Anforderungen an eine (datenschutz-rechtliche) Einwilligung
Gerade in Zusammenhang mit der DSGVO ist immer wieder von der "Einwilligung" die Rede. Denn die Einwilligung ist oft die notwendige Grundlage für eine zulässige Datenverarbeitung – so wie ein Vertrag oder die Erfüllung von Gesetzen andere Rechtsgrundlagen darstellen.
Doch hier stellt sich zwangsläufig die Frage: Welche Kriterien muss eine Einwilligung erfüllen, damit sie rechtskonform ist?
Denn es gibt hier einen wichtigen Knackpunkt: Wenn eine Einwilligung nicht ordnungsgemäß eingeholt wurde, fällt das ganze Kartenhaus in sich zusammen. Die gesamte Verarbeitung ist dann ungültig.
Daher haben wir hier die wichtigsten Anforderungen an eine gültige Einwilligung zusammengefasst:
informiert
Eine Einwilligung ist nur dann gültig, wenn der Betroffene den Umfang der Einwilligung beurteilen kann. Es muss ihm also klar sein, wozu er genau seine Einwilligung erteilt: Welche Daten werden gespeichert, zu welchem Zweck, wie lange, werden die Daten weitergegeben – und wenn ja, an wen?
Eine solche Information muss transparent und verständlich sein. Das bedeutet beispielsweise, dass sie auch das Sprachniveau oder das Alter der Zielgruppe berücksichtigen muss.
freiwillig
Eine Einwilligung muss ohne Zwang erfolgen. In diesem Zusammenhang wird oft das "Koppelungsverbot" genannt – der Bezug von Informationen oder Leistungen darf nicht von der Zustimmung zu einer Datenverarbeitung abhängig gemacht werden, die dafür nicht erforderlich ist.
Ein typisches Beispiel dafür sind Gewinnspiele: Dort wird teilweise noch immer die Teilnahme zwingend mit der Einwilligung zur Zusendung von Werbung oder der Anmeldung für einen Newsletter verknüpft. Der Teilnehmer des Gewinnspiels würde die Teilnahme damit faktisch mit seinen Daten "bezahlen" – und das ist nicht zulässig.
vorherig
Die Einwilligung muss eingeholt werden, bevor die Datenverarbeitung erfolgt. Was eigentlich banal klingt, wird in der Praxis oft nicht umgesetzt.
Ein Beispiel: Ein Marketing-Cookie darf erst gesetzt werden, wenn der Besucher einer Website bei einem Cookie-Banner seine Zustimmung erteilt hat. Erfolgt diese Einwilligung nicht, zum Beispiel weil der User einfach "weitersurft", dürften Marketing-Cookies nicht gesetzt werden!
aktiv
Stillschweigen ist keine Zustimmung. Ein Betroffener muss also aktiv seine Einwilligung erteilen.
Beispiel: Eine vor-angehakte Checkbox wäre für eine gültige Einwilligung nicht ausreichend. Das hat auch vor kurzem der EuGH in einem aktuellen Urteil klargestellt.
widerruflich
Eine Einwilligung kann durch den Betroffenen jederzeit widerrufen werden, auch ohne Angabe von Gründen.
In der Praxis bedeutet das, dass die Datenverarbeitung in vielen Fällen damit unzulässig wird, da die Grundlage für die Datenverarbeitung mit dem Widerruf weggefallen ist (es sei denn, es stehen dem Aufbewahrungspflichten gegenüber).
Das bedeutet beispielsweise, dass bei einer Newsletter-Abmeldung bzw. einem Widerruf der Datenschutz-Zustimmung der User in vielen Fällen gelöscht (oder zumindest anonymisiert) werden muss.
Übrigens: Der Widerruf muss dem Betroffenen genauso leicht gemacht werden wie die damalige Erteilung der Einwilligung. Wenn die Einwilligung also durch eine simple Checkbox erfolgt ist, kann das Unternehmen für den Widerruf nicht auf das Ausfüllen eines langen Formulars bestehen.
dokumentiert
Last, but not least: Die DSGVO sieht eine klare Dokumentationspflicht für den Verantwortlichen vor. Das bedeutet schlicht und einfach, dass jede Einwilligung detailliert protokolliert werden sollte – am besten mit dem genauen Wortlaut und dem genauen Zeitpunkt.
Denn im Zweifelsfall müssen Sie als Verantwortlicher die Einwilligung (samt Inhalt!) beweisen – nicht der Betroffene muss beweisen, dass er die Einwilligung nicht erteilt hat.
Ein Fazit
Ja, es gibt eine ganze Reihe von "Formvorschriften", damit eine Datenschutz-Einwilligung auch wirklich gültig eingeholt wird – doch unmöglich ist das keineswegs.
Da hier ein Fehler massive Konsequenzen haben könnte, durch die im schlimmsten Fall der Datenverarbeitung die rechtliche Grundlage entzogen wird, sollte man die entsprechenden Formulare und Prozesse am besten zwei Mal durchdenken.
Hinweis: Für E-Mails ist die datenschutz-rechtliche Einwilligung alleine nicht ausreichend: Sie benötigen noch eine zweite Zustimmung, nämlich jene nach dem TKG. Mehr dazu lesen Sie in unserem Artikel "Zustimmung ist Zustimmung, oder?"
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.