Die Verarbeitung personenbezogener Daten ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. Durch die Einwilligung des Betroffenen in die Erhebung, Verarbeitung und/oder Nutzung seiner personenbezogenen Daten, wird der Betroffene in die Lage versetzt, über sein Grundrecht zu verfügen.
Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung sind in Art. 7 DSGVO festgehalten und in Erwägungsgrund 32 weiter spezifiziert. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Damit eine Einwilligung freiwillig ist, muss der Betroffenen eine echte Wahl haben. Zusätzlich gilt das sog. „Kopplungsverbot“. So darf ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden, die für die Durchführung des Geschäftes nicht nötig sind. Zudem muss die Einwilligung an einen oder mehrere bestimmte Zwecke gebunden sein, die dann ausreichend erläutert sind. Soll die Einwilligung die Verarbeitung von besonderen personenbezogenen Daten legitimieren, muss sie sich ausdrücklich auf diese beziehen. Der Betroffene muss in allen Fällen über die Möglichkeit zum Widerruf seiner Einwilligung aufgeklärt werden. Der Widerruf muss dabei genauso leicht möglich sein, wie die Abgabe der Einwilligungserklärung selbst.
Es besteht kein Formerfordernis für die Einwilligung, auch wenn die schriftliche Einwilligung aufgrund der Rechenschaftspflichten des Verantwortlichen weiterhin zu empfehlen ist. Sie kann daher auch in elektronischer Form erfolgen. Dabei ist zu beachten, dass laut Erwägungsgrund 32 eine Einwilligung nur durch eine eindeutige Handlung zustande kommen soll. Dies lässt auf das Erfordernis eines Opt-Ins schließen. Eine Besonderheit in diesem Zusammenhang stellt die Einwilligung bei Kindern und Jugendlichen in Bezug auf Dienste der Informationsgesellschaft dar. Für unter sechzehnjährige besteht bei diesen ein zusätzliches Einwilligungs-, bzw. Zustimmungserfordernis durch die Erziehungsberechtigten. Dabei unterliegt die Altersgrenze einer Öffnungsklausel. Mitgliedstaaten können diese durch eine nationale Regelung bis auf 13 Jahre senken. Sollte sich das Angebot des Dienstes explizit nicht an Kinder richten, ist er von der Vorschrift befreit. Dies gilt aber nicht für Angebote, die sowohl Kindern als auch Erwachsenen offen stehen.
Passende Artikel der DSGVO
Art. 4 DSGVO Begriffsbestimmungen Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung Art. 7 DSGVO Bedingungen für die Einwilligung Art. 8 DSGVO Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten Art. 22 DSGVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Art. 49 DSGVO Ausnahmen für bestimmte FällePassende Erwägungsgründe
(32) Einwilligung (33) Einwilligung zur wissenschaftlichen Forschung (38) Besonderer Schutz der Daten von Kindern (40) Rechtmäßigkeit der Datenverarbeitung (42) Beweislast und Erfordernisse einer Einwilligung (43) Zwanglose Einwilligung (50) Weiterverarbeitung (51) Besonderer Schutz sensibler Daten (54) Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit (71) Profiling (111) Ausnahmen für bestimmte Fälle internationaler Übermittlungen (155) Verarbeitung im Beschäftigungskontext (161) Einwilligung zur Teilnahme an klinischen Prüfungen (171) Aufhebung der RL 95/46/EG und ÜbergangsbestimmungenPassende Paragraphen des BDSG
§ 26 BDSG Datenverarbeitung für Zwecke des BeschäftigungsverhältnissesExterne Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 20 – Einwilligung nach der DS-GVO (Link)
- Düsseldorfer Kreis ► Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung (Link)
- Datenschutzbehörde Bayern ► Einwilligung nach der DS-GVO (Link)
- Datenschutzbehörde Bayern ► Bedingungen für die Einwilligung eines Kindes, Art. 8 DS-GVO (Link)
- Datenschutzbehörde Rheinland Pfalz ► Die Einwilligung nach der Datenschutz-Grundverordnung (Link)
- Datenschutzbehörde Nordrhein-Westfalen ► Wann ist eine personenbezogene Datenverarbeitung zulässig? (Link)
- EU-Kommission ► Grundlagen für die Verarbeitung (Link)
- EU-Kommission ► Wann ist eine Einwilligung gültig? (Link)
- Article 29 Data Protection Working Party ► WP 259 – Guidelines on Consent (Link)
- Data Protection Authority UK ► Consent (Link)
- Data Protection Authority Isle of Man ► Consent (Link)
Fachbeiträge