Zur Übersicht Betroffenenrechte

Was macht eine wirksame Einwilligung aus?

Art. 4 Nr. 11Art. 7Art. 8 DSGVO

Die Einwilligung ist eine der sechs Rechtsgrundlagen für die Datenverarbeitung nach Art. 6 Abs. 1 DSGVO. Damit sie wirksam ist, müßen strenge Voraußetzungen erfüllt sein.

Die vier Wirksamkeitsvoraußetzungen (Art. 4 Nr. 11 DSGVO):

  1. Freiwilligkeit: Die betroffene Person muss eine echte Wahlmöglichkeit haben. Eine Einwilligung ist nicht freiwillig, wenn ein klares Ungleichgewicht besteht - etwa im Beschäftigungsverhältnis oder gegenüber Behörden (ErwGr. 43). Ebenso greift das Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Die Erfüllung eines Vertrags darf nicht von einer Einwilligung abhängig gemacht werden, die für die Vertragserfüllung nicht erforderlich ist.

  2. Informiertheit: Die betroffene Person muss mindestens über den Verantwortlichen, die Verarbeitungszwecke, die Art der Daten, das Widerrufsrecht und gegebenenfalls Risiken bei Drittlandsübermittlung informiert werden.

  3. Bestimmtheit: Die Einwilligung muss sich auf einen oder mehrere bestimmte Verarbeitungszwecke beziehen. Pauschaleinwilligungen sind unwirksam.

  4. Unmissverständlichkeit: Es muss eine eindeutig bestätigende Handlung vorliegen (Opt-in). Stillschweigen, vorangekreuzte Kästchen oder blosse Untätigkeit genügen ausdrücklich nicht (ErwGr. 32).

Weitere Anforderungen:

  • Nachweispflicht (Art. 7 Abs. 1 DSGVO): Der Verantwortliche muss nachweisen können, dass die Einwilligung erteilt wurde. Ein blosser Verweis auf die Webseitengestaltung reicht laut DSK nicht aus.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Die Einwilligung muss jederzeit widerrufbar sein. Der Widerruf muss so einfach wie die Erteilung sein. Auf das Widerrufsrecht muss vor der Einwilligungserteilung hingewiesen werden.
  • Schriftform ist nach der DSGVO nicht erforderlich - auch mündliche oder elektronische Einwilligungen sind möglich. Im Beschäftigungsverhältnis verlangt Paragraph 26 Abs. 2 S. 3 BDSG allerdings grundsätzlich Schriftform.
  • Besondere Datenkategorien (Art. 9 Abs. 2 lit. a DSGVO): Hier ist eine ausdrückliche Einwilligung erforderlich - konkludente Handlungen genügen nicht.

Rechtsfolge bei Unwirksamkeit: Ist die Einwilligung unwirksam, ist die Verarbeitung rechtswidrig. Ein nachträglicher Wechsel auf eine andere Rechtsgrundlage (etwa berechtigtes Interesse) ist nach Auffassung der Aufsichtsbehörden grundsätzlich unzuläßig. Es drohen Bußgelder nach Art. 83 Abs. 5 lit. a DSGVO (bis 20 Mio. EUR oder 4% des Jahresumsatzes).

Quellen

Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7, Art. 8, Art. 9 Abs. 2 lit. a DSGVOParagraph 26 Abs. 2 BDSGErwGr. 32, 42, 43, 171DSK-Kurzpapier Nr. 20

Verwandte Fragen

Rechtsgrundlagen

Was ist die Einwilligung und welche Anforderungen gelten?

 Betroffenenrechte

Was ist der Unterschied zwischen Widerruf und Widerspruch?

 Betroffenenrechte

Darf ein Unternehmen die Identität prüfen, bevor es Auskunft gibt?