Die Einwilligung
Rechte, Pflichten und Beispiele im Hinblick auf die Einwilligung zur Datenverarbeitung
Das Thema „Einwilligung“ findet sich in Art. 7 der DSGVO.
Links
Thema „Einwilligung“ in der DSGVO
Art. 7 der DSGVO
Was eine Einwilligung ermöglicht
Eine Einwilligung für uns als Verantwortliche stellt eine rechtliche Grundlage dar, bestimmte Daten für einen bestimmten Zweck zu verarbeiten. Damit hat der Gesetzgeber eine Möglichkeit geschaffen, Menschen aktiv um Ihre Erlaubnis zur Datenverarbeitung zu bitten, für die keine andere Rechtsgrundlage greift.
Wenn wir verstehen, welche Erfordernisse, Bedingungen und Verpflichtungen mit dem Thema Einwilligung einhergehen, dann ist die Einwilligung ein brauchbares Tool.
Nachweispflicht
Als Verantwortliche müssen wir nachweisen können, dass von Betroffenen eine Einwilligung vorliegt. Eine Unterschrift unter einem entsprechenden Informationstext wäre eine Variante, bei Softwaretools wird die Einwilligung (meist) digital erfasst. In der Praxis ist eine mündliche Einwilligung oft nur unzureichend – denn im Falle des Falles lässt sich diese Form der Einwilligung nur schwer dokumentieren.
Nachweise zur Einwilligung sollten mindestens so lange archiviert werden, wie eine Verarbeitung erfolgt. Empfehlenswert ist meiner Meinung nach, die Dokumentation sogar noch länger nachweisen zu können, falls, nachdem die Verarbeitung beendet wurde, Fragen durch Betroffene oder Aufsichtsbehörden aufkommen.
Informationspflicht
Die DSGVO ist hier sehr präzise: „Erfolgt die Einwilligung […] durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen […] in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist.“
Das spielt vor allem in der Praxis eine wichtige Rolle, denn speziell dann, wenn es um eine schriftliche Einwilligung geht, sollten Irritationen unter den Betroffenen vermieden werden. Typische Beispiele sind Verträge zu Sachverhalt A, an die Einwilligungen z.B. für die Verwendung von Fotos auf Social Media & Co. abgefragt werden.
Besonders wichtig am DSGVO-Zitat ist der Aspekt „verständliche, zugängliche Form“ und „klare, einfache Sprache“. Daraus lässt sich ableiten, dass der Gesetzgeber vorsieht, dass jeder Mensch, der eine Einwilligung erteilt, auch verstanden hat, worin er einwilligt.
Weiterhin sollte über mögliche Konsequenzen der Einwilligung informiert werden. Auch hier stellt sich die Hürde, wie sich solche Sachverhalte „einfach“ erklären lassen. Meine Empfehlung: Die entsprechenden Texte möglichst auf das Wesentliche reduzieren und die möglichen Konsequenzen berücksichtigen. Mehr dazu in der Beispielbox.
Beispiele für Einwilligungstexte
(nicht abschließend und ungeachtet dessen, ob eine Einwilligung im skizzierten Szenario die richtige Lösung wäre)
Szenario: Du möchtest Fotos eines/r Mitarbeitenden auf Facebook verwenden können. Um das gut zu formulieren, müssen wir uns also folgende Fragen stellen: Welche Einwilligung benötigen wir und welche Konsequenz hat das für den/die Betroffene*n? Die Einwilligung ist klar (Fotos im Zusammenhang mit einer beruflichen Tätigkeit für Facebook).Die Konsequenz, die an einer solchen Einwilligung hängt, ist, dass ein Foto möglicherweise nicht vollständig aus dem Internet gelöscht werden kann, sollte der/die Betroffene seine Einwilligung widerrufen.
Eine Formulierung könnte also sein:
„Ich willige ein, dass Fotos von mir, die mich bei meiner Arbeit zeigen, auf dem Social Media Netzwerk Facebook durch den Account meines Arbeitgebenden gepostet werden. Ich wurde darüber informiert, dass mein Foto dazu an Meta (USA), das Unternehmen, das Facebook betreibt, übergeben werden muss. Ich wurde darüber informiert, dass in den USA andere datenschutzrechtliche Vorgaben herrschen und nicht alle Rechte, die mir in der EU zustehen, in den USA geltend gemacht werden können. Ich wurde darüber informiert, dass im Falle eines Widerrufs meiner Einwilligung, es technisch nicht möglich ist, alle Stellen, an denen mein Foto auffindbar ist, löschen zu lassen. Dies entbindet meinen Arbeitgebenden nicht davon, mein Foto im Falle meines Widerrufs überall dort zu löschen, wo ihm dies unter vertretbarem Aufwand möglich ist. Ich wurde darüber informiert, dass mein Widerruf für die Zukunft gilt und die bis dahin erfolgte Verarbeitung meiner Bilder nicht berührt.“
Aus einem relativ einfachen „mach hier mal ein Häkchen“ wird also immer noch ein recht langer Text, der sicher auch nicht alle (vor allem technischen) Aspekte zu 100% abdeckt. Würden wir das erreichen wollen, dann wäre der Einwilligungstext wohl länger als dieser Artikel. Aber zumindest haben wir so einen Einwilligungstext, der auch ohne Fachwissen über Soziale Netzwerke und Datenverarbeitungen das Grundprinzip erläutert und vor allem verständlich ist. Außerdem geben wir den Betroffenen so die Möglichkeit, schnell und einfach Fragen zu den wichtigsten Punkten stellen zu können, z.B. wenn unklar wäre, was ein Widerruf oder wer dieses Meta eigentlich ist.
