Die Einwilligungserklärung – Was man wissen muss
- Redaktion Anwaltfinden.at
Wenn es um die Speicherung und Verarbeitung personenbezogener Daten geht, ist dies, sofern keine gesetzliche Grundlage vorliegt, nur durch eine Einwilligungserklärung des Betroffenen zulässig.
Für den Fall, dass die Einwilligungserklärung des Betroffenen fehlt, handelt es sich um einen Datenverstoß. In diesem Beitrag wollen wir alles Wichtige zur Einwilligungserklärung DSGVO zusammenstellen und dabei auch häufige Fragen beantworten, wie z. B.: Was ist eine Einwilligungserklärung?
Was muss eine Einwilligungserklärung enthalten? Wann braucht man eine Einwilligungserklärung? Was ist eine datenschutzrechtliche Einwilligungserklärung? Wann muss eine Datenschutzerklärung unterschrieben werden?
Inhaltsverzeichnis
- Eine Einwilligungserklärung durch Betroffene ist in vielen Fällen notwendig, um eine personenbezogene Datenerhebung und auch Datenverarbeitung durchführen zu können.
- Jedoch existieren neben Fällen der persönlichen Einwilligungserklärung nach DSGVO auch eine Reihe von Rechtsgrundlagen, die eine Erhebung und Verarbeitung von Daten ohne Einwilligung des Betroffenen ermöglicht.
- Für den Fall, dass eine persönliche Einwilligungserklärung abgegeben wird, muss diese neben dem Grundsatz der Zweckbindung auch besondere Begründungen enthalten, falls besonders sensible Daten erhoben werden. Außerdem müssen Betroffene über alle ihre Rechte aufgeklärt werden.
- Ferner beruht eine Einwilligungserklärung Datenschutz immer auf Freiwilligkeit des Betroffenen.
- Ein Anwalt für Datenschutzrecht ist ein idealer Partner für alle Fragen rund um die Einwilligungserklärung und den damit verbundenen Datenschutz. Hierbei kann er sowohl Betroffenen als auch Verantwortlichen mit Rat und Tat zur Seite stehen.
Wichtige rechtliche Rahmenbedingungen zur Einwilligungserklärung
Unter einer Einwilligungserklärung Datenschutz versteht die DSGVO jede freiwillig, für einen bestimmten Fall sowie in informierter Weise und unmissverständlich abgegebene Willensäußerung durch einen Betroffenen in Form einer Erklärung.
Ferner kann diese Einwilligungserklärung auch in einer sonstigen eindeutigen und bestätigenden Handlung gegeben werden, mit der die betroffene Person bestätigt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Deshalb kann eine Einwilligungserklärung etwa schriftlich, elektronisch (z.B. durch aktives Anklicken einer vorformulierten Einwilligungserklärung abgegeben werden. Jedoch kann sie auch oder mündlich, aber auch in konkludenter Form erfolgen.
Allerdings ist ein bloßes Schweigen oder eine Untätigkeit des Betroffenen keine Einwilligung, sofern nicht andere sonstige Begleitumstände eindeutig auf ein Zustimmen zu einer Datenverarbeitung hinweisen.
Hierbei kann auch ein klar erkennbares Kopfnicken ausreichen, auf die Frage, ob die betroffene Person mit einer Datenverarbeitung für einen bestimmten Zweck einverstanden ist.
Eindeutigkeit der Einwilligungserklärung
Jedoch muss eine Einwilligungserklärung immer eindeutig als solche erkennbar sein. Dabei muss sie immer auch neben dem Hinweis auf den jeweiligen Verwendungszweck auch auf die Rechte des Betroffenen auf Auskunft, Widerspruch und Löschung der personenbezogenen Daten hinweisen.
Für den Fall, dass diese Bedingungen nicht erfüllt sind und trotzdem personenbezogene Daten erhoben werden, handelt es sich um einen Datenschutzverstoß. Dabei kann dieser durchaus empfindliche Strafen nach sich ziehen.
Formales und Formulierungen bei der Einwilligungserklärung
Da ein Betroffener eine Einwilligungserklärung gemäß DSGVO eindeutig als solche auch identifizieren können muss, muss dies auch durch die Formulierung eindeutig vorgesehen sein.
