Seiten

Mittwoch, 6. März 2019

Einwilligung nach EU-DSGVO - Kurzpapier Nr. 20 der DSK veröffentlicht

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur EU-DSGVO. In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der EU-DSGVO wiedergegeben. Neu ist das Kurzpapier Nr. 20 zum Thema "Einwilligung".


Nach Art. 6 Abs. 1 EU-DSGVO ist die Einwilligung die zentrale Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und wird in Art. 2 Abs. 11 EU-DSGVO näher definiert.

Abgabe der Einwilligungserklärung


Die Einwilligung muss nicht zwingend schriftlich abgegeben werden, auch die elektronische oder mündliche Abgabe der Einwilligung ist datenschutzkonform. Hierbei zu beachten ist die Nachweispflicht. Nach Art. 7 Abs. 1 EU-DSGVO steht der Verantwortliche in der Pflicht nachzuweisen, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Diese Pflicht trifft den Verantwortlichen nicht nur dann, wenn das Vorliegen der Einwilligung bestritten wird, sondern bereits bei Kontrollen der Aufsichtsbehörden muss der Nachweis über die erteilte Einwilligung vorliegen.


Einwilligung nach EU-DSGVO?
Einwilligung nach EU-DSGVO? Nur dann, wenn Sie das Häkchen selbst setzen!



Durch passives Verhalten z.B. durch Stillschweigen, vorausgefüllte Kästchen oder Untätigkeit wird keine datenschutzkonforme Einwilligungserklärung abgegeben (vgl. hierzu Erwägungsgrund 32), eine Verarbeitung von personenbezogenen Daten ist in diesem Fall nicht zulässig und kann durch die Aufsichtsbehörde mit einem Bußgeld verhängt werden.

Praxistipp: Aus Gründen der Nachweispflicht empfiehlt es sich, auf die mündliche Einwilligung zu verzichten und die elektronische oder schriftliche Form heranzuziehen.


Freiwilligkeit


Der betroffenen Person muss das Recht eingeräumt werden, die Einwilligung freiwillig abzugeben d.h. eine echte und freie Wahl muss in der Form bestehen, dass die Einwilligung verweigert und zurückgezogen werden kann, ohne dass der Betroffene hierdurch Nachteile erleidet.

In diesem Fall ist das Kopplungsverbot (Art. 7 Abs. 4 i.V.m. Erwägungsgrund 43) zu beachten. So darf die Erfüllung eines Vertrages nicht von einer Einwilligung in eine Datenverarbeitung abhängig gemacht werden, wenn diese für die Erfüllung des Vertrages nicht erforderlich ist.

Die Freiwilligkeit wird insbesondere dann für unwahrscheinlich angesehen, wenn zwischen dem Betroffenen und dem Verantwortlichen ein klares Ungleichgewicht besteht (vgl. Erwägungsgrund 43).

Informierte Weise


Darüber hinaus muss der Verantwortliche eine vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stellen und sollte keine missbräuchlichen Klauseln verwenden.
Dem Betroffenen muss dargelegt werden, wer der Verantwortliche ist und für welchen Zweck die personenbezogenen Daten verarbeitet werden sollen. Hinzu kommen nachfolgende Angaben über:

  • die Art der verarbeiteten Daten
  • das Recht, die Einwilligung jederzeit zu widerrufen
  • ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung
  • ggf. mögliche Risiken von Datenübermittlung in Drittländer


Widerrufsrecht


Nach Art. 7 Abs. 3 EU-DSGVO hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Dies betrifft alle zukünftigen Verarbeitungsvorgänge, alles vergangene bleibt rechtmäßig. Auf das Recht die Einwilligung zu widerrufen muss der Betroffene bereits vor Abgabe der Einwilligung hingewiesen werden. Auch sollte beachtet werden, dass die Möglichkeit des Widerrufes so einfach gestaltet ist wie dessen Erteilung.

Folgen der unwirksamen Einwilligung


Erfüllt die Einwilligung die gesetzlichen Anforderungen nicht, so ist diese unwirksam und dient nicht als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. In diesem Fall ist es nicht gestattet eine andere Rechtsgrundlage heranzuziehen, denn die Grundsätze der Fairness und Transparenz (gem. Art. 5 Abs. 1 lit. a EU-DSGVO) müssen gewahrt werden.

Beispiel: Die Einwilligung von Herrn Maier für die Verarbeitung seiner personenbezogenen Daten beim Verantwortlichen Unternehmen Mix-Muster ist nicht datenschutzkonform, da Mix-Muster keinen ausreichenden Hinweis auf das Widerrufsrecht hatte und auch die Möglichkeit des Widerrufes nicht bestand. Während des Streitfalls stellt sich heraus, dass eine Einwilligung nicht notwendig gewesen wäre, da die Verarbeitung nach Art. 6 Abs. 1 lit. f EU-DSGVO zur Wahrung der berechtigten Interessen von Mix-Muster erforderlich war. In der Folge verliert das Unternehmen Mix-Muster die Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten von Herrn Maier.

Die Höhe der Geldbuße richtet sich nach Art. 83 Abs. 5 lit. a EU-DSGVO und beträgt bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag der höhere ist.

Ausnahmen: Besondere Kategorien von Daten und Kinder


Bei besonderen Kategorien von personenbezogenen Daten wie u.a. Gesundheitsdaten, genetische und biometrische Daten ist gem. Art. 9 Abs. 2 EU-DSGVO eine ausdrückliche Einwilligung erforderlich. Auch im Bereich des Beschäftigtendatenschutzes sieht das BDSG-neu in § 26 Abs. 2 S. 3 die Schriftformerfordernis (vgl. hierzu das Kurzpapier Nr. 14 der DSK).

Der Verantwortliche benötigt für die Verarbeitung personenbezogenen Daten von Kindern die das sechzehnte Lebensjahr noch nicht vollendet haben, die Einwilligung oder Zustimmung durch den Sorgeberechtigten.

Alle weiteren Details können Sie direkt dem Kurzpapier Nr. 20 entnehmen.

Gerne unterstützen wir Sie bei der Erstellung von Einwilligungen und Helfen Ihnen, den Informationspflichten nachzukommen.

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.