Mit Anwendung der DSGVO zum 25.05.2018 wird es auch neue Spielregeln zur Einwilligung einer betroffenen Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten geben. In diesem Beitrag zeigen wir anhand der wichtigsten Fragen und Antworten auf, was Unternehmen künftig bei der Einholung von Einwilligungen zu beachten haben.
1. Welche Bedeutung hat die Einwilligung?
Die Einwilligung bleibt auch unter der DSGVO ein bedeutsamer Erlaubnistatbestand für die Datenverarbeitung. Dabei verbleibt es bei dem sog. Verbotsprinzip, wonach die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Eine Verarbeitung personenbezogener Daten ist sodann nur zulässig, wenn sie entweder auf die Einwilligung der betroffenen Person oder auf eine gesetzliche Grundlage gestützt werden kann. Hierzu enthalten die Art. 7 DSGVO, Art. 8 DSGVO und Art. 4 Nr. 11 DSGVO zahlreiche Einschränkungen, die zu deutlich erhöhten Anforderungen an die Wirksamkeit von Einwilligungen führen.
2. Welche Anforderungen gelten zukünftig für Einwilligungen?
Freiwilligkeit: Die Einwilligung setzt auch nach der DSGVO eine freiwillige Willensbekundung voraus. Eine konkrete Definition der Freiwilligkeit enthält der Verordnungstext jedoch nicht. Unternehmen können sich aber darauf einstellen, dass die Wirksamkeit einer Einwilligung dann gefährdet ist, wenn sie für die Verarbeitung von Daten verlangt wird, die zur Erbringung der vom Verantwortlichen geschuldeten Leistung nicht zwingend erforderlich ist und es zwischen dem Unternehmen und der betroffenen Person ein klares Ungleichgewicht gibt. Bei letzterem soll eine Einzelfallprüfung maßgeblich sein, was im Massenverkehr zwischen Unternehmen und Verbrauchern wohl kaum zu bewältigen sein wird.
Form: Mit der DSGVO werden die Anforderungen an die Form von Einwilligungen deutlich erleichtert. Nach der weiten Definition in Art. 4 Nr. 11 DSGVO sind neben der schriftlichen Einwilligung alle denkbaren Formen der Einwilligung möglich (z.B. mündliche Einwilligung, Anklicken einer Checkbox, per E-Mail).
Informiertheit: Einwilligungen sind nur wirksam, wenn die betroffene Person ihr Einverständnis „in informierter Weise“ erklärt hat. Die für die Unternehmen geltenden Informationspflichten setzen sich aus einer Reihe von Einzeltatbeständen zusammen und sind im Detail sehr unübersichtlich. In jedem Fall muss sich die Einwilligung aber auf alle Verarbeitungszwecke erstrecken, sodass auf jeden dieser Zwecke gesondert hinzuweisen ist.
Widerruf: Nach Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen. Vor Abgabe der Einwilligung ist der Betroffene hierüber in Kenntnis zu setzen.
3. Kann eine Einwilligungserklärung wirksam als Bestandteil von AGB eingeholt werden?
Ja. Wie nach bisher geltendem Recht kann eine Einwilligungserklärung nach Art. 7 Abs. 2 DSGVO auch als Bestandteil von AGB abgegeben werden. Dies setzt allerdings voraus, dass die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgt, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Die Verwendung von missbräuchlichen Klauseln ist verboten. Eine Hervorhebung wird üblicherweise erreicht durch Fettdruck, Einrahmungen oder farbliche Hervorhebung der Einwilligungserklärung.
4. Kann eine wirksame Einwilligungserklärung auch durch Minderjährige abgegeben werden?
Ja, mit Einschränkungen. Im Gegensatz zum bisher geltenden Recht regelt die DSGVO zumindest die Anforderungen an eine Einwilligung durch Minderjährige bei der Nutzung von Online-Diensten. Art. 8 Abs. 1 DSGVO fordert dementsprechend für eine Datenverarbeitung die Einwilligung der Erziehungsberechtigten, soweit es um die Nutzung von Telemedien durch Kinder und Jugendliche unter 16 Jahren geht. Die Begriffsdefinition der erfassten Telemedien in Art. 4 Nr. 25 DSGVO entspricht der deutschen Regelung in § 1 Abs. 1 TMG.
Betreiber von Telemedien dürfte dies vor erhebliche Herausforderungen stellen festzustellen, ob ein Erziehungsberechtigter die Zustimmung erteilt hat. Hierzu schreibt der Verordnungsgeber in Art. 8 Abs. 2 DSGVO lapidar: „Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.“
Daraus ergeben sich zwei wesentliche Schwierigkeiten: Die zunächst vorzunehmenden Altersverifikation gerade bei Minderjährigen ist im Internet technisch nicht trivial. Gleiches gilt für den Nachweis, dass es sich bei der zustimmenden Person tatsächlich um einen Inhaber der elterlichen Sorge für das jeweilige Kind handelt. Hier wird sich zeigen, was als „angemessene Anstrengungen“ für Betreiber aktzeptiert werden wird.
Außerhalb von Online-Diensten gibt es keine Einschränkungen bei der Einwilligung durch Minderjährige.
5. Gelten bisher abgegebene Einwilligungserklärungen fort?
Ein klares Jein. Eine Fortgeltung der Einwilligungserklärungen kommt nur in Betracht, wenn sie ihrer Art nach den Bedingungen der DSGVO entsprechen (so auch die Aufsichtsbehörden). Verstoßen alte Einwilligungen allerdings beispielsweise gegen das Freiwilligkeitsgebot oder gegen die Anforderungen bei Minderjährigen gelten sie nicht fort und müssen erneut eingeholt werden. Wir empfehlen daher, bestehende Einwilligung überprüfen zu lassen und ggf. neu einzuholen.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024