Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext.
In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist sind diese mit dem Hinweis versehen, dass eine individuelle Anpassung erforderlich ist. Doch was ist eigentlich erforderlich und welche Informationen werden als ausreichend erachtet?
Sich diese Frage vor Augen zu führen zeigt nicht nur ausreichendes Verantwortungsbewusstsein des Verantwortlichen, auch läuft der Verantwortliche nicht Gefahr, sich auf eine unwirksame Einwilligungserklärung als Rechtsgrundlage zu stützen. Anderenfalls würde der Verantwortliche weiterhin dem in der DSGVO vorherrschenden grundsätzlichen Verarbeitungsverbot unterliegen, es drohen Sanktionen.
Was ist aus rechtlicher Sicht erforderlich?
Um Sanktionen vorzubeugen und keinem Verarbeitungsverbot zu unterliegen, sollte auf nachfolgende Bedingungen der Einwilligung besonders geachtet werden.
“Für Verantwortliche der Worst Case – das einwilligungsbedürftige Vorhaben steht auf der Kippe.” – Marie-Luis Bufler
Transparenz
Zunächst ist es unabdingbar, dass der Verantwortliche den Betroffenen über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten informiert – und das vor Abgabe der Einwilligungserklärung. Der Grund liegt in dem durchaus nicht zu unterschätzenden Erfordernis der „entscheidungsrelevanten Tatsachen“. Dem Betroffenen muss in transparenter Weise dargelegt werden, in was er einwilligt.
Informiertheit
Die Einwilligung hat weiter in informierter Weise zu erfolgen. Das bedeutet, dass eine klare sowie verständliche und einfache Sprache gewählt werden sollte. Daneben ist der Verantwortliche anzuführen sowie die Art der verarbeiteten Daten. In diesem Rahmen spielt auch die Widerruflichkeit eine Rolle, welche nachstehend als extra Punkt angeführt wird.
Freiwilligkeit
Als freiwillig abgegeben gilt die Einwilligung dann, wenn die betroffene Person eine echte sowie freie Wahl hat. Daraus resultiert, dass der betroffenen Person aus der Verweigerung keine Nachteile erwachsen dürfen. Interessant wird das Kriterium der Freiwilligkeit immer dann, wenn ein Ungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen angenommen werden kann. Auf einen Beitrag zu diesem Thema, können Sie bereits jetzt gespannt sein – mehr dazu im März-Beitrag.
Beachten Sie in diesem Rahmen auch das Koppelungsverbot.
Widerruflichkeit der Einwilligung
Bei der Ausgestaltung der Einwilligung ist unbedingt auf den Hinweis hinsichtlich des Rechts, die Einwilligung jederzeit widerrufen zu können, zu achten. Dies hat nicht nur vor Abgabe der Einwilligungserklärung zu erfolgen, sondern sollte auch so ausgestaltet sein, dass der Betroffene genau so leicht widerrufen kann, wie er eingewilligt hat.
Wie praktikabel ist die Umsetzung in der Praxis?
Nachdem die gesetzlichen Anforderungen beleuchtet wurden, stellt sich anschließend die Frage nach der Umsetzung in der Praxis.
Sicher ist, dass die betroffenen Personen mit den ihr zur Verfügung gestellten Informationen verunsichert werden können. Die Informationsflut kann zur Ermüdung führen, die Einwilligung wird so schlimmstenfalls nicht erteilt. Für Verantwortliche der Worst Case — das einwilligungsbedürftige Vorhaben steht auf der Kippe.
Dem Umstand der Informiertheit geschuldet würde auch eine vollständige Erfüllung der gesetzlich vorgesehenen Informationen mehrseitige Dokumente mit Informationsinhalten nach sich ziehen. Es darf bezweifelt werden, ob dies noch dem Erfordernis der Verständlichkeit entspricht.
Es zeichnet sich bereits ab, dass sich eine allgemeingültige Lösung zur Ausgestaltung der Einwilligungserklärung nicht findet. Doch besteht die Möglichkeit, an gewissen Stellschrauben zu drehen. Unter anderem kann im Rahmen der Informiertheit eine gestufte Informationserfüllung angedacht werden. Betroffene erhalten die Möglichkeit, weitere Informationen an anderer Stelle einzuholen. Die einmalige Informationsflut wird vermieden und in Stufen aufgeteilt zur Verfügung gestellt. Jedoch sollten keine entscheidungsrelevanten Tatsachen vorenthalten werden, sodass der Verweis geschickt auf der Einwilligungserklärung platziert sein sollte.
Auch die Anforderungen an die Einwilligung sind unterschiedlich. Erhöhte Anforderungen gehen beispielsweise mit der Verarbeitung sensibler Daten einher, oder wenn Kinder angesprochen werden.
Daneben ist darauf zu achten, dass ein deutlicher Hinweis auf das Widerrufsrecht erfolgt. Die DSGVO als solche sieht für eine einmal erteilte Einwilligung kein Ablaufdatum vor. Das bedeutet: auch wenn eine Widerrufsmöglichkeit eingeräumt wird, so gilt die Einwilligung – mangels Ausübung des Rechts – auf unbestimmte Zeit. Die richtige Ausgestaltung ist demnach nicht irrelevant.
Doch lassen sich diese Ausführungen nicht dadurch umgehen, dass von einer umständlichen Einwilligungserklärung abgesehen wird?
Sicher scheint dies auf den ersten Blick eine einfachere Lösung zu sein. Auch ist für die Einwilligung grundsätzlich keine bestimmte Form vorgeschrieben. Zwar sucht man in der DSGVO selbst vergebens nach einem Formerfordernis für die Einwilligung, dem Erwägungsgrund 32 der DSGVO lässt sich jedoch eine Aussage zu diesem Umstand entnehmen. Demnach wird lediglich eine eindeutige bestätigende Handlung gefordert, welche mündlich, schriftlich wie auch elektronisch erfolgen kann.
Auch wenn die mündliche Einwilligung, hinsichtlich des Aufwands, verlockend klingen mag, so scheinen die schriftliche sowie elektronische Variante vorzugswürdig. Immerhin wohnt gerade der schriftlichen Variante eine Warnfunktion inne, welche den Betroffenen vor übereilten Entscheidungen schützen soll. Durch das Einräumen eines jederzeitigen Widerrufsrechts wird dies jedoch umgehend entschärft. Für welche Variante Sie sich auch entscheiden sollten, entscheiden Sie sich nicht aus den falschen Motiven.
Im Ergebnis ist es im Sinne der Nachweispflicht ratsam, einen entsprechend dokumentierten Nachweis parat zu haben. Dies erleichtert nicht nur das Datenschutzmanagement, sondern lässt Sie auch nicht aufschrecken, sollte die Aufsichtsbehörde einmal anklopfen.
Fazit
Der richtige Ausgleich zwischen ausreichender Informationsgrundlage und Wahrung der Übersichtlichkeit der Einwilligung selbst, kann sich – je nach Kontext – als herausfordernd erweisen. Doch lohnt sich der Blick nicht nur um eigenen Pflichten nachzukommen, sondern auch um sich einmal mehr vor Augen zu führen, dass eine Vorlage leider nicht auf diverse Situationen zutrifft. Es bedarf – welch ein Wunder – einer neuen, individuell angepassten Einwilligung.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]