Recht auf Widerruf der Einwilligung
Dass Betroffene jederzeit vom „Recht auf Widerruf“ Gebrauch machen können, sollten Verantwortliche stets im Kopf behalten. Im Detail sieht die DSGVO unter Art. 7 (3) das wie folgt:
Die Einwilligung kann jederzeit widerrufen werden.
Was wir daraus ableiten können, ist, dass uns ein Widerruf 24/7 erreichen kann. Formulierungen, die den Widerruf einer Datenverarbeitung an eine Frist koppeln, sind damit nicht möglich.
Die bisher erfolgte Datenverarbeitung bleibt davon unberührt.
Ein Widerruf gilt immer vom Zeitpunkt des Widerrufs ab für die Zukunft. Wenn also einer*m Betroffenen zwei Jahre lang Newsletter auf Basis seiner/ihrer Einwilligung zugeschickt wurden und diese Person jetzt ihren Widerruf ausspricht, dann darf ab diesem Zeitpunkt zwar kein Newsletter mehr verschickt werden, alle bereits verschickten Newsletter waren aber natürlich in Ordnung.
Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein
Diese Regelung wird sehr gerne übersehen, vor allem an drei Stellen: Consent Management, Newsletter und Einwilligungen, die schriftlich erteilt werden.
Im Fall von Consent Management muss darauf geachtet werden, dass der Consent Manager für Besucher*innen auch nach dem Treffen der ersten Auswahl wieder auffindbar ist.
Beim Thema Newsletter sollte auf den Versand per Outlook-Mailinglisten verzichtet werden, da die rechtlichen Anforderungen nicht erfüllt sind. Eine automatisierte Möglichkeit zum einfachen und schnellen Abmelden bietet diese Art Software nicht. Im Gegensatz dazu finden sich in professionellen Newslettern (meist im Fußbereich) Links zum Abmelden, womit der rechtliche Anspruch erfüllt werden kann.
Bei schriftlichen Einwilligungen wird es nochmal etwas kniffeliger. Der Aufwand zum Zettel mit der Einwilligung gleich noch einen Zettel zum Widerruf zu legen, dürfte in den meisten Fällen nicht praxisnah sein. Im Fall einer schriftlichen Einwilligung ist es sinnvoll, immer die wichtigsten Informationen direkt auf das Schreiben zur Einwilligung mit aufzunehmen, etwa Kontaktmöglichkeiten oder Ansprechpartner*innen.
Freiwilligkeit der Einwilligung
Was uns in Art. 7 (4) sowie Erwägungsgrund 43 („Zwanglose Einwilligung“) mitgeteilt wird, ist vermutlich eine der wichtigsten Bedingungen für eine rechtskonforme Einwilligung:
- Eine Einwilligung muss freiwillig erfolgen.
- Ein Vertrag, der auch ohne Einwilligung zu zusätzlichen Datenverarbeitungen möglich wäre, muss auch dann erfüllt werden, wenn diese Einwilligung nicht erteilt wird.
- Besteht ein (Macht-)Ungleichgewicht zwischen betroffener Person und Verantwortlicher*m, sollte auf eine Einwilligung verzichtet werden.
- Sollten individuelle Einwilligungen zu verschiedenen Verarbeitungsvorgängen angebracht sein, dann ist die Einwilligung ungültig, wenn nicht jedem Verarbeitungsvorgang einzeln zugestimmt werden kann.
Diese Bedingungen an die Einwilligung bergen für uns als Verantwortliche einige Aspekte, auf die wir unbedingt achten sollten. Mehr dazu in der Praxisbox.
►►►Praxisbox: Beispiele für die Bedingungen an eine Einwilligung
Ungleichgewicht zwischen betroffener Person und Verantwortlicher*m: Diesen Umstand finden wir häufig beim Verhältnis zwischen Arbeitgebenden und Mitarbeitenden. Es kann grundsätzlich davon ausgegangen werden, dass Arbeitgebende Mitarbeitenden gegenüber eine stärkere Position einnehmen.
Freiwilligkeit: Ein Beispiel, das sich immer noch im Umfeld von Online-Shops findet, lautet in etwa wie folgt: „Wenn du dich nicht zu unserem Newsletter anmeldest, dann kannst du leider deine Bestellung nicht aufgeben.“ Hier greifen gleich zwei Aspekte: Freiwilligkeit (a) sowie die Ungültigkeit einer Einwilligung, sollte sie an einen Vertrag gekoppelt sein, der auch anderweitig zu erfüllen wäre (b).
Individuelle Einwilligung: Erinnerst du dich an den Beispieltext zur schriftlichen Einwilligung? Ändern wir dieses Beispiel etwas und gehen davon aus, dass das Mitarbeitenden-Foto jetzt nicht nur auf Facebook, sondern auch in der nächsten Unternehmensbroschüre und auf der Website genutzt werden soll. In diesem Fall hätten wir unterschiedliche Verarbeitungszwecke mit unterschiedlichen Konsequenzen für Betroffene. Hier empfiehlt es sich, in Kategorien vorzugehen. Kategorie 1 könnte „Social Media“ (Facebook, Instagram, X, Blue usw.) sein. Kategorie 2 wären dann „Videodienste“ (Youtube, TikTok, Vimeo), in Kategorie 3 finden sich „Printmedien“ (Broschüren, Flyer & Co.) und in Kategorie 4 wäre die Unternehmenswebsite. Damit wird Betroffenen die Möglichkeit eingeräumt, sich auszusuchen, zu welchen Abschnitten sie informiert ihre Einwilligung erteilen möchten.