Dabei muss die Formulierung schon vorgeben, dass der Betroffene eindeutig mit seiner Zustimmung in die Datenerhebung und -verarbeitung einwilligt. Hierbei sind allzu vage Formulierungen, wie z. B. „Mir ist bekannt….“ oder „ Ich bin mir bewusst….“ zumeist nicht ausreichend für eine eindeutige Zustimmung.
Formulierungsbeispiele für die Einwilligungserklärung
Um eine eindeutige Einwilligungserklärung zu formulieren, die den Vorgaben des Datenschutzgesetzes genügt, sollte man deshalb eindeutige Formulierungen wählen, wie z. B. :
- Hiermit erteile ich meine Einwilligung……..
- Durch meine Unterschrift willige ich ein…..
- Ich bin damit einverstanden…..
Dabei kann eine Einwilligungserklärung auch in Verbindung mit einem Antrag abgegeben werden und z. B. folgendermaßen formuliert werden: „Durch meine Unterschrift geht die umseitige datenschutzrechtliche Einwilligungserklärung als ein Bestandteil in den Antrag über“.
Eindeutige Erkennbarkeit der Einwilligungserklärung bei Anträgen oder Formularen
Neben der eindeutigen Formulierung muss eine Einwilligungserklärung auch formal von anderen Textpassagen (z. B. eines Antrags) abgesetzt sein. Hierbei kann dies in Form eines Fettdrucks oder anderen textlichen Hervorhebung geschehen.
Dabei muss diese sowohl eindeutig, umfassend und auch widerrufbar sein. Für den Fall, dass eine Einwilligungserklärung mit einem Antrag verbunden ist, so sollte diese immer direkt auf dem Antrag oder Formular zu finden sein.
Hierbei kann sie durchaus auf der Rückseite aufgedruckt sein, jedoch muss ein Hinweis darauf auf der Vorderseite erfolgen, um die Eindeutigkeit des Willens auch klar einzufordern.
Freiwilligkeit der Einwilligungserklärung nach DSGVO
Grundsätzlich muss auch ein eindeutiger Hinweis darauf gegeben werden, dass eine Abgabe einer Einwilligungserklärung auf jeden Fall freiwillig erfolgt. Deshalb darf sie auch nicht eine Voraussetzung für die Erfüllung eines Vertrages sein.
Dabei müssen z. B. auch optionale Daten immer als eindeutige freiwillige Angabe kenntlich gemacht werden und darüber muss der Betroffene in der Einwilligungserklärung auch aufgeklärt werden.
Inhaltliche Gestaltung der Einwilligungserklärung gemäß DSGVO
Zusätzlich zu den bereits formalen Kriterien muss eine Einwilligungserklärung Datenschutz auch viele relevante inhaltliche Grundsätze beachten.
Grundsatz der Zweckbindung
Hierbei ist besonders eine Gewährleistung der Zweckbindung zu nennen. Dabei schreibt das Datenschutzgesetz vor, dass personenbezogene Daten nur zu einem bestimmten und bereits vorher festgelegten Zweck erhoben, verarbeitet und genutzt werden dürfen. Deshalb müssen die erhobenen Daten dann auch zweckdienlich sein.
Hierbei bedeutet dies für die Einwilligungserklärung immer, dass dem Betroffenen eindeutig dargelegt werden muss, zu welchem Zweck die entsprechende Stelle die konkreten Daten abfragt und nutzen will.
Erhebung besonderer Arten personenbezogener Daten
Für den Fall, dass mit einer Einwilligungserklärung auch der Erhebung besonderer personenbezogener Daten zugestimmt werden soll, wie z. B. Angaben zur Gesundheit, Religion oder Sexualität, so muss dies explizit genannt werden und ausführlich dargestellt werden.
Außerdem gilt auch hierbei natürlich der Grundsatz der Zweckbindung, weshalb die Erhebung gut begründet sein muss.
Rechte des Betroffenen
Jede Einwilligungserklärung benötigt ferner einen expliziten Hinweis auf die Rechte des Betroffenen. Dabei ist neben dem Recht auf eine Löschung, Berichtigung oder Sperrung der personenbezogenen Daten insbesondere auch das Auskunftsrecht des Betroffenen zu nennen.
Ferner muss auch das Widerrufsrecht in Bezug auf die Einwilligung explizit genannt werden. Hierbei ist dann auch darüber zu informieren, wie im Zweifelsfall ein solcher Widerspruch zu erfolgen.
