Praxiswissen
Seiteninhalte
Stand 02 / 20255 MinutenNur für Mitglieder

Datenschutz-Grundverordnung: Einwilligung des Betroffenen

Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Im Zusammenhang mit diesen Vorschriften ist die ordnungsgemäß erteilte Einwilligung des Betroffenen eine Rechtsgrundlage für die Datenerhebung und -verarbeitung. Alle Details hierzu finden Sie in diesem Praxiswissen

Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht

Vorbemerkung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Möchten Sie weiterlesen?

Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.

Passwort vergessen

Sie sind noch kein HBE-Mitglied?

Mitgliedschaft beantragen

Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?

Zur Erstanmeldung

Einwilligung (Art. 6 Abs. 1 a), Art. 7, Art. 8, Art. 9 Abs. 1, ErwGr 32, 42, 43)

Inhalt (grob)

Die ordnungsgemäß erteilte Einwilligung des Betroffenen((GENDERNOTICE)) ist eine Rechtsgrundlage für die Datenerhebung und -verarbeitung. Besondere Anforderungen gelten in bestimmten Verarbeitungssituationen, bei besonders sensiblen Daten und bei Kindern. Der Verantwortliche muss die Einwilligung nachweisen können.

Sanktionen bei Verstoß

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Inhalt

Für eine Einwilligung bestehen folgende inhaltliche Voraussetzungen:((Rechtsgrundlage: Art. 6 (1 a)))

  • Eine informierte Einwilligung setzt mindestens voraus, dass der Betroffene Kenntnis darüber hat, wer der Verantwortliche ist und für welche Zwecke seine personenbezogenen Daten verarbeitet werden sollen.((Rechtsgrundlage: Art. 6 (1 a) ErwGr 42 )) Wenn mehrere Zwecke von einer Verarbeitung umfasst werden sollen, müssen diese jeweils aufgeführt werden. ((Rechtsgrundlage: ErwGr 32 ))
  • Für verschiedene Verarbeitungsvorgänge müssen seperate Einwilligungen eingeholt werden. ((Rechtsgrundlage: ErwGr 43 ))
  • Die Einwilligung muss freiwillig sein, d. h., dass der Betroffene eine echte oder freie Wahl haben muss, die Einwilligung zu verweigern, ohne Nachteile zu erleiden. Bei der Beurteilung der Freiwilligkeit der Einwilligung im Zusammenhang mit einem Vertragsschluss ist insbesondere zu berücksichtigen,((Rechtsgrundlage: ErwGr 42 ))  ob der Vertrag von einer Einwilligung zur Datenverarbeitung abhängig gemacht wird, die für die Erbringung der Leistung nicht erforderlich ist.((Rechtsgrundlage: Art 7 (4) ErwGr 43 ))
  • Der Verantwortliche muss vor der Einwilligung darauf hinweisen, dass die Einwilligung jederzeit widerrufen werden kann. Der Widerruf muss so einfach sein wie die Einwilligung selbst.((Rechtsgrundlage: Art. 7 (3) ))
  • Der Verantwortliche muss jederzeit nachweisen können, dass der Betroffene in die Datenverarbeitung eingewilligt hat.((Rechtsgrundlage: Art. 7 (1) ))
  • Die Schriftform wird – im Gegensatz zum BDSG – nicht mehr verlangt. Vielmehr ist eine unmissverständliche Willensbekundung in Form einer Erklärung oder einer anderen eindeutig bestätigenden Handlung erforderlich, mit der der Betroffene sein Einverständnis zur Verarbeitung der Daten erteilt. Die Einwilligung kann also z. B. als schriftliche Erklärung, als EMail oder durch Anklicken eines Kästchens eingeholt werden. Nicht ausreichend sind Untätigkeit, Stillschweigen oder vorangekreuzte Kästchen.((Rechtsgrundlage: ErwGr 32 ))
  • Wenn die Einwilligung in Form einer schriftlichen Erklärung erfolgt, muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form, in einer einfachen Sprache abgefasst und von anderen Sachverhalten gut zu unterscheiden sein.((Rechtsgrundlage: Art. 7 (2) ))
Besondere Voraussetzungen

Für die Einwilligung eines Kindes/Jugendlichen muss zusätzlich eine der folgenden Voraussetzungen erfüllt sein: 

  • Vollendung des 16. Lebensjahres des Betroffenen 
  • Einwilligung erfolgt durch Erziehungsberechtigten 
  • Einwilligung erfolgt durch Kind mit Zustimmung des Erziehungsberechtigten((Rechtsgrundlage: Art. 8 (1) ))

Der Verantwortliche hat angemessene Anstrengungen zu unternehmen, um sich zu vergewissern, dass die Einwilligung vom Erziehungsberechtigten oder mit dessen Zustimmung erfolgt ist.((Rechtsgrundlage: Art. 8 (2) ))

Für die Einwilligung in die Verarbeitung von besonderen Kategorien von Daten nach Art. 9 gelten zusätzliche Anforderungen. Hiervon sind neuerdings auch biometrische Daten (z. B. Fingerabdruck, Gesichtserkennungssystem) zur eindeutigen Identifizierung einer Person erfasst.((Rechtsgrundlage: Art. 9 (1) ))

  • Es ist eine ausdrückliche Zustimmung in Bezug auf die Verarbeitung dieser Daten erforderlich.((Rechtsgrundlage: Art. 9 (2a) ))
  • Außerdem darf kein absolutes Verarbeitungsverbot nach der DS-GVO oder nationalem Recht vorliegen.

