Hauptinhalt

Einwilligung

Allgemeine Anforderungen an Einwilligungen

Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung (DSGVO) bestimmt, dass eine Einwilligung eine zulässige Rechtsgrundlage für die Verarbeitung personenbezogener Daten der einwilligenden Person sein kann. Artikel 7 DSGVO bestimmt unter anderem, dass eine Einwilligung freiwillig abgegeben worden sein muss und jederzeit widerrufen werden kann. Schriftlich muss die Einwilligung – anders als nach früherem Recht bis zum 25. Mai 2018 – nicht erklärt werden.

Darüber hinaus finden sich in zahlreichen Erwägungsgründen (32, 33, 38, 42, 43) Erläuterungen, um die Regelungen zur Einwilligung in der Datenschutz-Grundverordnung auslegen zu können.

Einwilligungen sind hauptsächlich im nicht-öffentlichen Bereich, zum Beispiel bei Unternehmen und Vereinen, anwendbar. Im öffentlichen Bereich dürfen Einwilligungen als Grundlage für die Datenverarbeitung nur die Ausnahme sein, da dort der Vorbehalt des Gesetzes gilt. Die Grenze zulässiger Datenverarbeitung durch öffentliche Stellen bestimmt sich in erster Linie nach den gesetzlich definierten Aufgaben. Eine Verarbeitung der personenbezogenen Daten über diese gesetzlich festgelegten Grenzen hinaus mittels Einwilligung kommt nur ausnahmsweise in Betracht. Dabei ist vor allem zu berücksichtigen, dass im Verhältnis zwischen öffentlicher Stelle und den Bürgerinnen und Bürgern oftmals ein Ungleichgewicht besteht. Die Einwilligung kann in diesen Fällen nicht als freiwillig abgegeben gelten und daher auch nicht Grundlage für eine Verarbeitung sein (siehe Erwägungsgrund 43 der Datenschutz-Grundverordnung).

Einwilligungen aus der Zeit vor der Anwendbarkeit der Datenschutz-Grundverordnung (25. Mai 2018) wirken nach Erwägungsgrund 171 der Datenschutz-Grundverordnung fort, sofern sie nach Art und Inhalt den Voraussetzungen der Datenschutz-Grundverordnung entsprechen. Sofern dies nicht der Fall ist, können sie nicht als Einwilligung im Sinne des Artikels 6 Absatz 1 Buchstabe a in Verbindung mit Artikel 7 und 8 DSGVO angesehen und eine künftige Verarbeitung nicht auf sie gestützt werden.

Wenn ein Verantwortlicher einen „Dienst der Informationsgesellschaft“ einem Minderjährigen unter 16 Jahren direkt unterbreitet, dann hat der Verantwortliche gemäß Artikel 8 Absatz 1 Satz 1 DSGVO für die Wirksamkeit der Einwilligung die Zustimmung der Eltern einzuholen. Ansonsten kommt es bei Einwilligungen von Minderjährigen in die Datenverarbeitung auf die Einsichtsfähigkeit des Minderjährigen an.

Kinder und Minderjährige bis 16 Jahren genießen nach der DSGVO einen hervorgehobenen Schutz, da diese sich der Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind, vgl. Erwägungsgrund 38 DSGVO.

Bei Diensten der Informationsgesellschaft ist nach Artikel 8 Absatz 1 DSGVO eine einwilligungsbasierte Verarbeitung der Daten von Kindern bis 16 Jahren nur rechtmäßig, wenn das Kind entweder das sechzehnte Lebensjahr vollendet hat, oder sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Bei Datenverarbeitungen, die nicht als Dienste der Informationsgesellschaft angeboten werden, kommt es auf die natürliche Einsichtsfähigkeit des Betroffenen an, die nach ständiger Rechtsprechung in der Regel ab 16 Jahren zu vermuten ist.

Die Verarbeitung von Daten Minderjähriger auf Vertragsbasis begegnet zusätzlichen Hürden. So sind Unter-7-Jährige schon geschäftsunfähig, während Unter-18-Jährige nur eingeschränkt geschäftsfähig sind. Entsprechende Verträge können also nichtig oder schwebend unwirksam sein, und stellen dann keine taugliche Grundlage für eine Verarbeitung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO dar.

Weitere Beschränkungen der Verarbeitung von Daten Minderjähriger, insbesondere für Onlinedienste, ergeben sich aus Spezialgesetzen, für deren Durchsetzung die Sächsische Datenschutzbeauftragte nicht (direkt) zuständig ist. So dürfen etwa nach § 20 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) zur Wahrung des Jugendschutzes erhobene personenbezogene Daten Minderjähriger nicht für kommerzielle Zwecke verarbeitet werden.

