Es begeg­net uns nahe­zu all­täg­lich – das Erfor­der­nis der Ein­wil­li­gung. Im beruf­li­chen wie auch im pri­va­ten Kontext.
In der daten­schutz­recht­li­chen Pra­xis fin­den sich ver­ein­zelt die unter­schied­lichs­ten Vor­la­gen und Mus­ter, wel­che kom­pri­miert den not­wen­di­gen Inhalt der Ein­wil­li­gung wie­der­ge­ben. Meist sind die­se mit dem Hin­weis ver­se­hen, dass eine indi­vi­du­el­le Anpas­sung erfor­der­lich ist. Doch was ist eigent­lich erfor­der­lich und wel­che Infor­ma­tio­nen wer­den als aus­rei­chend erachtet?

Sich die­se Fra­ge vor Augen zu füh­ren zeigt nicht nur aus­rei­chen­des Ver­ant­wor­tungs­be­wusst­sein des Ver­ant­wort­li­chen, auch läuft der Ver­ant­wort­li­che nicht Gefahr, sich auf eine unwirk­sa­me Ein­wil­li­gungs­er­klä­rung als Rechts­grund­la­ge zu stüt­zen. Ande­ren­falls wür­de der Ver­ant­wort­li­che wei­ter­hin dem in der DSGVO vor­herr­schen­den grund­sätz­li­chen Ver­ar­bei­tungs­ver­bot unter­lie­gen, es dro­hen Sanktionen.

Was ist aus recht­li­cher Sicht erforderlich?

Um Sank­tio­nen vor­zu­beu­gen und kei­nem Ver­ar­bei­tungs­ver­bot zu unter­lie­gen, soll­te auf nach­fol­gen­de Bedin­gun­gen der Ein­wil­li­gung beson­ders geach­tet werden.

Für Ver­ant­wort­li­che der Worst Case – das ein­wil­li­gungs­be­dürf­ti­ge Vor­ha­ben steht auf der Kip­pe.” – Marie-Luis Bufler

Trans­pa­renz

Zunächst ist es unab­ding­bar, dass der Ver­ant­wort­li­che den Betrof­fe­nen über den vor­ge­se­he­nen Zweck der Erhe­bung, Ver­ar­bei­tung oder Nut­zung sei­ner per­so­nen­be­zo­ge­nen Daten infor­miert – und das vor Abga­be der Ein­wil­li­gungs­er­klä­rung. Der Grund liegt in dem durch­aus nicht zu unter­schät­zen­den Erfor­der­nis der „ent­schei­dungs­re­le­van­ten Tat­sa­chen“. Dem Betrof­fe­nen muss in trans­pa­ren­ter Wei­se dar­ge­legt wer­den, in was er einwilligt.

Infor­miert­heit

Die Ein­wil­li­gung hat wei­ter in infor­mier­ter Wei­se zu erfol­gen. Das bedeu­tet, dass eine kla­re sowie ver­ständ­li­che und ein­fa­che Spra­che gewählt wer­den soll­te. Dane­ben ist der Ver­ant­wort­li­che anzu­füh­ren sowie die Art der ver­ar­bei­te­ten Daten. In die­sem Rah­men spielt auch die Wider­ruf­lich­keit eine Rol­le, wel­che nach­ste­hend als extra Punkt ange­führt wird.

Frei­wil­lig­keit

Als frei­wil­lig abge­ge­ben gilt die Ein­wil­li­gung dann, wenn die betrof­fe­ne Per­son eine ech­te sowie freie Wahl hat. Dar­aus resul­tiert, dass der betrof­fe­nen Per­son aus der Ver­wei­ge­rung kei­ne Nach­tei­le erwach­sen dür­fen. Inter­es­sant wird das Kri­te­ri­um der Frei­wil­lig­keit immer dann, wenn ein Ungleich­ge­wicht zwi­schen dem Betrof­fe­nen und dem Ver­ant­wort­li­chen ange­nom­men wer­den kann. Auf einen Bei­trag zu die­sem The­ma, kön­nen Sie bereits jetzt gespannt sein – mehr dazu im März-Beitrag.
Beach­ten Sie in die­sem Rah­men auch das Koppelungsverbot.

