Über Banner, Hinweise und Pop-ups sichern sich Website-Betreiber die Einwilligung der Nutzer zur Verarbeitung von personenbezogenen Daten. Doch worauf musst du bei der Einwilligung im Datenschutzrecht achten? Das sind die wichtigsten rechtlichen Aspekte.
Das Datenschutzrecht ist ein von gesetzlichen Verboten geprägtes Rechtsgebiet. Bestes Beispiel: Der Umgang mit personenbezogenen Daten darf nur dann stattfinden, wenn hierzu eine Rechtsgrundlage vorliegt.
Solche Rechtsgrundlagen sind im Gesetz in Artikel 6 Absatz 1 Datenschutz-Grundverordnung (DSGVO) zu finden. Eine Möglichkeit, die Daten zu verarbeiten, tritt dann ein, wenn eine Einwilligung vorliegt.
Nun scheint es, dass es doch eigentlich immer die beste Alternative wäre, eine Einwilligung von betroffenen Personen einzuholen. Denn so können die Betroffenen selbst entscheiden, ob sie mit der Datenverarbeitung einverstanden sind.
An dieser Einschätzung stimmt, dass die Einwilligung als Instrument der freiwilligen Selbstbestimmung auf den ersten Blick natürlich die Betroffenen in den Fokus nimmt. Für die datenschutzrechtliche Praxis ergeben sich aber einige wichtige Besonderheiten, die womöglich doch gegen das Abstellen auf eine Einwilligung sprechen.
Gesetzliche Anforderungen an die Einwilligung im Datenschutzrecht
Nach der Definition in Artikel 4 Nummer 11 DSGVO ist die Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung.
Mit dieser gibt die betroffene Person zu verstehen, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Bereits dieser Satz enthält eine Fülle an rechtlichen Anforderungen, die alle erfüllt sein müssen für eine wirksame Einwilligung.
So muss die betroffene Person „freiwillig“ erklären, dass sie mit der Datenverarbeitung einverstanden ist. Das bedeutet, dass in einer Situation, in der den Betroffenen die Einwilligung als Pflicht vorgegeben wird, keine wirksame Einwilligung eingeholt werden kann.
So heißt es oft im täglichen Leben: „Wir benötigen Ihre Einwilligung, sonst können wir XYZ nicht tun!“
Zudem muss die Erklärung der einwilligenden Person „für den konkreten Fall“ erfolgen. Dies bedeutet, dass sich diese Erklärung gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.
Das heißt: Die Betroffenen müssen die Information dazu erhalten, welche Datenverarbeitung konkret auf der Einwilligung beruhen soll. Allgemeine Plattitüden wie „Erklären Sie sich mit der Datenverarbeitung einverstanden“ werden hier nicht weiterhelfen.
Zudem ist eine „Willensbekundung“ der betroffenen Person erforderlich. Nach Ansicht des Europäischen Gerichtshofs (Urteil vom 1.10.2019, C‑673/17) deutet diese Voraussetzung klar auf ein aktives und nicht passives Verhalten hin.
Opt-in oder Opt-out?
In der Praxis bedeutet dies, dass eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, kein aktives Verhalten des Nutzers einer Website impliziert.
Für den Bereich des Internets und für das Setzen von Cookies hat der Europäische Gerichtshof bereits 2019 entschieden, dass eine Einwilligung nicht vorliegt, wenn die Informationen oder der Zugriff durch ein voreingestelltes Ankreuzkästchen bereits im Endgerät des Nutzers gespeichert sind, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Bedeutet: ein Opt-out – also die Abwahl eines vorangekreuzten Kästchens – stellt keine Einwilligung im Sinne der DSGVO dar.
Business-kritisch: Widerruf
Insbesondere Unternehmen, die ganze Geschäftsmodelle und die Verwendung von Daten auf Grundlage einer Einwilligung planen, sollten zudem beachten, dass diese nur dann wirksam ist, wenn sie für die Zukunft widerrufen werden kann (Artikel 7 Absatz 3 DSGVO).
Das bedeutet, dass Firmen, die sich bei einer Leistung oder einem Produkt allein auf die Einwilligung verlassen, stets mit einem Widerruf rechnen müssen. Im schlimmsten Fall ist der Business Case dann gestorben.
Nachweis der erteilten Einwilligung
Aus DSGVO-Compliance-Sicht besonders relevant ist noch die Nachweispflicht nach Artikel 7 Absatz 1 DSGVO. Der datenschutzrechtlich Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Das bedeutet, dass ein Unternehmen die Erteilung der Einwilligung und den Einwilligungstext selbst dokumentieren muss. Dies erfordert ein internes Datenschutz- und Einwilligungs-Management.
Fazit zur Einwilligung im Datenschutzrecht
Die Einwilligung ist eine, aber nicht die einzige Möglichkeit, um mit personenbezogenen Daten rechtskonform umzugehen. In der Praxis empfiehlt es sich, vor einem vorschnellen Abstellen auf die Einwilligung als einzige Rechtsgrundlage alternative Erlaubnistatbestände und deren Vorliegen zu prüfen.
Auch interessant:
