Das Wort "Einwilligung" taucht immer wieder in den Nachrichten und Diskussionen über den Datenschutz auf, und es ist leicht zu verstehen, warum. Jeder weiß, was Zustimmung bedeutet, zumindest im alltäglichen Sinne. Jeder sollte die Idee der Einwilligung mögen, da sie sich auf die individuelle Autonomie und Freiheit bezieht. Es ist cool zu denken, dass die eigenen Daten einem gehören und nicht gegen den eigenen Willen verwendet werden sollten.
Andererseits kann man, weil jeder die Einwilligung im alltäglichen Sinne versteht, leicht in einige häufige Fehler verfallen und deren rechtliche Auswirkungen überschätzen. In diesem Blog werden zwei häufig gestellte Fragen zur Einwilligung in die DSGVO beantwortet, damit Sie sich ein klareres Bild davon machen können, was eine Einwilligung ist und wie sie funktioniert.
- Kann ich alles tun, solange ich eine Einwilligung habe?
- Brauche ich nach der Datenschutz-Grundverordnung immer eine Einwilligung?
- Was ist eine ausdrückliche Einwilligung?
- Gehören Ihre Daten immer Ihnen?
- Brauche ich immer eine Einwilligung für Cookies?
- Abschließende Überlegungen
Fangen wir an!
Kann ich alles tun, solange ich eine Einwilligung habe?
Nein, das können Sie nicht. Es gibt Dinge, die Sie einfach nicht tun dürfen, weder mit noch ohne Einwilligung. Die DSGVO enthält eine lange Liste von Verpflichtungen für den für die Datenverarbeitung Verantwortlichen. Ein Verstoß gegen diese Vorschriften ist selbst dann ein Verstoß, wenn die betroffenen Personen in alles, was Sie tun, eingewilligt haben.
Der Grundsatz der Datenminimierung1 bedeutet zum Beispiel, dass Sie nur die Daten verarbeiten dürfen, die Sie für Ihren Zweck benötigen, und nicht mehr als das. Wenn Sie sich zum Beispiel für unseren tollen Newsletter zum Thema Datenschutz anmelden, dürfen wir Sie nicht nach Ihrer Privatadresse fragen, da wir Ihre E-Mail-Adresse nur für die Zustellung der Nachrichten benötigen. Die Erhebung Ihrer Adresse zu diesem Zweck würde selbst mit Ihrer Zustimmung gegen die DSGVO verstoßen.
Ebenso müssen personenbezogene Daten immer auf sichere Weise verarbeitet werden2. Eine unsichere Verarbeitung stellt auch dann einen Verstoß dar, wenn der Nutzer ausdrücklich in die unsichere Verarbeitung seiner Daten einwilligt. Die Datenschutz-Grundverordnung kümmert sich in diesem Fall einfach nicht um die Einwilligung.
Unterm Strich: Die Einhaltung der Vorschriften ist mehr als die Einholung einer Einwilligung, und die Einwilligung ist keine Lösung für die Nichteinhaltung der Vorschriften.
Brauche ich nach der Datenschutz-Grundverordnung immer eine Einwilligung?
Nein, das brauchen Sie nicht. Sie können Daten auch ohne Einwilligung rechtmäßig verarbeiten, aber Sie benötigen eine andere Rechtsgrundlage.
Nach dem Grundsatz der Rechtmäßigkeit ist für die Verarbeitung personenbezogener Daten immer eine Rechtsgrundlage erforderlich. In der Datenschutz-Grundverordnung sind sechs Rechtsgrundlagen3</a> (oft als Rechtsgründe bezeichnet) aufgeführt, aus denen Sie wählen können, wobei jede ihre eigenen Anforderungen und Einschränkungen hat. Wenn Sie personenbezogene Daten verarbeiten, müssen Sie sich für eine dieser Rechtsgrundlagen entscheiden und sich an sie halten. Die Einwilligung ist einer dieser Gründe, aber in manchen Fällen ist es durchaus legitim, sich auf eine andere Rechtsgrundlage zu stützen.
Nehmen wir zum Beispiel an, Sie verwalten die Website eines Online-Schuhladens. Wenn ein Kunde in diesem Geschäft einkauft, benötigt der Verkäufer Rechnungsdaten, eine Lieferadresse, die Schuhgröße des Kunden und einige Kontaktinformationen, um eine reibungslose Lieferung zu gewährleisten. Bei all diesen Informationen handelt es sich um personenbezogene Daten, und für die Verarbeitung ist eine Rechtsgrundlage erforderlich.