Wider­ruf­lich­keit der Einwilligung

Bei der Aus­ge­stal­tung der Ein­wil­li­gung ist unbe­dingt auf den Hin­weis hin­sicht­lich des Rechts, die Ein­wil­li­gung jeder­zeit wider­ru­fen zu kön­nen, zu ach­ten. Dies hat nicht nur vor Abga­be der Ein­wil­li­gungs­er­klä­rung zu erfol­gen, son­dern soll­te auch so aus­ge­stal­tet sein, dass der Betrof­fe­ne genau so leicht wider­ru­fen kann, wie er ein­ge­wil­ligt hat.

Wie prak­ti­ka­bel ist die Umset­zung in der Praxis?

Nach­dem die gesetz­li­chen Anfor­de­run­gen beleuch­tet wur­den, stellt sich anschlie­ßend die Fra­ge nach der Umset­zung in der Praxis.
Sicher ist, dass die betrof­fe­nen Per­so­nen mit den ihr zur Ver­fü­gung gestell­ten Infor­ma­tio­nen ver­un­si­chert wer­den kön­nen. Die Infor­ma­ti­ons­flut kann zur Ermü­dung füh­ren, die Ein­wil­li­gung wird so schlimms­ten­falls nicht erteilt. Für Ver­ant­wort­li­che der Worst Case — das ein­wil­li­gungs­be­dürf­ti­ge Vor­ha­ben steht auf der Kippe.

Dem Umstand der Infor­miert­heit geschul­det wür­de auch eine voll­stän­di­ge Erfül­lung der gesetz­lich vor­ge­se­he­nen Infor­ma­tio­nen mehr­sei­ti­ge Doku­men­te mit Infor­ma­ti­ons­in­hal­ten nach sich zie­hen. Es darf bezwei­felt wer­den, ob dies noch dem Erfor­der­nis der Ver­ständ­lich­keit entspricht.

Es zeich­net sich bereits ab, dass sich eine all­ge­mein­gül­ti­ge Lösung zur Aus­ge­stal­tung der Ein­wil­li­gungs­er­klä­rung nicht fin­det. Doch besteht die Mög­lich­keit, an gewis­sen Stell­schrau­ben zu dre­hen. Unter ande­rem kann im Rah­men der Infor­miert­heit eine gestuf­te Infor­ma­ti­ons­er­fül­lung ange­dacht wer­den. Betrof­fe­ne erhal­ten die Mög­lich­keit, wei­te­re Infor­ma­tio­nen an ande­rer Stel­le ein­zu­ho­len. Die ein­ma­li­ge Infor­ma­ti­ons­flut wird ver­mie­den und in Stu­fen auf­ge­teilt zur Ver­fü­gung gestellt. Jedoch soll­ten kei­ne ent­schei­dungs­re­le­van­ten Tat­sa­chen vor­ent­hal­ten wer­den, sodass der Ver­weis geschickt auf der Ein­wil­li­gungs­er­klä­rung plat­ziert sein sollte.

Auch die Anfor­de­run­gen an die Ein­wil­li­gung sind unter­schied­lich. Erhöh­te Anfor­de­run­gen gehen bei­spiels­wei­se mit der Ver­ar­bei­tung sen­si­bler Daten ein­her, oder wenn Kin­der ange­spro­chen werden.

Dane­ben ist dar­auf zu ach­ten, dass ein deut­li­cher Hin­weis auf das Wider­rufs­recht erfolgt. Die DSGVO als sol­che sieht für eine ein­mal erteil­te Ein­wil­li­gung kein Ablauf­da­tum vor. Das bedeu­tet: auch wenn eine Wider­rufs­mög­lich­keit ein­ge­räumt wird, so gilt die Ein­wil­li­gung – man­gels Aus­übung des Rechts – auf unbe­stimm­te Zeit. Die rich­ti­ge Aus­ge­stal­tung ist dem­nach nicht irrelevant.

