Das findest Du auf dieser Seite
Einwilligung bzw. Zustimmung
Der Begriff der „Einwilligung“ ist in der Rechtssprache ganz klar mit „ausdrücklich vorher erteilte Zustimmung“ definiert. Eine nachträgliche Zustimmung ist eine Genehmigung. In der DSGVO wird bewusst der Begriff „Einwilligung“ gewählt, um klar zu stellen, dass der Betroffene seine Zustimmung für die Verarbeitung seiner personenbezogenen Daten vor der Verarbeitung erteilen muss.
Das ist ganz wichtig, weil wenn Du es auf Basis einer „Genehmigung“ machst, hast Du keine Rechtsgrundlage und Deine Verarbeitung ist regelwidrig.
Daher ist es wichtig, dass Du all Deine Prozesse, um eine Einwilligung des Betroffen zu erhalten, auf die vorherige Zustimmung ausrichtest.
Wichtig Information zur Klarstellung: Ich möchte hier gleich zu Beginn klarstellen, dass Du nicht für jede Verarbeitungstätigkeit eine Einwilligung brauchst. Das ist ein großer Irrglaube. Das Team vom Datenschutzkompass hat einen Beitrag verfasst, der darüber genauer aufklärt.
Wenn Du möchtest, dass sich jemand bei Dir einträgt, müsste Dein Opt-in technisch so aussehen, damit es rechtlich richtig ist:
- Eintragungsbox (Opt-in-Formular auf Deiner Internetseite)
- Interessent (Betroffener) trägt seine Daten ein
- Er will es senden, das geht aber nicht, weil er nun das Häkchen auf Zustimmung „Ja“ in der Check-Box setzen muss
- Wenn er das Häkchen angeklickt hat, kann er in weiterer Folge seine personenbezogenen Daten zum Verarbeiter senden
- Nun erhält er eine Email, die ihm sagt, dass er sich eingetragen hat und diese muss er nun bestätigen
Die Email, die er von Dir erhält, ist das klassische Double-Opt-in-Verfahren. Das hat es bis jetzt auch schon gegeben. Neu ist, dass er eine definitive Zustimmung vor dem Absenden an Dich geben muss, wenn die Verarbeitung rechtskonform sein soll.
Ich will diesen Teil nicht überstrapazieren, aber es gibt noch ein Detail. Es gibt den Grundsatz der Zweckbindung. Nach diesem Grundsatz musst Du den Betroffenen darüber informieren, für welchen Zweck Du seine personenbezogenen Daten erhebst.
Ich denke, Du könntest nun Folgendes machen, um die Rechtmäßigkeit Deiner Verarbeitung auf ein festes Fundament zu stellen: Du machst es genau wie oben beschrieben und hast im Bestätigungsmail folgenden Textbaustein: „Der guten Ordnung halber möchte ich Sie über Folgendes informieren: Sie haben mir Ihre Einwilligung erteilt, Ihre personenbezogenen Daten für die Zwecke von Marketing, Zusendung von Informationen (weitere Zwecke) zu verarbeiten. Sie können diese Einwilligung jederzeit hier widerrufen“.
An dieser Stelle möchte ich darauf hinweisen, dass es sich hier nicht um eine verbindliche Rechtsberatung handelt. Wenn Du Dich entscheidest diesen Vorschlag anzunehmen, dann lohnt es sich dafür eine kurze Rechtsberatung in Anspruch zu nehmen um die „wasserdichte“ Formulierung in der Hand zu haben.
Sprich mit Deinem Auftragsverarbeiter, das ist jener Dienstleister mit dem Du Deine Email-Verwaltung machst, wie er dokumentieren kann, dass Du dieses Verfahren mit diesen Informationen anwendest. Das ist ganz wichtig, weil Du rechenschaftspflichtig bist. Auch wenn Du alles richtig machst, musst Du nachweisen können (Nachweispflicht), dass Du es richtig machst.
Die Einwilligung ist ein zentraler Punkt
Gleich vorweg, damit es keine Mißverständnisse gibt: Kannst Du die Einwilligung nicht nachweisen oder liegt kein sonstiger Grund für die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten vor, kann es zu einer Strafe kommen. Das sollte Grund genug sein, der Sache die nötige Aufmerksamkeit zu schenken.
Ich möchte an dieser Stelle das vorher Angeführte etwas genauer ausführen, damit Du den ganzen Umfang der Sache erkennen kannst.
