Art. 7 – DSGVO – Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Erwägungsgründe
Häufig gestellte Fragen
Erwägungsgründe: 32, 33, 42, 43 – vgl. auch Art. 4 (11) EU-DSGVO
Äquivalent im BDSG: §§4a, 28.IIIa, IIIb BDSG
Die Anforderungen gegenüber der Einwilligung haben sich in der EU-DSGVO deutlich verschärft:
Freiwilligkeit
- Kein Koppelgeschäft (Art. 7 Abs. 4 EU-DSGVO):
keine Erfüllung eines Vertrages oder keine Erbringung einer Dienstleistung wird davon abhängig gemacht - Kein Über-Unterordnungsverhältnis
- Widerrufbarkeit (muss so einfach wie die Erteilung sein)
- Ohne Unterbrechung des Dienstes (Erwägungsgrund 32)
Bestimmtheit
- Für verschiedene Zwecke / Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.
Informiertheit
- Über Zweck und Umfang der Verarbeitung
- Über den Verantwortlichen
- Über das Widerrufsrecht (galt bisher i.W. nur im TMG), insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung
Unmissverständlichkeit
- in einer (schriftlichen) Erklärung Form oder einer sonstigen aktiven, eindeutig bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl entsprechender Einstellungen (Vorsicht: Privacy by default, Art. 25 (2) EU-DSGVO!)
- Kann auch mündlich oder elektronisch geschehen (=> Nachweisbarkeit?)
Nachweisbarkeit
- Die Einwilligung muss auch nach jahren noch nachweisbar sein,
was insbesondere bei schriftlichen Erklärungen schwierig sein dürfte (Auffindbarkeit? => einscannen und mit Namen taggen!).
In verständlicher und leicht zugänglicher Form / klaren, einfachen Sprache
- Hier ist die Auswirkung noch ziemlich unklar. Sicher ist gemeint, dass kein „Juristen-Deutsch“ (schon gar keine Fremdsprache) und keine zu verschachtelten Sätze benutzt werden sollten. vermutlich werden die Einwilligungstexte hierdurch deutlich länger!
Bei Minderjährigen
- bei Kindern bis 16 Jahren nur mit Zustimmung des Erziehungsberechtigten (Art. 8)
Update der Bestands-Opt-Ins
Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vogesehen. Ab diesem Datum müssen alle genutzten Einwillgungen den o.g. (strengeren) Anforderungen genügen.
Ausweichen auf eine Erlaubnisnorm wie Art. 6f EU-DSGVO?
Es ist daher mehr denn je fraglich, ob sich ein Unternehmen auf die Wirksamkeit seiner Einwilligungen verlassen kann. Aus diesem Grund werden viele Unternehmen versuchen, statt einer Einwilligung die Daten auf Basis rechtlicher Erlaubnisnormen z.B. des Art. 6 DSGVO zu verarbeiten. Hierzu gibt insbesondere Art. 6f EU-DSGVO mit dem weitgehend unbestimmten, interpretations- und abwägungswürdigen Begriff des begründeten Interesses weiten Spielraum.
Benachteiligung deutscher Werbetreibender aufgrund des strengen UWGs?
Deutsche Datenverarbeiter müssen insbesondere für Zwecke des Direktmarketings jedoch beachten, dass das Wettbewerbsrecht, insbesondere §7 UWG weiterhin Bestand haben wird, also für bestimmte Kanäle wie etwa eMail weiterhin ein Opt-In erforderlich sein wird. Insofern könnte Deutschland als Standort benachteiligt sein, sofern der die verantwortliche Stelle in einem europäischen Land seinen Sitz hat, das keine so strengen wettbewerbsrechtlichen Anforderungen kennt.
Hilfreiche Dokumente:
ECO Richtlinie für zulässiges Email-Marketing
Einwilligung nach der DSGVO des BayLDA
Navigieren Sie sicher durch den DSGVO-Dschungel!
Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!