Doch las­sen sich die­se Aus­füh­run­gen nicht dadurch umge­hen, dass von einer umständ­li­chen Ein­wil­li­gungs­er­klä­rung abge­se­hen wird?

Sicher scheint dies auf den ers­ten Blick eine ein­fa­che­re Lösung zu sein. Auch ist für die Ein­wil­li­gung grund­sätz­lich kei­ne bestimm­te Form vor­ge­schrie­ben. Zwar sucht man in der DSGVO selbst ver­ge­bens nach einem Form­erfor­der­nis für die Ein­wil­li­gung, dem Erwä­gungs­grund 32 der DSGVO lässt sich jedoch eine Aus­sa­ge zu die­sem Umstand ent­neh­men. Dem­nach wird ledig­lich eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung gefor­dert, wel­che münd­lich, schrift­lich wie auch elek­tro­nisch erfol­gen kann.

Auch wenn die münd­li­che Ein­wil­li­gung, hin­sicht­lich des Auf­wands, ver­lo­ckend klin­gen mag, so schei­nen die schrift­li­che sowie elek­tro­ni­sche Vari­an­te vor­zugs­wür­dig. Immer­hin wohnt gera­de der schrift­li­chen Vari­an­te eine Warn­funk­ti­on inne, wel­che den Betrof­fe­nen vor über­eil­ten Ent­schei­dun­gen schüt­zen soll. Durch das Ein­räu­men eines jeder­zei­ti­gen Wider­rufs­rechts wird dies jedoch umge­hend ent­schärft. Für wel­che Vari­an­te Sie sich auch ent­schei­den soll­ten, ent­schei­den Sie sich nicht aus den fal­schen Motiven.

Im Ergeb­nis ist es im Sin­ne der Nach­weis­pflicht rat­sam, einen ent­spre­chend doku­men­tier­ten Nach­weis parat zu haben. Dies erleich­tert nicht nur das Daten­schutz­ma­nage­ment, son­dern lässt Sie auch nicht auf­schre­cken, soll­te die Auf­sichts­be­hör­de ein­mal anklopfen.

Fazit

Der rich­ti­ge Aus­gleich zwi­schen aus­rei­chen­der Infor­ma­ti­ons­grund­la­ge und Wah­rung der Über­sicht­lich­keit der Ein­wil­li­gung selbst, kann sich – je nach Kon­text – als her­aus­for­dernd erwei­sen. Doch lohnt sich der Blick nicht nur um eige­nen Pflich­ten nach­zu­kom­men, son­dern auch um sich ein­mal mehr vor Augen zu füh­ren, dass eine Vor­la­ge lei­der nicht auf diver­se Situa­tio­nen zutrifft. Es bedarf – welch ein Wun­der – einer neu­en, indi­vi­du­ell ange­pass­ten Einwilligung.

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Die Zulässigkeit digitaler Entgeltabrechnungen

Die Zuläs­sig­keit digi­ta­ler Ent­gelt­ab­rech­nun­gen Es ist mitt­ler­wei­le üblich, dass wir Rech­nun­gen und Doku­men­te digi­tal erhal­ten. Zu den­ken sind an […]

eAU: Neuerungen für Arbeitgeber

eAU: Neue­run­gen für Arbeit­ge­ber Seit dem 01.01.2023 gilt für Arbeit­ge­ber die Pflicht, die Arbeits­un­fä­hig­keits­be­schei­ni­gung (AU) ihrer Beschäf­tig­ten digi­tal abzurufen. […]

Autorin des Artikels:

Marie-Luis Bufler

Juristin mit Schwerpunkt Datenschutzrecht