Wann wird überhaupt eine Einwilligungserklärung benötigt?
Seit Inkrafttreten der DSGVO und der Anpassung des österreichischen Datenschutzgesetzes (DSG) 2018 sowie des Datenschutz-Deregulierungs-Gesetzes 2018 müssen alle Datenverarbeitungen diesen Rechtsgrundlagen entsprechen.
Dabei hat der Verantwortliche bei der Verarbeitung immer die allgemeinen Grundsätze einzuhalten.
Zusätzlich hat er zu prüfen, auf welcher Rechtsgrundlage er eine Datenverarbeitung rechtmäßig durchführen kann. Hierbei wird grundsätzlich immer unterschieden zwischen „sensiblen Daten“ und „nicht-sensiblen Daten“.
Bevor man eine Einwilligungserklärung eines Betroffenen einholt, sollte man prüfen, ob nicht bereits eine andere Rechtsgrundlage für eine Datenverarbeitung vorliegt. Für den Fall, dass dies gegeben ist, ist es nicht notwendig, eine Einwilligungserklärung des Betroffenen einzuholen.
Definition „nicht-sensibler Daten“ und „sensibler Daten
Je nachdem, ob bei einer Datenerhebung und –verarbeitung „nicht-sensible Daten“ oder „sensible Daten“ eines Betroffenen Gegenstand sind, können unterschiedliche Rechtsgrundlagen für eine Datenverarbeitung gelten, die es nicht notwendig machen, eine Einwilligungserklärung des Betroffenen einzuholen.
Definition von „Nicht-sensiblen“ personenbezogenen Daten
Nach dem Datenschutzgesetz in Österreich sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Dabei bedeutet dies, dass diese Informationen eine Person direkt betreffen oder auf diese Person zurückzuführen sind.
Hierbei kann es sich z. B., um Name, Adresse, E-Mail-Adresse, Telefonnummer, aber auch ein Passfoto oder die Fingerabdrücke einer Person handeln. Jedoch muss es sich immer um Daten einer natürlichen Person handeln.
Ferner zählt auch die Steueridentifikationsnummer, die jeder deutsche Staatsbürger ab Geburt erhält, zu den personenbezogenen Daten, da sie einmalig ist und eine Nummer ist, die auf die Person zurückgeführt werden kann.
Hingegen sind Daten von verstorbenen Personen oder Unternehmensdaten also keine personenbezogenen Daten.
Die Unterscheidung von „nicht-sensiblen Daten“ und „sensiblen Daten“
Im Gegensatz zu den eben definierten personenbezogenen Daten, die als „Nicht-sensible Daten“ gelten, gibt es noch besondere Kategorien personenbezogener Daten.
Hierbei handelt es sich um Daten, die so sensibel sind, dass bei ihrer Verarbeitung der Schutz der Privatsphäre einer Person schwerwiegend gefährdet sein kann. Deshalb werden diese Daten vom Gesetzgeber besonders geschützt.
Hierbei handelt es sich z. B. um Daten, die die Gesundheit, strafrechtliche Vergangenheit, das Sexualleben, die ethnische Herkunft, die religiöse Überzeugung, oder die Gewerkschaftszugehörigkeit einer Person betreffen.
Rechtsgrundlagen zur Erhebung und Verarbeitung „Nicht- sensibler“ Daten
Es existieren einige Rechtsgrundlagen für eine rechtmäßige Erhebung und Verarbeitung von „Nicht-sensiblen Daten“ ohne eine Einwilligungserklärung des Betroffenen, die im Folgenden vorgestellt werden sollen:
Erfüllung eines Vertrages
Für den Fall, dass eine Erhebung und Verarbeitung von personenbezogenen Daten für die Erfüllung eines Vertrages notwendig ist, bei dem die betroffene Person eine Vertragspartei ist, ist für die Erhebung und Verarbeitung der Daten keine Einwilligungserklärung des Betroffenen notwendig. Hierbei gilt dies auch für vorvertragliche Maßnahmen, wenn diese auf Verlangen der betroffenen Person erfolgen.
