„Ich gehe lieber auf Nummer sicher und hole mir eine Einwilligung ein. Dann habe ich nichts zu befürchten.“ Diesem Irrglauben unterliegen viele, wenn es z. B. um Kontaktformulare auf der Webseite geht. Häufig ist das Einholen einer solchen Einwilligung zwar schnell erfolgt, aber in manchen Fällen fatal.
Was ist eine Einwilligung?
Zunächst sollten wir allerdings klären, was genau eine Einwilligung ist: Sie stellt eine mögliche Legitimation für die Verarbeitung personenbezogener Daten dar. Das Gesetz stellt in Art. 4 Nr. 11 und Art. 7 DSGVO Anforderungen, wonach sie
- freiwillig,
- für einen bestimmten Zweck,
- in informierter Weise,
- unmissverständlich,
- nachweisbar und
- widerrufbar erfolgen muss.
Bei Nichterfüllung dieser Voraussetzungen ist die Einwilligung und damit möglicherweise auch die Datenverarbeitung unzulässig und kann zu hohen Bußgeldern durch die Aufsichtsbehörden führen.
Zum Verhängnis werden kann einem Verantwortlichen vor allem der Widerruf. Denn dieser muss genauso einfach und auch jederzeit erfolgen können, wie die Erteilung. Erfolgt dieser, wird zwar nicht die Rechtmäßigkeit der Verarbeitung bis zu diesem Zeitpunkt berührt, jedoch die ab dem Widerruf.
Das bedeutet für den Verantwortlichen, dass nun z. B. jeglicher Kontakt, der auf Basis einer Einwilligung bei einem Kontaktformular erfolgte, sofort einzustellen ist. Damit kann eine Löschpflicht der personenbezogenen Daten einhergehen. Problematisch wird hier vor allem die Löschverpflichtung, wenn die Datenverarbeitung eigentlich im Rahmen der Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO erfolgt, der Betroffene aber falsch belehrt und irrtümlich eine Einwilligung eingeholt wurde. Dann darf der Verantwortliche diese Daten gar nicht löschen, obwohl ein Widerruf der vermeintlichen Einwilligung vorliegt.
Ist die Einwilligung überhaupt nötig?
Bevor eine Einwilligung als Basis für die Datenverarbeitung herangezogen wird, sollten Sie also immer prüfen, ob eine Verarbeitung nicht auf die Durchführung vorvertraglicher Maßnahmen oder die Wahrnehmung eines berechtigten Interesses gestützt werden kann. In diesen Fällen ist ein Kontakt mit dem Betroffenen ohne Einwilligung möglich.
Aber auch hier gilt nicht vollständige Narrenfreiheit. Man muss darauf achten, nur die notwendigen Daten abzufragen wie bspw. Name und E-Mail-Adresse. Diese Daten sind dann 3 Monate (spätestens 6 Monate) nach Erhalt zu löschen, sofern sie nicht für eine weitere vertragliche Beziehung benötigt werden.
Unterschied zur Belehrung
Und wo genau liegt jetzt eigentlich der Unterschied zwischen einer Belehrung und einer Einwilligung? Kurz gesagt: Eine Einwilligung ist eine Rechtsgrundlage, die in manchen Fällen benötigt wird, um als Unternehmen personenbezogene Daten verarbeiten zu dürfen. Eine Belehrung hingegen ist immer notwendig und dient dazu, den Betroffenen über die Datenverarbeitung transparent zu informieren („Informationspflichten“). Denn sobald personenbezogene Daten durch den Verantwortlichen erhoben werden, ist dies der betroffenen Person zum Zeitpunkt der Erhebung der Daten mitzuteilen. Je nachdem, ob diese Daten bei der betroffenen Person selbst oder einem Dritten erhoben wurden, erfolgt die Belehrung nach Art. 13 oder 14 DSGVO. Dies kann z. B. vom Betreiber einer Internetseite über die Datenschutzerklärung oder über die Datenschutzbelehrung im Erstkontakt mit betroffenen Personen über E-Mail erfolgen. Im Zuge einer solchen Belehrung müssen die Betroffenen ausführlich darüber informiert werden, was mit den Daten geschieht. Hierüber haben wir bereits in diesem Blogbeitrag ausführlich informiert. Bei der Verarbeitung personenbezogener Daten müssen Betroffene also immer belehrt werden.
Typischer Fehler
Ein inzwischen schon klassisches Beispiel für eine Einwilligung ist die Checkbox auf Webseiten, durch die man bestätigt, die Datenschutzerklärung zu akzeptieren oder gelesen zu haben. Da die Datenschutzerklärung jedoch eine Belehrung ist, bedarf diese keiner Bestätigung, sondern wird lediglich zur Kenntnisnahme zur Verfügung gestellt. Über die Folgen einer Datenschutzerklärung mit Checkbox sowie die Notwendigkeit von Checkboxen klärt dieser Blogbeitrag auf.
Was müssen wir uns merken?
- Eine Belehrung von Betroffenen muss IMMER erfolgen, sobald Daten erhoben werden. Im Gegensatz dazu ist eine Einwilligung nicht immer nötig
- Die Frage, ob die Verarbeitung nicht bereits auf Grund einer anderen Rechtsgrundlage wie (vor-)vertragliche Maßnahmen oder berechtigtes Interesse erfolgen kann, sollte geklärt werden
- Das Nichterfüllen der Voraussetzungen für eine Einwilligung lassen die Datenverarbeitung unwirksam werden
- Wird eine Einwilligung widerrufen, so muss die Verarbeitung personenbezogener Daten sofort eingestellt werden
- Die Datenschutzerklärung auf der Webseite ist eine Belehrung und bedarf daher keiner Einwilligung
Benötigen Sie Hilfe bei der Erstellung der entsprechenden Datenschutzbelehrungen oder Einwilligungen in Ihrem Unternehmen? Wir beraten Sie gerne! Kontaktieren Sie uns unter: info@sidit.de