- Du brauchst die Einwilligung des Betroffenen.
- Die Einwilligung muss ganz am Anfang sein. Bevor noch irgendwas verarbeitet, gesendet oder gespeichert wird, muss der Betroffene zugestimmt haben. Und er muss das Häkchen in der Checkbox „Ich stimme zu“ selber setzen. Er muss eine eindeutige und selbstbestimmte Handlung setzen. Die Einwilligung muss in jedem Fall freiwillig sein.
- Du musst den Betroffenen über den Zweck der Datenverarbeitung informieren.
- Du musst ihn über sein Widerrufsrecht informieren. Du musst die Möglichkeit des Widerrufes so gestalten, dass sie genau so einfach ist wie das Eintragen. Hier spricht man von „Opt-out“. Das musst Du technisch auf Deiner Internet-Seite sichtbar platzieren, bzw. im Bestätigungsmail klar zum Ausdruck geben, wo er das leicht machen kann. Du darfst diese Widerrufsmöglichkeit nicht irgendwo „verstecken“.
Bei der Einwilligung kommen mehrere Grundsätze und Verpflichtungen zusammen. Sie sind aber eigentlich leicht zu machen, wenn man sich auskennt. Und jetzt ist eine gute Gelegenheit das zu verstehen und anzuwenden, weil wenn Du das gleich von Anfang an richtig machst, sparst Du Dir richtig viel Arbeit und Geld.
Lesehilfe zur Einwilligung
Nachdem Du das Prinzip und die Basisdaten zur Einwilligung verstanden hast, folgen hier nun weitere Details zum besseren Verstehen.
Wo steht das alles in der Verordnung?
Lesehilfe DSGVO Einwilligung
Definition von Einwilligung im Art.4/11 DSGVO.
Die Bedingungen für die Einwilligung gemäß Art.7 DSGVO.
.Für die Einwilligung eines Kindes bei Diensten der Informationsgesellschaft gibt es den Art.8 DSGVO
Diese Erwägungsgründe (EG) haben alle mit „Einwilligung“ zu tun.
- 32 Grundlegende Anforderungen an die Einwilligung
- 33 Einwilligung in die Forschung
- 38 Einwilligung Kind
- 40 Rechtmäßigkeit der Verarbeitung
- 42 Nachweispflicht
- 43 Freiwilligkeit
- 50 Zweckänderung
- 51 Besondere Kategorien von Daten
- 54 Öffentliches Interesse
- 111 Datenübermittlung
- 155 Beschäftigtenkontext
- 161 Forschung
- 171 Übergangsregelung
Die Zustimmung muss freiwillig sein
Was die Besucher wie anklicken, muss der Verordnung entsprechen. Die Einwilligung muss freiwillig sein, es muss angegeben sein, welche Daten genau gespeichert werden, wozu diese Daten gespeichert werden und wie lange diese gespeichert werden. Auch ein Hinweis auf Widerruf muss angegeben sein. Das nennt man „auf einen bestimmten Fall hin informieren“.
Stillschweigen oder Untätigkeit reicht nicht für eine gültige Zustimmung aus. Der Betroffene muss aktiv etwas unternehmen, womit man nachweisen kann, dass er zustimmt.
Im Art.4/11 DSGVO steht, dass der Betroffene seine Zustimmung mit einer eindeutigen und bestätigenden Handlung kundtun muss. Das Schlüsselwort heißt hier „unmissverständlich.“
Achte daher darauf, dass die Checkboxen nicht schon automatisch angekreuzt sind. Eine vorher markierte Checkbox würde als „stillschweigende Übereinkunft“ gewertet, was aber aufgrund des Erwägungsgrundes 32 nicht zulässig ist. Also bitte die Checkboxen frei machen.
Zweck der Verarbeitung
Du musst bei der Einwilligung den Zweck der Verarbeitung angeben. Laut Verordnung kannst Du nicht einfach personenbezogene Daten erheben und dann überlegen, was Du damit machst. Du musst den Zweck – oder Zwecke – vorher festlegen, diese in die Einwilligung schreiben und Dich danach auch daran halten. Wie Du siehst, musst Du in Zukunft viel genauer planen und Deine Dinge ausarbeiten. Einfach eine gute Idee zu haben und dann darauf los zu arbeiten, birgt gewisse Gefahren.