Den Verantwortlichen treffen vor diesem Hintergrund eine Reihe hervorgehobener Sorgfalts- und Dokumentationspflichten, nicht nur aus Artikel 8 Absatz 2 DSGVO. Auch hinsichtlich der verschiedenen Informationspflichten, sowie bei der Interessengewichtung nach Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO muss dem Verständnishorizont und der besonderen Schutzwürdigkeit von Minderjährigen klar und nachvollziehbar Rechnung getragen werden.

Unter „Dienst der Informationsgesellschaft“ ist nach Artikel 4 Nummer 25 DSGVO „eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates“ zu verstehen. Voraussetzung ist danach, dass das Angebot eine regelmäßig gegen Entgelt, elektronisch und im Fernabsatz auf individuellen Abruf eines Empfängers erbrachte Dienstleistung darstellt. Hierzu können beispielsweise an Kinder gerichtete soziale Netzwerke gehören. Als entgeltlich gelten diese Dienste bereits dann, wenn sie sich beispielsweise durch den Handel mit Nutzerdaten (quer-)finanzieren.

Die Datenschutz-Grundverordnung bestimmt in Artikel 7 Absatz 3, dass die betroffene Person ein Recht zum jederzeitigen Widerruf ihrer Einwilligung hat, sie vor Abgabe der Einwilligung über dieses ihr Widerrufsrecht aufgeklärt werden muss und der Widerruf der Einwilligung genauso leicht möglich sein muss wie die Einwilligung.

Die Abgabe der Einwilligungserklärung der betroffenen Person muss gemäß Artikel 7 Absatz 4 DSGVO freiwillig erfolgen, das heißt, ohne jeden Druck oder Zwang. Die betroffene Person muss in der Lage sein, eine echte freie Wahl zu treffen, das heißt, sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidungskraft eingeschränkt werden. In Erwägungsgrund 43 finden sich nähere Ausführungen zu der Frage, wann eine Einwilligung als freiwillig anzusehen ist und wann nicht. Gerade wenn es sich bei dem Verantwortlichen um eine Behörde handelt, wird oft ein Ungleichgewicht zwischen der betroffenen Person und der Behörde bestehen. In diesen Fällen kann nicht von einer freiwilligen Einwilligung ausgegangen werden.

Neu ist die ausdrückliche Einführung eines allgemeinen Kopplungsverbotes. Danach gilt gemäß Erwägungsgrund 43 eine Einwilligung als nicht freiwillig erteilt, wenn zu verschiedenen Datenverarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung abhängig gemacht werden, obwohl dies dafür gar nicht erforderlich ist.

Die betroffene Person muss vor Abgabe ihrer Einwilligungserklärung über den vorgesehenen Zweck wie auch den Umfang der Verarbeitung ihrer personenbezogenen Daten im Einzelnen informiert werden, damit sie für den konkreten Fall und in Kenntnis der Sachlage einwilligen kann. Dabei muss sie alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten. Diese müssen auch hinreichend bestimmt sein. Der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Siehe zum Ganzen auch Erwägungsgrund 32 der Datenschutz-Grundverordnung.

Die Datenschutz-Grundverordnung geht nicht mehr von einem grundsätzlichen Schriftformerfordernis aus. Zulässig ist auch eine mündliche Einwilligungserklärung. Allerdings muss der Verantwortliche nach Artikel 7 Absatz 1 DSGVO „nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat“. Bei einer mündlichen Einwilligung wird dieser Nachweis ohne Zeugen nur schwer zu führen sein. Siehe zum Ganzen auch Erwägungsgrund 32 der Datenschutz-Grundverordnung.

Wenn die Einwilligung zusammen mit anderen Erklärungen abgegeben werden soll, so muss die Einwilligungserklärung gemäß Artikel 7 Absatz 2 DSGVO „in verständlicher und leicht zugänglicher Form“ und in „einer klaren und einfachen Sprache“ erfolgen. Für die betroffene Person muss sich die Einwilligungserklärung klar von anderen Erklärungen unterscheiden. Daraus folgt, dass die Einwilligung deutlich hervorzuheben ist, zum Beispiel durch Fettdruck, Rahmung, farbliche Hervorhebung.

Im Falle der in Artikel 9 Absatz 2 Buchstabe a DSGVO geregelten Verarbeitung besonderer Kategorien personenbezogener Daten (zum Beispiel von Gesundheitsdaten) muss sich die Einwilligung ausdrücklich auf diese beziehen.

Eine Einwilligung, die nicht den oben genannten Anforderungen entspricht, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung dienen. Wenn sich die Einwilligung als unwirksam erweist oder der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen kann, so ist die Verarbeitung der Daten rechtswidrig.

Weitere Informationen

zurück zum Seitenanfang