Warum brauchen Sie eine datenschutzrechtliche Einwilligungserklärung?
Namen, Adressen, E-Mails, Telefonnummern usw. Alles das sind personenbezogene Daten, also Daten, die auf eine bestimmte natürliche Person zurückgeführt werden können. Solche personenbezogenen Daten unterliegen dem Datenschutzrecht. Sie dürfen nicht ohne Weiteres solche Daten verarbeiten, also erheben (= erfragen), speichern, übermitteln und löschen.
Denn für alle diese Datenverarbeitungen brauchen Sie eine datenschutzrechtliche Rechtsgrundlage, also eine gesetzliche Erlaubnis. Ohne eine solche Grundlage ist die gesamte Datenverarbeitung unzulässig, die Daten sind zu löschen und die betroffenen Personen können Schadensersatz verlangen. Außerdem droht ein hohes Bußgeld.
Eine mögliche Rechtsgrundlage, die in der Praxis häufig genutzt wird, ist die datenschutzrechtliche Einwilligung. Sie ist in Artikel 6 Absatz 1 Buchstabe a) DSGVO und Artikel 7 DSGVO (Datenschutzgrundverordnung) geregelt. Wenn also eine bestimmte Person darin einwilligt, dann dürfen Sie deren Daten verarbeiten. Die dann folgende Datenverarbeitung ist damit rechtmäßig und Sie dürfen die Daten verarbeiten.
Es ist also eine datenschutzrechtliche Einwilligungserklärung (oder eine andere Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO) erforderlich, wenn Sie Daten von Personen verarbeiten wollen.
Aber so einfach ist es leider nicht, eine wirksame Datenschutz Einwilligungserklärung zu bekommen. Denn es gibt eine Reihe von Voraussetzungen, damit die Einwilligung im Datenschutz wirksam ist.
Wichtig ist dabei vor allem, dass die Einwilligungserklärung in verständlicher und leicht zugänglicher Form zur Verfügung gestellt wird und, dass im Sinne der erforderlichen Transparenz der Datenverarbeitung die Einwilligungserklärung in klarer und einfacher Sprache den Umfang und die Tragweite der erbetenen Einwilligung deutlich macht (vgl. Erwägungsgrund 32 zur DSGVO). Das meint das Datenschutzrecht, wenn von der „Informiertheit“ der Einwilligung gesprochen wird. Denn nur eine ausreichend informierte Person kann wirksam in etwas einwilligen.
Es ist also sehr viel Wert auf die Formulierungen und die Verständlichkeit wie auch auf die Vollständigkeit der Erklärung zu legen. Es müssen nicht nur alle in Frage kommenden Datenverarbeitungen aufgeführt werden, die durch die Einwilligung ermöglicht werden sollen, sondern es muss auch sichergestellt werden, dass unmissverständlich klar wird, welche Dritten ggf. die Daten erhalten, wie lange diese Daten gespeichert werden, welche Zwecke mit der Datenverarbeitung verbunden werden usw.
Außerdem muss deutlich werden, dass die Abgabe der Einwilligung rein freiwillig ist. Erscheint es der betroffene Person so, als müssen Sie die Erklärung abgeben, fehlt es an der Freiwilligkeit und die Einwilligung ist unwirksam (das gilt besonders bei einem Über- / Unterordnungsverhältnis, wie bspw. zwischen Arbeitgeber und Arbeitnehmer). Auch ist stets deutlich darauf hinzuweisen, dass die Einwilligung jederzeit widerrufen werden kann.
Fehlt die datenschutzrechtliche Einwilligung oder ist sie fehlerhaft, so gelten alle darauf basierenden Datenverarbeitungen als rechtswidrig. Nicht nur, dass die Daten und alle daraus gewonnenen Erkenntnisse gelöscht werden müssen und unverwertbar sind. Es bestehen auch umfangreiche Schadensersatzansprüche der betroffenen Personen (und zwar für jede einzelne Person gesondert).
Auf eine Einwilligung könne Sie nur dann verzichten, wenn Sie eine andere Rechtsgrundlage haben, welche die geplante Datenverarbeitung legitimiert, bspw. wenn Sie einen Vertrag mit der betroffenen Person geschlossen haben und die Datenverarbeitung zwingend erforderlich ist, um den Vertrag erfüllen zu können (Art. 6 Absatz 1 Buchstabe b) DSGVO).
Gültigkeit, Form und Inhalt der datenschutzrechtlichen Einwilligungserklärung
Dass Wichtigste überhaupt ist, dass Ihre Einwilligungserklärung auch rechtmäßig ist und die so erhaltenen Einwilligungen tatsächlich wirksam sind.
Eine datenschutzrechtliche Einwilligung braucht nämlich bestimmte Inhalte, um wirksam zu sein. Stellen Sie sich vor, Sie verwenden jahrelang dieselbe Einwilligungserklärung und ein Gericht oder eine Datenschutzbehörde sagt Ihnen dann auf Einmal, dass die Erklärung unwirksam ist. Die Folge? Alle auf den vermeintlichen Einwilligungen basierenden Datenverarbeitungen sind rechtswidrig. Die Daten müssen alle gelöscht werden und Sie müssen mit einem Bußgeld und Schadensersatzansprüchen der betroffenen Personen rechnen.
