bitte das Seketariat eine Online-Buchung für eine Veranstaltung zu Buchen.
In dieser Buchung willigt das Seketariat den Datenschutzbedingungen ein, in denen steht das auf der Veranstaltung Fotos gemacht werden etc. Die Tickets für diese Veranstaltung sind personalisiert und tragen meinem Namen.
Müsste das Seketariat nicht eine Einwilligung oder Bestätigung von mir holen, um den Datenschutzbestimmungen in meinem Namen „online“ einzuwilligen?
Das wäre ein Fall der Stellvertretung. Ob und wie eine rechtsgeschäftlichen Bevollmächtigung zur Abgabe von datenschutzrechtlichen Einwilligungen möglich ist, ist umstritten. Eine Übersicht zu dem Streitstand finden Sie z.B. im Leitfaden zur Einwilligung beim BayLfD (S. 22)