Wirtschaft

Die Einwilligung im Datenschutzrecht: Die 4 wichtigsten Do’s and Don’ts

Einwilligung im Datenschutzrecht, Zustimmung, Cookies akzeptieren
Bei der Einwilligung im Datenschutzrecht gibt es einige Stolperfallen. (Foto: Pixabay.com / Catkin)
geschrieben von Carlo Piltz

Über Banner, Hinweise und Pop-ups sichern sich Website-Betreiber die Einwilligung der Nutzer zur Verarbeitung von personenbezogenen Daten. Doch worauf musst du bei der Einwilligung im Datenschutzrecht achten? Das sind die wichtigsten rechtlichen Aspekte.

Das Datenschutzrecht ist ein von gesetzlichen Verboten geprägtes Rechtsgebiet. Bestes Beispiel: Der Umgang mit personenbezogenen Daten darf nur dann stattfinden, wenn hierzu eine Rechtsgrundlage vorliegt.

Solche Rechtsgrundlagen sind im Gesetz in Artikel 6 Absatz 1 Datenschutz-Grundverordnung (DSGVO) zu finden. Eine Möglichkeit, die Daten zu verarbeiten, tritt dann ein, wenn eine Einwilligung vorliegt.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
Global Digital and Social Media Manager (w/m/d)
Freudenberg Home and Cleaning Solutions GmbH in Weinheim
Global Digital and Social Media Manager (f/m/d)
Freudenberg Home and Cleaning Solutions GmbH in Weinheim

Alle Stellenanzeigen


Nun scheint es, dass es doch eigentlich immer die beste Alternative wäre, eine Einwilligung von betroffenen Personen einzuholen. Denn so können die Betroffenen selbst entscheiden, ob sie mit der Datenverarbeitung einverstanden sind.

An dieser Einschätzung stimmt, dass die Einwilligung als Instrument der freiwilligen Selbstbestimmung auf den ersten Blick natürlich die Betroffenen in den Fokus nimmt. Für die datenschutzrechtliche Praxis ergeben sich aber einige wichtige Besonderheiten, die womöglich doch gegen das Abstellen auf eine Einwilligung sprechen.

Gesetzliche Anforderungen an die Einwilligung im Datenschutzrecht

Nach der Definition in Artikel 4 Nummer 11 DSGVO ist die Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung.

Mit dieser gibt die betroffene Person zu verstehen, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Bereits dieser Satz enthält eine Fülle an rechtlichen Anforderungen, die alle erfüllt sein müssen für eine wirksame Einwilligung.

So muss die betroffene Person „freiwillig“ erklären, dass sie mit der Datenverarbeitung einverstanden ist. Das bedeutet, dass in einer Situation, in der den Betroffenen die Einwilligung als Pflicht vorgegeben wird, keine wirksame Einwilligung eingeholt werden kann.

So heißt es oft im täglichen Leben: „Wir benötigen Ihre Einwilligung, sonst können wir XYZ nicht tun!“

Zudem muss die Erklärung der einwilligenden Person „für den konkreten Fall“ erfolgen. Dies bedeutet, dass sich diese Erklärung gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Das heißt: Die Betroffenen müssen die Information dazu erhalten, welche Datenverarbeitung konkret auf der Einwilligung beruhen soll. Allgemeine Plattitüden wie „Erklären Sie sich mit der Datenverarbeitung einverstanden“ werden hier nicht weiterhelfen.

Zudem ist eine „Willensbekundung“ der betroffenen Person erforderlich. Nach Ansicht des Europäischen Gerichtshofs (Urteil vom 1.10.2019, C‑673/17) deutet diese Voraussetzung klar auf ein aktives und nicht passives Verhalten hin.

Opt-in oder Opt-out?

In der Praxis bedeutet dies, dass eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, kein aktives Verhalten des Nutzers einer Website impliziert.

Für den Bereich des Internets und für das Setzen von Cookies hat der Europäische Gerichtshof bereits 2019 entschieden, dass eine Einwilligung nicht vorliegt, wenn die Informationen oder der Zugriff durch ein voreingestelltes Ankreuzkästchen bereits im Endgerät des Nutzers gespeichert sind, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

Bedeutet: ein Opt-out – also die Abwahl eines vorangekreuzten Kästchens – stellt keine Einwilligung im Sinne der DSGVO dar.

Business-kritisch: Widerruf

Insbesondere Unternehmen, die ganze Geschäftsmodelle und die Verwendung von Daten auf Grundlage einer Einwilligung planen, sollten zudem beachten, dass diese nur dann wirksam ist, wenn sie für die Zukunft widerrufen werden kann (Artikel 7 Absatz 3 DSGVO).

Das bedeutet, dass Firmen, die sich bei einer Leistung oder einem Produkt allein auf die Einwilligung verlassen, stets mit einem Widerruf rechnen müssen. Im schlimmsten Fall ist der Business Case dann gestorben.

Nachweis der erteilten Einwilligung

Aus DSGVO-Compliance-Sicht besonders relevant ist noch die Nachweispflicht nach Artikel 7 Absatz 1 DSGVO. Der datenschutzrechtlich Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Das bedeutet, dass ein Unternehmen die Erteilung der Einwilligung und den Einwilligungstext selbst dokumentieren muss. Dies erfordert ein internes Datenschutz- und Einwilligungs-Management.

Fazit zur Einwilligung im Datenschutzrecht

Die Einwilligung ist eine, aber nicht die einzige Möglichkeit, um mit personenbezogenen Daten rechtskonform umzugehen. In der Praxis empfiehlt es sich, vor einem vorschnellen Abstellen auf die Einwilligung als einzige Rechtsgrundlage alternative Erlaubnistatbestände und deren Vorliegen zu prüfen.

Auch interessant:

Über den Autor

Carlo Piltz

>Studium der Rechtswissenschaften, Göttingen
>Promotion zum Thema „Soziale Netzwerke im Internet – eine Gefahr für das Persönlichkeitsrecht?“
> Referendariat in Berlin (mit Stationen u. a. bei der Europäischen Kommission in Brüssel)
> Rechtsanwalt und Salary Partner bei reuschlaw Legal Consultants, Berlin

Dr. Piltz berät und begeleitet Mandanten im Rahmen der Umsetzung datenschutzrechtlicher Anforderungen und bei Projekten der Digitalisierung. Als Experte im Bereich Datenschutzrecht war er u.a. als Sachverständiger zum neuen Bundesdatenschutzgesetz sowie dem neuen Berliner Landesdatenschutzgesetz tätig. Daneben vertritt er Mandanten in verwaltungsrechtlichen Streitigkeiten und Gerichtsverfahren.