Wichtigster Grundsatz der DSGVO ist, dass personenbezogenen Daten auf rechtmäßige Weise verarbeitet werden müssen. Ist keine der in Art. 6 Abs. 1 Satz 1 Buchstaben b) bis f) DSGVO genannten Bedingungen erfüllt, so ist eine Verarbeitung personenbezogener Daten in der Regel nur dann datenschutzrechtlich zulässig, wenn von allen von der Verarbeitung Betroffenen eine entsprechende Einwilligung eingeholt wird. Falls die Einwilligung von Kindern eingeholt werden soll, sind zudem die Bedingungen nach Art. 8 DSGVO zu beachten.
Definition "Einwilligung"
Der Begriff Einwilligung wird als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist"[1] verstanden.
Bedingungen für die Einwilligung
Die Einwilligungserklärung muss folgende Anforderungen erfüllen[2]:
Freiwilligkeit:
Der Betroffene muss eine "echte oder freie Wahl" haben, ob er eine Einwilligung erteilen möchte oder eben nicht. Die Einwilligung darf daher insbesondere nicht durch Androhungen oder durch Zwang eingeholt werden. Die Einwilligung darf auch nicht von der Erfüllung eines Vertrags bzw. der Erbringung einer Dienstleistung abhängig gemacht werden (sogenanntes "Kopplungsverbot").
Informiertheit:
Der Betroffene muss die Tragweite der Erteilung einer Einwilligung vor Abgabe beurteilen können. Der Verantwortliche muss dem Betroffenen daher klar und einfach verständlich darlegen, wie und in welchem Umfang die personenbezogenen Daten verarbeitet werden (sogenannter "Transparenzgrundsatz"). Das beinhaltet auch die Art der zu verarbeitenden Daten.
Bestimmtheit:
Eine Einwilligung muss für einen konkreten Zweck abgegeben werden. Pauschale Einwilligungserklärungen wie beispielsweise "Ich bin mit allen Verarbeitungen meiner Daten einverstanden." sind unzulässig. Die Einwilligungserklärung muss sich vielmehr auf einen konkreten Fall beziehen. Allerdings können auch mehrere solcher Fälle in einer Erklärung zusammenfasst werden.
Widerruflichkeit:
Dem Betroffenen muss jederzeit die Möglichkeit offenstehen, eine einmal erteilte Einwilligungserklärung zurückzunehmen. Hierüber ist der Betroffene vor Einholung der Einwilligung zu informieren.
Besonderheit im Beschäftigtenverhältnis
Soll eine Einwilligung von einem Beschäftigten eingeholt werden, schreibt § 26 Abs. 2 Satz 3 des Bundesdatenschutzgesetzes (BDSG) die Schriftform oder die elektronische Form vor, soweit nicht "wegen besonderer Umstände eine andere Form angemessen ist". Um im Beschäftigtenverhältnis bezüglich der Zulässigkeit der Einwilligung auf "Nummer sicher" zu gehen, sollten Unternehmen die Einwilligungen ihrer Beschäftigten immer in Schriftform einholen.
Formvorschriften beachten
Auch wenn die Einwilligung – bis auf die Ausnahme im Beschäftigtenverhältnis – nicht (mehr) der Schriftform bzw. der elektronischen Form bedarf, sollte die Art der Erteilung der Einwilligung so gestaltet werden, dass der Verantwortliche seiner Nachweispflicht[3] nachkommen kann. Der Verantwortliche muss jederzeit in der Lage sein, den Nachweis für die Existenz einer Einwilligung erbringen zu können.
Dieser Inhalt ist unter anderem im Haufe Personal Office Platin enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen