Die Einwilligung im Datenschutzrecht

Datenschutzrechtliche Einwilligung: Die Verarbeitung personenbezogener Daten wird in der Praxis regelmäßig aufgrund einer vom Betroffenen erteilten Einwilligung durchgeführt. Gerade im geschäftlichen Verkehr mit Verbrauchern kommt der datenschutzrechtlichen Einwilligung im geschäftlichen Alltag eine herausragende Rolle. Dabei gibt es inzwischen nicht nur eine klare rechtliche Regelung zu den Umständen einer solchen Einwilligung, sondern darüber hinaus auch eine sehr dezidierte Rechtsprechung.

Im Folgenden soll zur datenschutzrechtlichen Einwilligung ein grundsätzlicher Überblick geboten werden.

Einwilligung im Datenschutzrecht: Sinn rechtlicher Grenzen

Man mag sich durchaus fragen, warum es überhaupt rechtliche Grenzen bzw. Regelungen zur Frage der Wirksamkeit einer datenschutzrechtlichen Einwilligung gibt. Dies ist dann zu verstehen, wenn man sich den Sinn des Datenschutzrechts vor Augen hält: Der Betroffene soll die Kontrolle über seine ihn betreffenden Daten behalten. Durch die Festlegung eines rechtlichen Rahmens wird sichergestellt, dass dieses Recht der Kontrolle nicht ausgehöhlt wird. Die insoweit vorgesehenen Voraussetzungen zur Wirksamkeit einer Einwilligung dienen unter anderem der Sicherstellung dieses Rechts.

Voraussetzung der Einwilligung im Datenschutzrecht: Freiwilligkeit und Informiertheit

Die Voraussetzung einer wirksamen datenschutzrechtlichen Einwilligungserklärung sind als ihre Grundlage erst einmal eine Freiwilligkeit und dann eine Informiertheit der Erklärung.

Freiwilligkeit

Freiwilligkeit bedeutet, dass der Betroffene freiwillig und bewusst, also nicht auf Grund von Drohung oder Täuschung, seine Einwilligung erklärt hat. Untergeschobene Einwilligungserklärungen, bei denen der Betroffene nicht einmal weiß das er diese überhaupt unterzeichnet hat, genügen diesem Erfordernis somit nicht und sind unwirksam.

Informiertheit

Regelmäßig praxisrelevanter ist die Frage der Informiertheit. Der Betroffene muss nachvollziehen können, in was er überhaupt einwilligt. Das bedeutet, er muss zumindest überschauen können, welche Daten von ihm zu welchem Zweck von wem verarbeitet werden. Was banal klingt stellt sich in der Praxis regelmäßig als schwierig dar. So ist es eine Selbstverständlichkeit, dass eine Klausel dahingehend, dass jegliche Daten zu jeglichen Zweck zur Verarbeitung durch jedermann erhoben werden unwirksam ist.

Doch auch wenn versucht wird, die Verarbeitung zu konkretisieren ist dies nicht problemlos. So muss der Betroffene auf der einen Seite nachvollziehen können, was nun konkret geschieht; auf der anderen Seite würde eine zu enge Formulierung allerdings dazu führen, dass eine weitergehende Verarbeitung Gefahr läuft unwirksam zu werden: Wenn man alleine auf Basis einer Einwilligungsdaten verarbeiten möchte läuft man immer Gefahr, dass bei späterer gerichtlicher Überprüfung die Einwilligung entweder als vollständig unwirksam angesehen wird oder ihr eine ungewollte Begrenzung beigemessen wird, die zumindest in Teilen die Unwirksamkeit der Verarbeitung zur Folge hätte. Da zudem eine zu pauschale Einwilligungserklärung auch wiederum unwirksam wäre, verbleibt an dieser Stelle der Rat, immer genau zu prüfen, ob nicht erst einmal eine gesetzliche Grundlage für die Erhebung und weitere Verarbeitung gefunden werden kann bzw. die geplante Verarbeitung so angepasst werden kann, dass sie von einer gesetzlichen Erlaubnisnorm erfasst ist. Soweit dies möglich ist, sollte dann hinsichtlich noch bestehender darüber hinaus gehender konkreter Verarbeitungsmomente eine diesbezüglich ergänzende Einwilligungserklärung eingeholt werden.

Formfragen der datenschutzrechtlichen Einwilligung

Schriftlich

Die datenschutzrechtliche Einwilligungserklärung muss grundsätzlich schriftlich erfolgen. Das Gesetz sieht vor, dass in Ausnahmefällen, in denen eine schriftliche Einwilligung nicht angemessen ist, hiervon eine Ausnahme gemacht werden kann. Dies ist aber restriktiv zu handhaben und darf nicht vorschnell angenommen werden. Zwei typische Ausnahmefälle sind zum einen der dringenden Notfall, indem die Verarbeitung im Interesse des Betroffenen liegt und zugleich auf der Hand liegt, dass ein weiteres abwarten für den Betroffenen ernsthafte Nachteile hätte. Der andere praxisrelevante Fall wird anzunehmen sein, wenn sich ein Betroffener von sich aus telefonisch an ein Unternehmen wendet und hier einen Auftrag erteilt, da in diesem Fall in eine Abwägung nicht zu erkennen ist, welchen Sinn die schriftliche Einwilligung hier machen sollte. Sofern aufgrund einer mündlichen Einwilligung dann allerdings eine Verarbeitung stattfindet sieht das Gesetz vor, dass der Betroffene schriftlich über die Einwilligung ihren Umfang zu informieren ist.

