„Mit Kauf einer Karte für die Veranstaltung erteilen Sie uns die Einwilligung, Sie auf dem Event zu fotografieren.“ Diesen oder wahrscheinlich einen ähnlichen Satz hast du bestimmt auch schon einmal gelesen. Oder vielleicht hast du selbst schon einmal überlegt, diesen Satz für ein anstehendes Event zu verwenden. Du wirst nicht überrascht sein, dass so einfach nicht geht. Damit eine wirksame Einwilligung im S Sinne der DSGV, oh vorliegt, bedarf es ein wenig mehr. In diesem Beitrag möchte ich dir das Konzept der Einwilligung und warum die Einwilligung in der Praxis gar keine so gute Rechtsgrundlage darstellt, erläutern.

Keine Verarbeitung ohne Rechtsgrundlage

Die Verarbeitung von personenbezogenen Daten ist ein sogenanntes Verbot mit Ausnahmevorbehalt. Das bedeutet, dass du grundsätzlich keine personenbezogenen Daten verarbeiten darfst, sofern die Verarbeitung nicht auf Basis einer Rechtsgrundlage ausnahmsweise erlaubt ist. Hier gibt es in Datenschutzrecht mehrere Rechtsgrundlagen; eine davon ist die Einwilligung.

Aus Sicht der Aufsichtsbehörden ist die Einwilligung wahrscheinlich die ideale Rechtsgrundlage. Aus Sicht deines Unternehmens solltest du ehrlicherweise versuchen, die Einwilligung als Rechtsgrundlage so wenig wie möglich heranzuziehen.

Klare Willensbekundung

Eine wirksame Einwilligung liegt nur vor, wenn in der Erklärung unmissverständlich überhaupt eine Willensbekundung liegt. Außerdem muss auch der Inhalt der Einwilligung unmissverständlich sein. Diese Voraussetzungen müssen im Zweifel durch eine objektive Auslegung ermittelt werden. Hier solltest du es dir nicht zu leicht machen. Entscheidend ist, dass die Auslegung objektiv erfolgen muss und nicht nach deinen subjektiven Vorstellungen. Die Aufsichtsbehörden und Gericht sind hier sehr streng. Ob dabei die Willensbekundung durch mündliche oder schriftliche Äußerung erfolgt, oder sogar durch konkludentes, also schlüssiges Handeln, spielt keine Rolle. Voraussetzung ist aber, dass die einwilligende Person aktiv handelt. Schweigen kann niemals eine Einwilligung sein. Umgekehrt bedeutet unmissverständlich nicht ausdrücklich. Eine ausdrückliche Einwilligung ist nur in weniger Fällen erforderlich, z. B. bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 Buchstabe a DSGVO.

Eindeutig, freiwillig, informiert und zweckgebunden

Die Einwilligung muss eindeutig, freiwillig, informiert und spezifisch sein. Was heißt das genau?

Freiwilligkeit

Die Einwilligung muss zunächst freiwillig sein. Freiwillig bedeutet, dass die Person keine ernsthaften Nachteile befürchten muss, wenn sie die Einwilligung nicht abgibt (Erwägungsgrund 42 DSGVO). Lässt du der betroffenen Person keine ernsthafte Wahl, ist die Freiwilligkeit in der Regel ausgeschlossen (Erwägungsgrund 43, Art. 7 Abs. 4 DSGVO).

Nehmen wir als Beispiel mal ein Trackingtool auf deiner Webseite. Dieses Tool erhebt umfangreich personenbezogene Daten. Das geht nach aktueller Rechtslage nur mit Einwilligung. Wenn du jetzt die Seite gewissermaßen nur zugänglich machst, wenn man in die Verarbeitung dieser Daten einwilligt, ist die Einwilligung nicht mehr freiwillig, denn wenn ich mich weigere einzuwilligen, sehe ich die Seite nicht. Das ist ein Nachteil. Jede Form von Druck oder Zwang kann die Gültigkeit infrage stellen. Allerdings gibt es auch hier eine Art Erheblichkeitsschwelle. Leider gibt es hierzu noch wenig Rechtsprechung und wie üblich, sind wir Juristen hier geteilter Meinung. Das OLG Frankfurt am Main (Urteil vom 27.06.2019 – 6 U 6/19) betonte, dass zu.B. die Einwilligung für einen Newsletter wirksam sein kann, auch wenn diese Voraussetzung für die Teilnahme an einem Gewinnspiel ist. Der Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen sieht das anders, verweist im Tätigkeitsbericht 2021 (ab S. 97) darauf, dass hier die Freiwilligkeit fehlt. Gleichzeit stellt er aber klar, dass hier ggf. über einen Gewinnspielvertrag eine wirksame Rechtsgrundlage erzeugt werden kann.

Zweckbindung

Du kannst die Einwilligung grundsätzlich nur zweckbezogen einholen. Das heißt, du kannst Einwilligung nur im Hinblick auf einen oder mehrere bestimmte Verarbeitungszwecke von den betroffenen Personen einholen (vgl. Erwägungsgrund 32).

Du musst in der Einwilligungserklärung die Zwecke genau benennen. An diese Zwecke bist du dann gebunden. Außer bei den gesetzlich vorgesehenen Zweckänderungen (vgl. Art. 6 Abs. 4 DSGVO) kannst du diese Zwecke dann nicht einseitig verändern. DU benötigst dann eine neue Einwilligung.

