Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur EU-DSGVO. In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der EU-DSGVO wiedergegeben. Neu ist das Kurzpapier Nr. 20 zum Thema "Einwilligung".
Nach Art. 6 Abs. 1 EU-DSGVO ist die
Einwilligung die zentrale Rechtsgrundlage für die Verarbeitung von
personenbezogenen Daten und wird in Art. 2 Abs. 11 EU-DSGVO näher definiert.
Abgabe der Einwilligungserklärung
Die Einwilligung muss nicht zwingend
schriftlich abgegeben werden, auch die elektronische oder mündliche Abgabe der
Einwilligung ist datenschutzkonform. Hierbei zu beachten ist die Nachweispflicht. Nach Art. 7 Abs. 1 EU-DSGVO steht der Verantwortliche in der Pflicht
nachzuweisen, dass die betroffene Person in die Verarbeitung der
personenbezogenen Daten eingewilligt hat. Diese Pflicht trifft den Verantwortlichen
nicht nur dann, wenn das Vorliegen der Einwilligung bestritten wird, sondern bereits
bei Kontrollen der Aufsichtsbehörden muss der Nachweis über die erteilte
Einwilligung vorliegen.
 |
| Einwilligung nach EU-DSGVO? Nur dann, wenn Sie das Häkchen selbst setzen! |
Durch passives Verhalten z.B. durch
Stillschweigen, vorausgefüllte Kästchen oder Untätigkeit wird keine
datenschutzkonforme Einwilligungserklärung abgegeben (vgl. hierzu
Erwägungsgrund 32), eine Verarbeitung von personenbezogenen Daten ist in diesem
Fall nicht zulässig und kann durch die Aufsichtsbehörde mit einem Bußgeld
verhängt werden.
Praxistipp: Aus Gründen der
Nachweispflicht empfiehlt es sich, auf die mündliche Einwilligung zu verzichten
und die elektronische oder schriftliche Form heranzuziehen.
Freiwilligkeit
Der betroffenen Person muss das
Recht eingeräumt werden, die Einwilligung freiwillig abzugeben d.h. eine echte
und freie Wahl muss in der Form bestehen, dass die Einwilligung verweigert und zurückgezogen
werden kann, ohne dass der Betroffene hierdurch Nachteile erleidet.
In diesem Fall ist das Kopplungsverbot
(Art. 7 Abs. 4 i.V.m. Erwägungsgrund 43) zu beachten. So darf die Erfüllung
eines Vertrages nicht von einer Einwilligung in eine Datenverarbeitung abhängig
gemacht werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich
ist.
Die Freiwilligkeit wird insbesondere
dann für unwahrscheinlich angesehen, wenn zwischen dem Betroffenen und dem
Verantwortlichen ein klares Ungleichgewicht besteht (vgl. Erwägungsgrund 43).
Informierte Weise
Darüber hinaus muss der Verantwortliche
eine vorformulierte Einwilligungserklärung in verständlicher und leicht
zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stellen
und sollte keine missbräuchlichen Klauseln verwenden.
Dem Betroffenen muss dargelegt
werden, wer der Verantwortliche ist und für welchen Zweck die personenbezogenen
Daten verarbeitet werden sollen. Hinzu kommen nachfolgende Angaben über:
- die Art der verarbeiteten Daten
- das Recht, die Einwilligung jederzeit zu widerrufen
- ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung
- ggf. mögliche Risiken von Datenübermittlung in Drittländer
Widerrufsrecht
Nach Art. 7 Abs. 3 EU-DSGVO hat die
betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Dies
betrifft alle zukünftigen Verarbeitungsvorgänge, alles vergangene bleibt rechtmäßig.
Auf das Recht die Einwilligung zu widerrufen muss der Betroffene bereits vor
Abgabe der Einwilligung hingewiesen werden. Auch sollte beachtet werden, dass
die Möglichkeit des Widerrufes so einfach gestaltet ist wie dessen Erteilung.
Folgen der unwirksamen Einwilligung
Erfüllt die Einwilligung die
gesetzlichen Anforderungen nicht, so ist diese unwirksam und dient nicht als
Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. In diesem Fall ist es nicht gestattet
eine andere Rechtsgrundlage heranzuziehen, denn die Grundsätze der Fairness und
Transparenz (gem. Art. 5 Abs. 1 lit. a EU-DSGVO) müssen gewahrt werden.
Beispiel: Die Einwilligung von Herrn
Maier für die Verarbeitung seiner personenbezogenen Daten beim Verantwortlichen
Unternehmen Mix-Muster ist nicht datenschutzkonform, da Mix-Muster keinen
ausreichenden Hinweis auf das Widerrufsrecht hatte und auch die Möglichkeit des
Widerrufes nicht bestand. Während des Streitfalls stellt sich heraus, dass eine
Einwilligung nicht notwendig gewesen wäre, da die Verarbeitung nach Art. 6 Abs.
1 lit. f EU-DSGVO zur Wahrung der berechtigten Interessen von Mix-Muster erforderlich
war. In der Folge verliert das Unternehmen Mix-Muster die Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten von Herrn Maier.
Die Höhe der Geldbuße richtet sich
nach Art. 83 Abs. 5 lit. a EU-DSGVO und beträgt bis zu 20 Mio. € oder 4% des
gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres,
je nachdem, welcher Betrag der höhere ist.
Ausnahmen: Besondere Kategorien von Daten und Kinder
Bei besonderen Kategorien von
personenbezogenen Daten wie u.a. Gesundheitsdaten, genetische und biometrische
Daten ist gem. Art. 9 Abs. 2 EU-DSGVO eine ausdrückliche Einwilligung
erforderlich. Auch im Bereich des Beschäftigtendatenschutzes sieht das BDSG-neu in § 26 Abs. 2 S. 3 die Schriftformerfordernis (vgl. hierzu das Kurzpapier Nr. 14 der DSK).
Der Verantwortliche benötigt für die
Verarbeitung personenbezogenen Daten von Kindern die das sechzehnte Lebensjahr
noch nicht vollendet haben, die Einwilligung oder Zustimmung durch den Sorgeberechtigten.
Alle weiteren Details können Sie direkt dem Kurzpapier Nr. 20 entnehmen.
Gerne unterstützen wir Sie bei der Erstellung von Einwilligungen und Helfen Ihnen, den Informationspflichten nachzukommen.
Gerne unterstützen wir Sie bei der Erstellung von Einwilligungen und Helfen Ihnen, den Informationspflichten nachzukommen.
Fragen / Anregungen
Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:Name
E-Mail (Pflichtangabe)
Nachricht (Pflichtangabe)
Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.
