Die wohl bekannteste Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist die Einwilligung.

Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

Artikel 7 DSGVO

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Voraussetzungen der wirksamen Einwilligung

Definiert ist die Einwilligung als »jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist« (Artikel 4 Nummer 11 DSGVO).

Artikel 4 Nummer 11 DSGVO

„Einwilligung“ der betroffenen Person (bezeichnet) jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Maßgeblich ist also, dass die Einwilligung freiwillig, informiert, für eine konkrete Verarbeitung und einen konkreten Zweck sowie unmissverständlich abgegeben wird.

Freiwillig

Das Prinzip der »Freiwilligkeit« ist in Artikel 7 DSGVO verankert (s.o.). Eine Einwilligung kann nur freiwillig sein, wenn die betroffene Person »eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden« (Erwägungsgrund 42 DSGVO).

Die Freiwilligkeit ist weit zu verstehen. Die betroffene Person muss die Wahl haben, ob sie zustimmt und welche Daten verarbeitet werden und wer die Verarbeitung vornehmen darf. Akzeptiert die betroffene Person nur deshalb, weil sie die Dienstleistung (z.B. ein Infotainmentangebot im Internet) andernfalls nicht in Anspruch nehmen könnte, erfolgt die Einwilligung regelmäßig nicht freiwillig.

Problematisch sind insoweit vor allem auch Fälle des sogenannten Kopplungsverbots aus Artikel 7 Absatz 4 DSGVO: Diese Bestimmung besagt, dass der Abschluss eines Vertrages nicht von der Verarbeitung solcher Daten abhängig gemacht werden darf, die für die Vertragsdurchführung eigentlich gar nicht benötigt werden.

Hier ist aber zu beachten, dass bei Freddies und Infotainmentangeboten beispielsweise auf die Möglichkeit eines in Geld bezahlbaren alternativen Zugangs hingewiesen werden kann. Dabei dürfen aber keine abwegigen oder abschreckend hohe Preisforderungen erhoben werden.

Zudem kann auch in Konstellationen des Vorliegens eines starken Machtungleichgewichts zwischen Verantwortlichem und Betroffenen (z.B. Beschäftigungsverhältnis) die Freiwilligkeit im Einzelfall ausgeschlossen sein.

Informiert

Die betroffene Person muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Die betroffene Person muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren.

Kurz gesagt: Die betroffene Person muss exakt wissen, was auf sie zukommt.

Diese Information erfolgt regelmäßig an dem Ort, an dem die Einwilligung eingeholt wird, also z.B. als Erläuterung neben dem Kästchen zum Anklicken und zusätzlich bzw. Ausführlicher in der Datenschutzerklärung, die idealerweise vom Ort der Einwilligung aus mit einem Klick erreichbar ist.

Beachten Sie, dass unterstellt wird, dass die Einwilligung nicht freiwillig erteilt wurde, wenn die Einwilligungserklärung nicht ausreichend präzise gefasst wurde. Es muss für den Einwilligenden klar erkennbar sein, welche Verarbeitungen darunter fallen und welche nicht.

Nachweislich und unmissverständlich

Die Einwilligungserklärung muss zudem »unmissverständlich abgegeben« worden sein. Damit ist gemeint, dass eine eindeutig bestätigende Handlung für die Einwilligungserklärung erforderlich ist.

Grundsätzlich ist die Einwilligung nach der DSGVO nicht an eine bestimmte Form gebunden, sie muss also z.B. nicht schriftlich erfolgen. Die Erklärung kann durch Anklicken eines Kästchens, durch die Auswahl technischer Einstellungen für Dienste oder durch eine andere Erklärung oder Verhaltensweise geschehen.

Es reicht also auch konkludentes bzw. schlüssiges Handeln, wie ein Kopfnicken. Entscheidend ist, dass die betroffene Person unzweifelhaft in dem jeweiligen Kontext ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten zum Ausdruck gebracht hat. Stillschweigen, das »Stehenlassen« bereits vorangekreuzter Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar.

Auch wenn es keinen Formzwang gibt, muss vom Verantwortlichen eine Form gewählt werden, die nachweist, was genau die betroffene Person verstanden hat und worin sie eingewilligt hat. Es muss also zwangsläufig eine Form gewählt werden, die dauerhaft (auch elektronisch) protokolliert werden kann. Das kann dann eben das Ankreuzen respektive Anklicken eines Auswahlfeldes sein. Dieses Feld muss dann aber eben auch aktiv von der betroffenen Person angeklickt werden und darf keinesfalls schon vorausgefüllt sein.

Und schon sind wir beim Punkt der Nachweisbarkeit. Gemäß Artikel 5 Absatz 2 DSGVO müssen Sie jederzeit nachweisen können, dass Sie sich an die Vorgaben der DSGVO gehalten haben. Sie müssen mithin auch die erteilten Einwilligungen vorhalten können. Kann der Verantwortliche diesen Nachweis nicht oder nicht ausreichend erbringen, wird er rechtlich so behandelt, als wäre die Einwilligung nicht erteilt worden.