Im Beschäftigungsverhältnis bestehen folgende zusätzliche Voraussetzungen für eine Einwilligung:((Rechtsgrundlage: § 26 (2) BDSGneu ))

  • Bei der Freiwilligkeit ist das Abhängigkeitsverhältnis besonders zu berücksichtigen; Regelbeispiele: rechtlicher oder wirtschaftlicher Vorteil für Beschäftigte bzw. gleichgelagerte Interessen zwischen Arbeitgeber und Beschäftigten
  • Schriftformerfordernis, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.
  • Die Information an den Beschäftigten über den Zweck der Datenverarbeitung und das Widerrufsrecht bedarf der Textform.
Fortgeltung von Einwilligungen

Auf der Grundlage des bisherigen Rechts erteilte Einwilligungen zu einer gleichartigen fortgesetzten Datenverarbeitung bleiben wirksam und müssen nicht neu eingeholt werden.((Rechtsgrundlage: ErwGr 171)) Voraussetzung ist, dass die Einwilligung den o. g. Maßstäben der Datenschutzgrundverordnung entspricht. Die Alt-Einwilligungen sollten daher mindestens folgende Voraussetzungen erfüllen: 

  • sie sollten in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache abgefasst sein((Rechtsgrundlage: ErwGr 42 ))
  • keine missbräuchlichen Klauseln beinhalten 
  • darüber informieren, wer der Verantwortliche ist und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden
  • die Anforderungen an die Freiwilligkeit erfüllen
  • ist die Datenverarbeitung auf Grundlage dieser Einwilligungen zum 25.05.2018 einzustellen, wenn nicht eine andere Rechtsgrundlagevorliegt oder
  • sind neue Einwilligungen von den Betroffenen einzuholen.  

Wenn die Voraussetzungen der Datenschutzgrundverordnung nicht erfüllt werden,

Handlungsempfehlungen
  • Es müssen, sofern nicht schon vorhanden, technische Möglichkeiten für die Nachweisbarkeit der Einwilligung geschaffen werden, wenn diese nicht schriftlich erteilt wird. 
  • Formulierungen für ab dem 25.05.2018 einzuholende Einwilligungen sollten auf die Anforderungen (insbes. Verständlichkeit, einfache Sprache) überprüft werden.
  • Es muss geprüft werden, ob die Zwecke in den Einwilligungen eindeutig festgelegt sind und ggfs. getrennte Einwilligungen erforderlich sind. 
  • Es muss geprüft werden, ob die Einwilligungen, wenn sie zusammen mit anderen Erklärungen abgegeben werden, von anderen Sachverhalten gut zu unterscheiden sind. 
  • Der Hinweis auf die Widerrufsmöglichkeiten ist zu prüfen. 
  • Bei Einwilligungen von Beschäftigten muss geprüft werden, ob die Informationen und Einwilligungserklärungen den Maßstäben des § 26 BDSG-neu entsprechen. 
  • Bei bestehenden Einwilligungen muss geprüft werden, ob sie den Maßstäben der Datenschutzgrundverordnung entsprechen. 
  • Wenn bestehende Einwilligungen die Anforderungen der Datenschutzgrundverordnung nicht erfüllen, ist zu entscheiden, ob die Verarbeitung auf eine andere Rechtsgrundlage gestützt werden kann oder ob die Datenverarbeitung eingestellt werden soll oder ob neue Einwilligungen von den Betroffenen eingeholt werden sollen. Die entsprechenden Prozesse sind zu schaffen. Um eine Fortgeltung der bis zum Inkrafttreten der Datenschutzgrundverordnung eingeholten Einwilligungen sicherzustellen, wird empfohlen, die Anforderungen der Datenschutzgrundverordnung an die Einwilligung frühzeitig umzusetzen.
  • Es wird empfohlen, künftig genau zu prüfen, ob die Datenverarbeitung auch auf eine andere Rechtsgrundlage als die Einwilligung gestützt werden kann. Es wird nicht empfohlen, standardmäßig zusätzlich eine Einwilligung einzuholen, weil an die Wirksamkeit (z. B. bei der Freiwilligkeit) hohe Anforderungen gestellt werden und die Einwilligung vom Betroffenen widerrufen werden kann. Es ist derzeit unklar, wie sich etwaige Mängel der Einwilligung auf die Verarbeitung auswirken, selbst wenn sie auf Basis einer anderen Rechtsgrundlage zulässig wäre.

Ihre Ansprechpartner zu diesem Thema

ms
ms
Dr. Melanie Eykmann
Bezirksgeschäftsführerin
089 55118-124
089 55118-118
Themen: Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht
Artikel als PDF
Artikel als PDF
Ansprechpartner
Daten­schutz­ein­stel­lun­gen

Diese Webseite nutzt externe Medien, wie z.B. Karten und Videos, und externe Analysewerkzeuge, welche alle dazu genutzt werden können, Daten über Ihr Verhalten zu sammeln. Dabei werden teils auch Cookies gesetzt. Die Einwilligung zur Nutzung der Cookies & Erweiterungen können Sie jederzeit anpassen bzw. widerrufen. Technisch notwendige Cookies sind immer aktiv.
Eine Übersicht zu den Cookies, Analysewerkzeugen und externen Medien finden Sie in unseren Datenschutzinformationen.

Welche optionalen Cookies bzw. Erweiterungen möchten Sie erlauben?
Impressum
Barrierefreiheit