Einwilligungserklärung nach DSGVO
Was Sie bei datenschutzrechtlichen Einwilligungen jetzt beachten müssen

Wer personenbezogene Daten verarbeiten will, der braucht häufig eine Einwilligungserklärung der Betroffenen. Was sich mit der Datenschutz-Grundverordnung geändert hat und wie eine Einwilligung nun aussehen muss.

, von

Wenn Sie personenbezogene Daten verarbeiten möchten, dann brauchen Sie dafür häufig eine Einwilligungserklärung der Betroffenen - das schreibt die DSGVO vor.
Wenn Sie personenbezogene Daten verarbeiten möchten, dann brauchen Sie dafür häufig eine Einwilligungserklärung der Betroffenen - das schreibt die DSGVO vor.

Im Datenschutzrecht gilt, dass es grundsätzlich verboten ist, personenbezogene Daten zu verarbeiten, es sei denn:

  • die Datenverarbeitung ist durch Gesetze erlaubt. Darunter fallen beispielsweise Beschäftigungsunterlagen oder Arbeitschutzaufzeichnungen.
  • die Datenverarbeitung ist zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig.
  • derjenige, der personenbezogene Daten verarbeiten möchte, hat ein berechtigtes Interesse, das höher einzustufen ist als das des Betroffenen, seine Daten zu schützen. Ein solches Interesse kann auch wirtschaftlicher Natur sein. So können zum Beispiel Onlinemarketingmaßnahmen zulässig sein, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. Auch E-Mail-Werbung an Bestandskunden dürfte man so rechtfertigen können.
  • der Betroffene ist damit einverstanden, dass seine Daten verarbeitet werden.

Das heißt, Sie brauchen immer dann eine Einwilligung, wenn die Datenverarbeitung auf keinem der anderen Wege – gesetzliche Grundlage, notwendig zur Vertragserfüllung oder Interessensabwägung – erlaubt ist.

Welche Anforderungen müssen Einwilligungen erfüllen?

Eine Einwilligung wird in Art. 4 Nr. 11 DSGVO definiert als

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

In „Normaldeutsch“ übersetzt heißt das: Einwilligungen müssen mehrere Bedingungen erfüllen. Sie müssen vom Betroffenen …

  • freiwillig abgegeben worden sein, sonst ist die Einwilligung nicht wirksam. Man darf also niemanden unter Druck setzen oder zwingen, eine Einwilligung abzugeben. So darf man zum Beispiel potenzielle Kunden nicht zwingen, eine Einwilligungserklärung abzugeben, wenn die Datenverarbeitung gar nicht notwendig ist, um die Leistung anzubieten. Ein Frisör etwa darf nicht von seinen Kunden verlangen, dass sie einwilligen, dass ihre Daten in seine Kundendatenbank eingepflegt werden – schließlich kann er auch Haare schneiden, ohne dass das geschieht. (Mehr zum so genannten Kopplungsverbot weiter unten).
  • in informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn er klar und verständlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht.
  • unmissverständlich abgegeben worden sein. Das bedeutet, der Betroffene muss aktiv zustimmen. Wichtig: Aktiv zustimmen ist etwas anderes als nicht widersprechen. So genannte Opt-out-Verfahren, zum Beispiel Checkboxen, in denen der Haken schon gesetzt ist, sind also nicht erlaubt.
  • immer nur für einen oder mehrere bestimmte Zwecke abgegeben werden. Eine Blanko-Einwilligung nach dem Motto „In die Verarbeitung meiner Daten durch den Datenverarbeiter willige ich generell ein“, ist unwirksam.

Der Betroffene muss zudem zur Einwilligung fähig sein. Das betrifft Minderjährige. Sie können erst ab 16 Jahren wirksam einwilligen. Bei jüngeren Kindern müssen die Erziehungsberechtigten einwilligen. Die EU-Mitgliedstaaten dürfen Regelungen erlassen, nach denen auch Kinder ab 13 wirksam einwilligen können. Deutschland hat das Alter bislang nicht herabgesetzt. Wenn für einen Online-Dienst aber nicht deutsches Recht gilt, kann es zu unterschiedlichen Altersgrenzen kommen.

Was hat es mit dem Kopplungsverbot auf sich?

