Diese Situationen kennen wir alle, wir möchten einen Arztbesuch hinter uns bringen und müssen zunächst eine Einwilligung für die Verarbeitung unserer Daten unterzeichnen. Bei jedem Klick auf eine neue Website wird unsere Einwilligung in die Verwendung von Cookies erfragt.
Wohl zurecht, denn die Einwilligungserklärung ist der sichtbarste Weg, wie Verantwortliche die Verarbeitung personenbezogener Daten ihrer Kunden legitimieren. Doch viele Verantwortliche wissen gar nicht, dass es daneben auch andere Wege gibt, um Daten Datenschutzkonform verarbeiten zu dürfen.
In diesem Artikel erfahren Sie:
- was genau eine solche Einwilligungserklärung ist
- was unbedingt inhaltlich beachtet werden muss und
- in welchen praktischen Einsatzfeldern eine Einwilligung notwendig ist.
Zudem erhalten Sie ein kostenloses Muster für eine Einwilligungserklärung als PDF-Download.
Inhalte
- Definition einer Einwilligung nach DSGVO
- Rechtliche Grundlagen der Einwilligungserklärung nach DSGVO
- Zwingende Anwendungsgebiete der Einwilligungserklärung nach Datenschutzrecht
- Rechtliche Fallstricke bei der Einwilligung als Checkliste
- Die Einwilligung muss immer im Voraus der Datenverarbeitung und nicht erst im Nachhinein eingeholt werden.
- Eine Einwilligung gilt nicht generell für alle Datenverarbeitungen.
- Die Einwilligung ist formfrei und damit auch mündlich oder durch Kopfnicken möglich.
- Die Einwilligung muss durch eine eindeutige Handlung abgegeben werden.
- Die Einwilligung muss freiwillig erfolgen.
- Auch in die Verwendung von Cookies muss eingewilligt werden.
- Der Betroffene muss über das Erheben besonderer personenbezogener Daten informiert werden.
- Die einwilligende Person muss informiert werden, dass ihr umfassende Betroffenenrechte zustehen.
- Richtet sich eine Dienstleistung unmittelbar (auch) an Kinder oder Jugendliche, die das 16. Lebensjahr noch nicht vollendet haben, ist eine zusätzliche Einwilligung der Erziehungsberechtigten notwendig.
- Muster für eine Einwilligungserklärung nach DSGVO zum downloaden
- Die 4 häufigsten Fragen zu Einwilligungserklärungen
- Fazit
- Quellen
Definition einer Einwilligung nach DSGVO
Eine Einwilligung im Sinne der Datenschutz-Grundverordnung ist jede für einen bestimmten Fall freiwillig abgegebene Willensbekundung, die in eindeutiger und unmissverständlicher Weise das Einverständnis in die Verarbeitung personenbezogener Daten gibt.
Denn personenbezogene Daten dürfen nicht einfach willkürlich erhoben, gespeichert oder weitergegeben werden. Eine Datenverarbeitung ist nur dann rechtmäßig, wenn sie auf einer rechtlichen Grundlage beruht. Die Einwilligung ist hierbei eine Möglichkeit einer wirksamen Rechtsgrundlage.
Rechtliche Grundlagen der Einwilligungserklärung nach DSGVO
Die Einwilligungserklärung nach der DSGVO ist in Artikel 7 und den in Erwägungsgrund 32 spezifizierten Anforderungen geregelt. Artikel 7 legt fest, wie mit der Einwilligung umzugehen ist, einschließlich der Nachweispflicht und des Widerrufsrechts.
In Erwägungsgrund 32 wird konkretisiert, dass die Einwilligung in eindeutiger und verständlicher Form erfolgen muss, wobei freiwillig, spezifisch, in Kenntnis der Sachlage und unmissverständlich die zentralen Kriterien sind. Diese Regelungen bilden die Grundlage für eine rechtskonforme Verarbeitung personenbezogener Daten unter Einbeziehung der Betroffenen.
Diese Alternativen zur Einwilligung nach DSGVO gibt es
- Die Datenverarbeitung ist für die Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen notwendig.
- Die Datenverarbeitung erfolgt mit berechtigtem Interesse des Verantwortlichen. Das Interesse und die Rechte des Betroffenen überwiegen zudem nicht in einem Abwägungsprozess.
- Die Datenverarbeitung erfolgt aufgrund einer rechtlichen Verpflichtung.
