Wann ist eine Einwilligung nach DSGVO rechtssicher wirksam?

Anforderungen an eine wirksame Einwilligung im Überblick

Die Einwilligung ist eine zentrale Rechtsgrundlage im Datenschutz. Für Unternehmen und verantwortliche Stellen ist jedoch häufig unklar, wann eine Datenverarbeitung tatsächlich auf eine Einwilligung gestützt werden kann und welche konkreten rechtlichen Anforderungen dabei zu erfüllen sind.

Angesichts der erheblichen rechtlichen und wirtschaftlichen Risiken im Falle einer fehlenden oder unwirksamen Einwilligung ist es entscheidend, Einwilligungen von Anfang an rechtssicher einzuholen.

Einwilligung als mögliche Rechtsgrundlage für die Datenverarbeitung

Die Einwilligung ist in Art. 6 Abs. 1 lit. a DSGVO als eine von sechs möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten geregelt. Sie ist Ausdruck des informationellen Selbstbestimmungsrechts: Jede Person soll grundsätzlich selbst darüber entscheiden können, wer ihre Daten zu welchem Zweck verwendet.

In der Praxis ist die Einwilligung jedoch nur dann die richtige Wahl, wenn keine andere Rechtsgrundlage nach Art. 6 DSGVO greift. Werden personenbezogene Daten zur Vertragserfüllung (lit. b) zur Erfüllung gesetzlicher Pflichten (lit. c) oder auf Grundlage berechtigter Interessen (lit. f) verarbeitet, ist eine Einwilligung weder erforderlich noch sinnvoll.

Die Einwilligung ist typischerweise die richtige Rechtsgrundlage für Verarbeitungen, die freiwillig sind und über das vertragliche Notwendige hinausgehen.

Typische Anwendungsbeispiele sind:

• der Versand von Newslettern oder personalisierter Werbung,
• der Einsatz von Tracking- und Analysetools oder
• die Veröffentlichung von Bild- und Videoaufnahmen von Personen.

Rechtliche Anforderungen an eine wirksame Einwilligung

Die DSGVO definiert die Einwilligung in Art. 4 Nr. 11 DSGVO als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung [..]“. Daraus ergeben sich vier zentrale Voraussetzungen, die kumulativ erfüllt sein müssen.

1. Freiwilligkeit

Eine Einwilligung muss zunächst auf einer echten und freien Entscheidung der betroffenen Person beruhen. Die betroffene Person muss also in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Eine Einwilligung darf insbesondere nicht unter Druck oder Zwang erfolgen.

Besondere Bedeutung kommt in diesem Zusammenhang dem Kopplungsverbot nach Art. 7 Abs. 4 DSGVO zu. Danach darf die Erbringung einer Leistung grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, die für die Durchführung des Vertrags nicht erforderlich ist.

Auch irreführende Formulierungen, beschönigende Sprache, eine übermäßige Informationsfülle sowie eine visuelle Gestaltung, die Nutzer gezielt zur Abgabe einer Einwilligung lenkt (sog. Dark Patterns), können die Freiwilligkeit beeinträchtigen.

2. Informiertheit

Eine wirksame Einwilligung setzt weiterhin voraus, dass die betroffene Person vorab umfassend und verständlich über die beabsichtigte Datenverarbeitung informiert wird.

Die Informationen müssen leicht zugänglich, transparent und in klarer Sprache formuliert sein und insbesondere erkennen lassen, wer die Daten verarbeitet und zu welchen konkreten Zwecken dies geschieht. Nach den aktuellen Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung sind der betroffenen Person auch Informationen zur Art der verarbeiteten Daten, zum Widerrufsrecht sowie zu möglichen automatisierten Entscheidungen und Drittlandübermittlungen bereitzustellen.

Ergänzende Hinweise können über eine Datenschutzinformation erfolgen, auf die klar und eindeutig verwiesen wird.

3. Bestimmtheit

Darüber hinaus muss sich eine Einwilligung auf einen klar definierten Verarbeitungszweck beziehen. Pauschale oder zu weit gefasste Einwilligungen sind unzulässig.

Werden mehrere Zwecke verfolgt, ist grundsätzlich für jeden Zweck eine gesonderte Einwilligung erforderlich.

Eine Bündelung ist nur ausnahmsweise zulässig, wenn die Zwecke in einem so engen inhaltlichen Zusammenhang stehen, dass eine gesonderte Abfrage nicht sinnvoll möglich ist.

4. Eindeutige bestätigende Handlung

Schließlich bedarf es einer unmissverständlichen Willensbekundung durch eine aktive Handlung der betroffenen Person (sog. Opt-In).

Die DSGVO sieht grundsätzlich Formfreiheit vor. Eine Einwilligung kann daher schriftlich, aber auch elektronisch, z.B. durch Anklicken einer Checkbox oder Schaltfläche, Auswahl technischer Einstellungen oder eine andere Erklärung oder aktive Verhaltensweise (z.B. mündlich) erteilt werden.

Stillschweigen, bereits vorausgefüllte Checkboxen (sog. Opt-Out) oder bloße Untätigkeit, wie etwa die Weiternutzung eines Dienstes, stellen keine Einwilligung dar. Ebenso genügt es nicht, wenn eine Einwilligung in allgemeinen Nutzungsbedingungen enthalten ist, ohne gesondert hervorgehoben zu werden.