Wenn Du beispielsweise 5 unterschiedliche Zwecke durchführen möchtest, mußt Du sicherstellen, dass der Betroffene diesen 5 Zwecken zugestimmt hat.
Mehr zu dieser Zweckbindung steht dann im Erwägungsgrund 32 nachzulesen.
Zusätzliche Angaben
Es gibt so etwas wie eine Informationspflicht. Das passt zum Bereich der Einwilligung, weil Du ja den Betroffenen alle Informationen zur Verfügung stellst aufgrund derer er dann seine Entscheidung, Dir seine personenbezogenen Daten zu geben, stützen kann.
In der Einwilligung musst Du auch angeben, wer der Verantwortliche ist. Das dient dem Zweck, dass sich Betroffene im Bedarfsfall an diesen Verantwortlichen wenden können. Das wirst Du am besten auch bei den zu erstellenden Datenschutz-Erklärungen aufnehmen müssen. Im Art.13 DSGVO kannst Du nachlesen, welche Informationen gefordert sind.
Schau Dir dazu auch den Erwägungsgrund 42 an. Dieser Erwägungsgrund ist klein, hat aber einiges an Informationen und Anwendungen.
Ich glaube, dass Du diesen Bereich sehr gut mit einem vernünftigen Impressum, Deinen AGB`s und einer Datenschutzerklärung erfüllen kannst.
Bitte nachweisbar gestalten
Wie schon oben bemerkt, musst Du die Einwilligung nachweisen können. Du musst Dir die technischen Voraussetzungen schaffen, sei es durch Dokumentationen, Logfiles oder über ein Datenverzeichnis (siehe Dokumentationspflichten). Einige dieser Voraussetzungen kann Dir Dein Auftragsverarbeiter abnehmen. Du musst bedenken, dass Du es nachweisen musst, das heißt, dass die Beweislast (das nennt man hier „freibeweisen“) bei Dir liegt.
Im Art.7/1 DSGVO und im Erwägungsgrund 42 wird das explizit hervorgehoben.
Auch wenn Du berechtigtes Interesse geltend machen kannst, musst Du das in irgendeiner Form nachweisen.
Warum betone ich das so oft? Im Geschäftsleben habe ich beobachtet, dass es oft keine strukturierte Vorgehensweise gibt. Viele arbeiten nach einem immer wechselnden Schema. Nach einiger Zeit weiß niemand mehr so richtig, wie das alles abläuft. Dann wird es schwierig werden, die Richtigkeit zu beweisen. Bedenke auch Umstände wie Pension, Kündigung, Krankheit von Mitarbeitern.
Einwilligung in Papierform
Wenn man die DSGVO betrachet, vergisst man gerne, dass die Verordnung nicht nur für elektronische Verarbeitung personenbezogener Daten gilt, sondern auch für die Verarbeitung physischer Formate (Papierform). Wenn Du einen Kunden im Geschäft hast und Du seine personenbezogenen Daten erfasst, musst Du ebenfalls ein Einwilligungs-Verfahren haben. Wie das aussehen könnte habe ich hier zusammengefasst.
Personen haben ein Widerrufsrecht
In der DSGVO wird von einem Widerrufsrecht gesprochen. Das bedeutet, dass der Betroffene seine Einwilligung jederzeit und ohne Gründe widerrufen kann. Du musst ihm die Möglichkeit zum Widerruf in einfacher und klarer Form verfügbar machen, aber auch schon bei der Einwilligung ihn auf das Widerrufsrecht hinweisen. Noch ein Detail: Du musst den Betroffenen von dem Widerrufsrecht vor der Datenerhebung in Kenntnis setzen.
Lies Dir den Art 7/3 DSGVO durch und setze den „Hinweis auf Widerruf“ auf Deine To-Do-Liste.
Vergiss nicht, Du musst den Widerruf so einfach gestalten wie die Zustimmung.
alles kinderleicht?
Die Form Deiner vorformulierten Einwilligungserklärung muss „kinderleicht“ geschrieben sein. Das ist zwingend vorgeschrieben. Siehe dazu den Art.7/2 DSGVO. Lange und unverständliche Texte sind nicht richtliniengemäß und werden nicht anerkannt. Es gilt vielmehr eine leicht zugängliche und klare Form und Sprache zu wählen. Es darf keine missverständlichen Klauseln geben. Du musst informieren, wer der Verantwortliche ist und zu welchen Zwecken diese Daten erhoben und verarbeitet werden.