Bei einer elektronischen Einwilligung, wie sie etwa in online Shops erhoben wird, ist auf die Besonderheit hinzuweisen, dass der Betreiber verpflichtet ist, die Einwilligung elektronisch zu protokollieren. Sollte die aus welchen Gründen auch immer unterlassen werden hätte dies zur Folge, dass im Streitfall die für das vorliegen einer Einwilligung bei dem Betreiber liegt und dies der Beweislast nicht genügen kann.

Verständlich

Bei der Formulierung ist daran zu denken, dass die Einwilligungserklärung verständlich formuliert sein muss, so dass der Betroffene aufgrund der gewählten Formulierung aus sich heraus versteht, was genau er einwilligt. Im übrigen gelten die oben gemachten Ausführungen zur Informiertheit, also insbesondere, dass die Einwilligungserklärung auf die konkrete Verarbeitung begrenzt sein muss und pauschale Formulierungen unwirksam sein werden.

Hervorgehoben

Soweit die Einwilligungserklärung nicht separat unterzeichnet wird, sondern in ein bestehendes Vertragswerk integriert ist Oma ist darauf zu achten, dass die Einwilligungserklärung drucktechnisch so hervorgehoben ist, dass der Betroffene sie auch tatsächlich wahrnehmen kann. An dieser Stelle wird durch die gesetzliche Vorgabe sichergestellt, dass Einwilligungserklärungen nicht versteckt werden können. Die Empfehlung geht an dieser Stelle regelmäßig dahin, die Einwilligungserklärung grafisch hervorgehoben im Vertragsformular selber, im Idealfall oberhalb des Unterschriftsfeldes, zu platzieren.

Widerruf einer Einwilligungserklärung im Datenschutzrecht

Ein Widerruf einer einmal gegebenen datenschutzrechtlichen Einwilligung ist grundsätzlich problemlos möglich. Im Rahmen von bestehenden vertraglichen Beziehungen ist aber zu prüfen, ob ein grundloser („willkürlicher“) Widerruf gegen den Grundsatz von Treu und Glauben verstoßen kann. Dies wäre etwa dann anzunehmen, wenn der Betroffene keine schutzwürdigen Interessen hinsichtlich des Widerrufs vorbringen kann, während sein Vertragspartner spürbare Nachteile – insbesondere wirtschaftliche Nachteile – bei einem Widerruf zu erleiden hätte. Diese Frage ist sehr stark Einzelfall bezogen und kann insoweit nicht pauschal beantwortet werden.

Konsequenzen unwirksamer Einwilligungserklärungen

Die Konsequenz einer unwirksamen Einwilligungserklärung ist unweigerlich, dass eine hierauf basierende Verarbeitung personenbezogener Daten rechtswidrig erfolgt ist, sofern nicht doch noch ein gesetzlicher Erlaubnistatbestands eingreift. Neben dem Anspruch des Betroffenen auf Löschung entsprechend vorgehaltener Daten und gegebenenfalls Unterlassung ist an dieser Stelle zu sehen, dass gerade bei massenhaft fehlerhaft verarbeiteten Daten ein Bußgeld droht und bei vorsätzlichem Handeln eine strafrechtliche Relevanz zu erkennen ist.

Heilung unwirksamer Einwilligungserklärungen

Es stellt sich die Frage, ob bei Bekanntwerden einer unwirksamen Einwilligungserklärung nicht eine nachträgliche Heilung möglich ist. Dies etwa indem nachträglich durch den Betroffenen eine wirksame Einwilligungserklärung erteilt wird. Hier ist festzustellen, dass jedenfalls alleine durch das nachholen einer Einwilligungserklärung keine Heilung eintreten wird. Umstritten ist, wie man damit umgeht, wenn nachträglich nicht nur eine Einwilligungserklärung abgegeben wird, sondern diese sich gerade auch ausdrücklich auf die vormals rechtswidrige Erhebung von Daten bezieht. Teilweise wird hier vertreten, dass dies nur mögliche Schadensersatzansprüche und Unterlassungsansprüche im Nachhinein entfallen lässt. Teilweise wird aber auch vertreten, dass hiermit nachträglich die gesamte Verarbeitung auf eine solide rechtliche Grundlage gestellt wird.

Letztlich kann dies aus meiner Sicht dahinstehen, es ist jedenfalls sicherlich nicht schädlich, wenn man bei Bekanntwerden der Unwirksamkeit nachträglich eine wirksame Einwilligungserklärung einholt. Diese sollte sich dann aber hinreichend konkret auf die Verarbeitung in der Vergangenheit beziehen und insoweit zumindest versuchen nachträglich die bisherige verarbeitet zu erfassen. Alleine das nachholen der Einwilligungserklärung an sich dürfte hier allerdings nicht ausreichen.

Ausblick

Die Frage der wirksamen Einwilligungserklärung führte bisher ein gewisses Schattendasein. Es ist allerdings absehbar, dass in naher Zukunft zumindest Verbraucher verwenden die Möglichkeit eingeräumt wird, Datenschutzverstöße zulasten von Verbrauchern durch Abmahnungen und Klagen zu verfolgen. Da zudem der zwischenzeitlich klargestellt hat, dass die Inhaltskontrolle von allgemeinen Geschäftsbedingungen

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.