Welche Elemente gehören also in eine Einverständniserklärung Datenschutz? Wichtig ist, dass die Einwilligung „informiert“ erfolgt. Dazu gehört, dass Sie der betroffene Person im Rahmen der Entscheidung (Einwilligung Ja/Nein) alle relevanten Infos an die Hand geben müssen, damit diese Umfang und Tragweite der erbetenen Einwilligung vollständig erfassen kann. Es muss klar sein, (a) dass eine Einwilligung erteilt werden möge, (b) dass diese eine konkret zu beschreibende Folge an Datenverarbeitungen etc. hat und, (c) dass die Einwilligung jederzeit formlos mit Wirkung für die Zukunft widerrufen werden kann.
Fehlt ein Element, das wesentlich für die Entscheidung ist, ist die Einwilligung unwirksam, denn die Person hätte ggf. die Einwilligung bei Kenntnis des fehlenden Umstands nicht gegeben.
Dazu gehört auch, dass die Einwilligung Bezug auf eine vollständige Datenschutzerklärung nach Art. 13, 14 DSGVO nehmen muss. Dort müssen dann alle weiteren Informationen zu den folgenden Datenverarbeitungen gegeben werden, auch bspw. die Einverständniserklärung zur Weitergabe der Daten an (möglichst) konkret zu benennende Dritte.
Eine bestimmte Form ist nicht einzuhalten. Die Einwilligung kann also analog, digital, online, offline oder sonst wie erteilt werden. Für Sie Wichtig ist dabei aber, dass Sie jederzeit in der Lage sein müssen, die Erteilung der wirksamen Einwilligung nachzuweisen, was bspw. auch durch technische Maßnahmen möglich ist, die belegen, dass bspw. eine Checkbox angeklickt werden musste, o.ä.
In der Regel ist eine so wirksam erteile Einwilligung wirksam und gültig, bis die betreffende Person ihnen gegenüber (formlos) den Widerruf der Einwilligung erteilt. Dabei muss das Wort „Widerruf“ nicht fallen. Es muss lediglich für Sie deutlich werden, dass ein Festhalten an der Einwilligung nicht gewünscht ist.
Da ich oft nach einem Muster für eine solche Datenschutzerklärung Einwilligung gefragt werde: Da die Texte immer ganz individuell auf die konkret beabsichtigte Datenverarbeitung abgestimmt sein müssen, kann ich ein solches Muster nicht anbieten und ich empfehle daher auch nicht, sich anderweitig eines Musters zu bedienen.
Es lohnt sich – gerade in Anbetracht der oben genannten Konsequenzen einer unwirksamen Einwilligungserklärung – diese von uns/mir erstellen zu lassen.
Gibt es verschiedene Typen datenschutzrechtlicher Einwilligungserklärungen?
Da die Einwilligungserklärung individuell auf die konkret gewünschte Datenverarbeitung bezogen ist, gibt es in der Tat verschiedene Arten oder Typen von Einwilligungserklärungen.
Das ändert aber nichts an den oben genannten formellen und inhaltlichen Anforderungen. Diese müssen immer vorhanden sein, sind aber immer ganz konkret auf die mit der Einwilligung verbundenen Datenverarbeitungen abzustimmen.
Grob kann gesagt werden: Je erklärungsbedürftiger die gewünschte Datenverarbeitung ist, desto umfangreicher muss auch die Information in der Einwilligungserklärung ausfallen.
Es macht also vom Umfang der erforderlichen Erläuterung her (nicht vom erforderlichen Inhalt her!) einen Unterschied, ob eine Einwilligung zum Versenden einer E-Mail oder eine Einwilligung in die Verarbeitung medizinischer Daten gewünscht wird.
Sie sehen in der Praxis sicherlich, dass bspw. eine Einwilligungserklärung zur Verarbeitung personenbezogener Daten zur E-Mail-Kommunikation bzw. E-Mail-Werbung nicht so umfangreich ist, wie die Datenschutz Einwilligung für Fotos der Mitarbeiter oder die Einwilligung in den Datenschutz für Ihre Sparkasse.
Die Pflichtinhalte, die die betroffene Person erhalten muss, sind jedoch formal identisch.
Was passiert bei Verweigerung oder Widerruf der Einwilligung?
Was geschieht, wenn jemand seine Einwilligung nicht geben will? Oder wenn jemand die Einwilligung widerruft?
Wird die Einwilligung in die Datenverarbeitung erst gar nicht erteilt, dann darf die gewünschte Datenverarbeitung nicht stattfinden, da eine nach DSGVO erforderliche Rechtsgrundlage fehlt. Geschieht dies dennoch, ist die Datenverarbeitung rechtswidrig und es kann zu einem Bußgeld und Schadensersatzansprüchen der betroffenen Personen kommen.
Für den Widerruf einer erteilten Einwilligung gibt es, wie oben gesagt, keine Formvorschriften. Sie kann formlos, auch mündlich, per E-Mail o.ä. ausgesprochen werden und sie muss unverzüglich beachtet werden.
Für die widerrufende Person kann aber der Widerruf Konsequenzen haben. Denn ohne Einwilligung kann ggf. die zugrundeliegende Leistung (bspw. der Newsletterversand) nicht weiter durchgeführt werden. Will man bspw. bei der Sparkasse die Einwilligung Datenschutz widerrufen, bedeutet das ggf., dass die Sparkasse den zugrundeliegenden Vertrag kündigen wird, weil sie bestimmte Datenverarbeitungen nicht mehr durchführen kann. Dies sollte vorab stets geprüft bzw. erfragt werden.
Schließlich besteht auch jederzeit das Recht, beim Datenverarbeiter Auskunft über die gespeicherten Daten und deren konkrete Behandlung zu verlangen (Art. 15 DSGVO).