Einwilligung als Rechtsgrundlage

Die Einwilligung ist eine der sechs Rechtsgrundlagen, auf die Verantwortliche eine Datenverarbeitung stützen können. Art. 6 Abs. 1 lit. a DSGVO erlaubt die Verarbeitung, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat. Ergänzend regelt Art. 7 DSGVO die konkreten Bedingungen, unter denen eine Einwilligung wirksam ist.

Wann ist eine Einwilligung wirksam?

Eine wirksame Einwilligung muss vier Kernanforderungen erfüllen: Sie muss freiwillig, für einen bestimmten Zweck, in informierter Weise und unmissverständlich erteilt werden. Freiwilligkeit setzt voraus, dass der Betroffene eine echte Wahl hat und die Einwilligung verweigern oder zurückziehen kann, ohne Nachteile zu erleiden. Ist die Einwilligung Voraussetzung für die Erfüllung eines Vertrags, obwohl sie dafür nicht notwendig wäre, liegt in der Regel keine freiwillige Einwilligung vor (Kopplungsverbot).

Die Bestimmtheit der Einwilligung verlangt, dass der Zweck der Verarbeitung klar und konkret beschrieben wird. Pauschale Einwilligungen für eine unbegrenzte Anzahl von Verarbeitungszwecken sind unwirksam. Für jeden eigenständigen Verarbeitungszweck ist grundsätzlich eine gesonderte Einwilligung einzuholen, sofern die verschiedenen Zwecke nicht eng miteinander verbunden sind.

Die Information der betroffenen Person muss vor Abgabe der Einwilligung erfolgen. Der Verantwortliche hat nach Art. 13 und 14 DSGVO eine umfassende Informationspflicht; erst wenn diese erfüllt ist, kann eine informierte Einwilligung vorliegen. Erwägungsgrund 32 zur DSGVO erläutert, dass die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen sollte, beispielsweise durch das Ankreuzen eines Kästchens auf einer Website, durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung oder ein anderes Verhalten.

Widerruf der Einwilligung

Ein besonders wichtiger Aspekt ist die jederzeitige Widerruflichkeit der Einwilligung. Gemäß Art. 7 Abs. 3 DSGVO muss der Widerruf so einfach sein wie die Erteilung der Einwilligung. Die bereits auf Grundlage der Einwilligung durchgeführte Verarbeitung bleibt dabei rechtmäßig; der Widerruf wirkt nur für die Zukunft.

Dokumentationspflichten

Von zentraler praktischer Bedeutung ist die Beweislastumkehr in Art. 7 Abs. 1 DSGVO: Der Verantwortliche muss nachweisen können, dass die betroffene Person eingewilligt hat. Hieraus folgt die Pflicht zur sorgfältigen Dokumentation jeder Einwilligung, einschließlich Zeitpunkt, verwendetem Text und der Art der Einwilligungserteilung.

Besondere Anforderungen gelten für die Einwilligung von Kindern nach Art. 8 DSGVO: Bei Diensten der Informationsgesellschaft, die sich direkt an Kinder richten, ist unterhalb eines bestimmten Alters (in Deutschland 16 Jahre) die Einwilligung der Eltern oder Sorgeberechtigten erforderlich. Verantwortliche sind gehalten, unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zur Altersverifikation zu unternehmen.