Einwilligungserklärung nach DSGVO: Das müssen Sie beachten

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Ein Bild eines Smartphones ist im Vordergrund zu sehen.

Als am 25. Mai 2018 die DSGVO Anwendung fand, brachen Verwirrung und Chaos aus. Plötzlich scheint alles verboten, was irgendwie mit personenbezogenen Daten zu tun hat. Die Lösung aller Probleme verspricht die Einwilligung durch den Betroffenen, weil so besagte Daten wieder verarbeitet werden dürfen. Aber ist das der richtige Weg oder wird dadurch vielleicht der Holzweg beschritten?


Wozu ist eine Einwilligungserklärung überhaupt notwendig?

Zunächst noch einmal zurück zur DSGVO. In einem Punkt könnte die Panik stimmen: Es ist grundsätzlich verboten, personenbezogene Daten zu verarbeiten. „Grundsätzlich“ heißt, dass es natürlich einige Ausnahmen gibt, die eine Verarbeitung erlauben. Beispielsweise dürfen Daten verarbeitet werden, wenn ein Vertrag (z.B. Kaufvertrag) erfüllt werden soll, es das Gesetz vorschreibt (z.B. Steuerdaten) oder ein berechtigtes Interesse an der Verarbeitung besteht (z.B. Website zur Eigendarstellung). Weitere stehen in Art. 6 Abs. 1 DSGVO. Findet man trotzdem keine Ausnahme, so bleibt die Einwilligung als letzte Möglichkeit.

Typische Fälle für eine notwendige Einwilligungserklärung sind etwa die Veröffentlichung von Mitarbeiterfotos auf der Website oder in Social Media Kanälen, Verarbeitung von Gesundheitsdaten, Weitergabe an Dritte, Anmeldung zum Newsletter, Aufnahme von Bewerbungsunterlagen in einen Bewerberpool, aber auch das Website-Tracking, das Profiling und Drittlandsübermittlung durch Google Analytics.


Wie muss eine Einwilligungserklärung gestaltet sein?

Zunächst einmal muss die Einwilligung auf freiwilliger Basis erfolgen. Das heißt, dass der oder die Betroffene eine echte und freie Wahl haben muss und kein Nachteil entstehen darf, falls nicht eingewilligt wird. Das heißt auch, dass sie nicht von der Erfüllung eines Vertrags abhängig gemacht werden darf (sog. Kopplungsverbot). Weiterhin muss sie informiert erfolgen und durch eine eindeutige Handlung erteilt werden.

Informiert heißt, dass die einwilligende Person transparent aufgeklärt werden muss, wer welche Daten zu welchem Zweck wie lange verarbeitet und ob diese ggf. an Dritte weitergegeben werden können. Aus dieser Voraussetzung folgt auch, dass eine Einwilligung nur für den Einzelfall, d.h. nicht pauschal erteilt werden darf. Ferner müssen die Betroffenenrechte inkl. dem jederzeitigen Widerrufsrecht und mögliche Risiken bei der Übermittlung in ein Drittland ohne ausreichend Datenschutz (siehe auch EU-US Privacy Shield) in der Einwilligungserklärung beschrieben werden. All das muss in leicht verständlicher Sprache erfolgen.

Die eindeutige Handlung liegt in einem aktiven Tun der oder des Betroffenen. Das kann eine mündliche Erklärung oder das Ankreuzen eines Kästchens sein, welche frei gewählt werden können. Zu beachten ist an dieser Stelle besonders, dass diese Kästchen nicht vorab angekreuzt sein dürfen (Opt-Out), da dann die Einwilligung ungültig ist.

Die Einwilligung muss nicht schriftlich erfolgen. Zum Nachweis gegenüber der Aufsichtsbehörde sind die schriftliche Erteilung bzw. eine Protokollierung der elektronisch abgegebenen Einwilligung jedoch ratsam. Bewahren Sie die Einwilligungserklärung daher mindestens solange auf, wie die Datenverarbeitung andauert. Wie lange Sie diese noch nach Widerruf durch den Betroffenen aufbewahren, hängt meist von der Datensensibilität ab und kann pauschal nicht beantwortet werden.


Warum sollte die Einwilligungserklärung das letzte Mittel sein?

Einwilligungserklärungen werden immer freiwillig erteilt und können jederzeit ohne Grund widerrufen bzw. ebenfalls verweigert werden. Das bedeutet, dass die Datenverarbeitung sofort eingestellt bzw. nicht begonnen werden darf, da das Verbot zur Datenverarbeitung wieder ins Spiel kommt. Eine Fortsetzung bzw. der Beginn der Verarbeitung könnte dann ein Bußgeld nach sich ziehen.

In Unternehmen ist die Freiwilligkeit ein umstrittenes Thema. Aufgrund des starken Ungleichgewichts der Vertragsparteien muss besonders darauf geachtet werden, dass dem Mitarbeiter kein Nachteil entsteht. Wählen Sie daher immer, wenn möglich, eine andere Rechtsgrundlage als die Einwilligung. Viele Datenverarbeitungen lassen sich bspw. aufgrund eines Vertrags oder auch einer Betriebsvereinbarung durchführen.

Diese beiden Gründe stellen dar, warum die Einwilligungserklärung das letzte Mittel sein sollte.


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte rechnen Sie 4 plus 5.