- Die Datenverarbeitung erfolgt aufgrund eines lebenswichtigen Interesses des Betroffenen oder einer anderen Person.
- Die Datenverarbeitung erfolgt aufgrund eines öffentlichen Interesses.
Das Einholen einer Einwilligung des Betroffen ist damit nur eine Möglichkeit, um rechtmäßig personenbezogene Daten verarbeiten zu können.
Sie ist daher nicht in jedem Falle notwendig, kann dennoch stets als Rechtsgrundlage herangezogen werden. Wenn Sie sich jedoch unnötige Arbeit ersparen wollen, ist es sinnvoll vorab zu überprüfen, ob die Datenverarbeitung nicht auch auf eine andere, weniger aufwendige Grundlage gestützt werden kann.
Praxisbeispiel: Sie sind Verantwortlicher eines Bekleidungsgeschäftes, das auch online Kleidung anbietet. Bei Ihnen meldet sich eine Kundin, die gern eine Bluse bestellen möchte. Nun wollen Sie den Namen, die Adresse, die Bankdaten und eine Telefonnummer für die Abwicklung der Bestellung erheben.
Das muss nicht durch eine Einwilligung geschehen, denn die Datenverarbeitung ist auch für die Erfüllung und Anbahnung des Vertrages notwendig.
Zwingende Anwendungsgebiete der Einwilligungserklärung nach Datenschutzrecht
Die folgenden Beispiele sollen Ihnen einige typische Anwendungsgebiete aufzeigen, in denen eine Einwilligung als unbedingt erforderlich oder empfehlenswert gilt.
Nutzung von Bildern von Mitarbeitern auf der Website
Möchten Sie die Bilder Ihrer Mitarbeiter auf der Website veröffentlichen, müssen Sie unbedingt Einwilligungen der Mitarbeiter einholen. Achten Sie genau darauf, dass die Mitarbeiter erfahren, welche Bilder an welchem Ort veröffentlicht werden. Zudem ist es wichtig, dass die Mitarbeiter besonders ausführlich darauf hingewiesen werden, dass die Veröffentlichung ihres Bildes freiwillig ist und die freiwillige Einwilligung jederzeit widerrufen werden kann.
Praxisbeispiel: Die Kundenberater eines Versicherungsunternehmens sollen auf der Website veröffentlicht werden, um bei Ihren Kunden einen besonders persönlichen und sympathischen Eindruck zu hinterlassen.
Website-Tracking
Sollen Bewegungsdaten und das Kaufverhalten der Besucher Ihrer Website aufgezeichnet und ausgewertet werden und haben diese Daten einen Personenbezug, ist eine Einwilligung notwendig.
Beispiel: Alle technisch nicht notwendigen Cookies auf der Webseite eines Onlinehandels, um Marketingstrukturen zu überprüfen.
Bearbeitung besonderer personenbezogener Daten
Handelt es sich bei den zu verarbeiteten Daten um besondere personenbezogene Daten (sog. Art. 9 Daten), wie beispielsweise die ethnische Herkunft, die religiöse Überzeugung oder Daten über die Gesundheit, sollte eine Einwilligung eingeholt werden. Darüber hinaus sollte eine Risikoanalyse oder gar eine DSFA durchgeführt werden.
Beispiel: Ein Unternehmen fragt Verbraucher nach der Regelmäßigkeit und Art ihrer Medikamenteneinnahmen, um gezielt alternative homöopathische Mittel anbieten zu können.
Profiling
Erfolgt eine Datenverarbeitung automatisiert zur Aus- und Bewertung des persönlichen Verhaltens oder persönlicher Eigenschaften des Betroffenen, ist eine Einwilligung unbedingt notwendig.
Beispiel: Über einen Zeitraum hinweg werden automatisiert Daten über die wirtschaftliche Leistungsfähigkeit von Versicherungskunden gesammelt, um Nutzerprofile erstellen zu können und Risiko-Kunden automatisch eine höhere Versicherungsklasse geben zu können.
Weitergabe von Daten
Ist die Weitergabe von personenbezogenen Daten nicht zum Zweck der Vertragserfüllung oder anhand berechtigter Interessen notwendig, muss ebenfalls eine Einwilligung eingeholt werden.
Beispiel: Die Weitergabe erfolgt an einen Lieferanten zu Werbezwecken.
