Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten. Unterzeichnet der Betroffene jedoch eine datenschutzrechtliche Einwilligungserklärung, ist dies eine Möglichkeit, um die Verarbeitung personenbezogener Daten rechtmäßig zu gestalten.
Einwilligungserklärung verhindert unbefugte Datenerhebung und Datenverkauf
Es dürfte nur sehr wenige Bürger geben, die sich noch nie geärgert haben, wenn sie plötzlich von der Firma X angerufen werden oder von der Firma Y Prospekte mit persönlicher Anrede in ihrem Briefkasten finden. Die Frage, woher die Informationen stammen, lässt sich relativ einfach beantworten − ihre persönlichen Daten wurden vielleicht verkauft. In der Vergangenheit war dies eine durchaus gängige Praxis und für die Verkäufer ein äußerst lukratives Geschäft. Der Umgang mit den Verboten im Bundesdatenschutzgesetz wurde manchmal eher entspannt gehandhabt.
Mit der Einführung der EU-Datenschutzgrundverordnung DSGVO hat sich die Lage für die Betroffenen deutlich verbessert. Die Einwilligungserklärung im Datenschutz versetzt sie in die Lage, über ihre Grundrechte zu verfügen. Das heißt, sie entscheiden hierbei selbst, ob jemand ihre Daten aufnehmen darf und was mit den Daten geschieht.
Eine rechtssichere Einwilligungserklärung erfordert Transparenz
Vor der Einführung der DSGVO war es durchaus üblich, dass Anbieter die Freigabe der persönlichen Daten im „Kleingedruckten“ versteckten. Kunden/Nutzer unterzeichneten Verträge, Anfragen und Ähnliches, ohne zu bemerken, dass sie mit ihrer Unterschrift einem Verkauf ihrer persönlichen Informationen zustimmen.
Das hat sich geändert, Art. 7 Abs. 2 DSGVO bestimmt ausdrücklich: „Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.“
Die Anforderungen für eine rechtlich wirksame Einwilligungserklärung im Datenschutz
In Art. 7 DSGVO sind Anforderungen für eine rechtlich wirksame Einwilligungserklärung im Datenschutz aufgelistet und unter anderem in Erwägungsgrund 32 näher spezifiziert. Zusammengefasst bedeutet dies, dass für eine Einwilligungserklärung die Betroffenen ausreichend informiert werden und die Erklärung freiwillig sowie unmissverständlich erfolgen muss, um wirksam zu sein. Für eine freiwillige Einwilligung ist eine echte Wahl Grundvoraussetzung, zudem gilt das sogenannte Kopplungsverbot. Im Arbeitsverhältnis muss bezüglich einer Einwilligung Beschäftigter auch § 26 Abs. 2 BDSG beachtet und umgesetzt werden.
Hinter dem Begriff Kopplungsverbot verbirgt sich, dass der Abschluss einer Transaktion nicht von der Erlaubnis zur Verwertung von mehr personenbezogenen Daten als für den Abschluss nötig abhängig gemacht werden darf. Außerdem besteht die Pflicht, dass die Einwilligung zweckgebunden zu sein hat, wobei der Grund oder die Gründe ausreichend erläutert werden müssen.
Handelt es sich um die Verarbeitung besonderer personenbezogener Daten, sagt die Vorschrift, dass sich die Einwilligung ausdrücklich darauf zu beziehen hat. Zudem verpflichtet die DSGVO den Erhebenden, den Betroffenen über die Widerrufsmöglichkeiten zu informieren. Dabei darf der Widerruf nicht schwerer zu bewerkstelligen sein als die Abgabe der Einwilligungserklärung im Datenschutz selbst.
Formvorschriften für eine Einwilligungserklärung im Datenschutz
Für die datenschutzrechtliche Einwilligungserklärung sieht der Gesetzgeber keine Formvorschrift vor.
Allerdings ist es ratsam, aufgrund der Rechenschaftspflicht die Schriftform zu wählen. Unter Berücksichtigung des Erwägungsgrunds 32 kann die Einwilligungserklärung auf elektronischem Weg erfolgen. Erwägungsgrund 32 sagt, „die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“.
Altersgrenzen bei der datenschutzrechtlichen Einwilligungserklärung
Kinder und Jugendliche unter 16 Jahren sind gemäß § 106 BGB (Bürgerliches Gesetzbuch) noch nicht voll geschäftsfähig. Von ihnen unterzeichnete Einwilligungserklärungen zum Datenschutz bleiben so lange schwebend unwirksam, bis auch ein Erziehungsberechtigter oder gesetzlicher Vertreter ausdrücklich einwilligt. Im Übrigen sind die „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“ in Art. 8 DS-GVO normiert.
Konkretisierung des Umfangs einer Einwilligungserklärung
Ähnlich der Datenschutzerklärung muss die Einwilligungserklärung im Datenschutz exakt die Art und die Menge der Datenaufnahme sowie der Datenverarbeitung in vollem Umfang auflisten. Anbieter sind verpflichtet, die Betroffenen konkret zu informieren, wie die Aufzeichnung der Daten erfolgt, um welche Daten es sich genau handelt, aus welchem Grund sie verarbeitet und über welchen Zeitraum sie gespeichert werden. Kinder und Jugendliche unter 16 Jahren benötigen eine zusätzliche Einverständniserklärung der Erziehungsberechtigten oder der gesetzlichen Vertreter.