Informiertheit

Du musst die betroffene Person in die Lage versetzen, dass sie ihre Einwilligung in informierter Weise treffen kann. Die DSGVO gibt dir dabei nicht vor, welche Umstände und Informationen du der betroffenen Person dazu genau zur Verfügung stellen musst. Nach Erwägungsgrund 42 DSGVO ist eine Person informiert, wenn diese wenigstens weiß, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Gerade bei den Zwecken solltest du an den Details nicht sparen. Je detaillierter, desto besser. Wenn du etwa Fotos deiner Mitarbeiter für Marketingzwecke anfertigst, reicht ein Hinweis auf „Marketingzwecke“ nicht aus. Hier solltest du schon genauer mitteilen, was du vorhast. Werden unterschiedliche Daten verarbeitet, solltest du auch das mitteilen. In jedem Fall musst du über das Widerrufsrecht informieren oder einer Datenübermittlung in Drittländer. Auch Informationen über eventuell mehrere (gemeinsame) Verantwortliche oder weitere Datenempfänger solltest du nicht verschweigen. Dass die Einwilligung freiwillig ist und jederzeit widerrufen werden kann, gehört ebenfalls und die Informationen.

Eindeutigkeit

Die Einwilligung muss durch eine klare, bestätigende Handlung erfolgen. Schweigen, oder bereits angekreuzte Kästchen (BGH, Urteil vom 28.05.202 – I ZR 7/16, „Cookie-Einwilligung II“ oder auch „Planet 49“) oder einfach, wenn die betroffene Person nicht widerspricht, reichen nicht aus.

Art. 9 Daten – fast immer nur mit Einwilligung

Daten besonderer Kategorien nach Art. 9, also etwa Gesundheitsdaten, darfst du mit wenigen Ausnahmen fast nur mit Einwilligung der betroffenen Person verarbeiten.

Zwar gibt es Ausnahmen. Eine wichtige Ausnahme für dein Unternehmen ist die Verarbeitung zur Erfüllung aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes. Ebenfalls ohne Einwilligung kannst du solche Daten verarbeiten, wenn die Daten für Zwecke der Gesundheitsvorsorge verarbeitet werden müssen. Dabei muss die Verarbeitung durch Fachpersonal oder unter dessen Verantwortung aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgen. Außerdem muss dieses Fachpersonal dem Berufsgeheimnis unterliegen. Diese Ausnahmen lassen eine ganze Reihe von Verarbeitungen zu.

Aber viele typische Verarbeitungen fallen nicht darunter. So dürfen etwa Hörgeräte Akkustiker Daten nur mit Einwilligung verarbeiten. Gleiches gilt für die Verarbeitung von Gesundheitsdaten in einem Coaching, jedenfalls wenn dort Gesundheitsdaten verarbeitet werden. DAs dürfte jedenfalls bei Coachings im Bereich Fitness, Gesundheit und Mindset im Allgemeinen der Fall sein.

Zeitpunkt der Einwilligung

Du musst die Einwilligung vor Beginn der Datenverarbeitung einholen. Eine nachträgliche Genehmigung der Datenverarbeitung ist nicht möglich.

Nichts ist für die Ewigkeit

Und ob das alles noch nicht genug ist, kommt das Beste zum Schluss. Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Wenn du deine Verarbeitung also auf diese Rechtsgrundlage stützt, musst du jederzeit damit rechnen, dass du plötzlich keine Rechtsgrundlage für deine Verarbeitung mehr hast. Stützt du deine Verarbeitung dann nur auf die Einwilligung, darfst du die Verarbeitung nicht fortsetzen. Das kann für dich in der Praxis unangenehme Folgen haben. Nehmen wir mal an, du verarbeitest Fotos von Personen. Diese Fotos nutzt du auf deiner Webseite und in Printmedien für umfangreiche Werbekampagnen. Nach 30.000 gedruckten Flyer und unzähligen Posts in sozialen Medien, widerruft die abgebildete Person die Einwilligung. Du musst die Datenverarbeitung stoppen. Ende der Geschichte. Das kann im Zweifel richtig Mehraufwand für dich bedeuten und ziemlich teuer werden.

Wer schreibt der bleibt

Wenn du die Verarbeitung auf eine Einwilligung stützen willst, musst du dokumentieren. Du musst also jederzeit nachweisen, dass die Einwilligung wirksam erteilt wurde. Im Zweifel geht das nur schriftlich. Das ist zwar nicht vorgeschrieben, in der Praxis aber die einfachste Handhabung. Eine E-Mail geht natürlich auch, oder bei Videos reicht es sicherlich, wenn die betroffene Person zu Beginn klarstellt, dass sie mit der Aufnahme einverstanden ist. Du wirst aber viele Situationen erleben, bei der das nicht so einfach ist. Einen erheblichen Mehraufwand hast du aber allemal.

Einwilligung? – Besser eine andere Rechtsgrundlage

Die Einwilligung ermöglicht nahezu jede Verarbeitung. Die Hürden sind hoch. Außerdem kann die betroffene Person die Einwilligung jederzeit widerrufen. Das macht sie in der Praxis zu gelinde gesagt zu keiner guten Rechtsgrundlage. Du solltest also genau überlegen, ob du die Einwilligung wirklich als Rechtsgrundlage heranziehen willst.

Eine sehr ausführliche Übersicht, allerdings aus Behördensicht und damit vielleicht ein wenig restriktiv, findet man übrigens beim Bayerischen Landesbeauftragten für den Datenschutz: https://www.datenschutz-bayern.de/datenschutzreform2018/einwilligung.pdf