Direktwerbung (von Nichtkunden)
Insbesondere bei der Direktwerbung neuer und nicht bereits akquirierter Kunden muss vor der Kontaktaufnahme eine Einwilligung eingeholt werden.
Beispiel: Wenn ein Verbraucher als potenzieller Neukunde telefonisch kontaktiert wird, um für die Produkte eines Unternehmens geworben zu werden.
Zweckänderung
Wurde für den ursprünglichen Zweck eine Einwilligung erteilt und ändert sich dieser Zweck derart, dass er mit der vorherigen Einwilligung nicht vereinbar ist, muss eine erneute Einwilligung eingeholt werden.
Beispiel: Kunden erteilen ihre Einwilligung zur Weitergabe der Daten an ein Tochterunternehmen. Nach der Weitergabe sollen die erhobenen Daten nun auch für die jährliche Weihnachtslotterie verwendet werden.
Rechtliche Fallstricke bei der Einwilligung als Checkliste
Auch wenn die Einholung einer Einwilligungserklärung zusätzliche Formalien bedeutet, so scheint sie eine einfache Möglichkeit zu sein, um Daten verarbeiten zu können. Insbesondere andere Grundlagen, wie die Abwägung des berechtigten Interesses, wirken undurchschaubar oder zeitaufwendig.
Doch auch bei der Einwilligung lauern rechtliche Fallstricke, die Sie unbedingt kennen sollten! Anhand dieser Checkliste können Sie Ihre Einwilligungen auf die häufigsten Fehler überprüfen.
Muster für eine Einwilligungserklärung nach DSGVO zum downloaden
Dieses DSGVO Muster erhebt keinen Anspruch auf Vollständigkeit und bildet nur einen kleinen Auszug des Umfangs einer Einwilligung ab. Sie müssen die DSGVO Vorlage an Ihre Gegebenheiten anpassen.
Einwilligungserklärung in die Verarbeitung personenbezogener Daten gemäß DSGVO
Hiermit stimme ich [Name, Vorname] der folgenden Verarbeitung meiner personenbezogenen Daten durch [Name des Unternehmens] zu:
Kategorie und Art der Datenverarbeitung
Folgende personenbezogene Daten werden durch [Name des Unternehmens] verarbeitet:
- [Name, Vorname]
- [Adresse]
- [E-Mail-Adresse]
- [Kategorien von personenbezogenen Daten hier genau benennen.]
Die Verarbeitung der personenbezogenen Daten durch [Name des Unternehmens] umfasst:
- [Datenerhebung]
- [Datenspeicherung]
- [Alle Verarbeitungsvorgänge nennen.]
Besondere Kategorien personenbezogener Daten
Folgende besondere personenbezogene Daten werden durch [Name des Unternehmens] verarbeitet:
- [Gesundheitsdaten]
- [Kategorien von besonderen personenbezogenen Daten hier genau benennen.]
Zweck der Datenverarbeitung
Diese Daten werden nur zu folgenden Zweck(en) verarbeitet:
- [Vertragsdurchführung]
- [Newsletter-Abonnement]
- [Zwecke genau nennen.]
Datensicherheit
Diese Daten werden nur von berechtigten Personen unter Einhaltung einer angemessenen Datensicherheit bearbeitet. Eine automatische Löschung der verarbeiteten Daten erfolgt nach [6 Monaten].
Risiken für die betroffene Person
Es bestehen Risiken für die betroffene Person, diese können sein:
- [Geben Sie hier Risiken an, falls zutreffend, z.B. Veröffentlichung, Verlust von Daten etc.]
Widerrufsrecht
Der/die Einwilligende hat das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft ohne Angabe von Gründen zu widerrufen. Ab Zugang der Widerrufserklärung werden die Daten unverzüglich gelöscht insofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen und der Widerruf wirksam ist. Die Wirksamkeit der bis zum Widerruf der Einwilligung getätigten Datenverarbeitung bleibt unberührt.
Der Widerruf ist an die folgende E-Mail-Adresse zu richten: [E-Mail-Adresse]
Weitere Rechte des/der Einwilligenden
Der/die Einwilligende besitzt auch das Recht der Löschung, der Sperrung, der Berichtigung und der Übertragbarkeit der Daten, sowie der Auskunft über die Datenverarbeitung. Die Geltendmachung dieser Rechte ist an folgende E-Mail-Adresse zu richten: [E-Mail-Adresse]
Folgen der Nichtunterzeichnung
Der/die Unterzeichnende hat außerdem das Recht, allen oder einem der Zwecke dieser Einwilligungserklärung nicht zuzustimmen. Daher sind nur die Zwecke anzukreuzen, denen zugestimmt werden soll.