Erfüllung einer rechtlichen Verpflichtung
Hierbei ist ebenfalls keine gesonderte Einwilligungserklärung nach DSGVO notwendig, wenn ein Betroffener einer rechtlichen Verpflichtung unterliegt, die sich z. B. auf eine arbeitsrechtliche Verpflichtung beziehen kann.
Schutz lebenswichtiger Interessen
Ferner kann die Verarbeitung von Daten auch erforderlich sein, um lebenswichtige Interessen entweder einer betroffenen Person oder aber einer anderen natürlichen Person zu schützen.
Aufgabe im öffentlichen Interesse
Außerdem kann die Datenerhebung und Verarbeitung auch ohne Einwilligungserklärung rechtmäßig sein, wenn diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Wahrung von berechtigtem Interesse des Verantwortlichen oder Dritten
Für den Fall, dass die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig ist, kann eine Datenerhebung und – verarbeitung ebenfalls ohne eine Einwilligungserklärung Datenschutz erfolgen.
Hierbei gilt dies jedoch nur insofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, Dabei ist dies meistens im Falle von betroffenen Kindern anzunehmen.
Bei strafrechtlichen Vorgängen
Zusätzlich besteht bei gerichtlichen oder auch verwaltungsrechtlichen strafrechtlichen Vorgängen eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Datenverarbeitung.
Hierbei ergibt sich diese aus den gesetzlichen Sorgfaltspflichten oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten.
Dabei ist dies jedoch nur insofern gültig, wie das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Deshalb ist in diesen Fällen die Art und Weise der Verarbeitung so vorzunehmen, dass die Interessen der betroffenen Person gewahrt sind.
Rechtsgrundlagen zur Erhebung und Verarbeitung „sensibler“ Daten
Auch zur Erhebung und Verarbeitung von sensiblen Daten gibt es Rechtsgrundlagen, die keine Einwilligungserklärung gemäß DSGVO durch den Betroffenen benötigen.
Hierbei ist dies z. B. in folgenden Fällen gegeben:
Gründe aus dem Arbeitsrecht oder Sozialrecht
Eine Erhebung und Verarbeitung auch sensibler personenbezogener Daten kann aus Gründen des Arbeitsrechts oder des Sozialrechts, einschließlich der Kollektivverträge und Betriebsvereinbarungen rechtmäßig sein.
Dabei ist dies gegeben, wenn dies notwendig ist, damit der Verantwortliche oder die betroffene Person den arbeitsrechtlichen oder sozialrechtlichen Verpflichtungen nachkommen kann.
Schutz lebenswichtiger Interessen
Außerdem ist die Verarbeitung von sensiblen Daten auch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person rechtmäßig, wenn dies erforderlich ist.
Hierbei ist eine Rechtmäßigkeit immer gegeben, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außer Stande ist, ihre Einwilligung zu geben (z. B. eine Einwilligungserklärung Gesundheitsdaten)
Bestehende Garantien durch eine Organisation
Für den Fall, dass eine Verarbeitung sensibler Daten durch geeignete Garantien, wie z. B. Zertifizierungen oder interne Datenschutzvorschriften, gegeben ist durch eine Vereinigung, Stiftung oder andere Organisation, so kann die Notwendigkeit einer Einwilligungserklärung entfallen.
Hierbei muss es sich jedoch um eine Organisation ohne Gewinnerzielungsabsicht handeln, die sensible Daten ausschließlich ihrer Mitglieder oder anderer Personen, die mit dem Tätigkeitszweck verbunden sind, erhebt und verarbeitet.
Außerdem dürfen dabei die sensiblen personenbezogenen Daten auch nicht ohne eine Einwilligungserklärung der betroffenen Personen nach außen offengelegt werden.
Sensible Daten wurden bereits durch den Betroffenen öffentlich gemacht
Wenn sich eine Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person bereits offensichtlich öffentlich gemacht hat, ist ebenfalls keine gesonderte Einwilligungserklärung notwendig. Hierbei gilt dies dann auch für die nicht-sensiblen Daten der betroffenen Person.
Verarbeitung bei Rechtsansprüchen oder gesetzlicher Vorgaben bei erheblichem öffentlichem Interesse
Hierbei ist eine Verarbeitung von sensiblen Daten rechtmäßig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder auch bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist. Ferner kann dies auch gelten, wenn die Verarbeitung sensibler Daten aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.