Der Verantwortliche muss nach Art. 7 Abs. 1 DSGVO nachweisen können, dass eine wirksame Einwilligung vorliegt. Die gewählte Form muss daher eine verlässliche Dokumentation ermöglichen.

Sonderfälle und besondere Anforderungen

In bestimmten Konstellationen gelten erhöhte Anforderungen an die Einwilligung.

1. Verarbeitung sensibler Daten

Bei der Verarbeitung besonderer Kategorien von Daten im Sinne von Art. 9 DSGVO ist grundsätzlich eine „ausdrückliche“ Einwilligung (s. hierzu weiter unten) erforderlich.

2. Automatisierte Entscheidungsfindung

Soll eine automatisierte Entscheidungsfindung (Art. 22 DSGVO) auf eine Einwilligung gestützt werden, ist ebenfalls eine „ausdrückliche“ Einwilligung erforderlich.

3. Beschäftigte

Nach § 26 Abs. 2 BDSG soll die Einwilligung grundsätzlich schriftlich erfolgen, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist.

Aufgrund des bestehenden Abhängigkeitsverhältnisses werden Einwilligungen im Beschäftigungsverhältnis regelmäßig kritisch hinterfragt. Eine wirksame Einwilligung kommt hier nur in Ausnahmefällen in Betracht, insbesondere, wenn Beschäftigte durch die Datenverarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erhalten oder beide Seiten ein gleichgelagertes Interesse verfolgen.

4. Kinder

Kinder genießen im Datenschutz einen besonderen Schutz, da sie sich der Risiken und Folgen einer Datenverarbeitung häufig weniger bewusst sind.

Für Datenverarbeitungen in Zusammenhang mit Diensten der Informationsgesellschaft legt Art. 8 DSGVO besondere Bedingungen für die Einwilligung fest. Danach ist eine Einwilligung nur wirksam, wenn das Kind das festgelegte Mindestalter erreicht hat oder die Zustimmung der Erziehungsberechtigten vorliegt. In Deutschland liegt die Altersgrenze bei 16 Jahren.

Für andere Datenverarbeitungen sieht die DSGVO keine ausdrücklichen Altersgrenzen vor. Allerdings ergibt sich aus den Erwägungsgründen, dass Informationen in einer für Kinder klaren und verständlichen Sprache bereitgestellt werden müssen.

5. Forschung

Im Bereich der wissenschaftlichen Forschung kann die Einwilligung unter bestimmten Voraussetzungen weiter gefasst sein, wenn der konkrete Verarbeitungszweck zum Zeitpunkt der Datenerhebung noch nicht vollständig feststeht. Der Rahmen der Verarbeitung muss jedoch erkennbar bleiben.

Anforderungen an eine „ausdrückliche“ Einwilligung

Eine „ausdrückliche“ Einwilligung erfordert eine besonders klare und eindeutige Erklärung der betroffenen Person. Stillschweigen oder konkludentes Verhalten reichen hierfür nicht aus. Zudem muss die Einwilligung besonders präzise formuliert sein, insbesondere im Hinblick auf den konkreten Verarbeitungszweck und die Sensibilität der betroffenen Daten.

Widerruf der Einwilligung

Das Widerrufsrecht ist das notwendige Gegenstück zur Einwilligung. Die betroffene Person kann ihre Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen.

Bereits vor Abgabe der Einwilligung muss auf dieses Recht hingewiesen werden. Der Widerruf muss zudem genauso einfach möglich sein wie die Erteilung der Einwilligung. Er darf also nicht unnötig erschwert werden und sollte grundsätzlich auf demselben Weg erfolgen können (z.B. per Klick, E-Mail oder entsprechende Funktion im Nutzerkonto).

Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig; ab dem Zeitpunkt des Widerrufs darf die Datenverarbeitung auf Grundlage der Einwilligung jedoch nicht mehr fortgeführt werden.

Zeitliche Geltung der Einwilligung

Die DSGVO sieht keine feste Gültigkeitsdauer vor. Eine Einwilligung bleibt daher grundsätzlich wirksam, solange sie nicht widerrufen wird, der Verarbeitungszweck fortbesteht und sich die Umstände nicht wesentlich geändert haben.

Eine Einwilligung kann jedoch ihre Gültigkeit verlieren, wenn sie über längere Zeit nicht genutzt wird und die betroffene Person nicht mehr mit ihrer Verwendung rechnen muss. In der Rechtsprechung gelten Zeiträume von etwa 1,5 bis 2 Jahren ohne Kontakt als kritisch, vgl. LG Berlin (Urt. v. 2.7.2004 – 15 O 653/03); LG Hamburg (Urt. v. 17.2.2004 – 312 O 645/02); LG München (Urteil vom 8.4.2010 – 17 HK O 138/10).

Vor der Nutzung sollte daher stets geprüft werden, ob die Einwilligung noch aktuell ist. Zudem empfiehlt es sich, in der Formulierung klarzustellen, dass die Einwilligung grundsätzlich bis zum Widerruf gilt, um ihre zeitliche Geltung transparent zu machen.

Fazit

Die Einwilligung ist ein rechtlich anspruchsvolles Instrument mit klaren rechtlichen Anforderungen. Ihre Wirksamkeit hängt maßgeblich von einer sauberen rechtlichen Einordnung, transparenter Gestaltung und konsequenter Umsetzung ab. In der Praxis sollte sie gezielt eingesetzt und nicht als Standardlösung verstanden werden.