Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen, dass Sie als betroffene Person wirksam in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben. Eine datenschutzrechtliche Einwilligungserklärung muss dabei gewisse Kriterien erfüllen, damit sie wirksam ist und der Verantwortliche sich darauf berufen kann:
Die Einwilligung muss freiwillig erteilt werden. Sie müssen eine Einwilligung verweigern oder zurückzuziehen können, ohne daraus Nachteile zu erleiden. Wenn zwischen Ihnen und dem Verantwortlichen ein klares Ungleichgewicht besteht (zum Beispiel in einem Beschäftigungsverhältnis oder im Verhältnis zu einer Behörde), ist die Freiwilligkeit Ihrer Einwilligung stark zu hinterfragen.
Die Einwilligung wurde nicht freiwillig erteilt, wenn der Abschluss oder die Erfüllung eines Vertrags von Ihrer Einwilligung abhängig ist, obwohl die Einwilligung dafür nicht erforderlich wäre („Kopplungsverbot“).
Beispiel: Bei der Fahrt mit einer Sommerrodelbahn werden während der Fahrt durch eine Fotoanlage ("Action-Cam") automatisch Fotos von den Benutzer:innen der Sommerrodelbahn gemacht und gespeichert. Die Benutzer:innen der Sommerrodelbahn können die Fotos nach der Fahrt ansehen und kaufen. Nach den Allgemeinen Geschäftsbedingungen des Rodelbahnbetreibers erklärt sich jede Person mit dem Kauf eines Tickets damit einverstanden, dass ein entsprechendes Erinnerungsbild während der Rodelfahrt angefertigt wird. Die Einwilligung zur Fotoaufnahme ist an die Erfüllung eines Vertrages und somit an die Benutzung der Sommerrodelbahn „gekoppelt“, obwohl die Einwilligung für die Erfüllung des Vertrages – die Benützung der Sommerrodelbahn gegen Entgelt – nicht notwendig oder erforderlich ist. Die Einwilligung ist daher unwirksam (DSB 16.04.209, DSB-D213.679/0003-DSB/2018).
Die Einwilligungserklärung muss einzig für den konkreten Fall erteilt werden. Eine pauschale Einwilligung für mehrere Datenverarbeitungen ist nicht wirksam. Daher muss für jede individuelle Datenverarbeitung jeweils eine eigene Einwilligung erteilt werden.
Wozu die Daten verarbeitet werden, muss Ihnen bereits bei der Einwilligung klar sein. Möchte der Verantwortliche die erhobenen Daten später für einen anderen Zweck verarbeiten, müssen Sie für diesen Zweck separat einwilligen (siehe „Dürfen meine Daten zu einem anderen Zweck weiterverarbeitet werden, als zu dem sie ursprünglich erhoben wurden?“).
Beispiel: Ein Video-Streaming-Anbieter holt eine Einwilligung ein, damit er Daten über das Sehverhalten der NutzerInnen verarbeiten darf. Damit können den NutzerInnen neue Vorschläge gemacht werden. Will der Video-Streaming-Anbieter die Daten seiner NutzerInnen später zu Werbezwecken an Dritte verkaufen, muss er eine weitere Einwilligung der NutzerInnen einholen.
Bevor Sie einer Datenverarbeitung zustimmen, müssen Sie darüber informiert werden, wer der Verantwortliche der Datenverarbeitung ist, welche Arten von personenbezogenen Daten verarbeitet werden, zu welchem Zweck die Daten verarbeitet werden, aber auch ob und an wen personenbezogene Daten übermittelt werden. Risiken, die auftreten könnten, wenn Ihre Daten weitergegeben werden, müssen ebenfalls genannt werden.
Beispiel: Eine Einwilligungserklärung, wonach die betroffene Person in die „Verarbeitung ihrer personenbezogenen Daten zu allen erdenklichen Zwecken“ einwilligt, ist unwirksam. Vielmehr müssen die einzelnen Datenarten (Name, E-Mail-Adresse etc.) sowie allfällige Empfänger und der genaue Zweck der Datenverarbeitung in der Einwilligungserklärung angeführt werden.
Eine vom Verantwortlichen vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Außerdem muss die Einwilligung selbst in klarer und unmissverständlicher Art erteilt werden. Ein bereits angekreuztes Kästchen, die bloße Nutzung eines Dienstes oder der Besuch einer Webseite sind keine unmissverständlichen Einwilligungserklärungen.
Eine Einwilligung müssen Sie nicht unbedingt schriftlich geben. Sie können auch mündlich oder durch eine bestimmte (aber auf jeden Fall unmissverständliche) Handlung einwilligen. Für die Verarbeitung „sensibler“ Daten ist allerdings eine ausdrückliche (nicht bloß eine schlüssige) Einwilligung erforderlich.
Beispiel: Eine in den AGB „versteckte“ datenschutzrechtliche Einwilligungserklärung ist nicht wirksam. Der Verantwortliche kann sich auf eine solche Einwilligung nicht berufen, auch wenn die AGB angekreuzt oder unterschrieben wurden. Vielmehr sollte der Verantwortliche getrennt von den AGB eine datenschutzrechtliche Einwilligung einholen.
Sie als betroffene Person haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss dabei genau so einfach sein wie die Einwilligung selbst. Bevor Sie einwilligen, müssen Sie über Ihr Widerrufsrecht und wie Sie dieses ausüben können, informiert werden. Wenn Sie Ihre Einwilligung widerrufen, bleibt die bis zum Widerruf erfolgte Datenverarbeitung rechtmäßig.
Beispiel: Regina hat sich online für eine Dating-Plattform registriert. Dafür musste sie auf der Webseite ein Formular ausfüllen und der Verarbeitung ihrer Daten für Werbezwecke zustimmen. Diese Einwilligung kann auf der Webseite selbst wieder rückgängig gemacht werden. Es ist nicht zulässig, dass Regina ihre Einwilligung nur telefonisch zu den Bürozeiten widerrufen kann.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 03.09.2024