In diesem Fall haben Sie drei Möglichkeiten:
- Sie können die Zustimmung des Nutzers einholen, bevor der Kauf abgeschlossen wird;
- Sie können sich auf die "Erfüllung eines Vertrags" (in diesem Fall den Verkauf) berufen;
- Sie können sich auf das "berechtigte Interesse des für die Verarbeitung Verantwortlichen" berufen (in diesem Fall das Interesse des Shops an der Ausübung seiner Geschäftstätigkeit).
Wenn Sie sich auf ein berechtigtes Interesse oder die Erfüllung eines Vertrags berufen, müssen Sie nicht um eine Einwilligung bitten. In diesem Fall sind alle drei Optionen vollkommen konform, und die Wahl zwischen ihnen ist eine Frage der Abwägung der Vor- und Nachteile jeder einzelnen.
Um es klar zu sagen: Jede Rechtsgrundlage ist mit spezifischen Anforderungen verbunden. Das bedeutet, dass keine einzige Rechtsgrundlage auf alle möglichen Szenarien anwendbar ist. So können Sie sich beispielsweise nicht auf die "Erfüllung eines Vertrags" berufen, um Ihren Kunden Werbematerial zu schicken, das über das hinausgeht, was zur Erfüllung des Vertrags unbedingt erforderlich ist. Und wenn Sie das "berechtigte Interesse" als Rechtsgrundlage wählen, müssen Sie Ihr Interesse gegen die Rechte der betroffenen Person abwägen.
Wie andere Rechtsgrundlagen ist auch die Einwilligung nach der Datenschutz-Grundverordnung an bestimmte Voraussetzungen geknüpft: Sie muss freiwillig, in Kenntnis der Sachlage, ausdrücklich und unmissverständlich erteilt werden4, und es muss möglich sein, die Einwilligung jederzeit zu widerrufen5. Wenn diese Anforderungen nicht erfüllt werden können, ist ein anderer Rechtsgrund erforderlich6.
Es muss also von Fall zu Fall ein Rechtsgrund gefunden werden. Manchmal gibt es mehrere Gründe. In anderen Fällen gibt es nur einen oder gar keinen, was bedeutet, dass die Daten nicht verarbeitet werden dürfen.
Was ist eine ausdrückliche Einwilligung?
In der Datenschutz-Grundverordnung wird auch eine "besondere" Art der Einwilligung erwähnt, die ausdrückliche Einwilligung.
Die ausdrückliche Einwilligung ist eine Ausnahme von mehreren Vorschriften über sensible Daten, automatisierte Entscheidungsfindung und Datenübermittlung7. Ob eine ausdrückliche Einwilligung vorliegt oder nicht, spielt also nur in bestimmten Situationen eine Rolle, zu denen die Verarbeitung sensibler Daten gehört. Wie wir bereits erläutert haben, könnte dieses Szenario in naher Zukunft recht häufig eintreten.
Die ausdrückliche Einwilligung muss alle Anforderungen an eine "normale" Einwilligung erfüllen und darüber hinaus ausdrücklich sein. Diese zusätzliche Anforderung ist etwas unscharf8, aber als Faustregel kann man sich die ausdrückliche Einwilligung als eine sehr eindeutige Einwilligung vorstellen9.
Gehören Ihre Daten immer Ihnen?
Wie bereits erwähnt, erlaubt die Datenschutz-Grundverordnung in einigen Fällen die Verarbeitung personenbezogener Daten ohne die Zustimmung der Betroffenen. Wie können wir dann ernsthaft behaupten, dass Ihre Daten Ihnen gehören und Sie entschieden haben, was mit ihnen geschieht?
So sieht es aus. Die Datenschutz-Grundverordnung schützt die Privatsphäre, aber das ist nicht ihr einziger Zweck. In der Datenschutz-Grundverordnung heißt es, dass das Recht auf Datenschutz nicht absolut ist und gegen andere Rechte abgewogen werden muss10. Diese Ausgewogenheit ist das, was die Datenschutz-Grundverordnung letztendlich erreichen will.
In vielen Fällen ist es unmöglich, sich auf eine Einwilligung zu berufen, und dennoch müssen die Daten verarbeitet werden. So muss beispielsweise ein Unternehmen, das online einen Vertrag mit einem Kunden aushandelt, dessen Kontaktinformationen verwenden, was eine Verarbeitung personenbezogener Daten darstellt und eine Rechtsgrundlage erfordert. Eine Einwilligung ist nicht möglich, da der Kunde kontaktiert werden müsste, um seine Einwilligung einzuholen - und dazu müssten seine Daten verarbeitet werden. In diesem Fall ist es im Interesse aller Beteiligten, wenn die Daten ohne Einwilligung verarbeitet werden.