Die Datenverarbeitung ist für den Zweck [der Vertragsdurchführung] notwendig. Die Nichtzustimmung schließt die Dienste durch [Name des Unternehmens] aus.
Die Datenverarbeitung ist für den Zweck [des Newsletter-Abonnements] nicht notwendig. Die Zustimmung erfolgt freiwillig. Die Nichtzustimmung schließt die Dienste durch [Name des Unternehmens] nicht aus.
Freiwillige Zustimmung
Hiermit versichert der/die Unterzeichnende, der [Erhebung und Verarbeitung] der personenbezogenen Daten durch [Name des Unternehmens] zu folgenden Zweck(en) [Vertragsdurchführung und Newsletter-Abonnement] freiwillig zuzustimmen. Eine ordnungsgemäße Belehrung über das Widerrufsrecht fand statt.
________________________
Ort, Datum, Unterschrift
Die 4 häufigsten Fragen zu Einwilligungserklärungen
Grundsätzlich ist eine Einwilligung keine zwingende Grundlage für die Verarbeitung von personenbezogenen Daten. Daneben gibt es noch weitere Möglichkeiten in Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung – Datenschutz-Grundverordnung.
Zudem ist die Einwilligung vor jeder Datenverarbeitung einzuholen, also unabhängig davon, ob Daten erhoben, gespeichert oder gar weitergegeben werden. Sie ist jedoch immer nur auf den benannten konkreten Zweck beschränkt. Bei mehreren Zwecken muss sich die Einwilligungserklärung auch ausdrücklich auf mehrere Zwecke, wie beispielsweise die Angebotserstellung und die Direktwerbung, beziehen.
Sie kann dem Kunden allerdings im Zusammenhang mit den Vertragspapieren gereicht werden, wenn sie dennoch klar unterscheidbar ist.
Tatsächlich gibt die DSGVO keine Formvoraussetzungen für Einwilligungen vor und damit auch nicht die Schriftform. Somit können Sie wirksame Einwilligungen Ihrer Kunden auch mündlich einholen. Allerdings sollte stets beachtet werden, dass im Zweifel Sie die Nachweispflicht über die eingeholten Einwilligungen haben. Deshalb sind schriftliche Einwilligungen immer sinnvoll!
Der Betroffene kann die Einwilligung jederzeit ohne die Angabe von Gründen für die Zukunft widerrufen. Dieses Recht steht ihm gemäß Art. 7 DSGVO – Bedingungen für die Einwilligung – Datenschutz-Grundverordnung zu.
Alle vor dem Inkrafttreten der DSGVO eingeholten Einwilligungen bleiben zunächst wirksam. Dennoch müssen Sie sicherstellen, dass die „alten“ Einwilligungen den Vorgaben des Datenschutzrechtes genügen.
Sollte das so sein, müssen Sie keine erneuten Einwilligungen einholen. Andernfalls passen Sie die „alten” Einwilligungsformulare an und verteilen Sie erneut an Ihre Kunden.
Fazit
Sie haben alles gelesen und verinnerlicht, wissen jedoch nicht, wo Sie nun in Ihrem Unternehmen ansetzen können? Kein Problem! Prüfen Sie zunächst die alten und vorliegenden Einwilligungserklärungen auf ihre Gültigkeit mit der DSGVO. Überdenken Sie die Dokumentations- und Ablagestrukturen. Seien Sie sich immer bewusst, dass neben der Einwilligung auch andere Rechtsgrundlagen möglich sein können.
Versuchen Sie sich schließlich, wenn notwendig, am Erstellen einer neuen Einwilligungserklärung nach dem erläuterten Muster. Wenn Sie sich an die genannten Schritte halten und die Hinweise beachten, können Sie nichts falsch machen. Sollten Sie auf Nummer sicher gehen wollen, können Sie auch hier ein detailliertes Vorlagenpaket erwerben.
Quellen
https://dsgvo-gesetz.de/art-6-dsgvo/
https://dsgvo-gesetz.de/art-7-dsgvo/
https://dsgvo-gesetz.de/art-8-dsgvo/
https://dsgvo-gesetz.de/art-9-dsgvo/