Zweckbindung

Die betroffene Person muss ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke mit Bezug auf eine konkrete Verarbeitung gegeben haben. Damit wird noch einmal hervorgehoben, dass eine pauschale Einwilligung nicht zulässig ist.

Risiken und Nebenwirkungen

In der täglichen Beratungspraxis versuche ich die jeweilige Verarbeitung grundsätzlich auf eine andere Rechtsgrundlage zu stützen, als ausgerechnet auf eine Einwilligung. Die Einwilligung ist kein Allheilmittel und sie ist nicht alternativlos und zwangsweise anzuwenden.

Kein Allheilmittel

Es gibt doch tatsächlich noch Zeitgenossen, die der Meinung sind, dass sich mit der Einwilligung jedwede Verarbeitung personenbezogener Daten rechtfertigen lässt. Das ist großer Blödsinn. Die Rechtmäßigkeit der Verarbeitung ist ja nur ein Grundsatz der DSGVO unter mehreren. Und natürlich gibt es Grenzen der legitimen Verarbeitungstätigkeiten.

Die Einwilligung ist keinesfalls eine Möglichkeit, sich gegen »Rechtsunsicherheiten« bei anderen Erlaubnistatbeständen abzusichern.

Kein »Vorrang« der Einwilligung

Die Einwilligung genießt auch keinen Vorrang vor den anderen Rechtsgrundlagen des Artikel 6 Absatz 1 Satz 1 DSGVO. Leider tauchen immer wieder Stimmen in Literatur und Rechtsprechung auf, die das Gegenteil behaupten.

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

VG Mainz Urteil vom 20.2.2020, Az. 1 K 467/19:

Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Artikel 6 Absatz 1 Satz 1 Buchstabe a), Artikel 7 DSGVO – zulässig sein. Schließlich sind die in Artikel 6 Absatz 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (…).

Widerruflichkeit

Die Einwilligung ist jederzeit widerruflich und darauf muss die betroffene Person auch bei Einholung der Einwilligung hingewiesen werden. Der Widerruf muss mindestens genauso einfach erklärt werden können wie die Einwilligung.

Die Widerrufsmöglichkeit ist gleichzeitig eines der größten Mankos der Einwilligung und das nicht nur, weil die betroffene Person auf diese Weise die Verarbeitung seiner personenbezogenen Daten jederzeit (für die Zukunft) beenden kann.

Mit Zugang des Widerrufs beim Verantwortlichen wird die Verarbeitung personenbezogener Daten zwar nicht rückwirkend verboten; alle bis zu diesem Zeitpunkt vorgenommenen Verarbeitungsvorgänge bleiben rechtmäßig. Der Widerruf wird vor allen Dingen dann heikel, wenn die Verarbeitung auch auf eine andere Rechtsgrundlage gestützt werden kann. Artikel 6 Absatz 1 DSGVO spricht davon, dass die Verarbeitung auf »mindestens eine der nachstehenden Bedingungen« gestützt werden kann; es kann eine Verarbeitung mithin auf mehrere Rechtsgrundlagen gestützt werden. »Wunderbar!« werden Sie sagen, dann kann ich ja wenigstens »sicherheitshalber« die Verarbeitung auf die Einwilligung stützen und wenn es noch einen weiteren Erlaubnistatbestand gibt, dann ist das doch gut. Nein, ist es nicht. Das Problem liegt dabei vor allem in der Transparenz und dem Verbot überraschender Klauseln.

Stellen Sie sich vor, Sie holen für eine bestimmte Verarbeitungstätigkeit die Einwilligung der betroffenen Person ein und weisen Sie zugleich auf die Widerrufsmöglichkeit hin. Wenn die betroffene Person dann widerruft, ziehen Sie wie ein Magier das Kaninchen die weitere Rechtsgrundlage aus dem Ärmel (oder dem Hut) und sagen: »Ätsch, ich kann und darf auch anders«.

In diesem Fall wird die betroffene Person irritiert sein, weshalb Sie ihr dann überhaupt die Möglichkeit des Widerrufs gegeben haben, wenn Sie die Verarbeitung dann doch auf eine andere Rechtsgrundlage stützen. Und genau das wäre dann nämlich auch (selbst wenn es juristisch möglich ist) ein intransparentes bzw. überraschendes Verhalten und die ganze Verarbeitung könnte damit rechtswidrig oder zumindest angreifbar werden (vergessen Sie nicht, dass Sie u.U. von Mitbewerbern auch abgemahnt werden könnten).

Aus diesem Grund rate ich dazu, bevor eine Einwilligung ins Auge gefasst wird, sich nach einer anderen Rechtsgrundlage umzuschauen und wenn Sie fündig werden, dann auch nur diese zur Anwendung zu bringen und auf eine Einwilligung zu verzichten.