Wie kann ein Verantwortlicher das Vorliegen einer Einwilligung nachweisen?

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, muss der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat (Art. 7 Abs. 1 DSGVO). Diese Beweislast oder auch Rechenschaftspflicht wird durch Art. 5 Abs. 2 DSGVO bekräftigt.

Eine Einwilligung kann gemäß Erwägungsgrund 32 zur DSGVO sowohl in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung erfolgen. Allerding muss gemäß Art. 7 Abs. 1 DSGVO jede erteilte Einwilligung dokumentiert werden. Diese Nachweispflicht ist eine spezifische Ausprägung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Während die Dokumentationspflicht bei der Abgabe einer schriftlichen Erklärung noch relativ leicht nachzukommen ist, fällt dies bei einer mündlichen Erklärung schwerer. Daher ist die Schriftform aus Beweisgründen dringend anzuraten.

Bestreitet ein Betroffener, eine Einwilligung abgegeben zu haben und kann der Verantwortlich deren Abgabe nicht nachweisen, gilt die Einwilligung als fehlend und die Datenverarbeitung als rechtswidrig, da der Verantwortliche in der Beweispflicht steht.

Im Rahmen der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (§ 26 Abs. 2 Satz 3 BDSG).

Wird eine Einwilligung elektronisch erteilt (z. B. durch Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft), muss der Verantwortliche nachweisen können, dass das Anklicken wirklich durch den Betroffenen erfolgt ist und nicht mittels Voreinstellung. Das Anklicken des Kästchens sollte daher protokolliert und der Betroffene identifiziert werden.

Die Abgabe einer Einverständniserklärung kann auch konkludent oder durch schlüssiges Handeln erfolgen (z. B. durch Anklicken des erwähnten Kästchens beim Besuch einer Internetseite). Allerdings stellt ein bereits vorgegebenes angekreuztes Kästchen keine Einwilligung dar. Es ist vielmehr ein aktives Handeln erforderlich.

Unter einer konkludenten Einwilligung ist das Verhalten des Betroffenen zu verstehen, das aus Sicht des Erklärungsempfängers mittelbar auf sein Einverständnis schließen lässt (z. B. ein zustimmendes Nicken des Betroffenen). Eine derartige unmissverständlichen Willensbekundung sollte dann aber zumindest zu Beweiszwecken dokumentiert werden.

Dagegen erfüllen Schweigen und Untätigkeit nicht die Voraussetzungen einer rechtsgültigen Einverständniserklärung. Auch eine mutmaßliche Einwilligung ist in der Datenschutz-Grundverordnung nicht vorgesehen.

Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.

Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt (Transparenzgebot). Eine vom Verantwortlichen vorformulierte Einwilligungserklärung sollte in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen (Erwägungsgrund 42 zur Datenschutz-Grundverordnung).