Das Einwilligungsdokument soll einfach und nicht störend für die Nutzung gestaltet sein, was aber in Anbetracht der Tatsache, dass Du vielleicht die Zustimmung für eine Vielzahl von Aktivitäten benötigst, problematisch sein kann.
Der beste Platz um das richtig zu machen wird Deine Datenschutzerklärung sein. Da machst Du am besten eine einfache Beschreibung, was Du mit den Daten tust, welchen Zweck das erfüllt, wie lange Du denkst die personenbezogenen Daten zu speichern.
Wie ist das mit den Einwilligungen, die es schon vor der Verordnung gegeben hat? Da sieht es derzeit so aus, dass eine Alt-Einwilligung auf unbestimmte Zeit gilt. Siehe auch Erwägungsgrund 42. für den Mindestgehalt an Information.
Apropos Kinder
Kinder werden besonders geschützt. Das ist auch durchaus berechtigt. Als Kinder gelten natürliche Personen bis 16 Jahren. National kann ein Land die Altersgrenze auf 13 Jahre herabsetzen. In Österreich wurde es auf 14 Jahre festgelegt.
Für Kinder musst Du die Zustimmung der Erziehungsberechtigten einholen.
Achtung! Unterschiedliche Altersgrenzen für EU-Länder beachten!
Der Art.8 DSGVO regelt die Form und Vorgangsweise in Bezug auf die Einwilligung eines Kindes.
Fazit und Zusammenfassung
Bei der Einwilligung kommt eine Menge an Grundsätzen, Verpflichtungen und Rechten zusammen. Schauen wir uns das nochmals an:
Art.7 und Art.8 DSGVO behandeln das Thema Einwilligung. Die Einwilligung muss vor der Verarbeitung personenbezogener Daten erfolgen. Die Einwilligung muss nachweisbar und freiwillig sein und der Betroffene muss die Zustimmungshandlung selbst ausführen. Das Ersuchen um Einwilligung muss einfach und leicht zugängig sein. Du musst informieren, wofür Du die Daten einholst (Zweckbindung), dass widerrufen werden kann und den Widerruf leicht zugängig machen (Opt-out für Widerrufsrecht), Du musst angeben für wie lange Du beabsichtigst die Daten zu speichern, weiters musst Du angeben wen man kontaktieren kann um personenbezogene Daten zu löschen, zu ändern, zu übertragen oder für bestimmte Verarbeitungen einzuschränken (am besten in den „kleinen Datenschutzbestimmungen“).
Checkliste:
- Form der Einwilligung (elektronisch, schriftlich, mündlich)
- Gültigkeit durch klare Handlung des Betroffenen
- Ersuchen um Einwilligung ist klar verständlich in einfacher Form gehalten und ist leicht zugänglich (einfache „kleine Datenschutzerklärung, Einwilligung für den Erhalt von Werbesendungen)
- Die Einwilligung ist freiwillig und es wird kein Zwang ausgeübt. Unfreiwilligkeit liegt zB. dann vor, wenn man etwas nur dann bekommt, wenn man sich in eine Liste oder Ähnliches einträgt
- Ausübung von Widerruf ist leicht möglich durch klare Information und Opt-out (Opt-out an gleicher Stelle wie Opt-in und genau so einfach)
- Angabe, wie lange die Daten gespeichert werden (gib in Deinen Datenschutzbestimmungen jetzt einmal 13 Monate an)
- Dass der Betroffene eine Einwilligung gegeben hat, muss nachweisbar sein (elektronische Einwilligungen mit Prüfverfahren nachweisen)
- Datenschutzbestimmungen sind so gestaltet, dass sie den Einwilligungsprozess entsprechen und unterstützen
Nimm bitte diese Checkliste nicht als vollständig hin. Arbeite mit dieser Checkliste und besprich Dein Ergebnis mit professionellen Leuten.
Brauchst Du überhaupt eine Einwilligung oder geht es auch einfacher?
Am Ende möchte ich Dich gern noch einmal auf den Fachbeitrag vom Datenschutzkompass aufmerksam machen. Denn womöglich gibt es eine andere Rechtsgrundlage (das berechtigte Interesse), womit Du die Einwilligung umgehen kannst. Dieser Beitrag geht auf genau dieses Thema ein.
Ist eine Frage offen geblieben?