Artikel 7, Absatz 4 der DSGVO enthält das so genannte Kopplungsverbot: Betroffene müssen freiwillig in die Verarbeitung ihrer personenbezogenen Daten einwilligen, also frei von Zwängen. Wenn man die Einwilligung nun an andere Leistungen koppelt, dann ist das nicht mehr der Fall. Die Einwilligung wäre damit unwirksam.

Ein Beispiel: Damit ein Online-Händler seinem Kunden die bestellte Ware liefern und den Kaufpreis kassieren kann, benötigt er zwar dessen Adresse. Es ist aber nicht notwendig, dass er dem Kunden an diese Adresse Werbung schickt. Wenn der Kunde einwilligen muss, dass er Werbung erhält, und ansonsten nicht bestellen kann, dann hat er diese Einwilligung nicht freiwillig erteilt – sie ist somit unwirksam.

Das Kopplungsverbot ist auch für das Geschäftsmodell „Service gegen Daten“ relevant. Dazu zählen Online-Gewinnspiele, kostenfreie E-Mail-Konten, der Newsletterversand und Downloadmöglichkeiten kostenloser E-Books oder Videokurse (Freebie/Whitepaper). Die Leistung wird „kostenfrei“ erbracht, es wird kein Geld vom Nutzer verlangt. Will er die Leistung in Anspruch nehmen, dann muss er allerdings einwilligen, dass seine personenbezogenen Daten verarbeitet werden, denn diese Geschäftsmodelle werden mit den Daten „refinanziert“. Die Daten werden dann zu Werbezwecken genutzt und so zu Geld gemacht.

Unternehmen, deren Geschäftsmodell darauf beruht, Gratis-Inhalte anzubieten, um so an Nutzerdaten zu kommen, stehen somit vor einem Problem. Wenn das bei Ihnen der Fall ist, haben Sie folgende Lösungsmöglichkeiten.

Wege, um das Kopplungsverbot zu umgehen

  • Entkoppeln: Sie bitten den Nutzer erst nach dem erfolgreichen Download/Kauf um die Einwilligung in die Verarbeitung seiner Daten. So werden Sie allerdings sehr viel weniger Einwilligungen erhalten als zuvor.
  • Integrieren: Die Datenverarbeitung zum Zwecke der Werbung wird zum Bestandteil des Vertrags gemacht. Der Nutzer muss klar und verständlich darüber informiert werden, dass seine Gegenleistung darin besteht, dass er seine Daten für Werbezwecke hergibt. Diese Möglichkeit ist laut einer Stellungnahme des Bayrischen Landesamt für Datenschutz und laut der Datenschutzkonferenz zulässig.
  • Alternative: Bieten Sie Ihr Whitepaper oder Ihr Freebie gegen Daten oder gegen Bezahlung an – der Nutzer hat dann die Wahl, ob der mit Geld oder mit seinen Daten bezahlen möchte.

Warum gibt es beim Thema Kopplungsverbot eine so große Unsicherheit?

Daran ist auch der Gesetzgeber schuld: Er hat den Vorschriften der DSGVO so genannte „Erwägungsgründe“ vorangestellt. Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, sollen also der Interpretation dienen. Allerdings widersprechen sich die Verordnung und der Erwägungsgrund 43: Die eigentliche Verordnung ist beim Thema Kopplungsverbot recht blumig formuliert; Erwägungsgrund 43 ist deutlich strenger.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Die Einwilligung zur Datenverarbeitung muss nachweisbar sein

In Artikel 7, Absatz 1 der DSGVO steht zudem, dass alle, die Daten verarbeiten, nachweisen können müssen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten auch wirklich eingewilligt hat. Laut Datenschutz-Grundverordnung müssen Einwilligungen nicht mehr unbedingt schriftlich erteilt werden, praktisch ist die Schriftform aber fast immer notwendig. Wenn jemand einem auf einer Veranstaltung eine Visitenkarte überreicht und sagt: „Senden Sie mir gerne Ihren Newsletter zu“, kann man später kaum nachweisen, dass derjenige seine Einwilligung erteilt hat – es sei denn, es gibt dafür Zeugen. (Natürlich muss man hier abwägen, wie wahrscheinlich es ist, in diesem Fall abgemahnt zu werden.)

