Sie befinden sich hier:

Was ist bei Einwilligungen bezüglich der Informiertheit zu beachten?

Eine Einwilligung muss gemäß Art. 4 Nr. 11 DSGVO in informierter Weise (in Kenntnis der Sachlage) abgegeben werden, damit der Betroffene die Auswirkungen seiner Einwilligungserklärung überschauen kann.

Gemäß Erwägungsgrund 42 zur DSGVO muss die betroffene Person mindestens wissen, wer der Verantwortliche ist (auch wie er zu erreichen ist) und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Ihm sollte auch bekannt sein, ob bzw. unter welchen Voraussetzungen seine Daten weitergeben werden dürfen. Dabei müssen die Empfänger einer Datenübermittlung so konkret wie möglich genannt werden.

Der Hinweis auf Allgemeine Geschäftsbedingungen, Datenschutzerklärungen, Merkblätter oder Aushänge genügt nur dann dem Unterrichtungserfordernis, wenn diese von dem Betroffenen zum Zeitpunkt der Abgabe seiner Erklärung ohne weiteres eingesehen werden können und die Einwilligung in diesen Papieren optisch besonders hervorgehoben (z. B. mittels Fettdrucks, Schriftart, Schriftgröße, farbliche Gestaltung oder Umrahmung) ist. Sie darf daher beispielsweise nicht in den Allgemeinen Geschäftsbedingungen im Kleingedruckten „versteckt“ werden.

Wie dezidiert die Hinweise sein müssen, hängt vom jeweiligen Einzelfall ab. Vage oder pauschale Formulierungen reichen in keinem Fall aus.

Nur wenn diese Voraussetzungen erfüllt sind, liegt eine wirksame – so genannte „informierte Einwilligung“ – vor.

Transparenz

Erwägungsgrund 42 DSGVO verlangt, dass betroffene Personen ihre Einwilligung in „Kenntnis der Sachlage“ geben können. Dies beinhaltet insbesondere auch die Berücksichtigung Art. 12 (Transparenz) sowie der Art. 13 und 14 DSGVO. Denn eine Kenntnis verlangt einerseits, dass entsprechende Informationen vorliegen, d. h., dass der Verantwortliche mindestens den in Art. 13 ,14 DSGVO vorgegebenen Informationspflichten nachgekommen ist, aber auch, dass dem in Art. 12 DSGVO vorgegebenen Transparenzgedanken genügt wurde. Diese Anforderung bezüglich Transparenz ist auch eine Voraussetzung, damit der in Art. 5 Abs. 1 Buchstabe a DSGVO enthaltene Anforderung „Verarbeitung nach Treu und Glauben“ genügt werden kann.

Der Grundsatz der transparenten Verarbeitung personenbezogener Daten ist beispielsweise in folgenden Fällen nicht gewährleistet:

  • Eine Datenschutzerklärung für sämtliche Dienste, wobei unklar bleibt, was für den konkret genutzten Dienst erforderlich ist.
  • Es bleibt häufig unklar, welche Daten im Rahmen der Nutzung überhaupt verarbeitet werden.
  • Die Datenschutzerklärung gilt für alle aktuellen, aber auch künftigen Fallgestaltungen, wobei die Fallgestaltungen konkret nicht benannt werden, sodass eher einer „Generaleinwilligung“ verlangt wird.
  • Die Texte sind unverständlich, beispielsweise ist der Satzbau häufig unnötig komplex.
  • Schwammige Formulierungen verhindern, dass betroffene Personen die benötigten Informationen erhalten. Es werden beispielsweise relativierende Begriffe wie „ggf.“, „für gewöhnlich“, „teilweise oder vollständig“, „insbesondere“, „unter anderem“ oder „je nach den Umständen“ verwendet, sodass betroffene Personen nicht wissen können, was alles zur Verarbeitung zählt.
  • Überflüssige bzw. völlig unnötige Informationen vergrößern die Textmenge dergestalt, dass die eigentlichen Informationen kaum gefunden werden können.
  • Eine inkohärente Textgliederung führt dazu, dass betroffene Personen von ihnen gewünschte Informationen nicht an den aus der Textüberschrift zu vermutenden Abschnitten finden.
  • Die Zugänglichkeit von Informationen wird dadurch beeinträchtigt werden, dass wesentliche Informationen nur über Verlinkungen auf externe, zum Teil in anderen Sprachen geschriebenen Seiten bereitgestellt werden.

Informationspflichten nach Art. 13 und 14 DSGVO

Eine Einwilligung bzw. die Anforderungen an die Informiertheit des Betroffenen sind in Zusammenhang mit den in Art. 13 und 14 enthaltenen Anforderungen zu betrachten. In diesen Artikeln werden die Mindestanforderungen der Informationspflichten eines Verantwortlichen an einen Betroffenen dargelegt, wenn dieser Daten vom Betroffenen direkt erheben („Direkterhebung“) bzw. sich der Daten des Betroffenen, die von einem Dritten erhoben wurden, bedienen will. Für eine Einwilligung bedeutet dies, dass man eine Informiertheit des Betroffenen erst annehmen kann, wenn er diese von der Verordnung vorgeschriebenen Informationen vor der Datenerhebung vom Verantwortlichen mitgeteilt bekommt. Dabei stellen die in Art. 13 , 14 genannten Informationen lediglich die Mindestanforderungen dar; im jeweiligen Einzelfall kann es notwendig sein, dem Betroffenen weitere, für die wirksame Einwilligung notwendige Informationen geben.