Verarbeitung zum Zwecke der Gesundheitsvorsorge
Für den Fall, dass die Verarbeitung für Zwecke der Gesundheitsvorsorge der Arbeitsmedizin relevant ist, kann eine Erhebung und Verarbeitung sensibler personenbezogener Daten auch ohne eine Einwilligungserklärung Gesundheitsdaten rechtmäßig sein.
Hierbei kann dies z. B. für die Beurteilung der Arbeitsfähigkeit des Beschäftigten relevant sein, für die medizinische Diagnostik oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich.
Ferner kann dies auch möglich sein, wenn dies für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Gesetzen oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.
Öffentliches Interesse im Bereich der öffentlichen Gesundheit
Ferner ist eine Verarbeitung sensibler Daten auch aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ohne eine Einwilligungserklärung Gesundheitsdaten möglich.
Hierbei kann diese rechtmäßig sein, wenn es z. B. um den Schutz vor schwerwiegenden, grenzüberschreitenden Gesundheitsgefahren geht. Außerdem rechtmäßig ist dies auch zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung.
Öffentliches Interesse aus weiteren Gründen
Außerdem kann eine Verarbeitung sensibler personenbezogener Daten auch dann ohne eine Einwilligungserklärung gemäß DSGVO erfolgen, wenn dies im öffentlichen Interesse liegt zu Archivzwecken, für wissenschaftliche oder historische Forschungszwecke oder aber auch für statistische Zwecke.
Für den Fall, dass keine der genannten Rechtsgrundlagen gegeben ist, ist grundsätzlich immer eine Einwilligungserklärung nach DSGVO von der betroffenen Person einzuholen.
Besonderheiten zu den Einwilligungserklärungen von Kindern
Für den Fall, dass Einwilligungserklärungen im Zusammenhang mit Internetangeboten notwendig sind und diese von einem Kind direkt gemacht werden, muss ein Verantwortlicher die Rechtmäßigkeit der Einwilligung prüfen.
Hierbei ist eine Verarbeitung personenbezogener Daten von Kindern vor einer Vollendung des 14. Lebensjahres nur rechtmäßig, wenn die Einwilligungserklärung durch Zustimmung der Eltern oder Obsorgeberechtigten erteilt wurde.
Hierbei sind neben diesen datenschutzrechtlichen Regelungen für einen Vertragsabschluss auch die zivilrechtlichen Bestimmungen zur Geschäftsfähigkeit zu berücksichtigen.
Besonderheiten zu bestehenden Einwilligungserklärungen
Wenn bestehende Einwilligungserklärungen nach dem alten Datenschutzrecht (bis 24.5.18) auch noch ab 25. Mai 2018 datenschutzkonform sind, und sie damit der neuen Rechtslage entsprechen, sind sie auch weiterhin gültig.
Für den Fall, dass dies jedoch nicht so ist, müssen bestehende Einwilligungserklärungen angepasst werden und es müssen neue Einwilligungserklärungen gemäß DSGVO eingeholt werden.
Dabei muss z. B. von einem Betroffenen eine neue Einwilligungserklärung eingeholt werden, wenn diese in einer älteren Einwilligungserklärung nicht über sein Widerrufsrecht informiert wurde.
Wie kann ein Anwalt für Datenschutzrecht bei der Einwilligungserklärung helfen?
Ein Anwalt für Datenschutzrecht kann in vielfacher Hinsicht bei Themen rund um die Einwilligungserklärung behilflich sein. Dabei kann er zunächst darüber aufklären, in welchen Fällen eine Einwilligungserklärung gemäß DSGVO von einem Betroffenen benötigt wird und in welchen Fällen diese entfallen kann.
Ferner kann er natürlich auch prüfen, ob bei gegebener Einwilligungserklärung die Erhebung und Verarbeitung von Daten auch entsprechend der Einwilligungserklärung erfolgt, oder darüber hinaus z. B. Datentransfers erfolgten, denen der Betroffene nicht zugestimmt hat.
Außerdem kann ein Rechtsanwalt für Datenschutzrecht natürlich auch Verantwortliche beraten und für Sie eine rechtskonforme Einwilligungserklärung erstellen oder auch eine solche prüfen. Erfahrene und geprüfte Juristen für Datenschutzrecht finden Sie schnell und einfach in unserem Anwaltsverzeichnis.
