Wer personenbezogene Daten verarbeiten möchte, benötigt eine entsprechende Rechtsgrundlage. Diese kann entweder durch ein Gesetz gegeben oder durch eine Einwilligung der betroffenen Person erlangt werden. Da wir hierzu vermehrt Anfragen erhalten, haben wir dies zum Anlass genommen und einen entsprechenden BLOG-Beitrag verfasst.
Für eine Einwilligung nach EU-Datenschutz-Grundverordnung (DSGVO) gibt es bestimmte Anforderungen:
1. Form der Einwilligung: Sie kann schriftlich, mündlich oder elektronisch erfolgen. Wichtig ist ihre Klarheit, Verständlichkeit und Eindeutigkeit. Schriftliche Einwilligungen sind meist vorzuziehen, da sie nachweisbar sind.
2. Informiertheit: Vor der Einwilligung müssen die Betroffenen über den Umfang und Zweck der Datenverarbeitung informiert werden. Die Einwilligungserklärung muss transparent und leicht zugänglich sein.
3.Freiwilligkeit: Die Einwilligung muss freiwillig und ohne Druck oder Zwang gegeben werden. Die Betroffenen müssen wissen, dass sie die Einwilligung ohne negative Konsequenzen verweigern können.
4. Bestimmtheit und Zweck: Die Erklärung muss deutlich machen, wer welche Daten zu welchem konkreten Zweck verarbeitet. Allgemeine oder unklare Erklärungen sind nicht zulässig.
5. Unmissverständlichkeit und Aktivität: Die Betroffenen müssen aktiv einwilligen, z. B. durch Ankreuzen eines Kästchens. Vorangekreuzte Kästchen oder versteckte Einwilligungen sind nicht erlaubt.
6. Widerrufsmöglichkeit: Betroffene müssen ihre Einwilligung jederzeit widerrufen können, und dies sollte in der Einwilligungserklärung klar kommuniziert werden.
7. Höchstpersönlichkeit: Nur die betroffene Person kann in die Verwendung ihrer eigenen Daten einwilligen. Bei Minderjährigen unter 16 Jahren ist eine Einwilligung der Eltern oder Erziehungsberechtigten erforderlich.
Fehlerhafte Einwilligungserklärungen können rechtliche Konsequenzen haben und sollten daher sorgfältig und im Einklang mit den DSGVO-Bestimmungen erstellt werden.
Fazit:
Wir empfehlen nach Möglichkeit immer die Lösung der gesetzlichen Grundlage. Rechtskonforme Einwilligungserklärungen sind zwar möglich, benötigen aber bei komplexen Datenverarbeitungen einen sorgfältigen Ansatz. Datenschutztechnik, insbesondere „Privacy by Design“ und „Privacy by Default“, erleichtert den Prozess des Einholens, Managements und Widerrufs solcher Erklärungen. Einwilligungserklärungen können viele Datenverarbeitungen ermöglichen, müssen aber freiwillig und ohne Manipulation erfolgen. Negativbeispiele, wie manipulative Cookiebanner, können die Rechtswirksamkeit solcher Einwilligungen gefährden. Es ist zudem wichtig, die möglichen rechtlichen Konsequenzen einer freiwilligen Widerruflichkeit zu bedenken.