Der Verzicht auf eine Einwilligung bedeutet nicht, dass die betroffene Person keinen Schutz genießt. Alle Rechtsgrundlagen haben ihre eigenen Beschränkungen, die den betroffenen Personen einen gewissen Schutz bieten. Manchmal bietet die Einwilligung weniger Schutz als andere Gründe.
So können Arbeitgeber beispielsweise keine Arbeitnehmerdaten auf der Grundlage einer Einwilligung verarbeiten11, weil sie in der Lage sind, den Arbeitnehmer zur Einwilligung zu zwingen. Die Datenschutz-Grundverordnung verbietet es Arbeitgebern also, sich auf die Einwilligung zu berufen, gibt ihnen aber auch andere Gründe für die Verarbeitung von Daten an die Hand. Diese Gründe bieten dem Arbeitnehmer ein gewisses Maß an Schutz, was besser ist als gar kein Schutz.
Brauche ich immer eine Einwilligung für Cookies?
Wie wir bereits erwähnt haben, ist für "nicht wesentliche" Cookies gemäß der Datenschutzrichtlinie für elektronische Kommunikation immer eine Einwilligung erforderlich. Die Datenschutzrichtlinie für elektronische Kommunikation ist älter als die Datenschutz-Grundverordnung, und es gibt einige Überschneidungen zwischen den beiden Richtlinien. Und beide gelten für Cookies, da Cookies immer personenbezogene Daten sind.
Diese Überschneidung ist in der Praxis wichtig. Aufgrund der Datenschutzrichtlinie für elektronische Kommunikation benötigen "nicht wesentliche" Cookies immer eine Zustimmung. Und aufgrund der Datenschutz-Grundverordnung muss diese Zustimmung in Kenntnis der Sachlage erfolgen. Aus diesem Grund müssen Websites, die auf Cookies basierende Analysen verwenden, wie z. B. Google Analytics, Cookiebanner verwenden, die bestimmte Informationen über die Verarbeitung von Cookies enthalten. Ohne diese Informationen wäre die Einwilligung nicht in Kenntnis der Sachlage und gemäß der Datenschutz-Grundverordnung nicht gültig.
Abschließende Überlegungen
Der Schutz von personenbezogenen Daten ist wichtig. Die Datenschutz-Grundverordnung (DSGVO) hat Richtlinien aufgestellt und die Grenzen dafür festgelegt, was möglich ist und was nicht. Als Unternehmen müssen Sie sich an diese Gesetze halten, um die Privatsphäre Ihrer Kunden zu schützen. Das Navigieren durch diese Datenschutzgesetze kann sich als schwierig erweisen, denn wie oben gezeigt, gibt es eine Menge, was Sie erfassen und berücksichtigen müssen.
Ein klarer Rahmen und klare Prozesse verringern das Risiko von Datenschutzverletzungen oder anderen Gefahren für Ihr Unternehmen. Es ist jedoch ein guter erster Schritt, den Grundsatz der Datenminimierung zu befolgen und nur die Informationen zu sammeln, die für den Betrieb Ihres Unternehmens unbedingt erforderlich sind.
Wir bei Simple Analytics sind der Meinung, dass Sie keine persönlichen Daten sammeln oder Cookies installieren müssen, um verwertbare Einblicke in Ihre Website-Analysen zu erhalten. Wir glauben daran, ein unabhängiges Web zu schaffen, das freundlich zu den Website-Besuchern ist und gleichzeitig die Erkenntnisse liefert, die Sie für Ihr Unternehmen benötigen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Art. 5(1)(c) GDPR; [^2]: Art. 5(1)(f) und 32 GDPR. [^3]: Art. 6(1) GDPR. [^4]: Art. 4(11) GDPR. [^5]: Art. 7.3 GDPR. [^6]: Zum Beispiel: Im Rahmen eines Arbeitsverhältnisses kann die Einwilligung nicht frei gegeben werden, wobei es nur sehr enge Ausnahmen gibt. Siehe EDPB-Leitlinien 05/2020 zur Einwilligung nach der Verordnung 2016/679 [^7]: Art. 9(2)(a), 22(2)(c), und 49(1)(a) GDPR [^8]: Die EDPB-Leitlinien 05/2020 enthalten zwar einige Hinweise zur Einwilligung, Kapitel IV, aber keine wirkliche Definition [^9]: Es wurde auch argumentiert, dass die ausdrückliche Zustimmung getrennt erfasst werden sollte. Siehe Kuner, Christopher und andere (Hrsg.), The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020; Oxford University Press), S. 185. [^10]: Erwägungsgrund 47 [^11]: EDPB-Leitlinien 05/2020 zur Einwilligung, par. 21 ff.