Mindestinhalte

Mit Art. 13 und 14 DSGVO steigen mithin die Transparenzanforderungen, die der Verantwortliche gegenüber dem Einwilligenden hat. Die Mindestinhalte, über die der Betroffene informiert werden muss und die deshalb auch im Rahmen einer Einwilligungserklärung gegeben werden müssen, sind entsprechend Art. 13 , 14 DSGVO:

  • Der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters als auch des Datenschutzbeauftragten (sofern vorhanden).
  • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.
  • Die Rechtsgrundlage, auf welcher die Datenverarbeitung erfolgen darf.
  • Im Fall des überwiegend berechtigten Interesses das bzw. die verfolgten berechtigten Interessen des Verantwortlichen oder eines Dritten.
  • Die Speicherdauer der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.
  • Die Empfänger (bzw. ggfs. die Kategorien von Empfängern) der personenbezogenen Daten.
  • Die Informationen,
      - ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist,
      - ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.
  • Der Hinweis, dass (und wie) der Betroffene seine nachfolgend genannten Rechte ausüben kann:
      - Recht auf Auskunft über die betreffenden personenbezogenen Daten,
      - Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung,
      - Recht auf einen Widerspruch gegen die Verarbeitung,
      - Recht auf Datenübertragbarkeit,
      - Recht auf Beschwerde bei einer Aufsichtsbehörde.
  • Falls die Datenverarbeitung auf Grundlage einer Einwilligung beruht, ist zwingend der Hinweis auf das Bestehen eines Rechts erforderlich, die Einwilligung jederzeit widerrufen zu können, ohne dass dadurch jedoch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
  • Falls die Datenverarbeitung eine automatisierte Entscheidungsfindung beinhaltet, so sind aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidungsfindung sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person anzugeben.
  • Sofern geplant muss auch die Absicht des Verantwortlichen aufgeführt werden, die personenbezogenen Daten an ein Drittland (außerhalb der EU) oder eine internationale Organisation zu übermitteln, inklusive der Rechtsgrundlage, welche die Übermittlung legitimiert (z. B. basierend auf einem Angemessenheitsbeschluss der Kommission).

All diese vorstehenden Informationen müssen jedoch dann nicht gegeben werden, „wenn und soweit die betroffene Person bereits über die Informationen verfügt“ (Art. 13 Abs. 4 bzw. Art. 14 Abs. 5 DSGVO).

Ergänzend muss im Fall der gemeinsam Verantwortlichen der betroffenen Person das Wesentliche der zwischen den Verantwortlichen geschlossenen Vereinbarung zur Verfügung gestellt worden sein. Dies umfasst insbesondere die einzelnen Prozessabschnitte und deren Verantwortlichkeit und welcher der Verantwortlichen die Gewährleistung von welchen Betroffenenrechten übernimmt bzw. bzw. deren Umsetzung und Erfüllung wahrnimmt.

Zur Informiertheit gehören darüber hinaus alle Informationen, die der Betroffene zu einer qualifizierten Entscheidung benötigt. Z. B. muss der Betroffene die Folgen einer verweigerten Einwilligung oder des Widerrufs einer Einwilligung beurteilen können und muss deshalb diese Informationen erhalten.

Bereitstellung der Informationen

In der DSGVO findet sich keine Vorgabe, wie betroffenen Personen Informationen bereitgestellt werden müssen. Eine Information kann „klassisch“ in Papierform zur Verfügung gestellt werden, ebenso können elektronische Möglichkeiten wie Video- oder Audioaufnahmen genutzt werden.

Jedoch besteht für den Verantwortlichen die Nachweispflicht, dass eine Informiertheit zum Zeitpunkt der Einwilligung vorlag. Wichtig ist hier u. a., dass bezüglich Nachweisbarkeit auch daran gedacht wird, dass auch die Verständlichkeit nachgewiesen werden muss. Dementsprechend sollten alle zur Information genutzten Medien mindestens ebenso lange unverändert verfügbar sein, wie die Einwilligungen selbst. Nur so kann der Nachweis geführt werden, dass die Informationen für die betroffene Person verständlich waren. Adressat ist immer der „Normalbürger“, nicht ein Rechtsanwalt.

Aktualität der Information

Der Nachweis für eine Einwilligung ist gegebenenfalls zu einem Zeitpunkt zu führen, an der die zugrundeliegende Verarbeitungstätigkeit inzwischen längst einen anderen Versionstand erreicht hat und damit ggf. auch andere Inhalte bzgl. der zu erteilenden Informationen vorgehalten werden. Daher sollten neben den verwendeten Textbausteinen der Einwilligungserklärung in ihrer jeweiligen Form auch die zugehörigen Inhalte der Informationen gem. Art. 13 DSGVO versioniert dokumentiert werden.

nach oben