Mit der DSGVO kommt auch die Beweislast. Der, der die Daten erhebt, verarbeitet oder nutzt, muss nachweisen können, dass er dazu befugt ist, weil die betroffene Person eingewilligt hat.

Online können Einwilligungshandlungen mit dem Zeitpunkt („timestamp“) protokolliert werden. Dazu werden am besten die gekürzte IP-Adresse und möglicherweise dem Zeitpunkt des so genannten Double-Opt-ins in einer Datenbank gespeichert.

Das Double-Opt-in-Verfahren

Beim Double-Opt-in setzt der Interessent ein Häkchen und willigt damit ein, dass das Unternehmen seine Daten verarbeiten darf. Danach erhält er eine E-Mail mit einem Bestätigungslink. Erst wenn er den Link anklickt, werden seine Daten verarbeitet. Das Double-Opt-in-Verfahren ist keine Pflicht, damit können Sie aber vermeiden, dass Dritte im Namen einer Person die Einwilligungserklärung abgeben. Außerdem hilft das Double-Opt-in-Verfahren, die Einwilligung nachzuweisen.

Elektronisch übermittelte Einverständniserklärungen müssen gespeichert werden und es muss möglich sein, sie jederzeit auszudrucken.

Achtung: Nachweisen muss man nicht nur, dass der Betroffene seine Einwilligung gegeben hat, sondern auch, dass er hinreichend darüber informiert wurde, was mit seinen Daten passiert. Das können Sie beispielsweise durch Screenshots erreichen oder indem Sie die Bestätigungs-E-Mail archivieren.

Die Einwilligung zur Datenverarbeitung muss widerrufbar sein

In Artikel 7 Abs. 3 der DSGVO steht, dass der Nutzer seine einmal erklärte Einwilligung jederzeit widerrufen kann. Über dieses Recht muss er informiert werden, bevor man seine Daten aufnimmt. Wer Daten verarbeitet, muss gewährleisten, dass der Nutzer seinen Widerruf genauso einfach erklären kann wie die ursprüngliche Einwilligung.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Es ist empfehlenswert, dazu eine E-Mail-Adresse einzurichten, über die der Nutzer direkt mit dem Datenschutzbeauftragten kommunizieren kann. So ist gewährleistet, dass Nutzer schnell und sicher qualifizierte Auskünfte zu Datenschutzanfragen erhalten.

Wie muss die Einwilligungserklärung konkret aussehen?

Die Einwilligungserklärung muss verständlich und transparent sein. Kurz: Der Betroffene muss wissen, worauf er sich einlässt.

In der Einwilligungserklärung muss stehen, welche personenbezogenen Daten (Name, E-Mail-Adresse, Postadresse etc.) verarbeitet werden, warum sie verarbeitet werden (Zweck) und wer sie verarbeitet. Wenn die Daten an Dritte weitergegeben werden, muss auch das in der Einwilligungserklärung stehen. Außerdem müssen die Nutzer über ihre Rechte, insbesondere über ihr Widerrufsrecht aufgeklärt werden.

Das alles muss nicht unter jedem Formular stehen, man kann auch durch einen Link auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen dann aber ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen.

Wie detailliert man den Zweck der Datenverarbeitung beschreibt, hängt davon ab, wie tief der Eingriff in das Persönlichkeitsrecht ist: Je tiefer der Eingriff, desto genauer muss die Einwilligungserklärung sein.

Muster-Formulierungen für Einwilligungserklärungen

Schon aus der Formulierung muss hervorgehen, dass die Person mit ihrer Zustimmung in die Datenerhebung und Datenverarbeitung einwilligt. Korrekte Überschriften sind zum Beispiel:

  • Einverständniserklärung zur Erhebung personenbezogener Daten
  • Datenschutzrechtliche Einwilligungserklärung nach DSGVO

Formulierungen wie „Mir ist bekannt, dass …“, „Ich bin mir bewusst, dass …“, sind meist ungenügend. Bessere Alternativen:

  • Mit meiner Unterschrift willige ich ein, dass …
  • Ich erteile meine Einwilligung, dass …
  • Ich bin damit einverstanden, dass …
  • Mit der Unterschrift geben Sie Ihre Einwilligung, dass …
  • Durch Ihre Unterschrift wird die vorstehende Einwilligungserklärung mit den auf der Rückseite abgedruckten näheren Erläuterungen zur Datenverarbeitung und Datennutzung für … (Zweck) Bestandteil des Antrages.

Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden.

Was ist mit bisher erteilten Einwilligungen?

Das ist eine rechtliche Grauzone. Der Düsseldorfer Kreis – das ist ein Gremium aus den Landesdatenschutzbeauftragten – sagt, alte personenbezogene Daten dürfen dann weiter verwendet werden, wenn sie unter dem bisher geltenden Bundesdatenschutzgesetz (BSDG) rechtmäßig erhoben wurden. Allerdings hat dieses Gremium ab dem 25. Mai 2018 nicht mehr so viel zu sagen. Dann sind ihm Gremien auf europäischer Ebene übergeordnet.

Die DSGVO ist diesbezüglich strenger. Sie besagt, alte Daten dürfen nur dann weiter genutzt werden, wenn die Einwilligung den Anforderungen der DSGVO entspricht. „Aber dann wäre so gut wie kein E-Mail-Verteiler mehr rechtmäßig“, sagt Rechtsanwältin Swantje Wallbraun. Sie berät Unternehmen in Sachen Datenschutz. Unternehmen müssten hier das Risiko abwägen. „Wenn man bis jetzt ordentlich gearbeitet hat, ist das Risiko tragbar“, meint die Anwältin. Wer sich unsicher sei, der solle zur Sicherheit den Betroffenen eine E-Mail schicken und um eine erneute Einwilligung bitten.

Richard Heyer, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, weist allerdings darauf hin, dass man nachweisen können muss, dass die Betroffenen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu gab es in der Vergangenheit bereits ein BGH-Urteil und auch die DSGVO pocht auf die Nachweispflicht.

Nachteile von Einwilligungen

Viele Unternehmen meinen nun, sie gingen auf Nummer sicher, wenn sie für alles Mögliche die Einwilligung der Nutzer einholen. Einwilligungen sollte man allerdings nur dann einholen, wenn die Datenverarbeitung nicht zur Erfüllung eines Vertrags oder zur Vertragsanbahnung notwendig ist und man sich nicht auf ein berechtigtes Interesse berufen kann. Der Nachteil von Einwilligungen ist nämlich, dass sie jederzeit widerrufen werden können – und dann muss man sämtliche Daten löschen.

Umstritten ist zum Beispiel, ob man bei Kontaktformularen eine Einwilligung zur Verarbeitung personenbezogener Daten einholen muss. Die dienen entweder der Vertragsanbahnung oder das Unternehmen kann sich auf ein berechtigtes Interesse berufen und das mit den Interessen des Betroffenen abwägen. Und der wird wohl kaum etwas gegen die Verarbeitung seiner Daten haben, sonst würde er das Kontaktformular ja nicht ausfüllen.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Im Datenschutzrecht gilt, dass es grundsätzlich verboten ist, personenbezogene Daten zu verarbeiten, es sei denn: die Datenverarbeitung ist durch Gesetze erlaubt. Darunter fallen beispielsweise Beschäftigungsunterlagen oder Arbeitschutzaufzeichnungen. die Datenverarbeitung ist zur Erfüllung eines Vertrages oder zur Vertragsanbahnung notwendig. derjenige, der personenbezogene Daten verarbeiten möchte, hat ein berechtigtes Interesse, das höher einzustufen ist als das des Betroffenen, seine Daten zu schützen. Ein solches Interesse kann auch wirtschaftlicher Natur sein. So können zum Beispiel Onlinemarketingmaßnahmen zulässig sein, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. Auch E-Mail-Werbung an Bestandskunden dürfte man so rechtfertigen können. der Betroffene ist damit einverstanden, dass seine Daten verarbeitet werden. Das heißt, Sie brauchen immer dann eine Einwilligung, wenn die Datenverarbeitung auf keinem der anderen Wege – gesetzliche Grundlage, notwendig zur Vertragserfüllung oder Interessensabwägung – erlaubt ist. Welche Anforderungen müssen Einwilligungen erfüllen? Eine Einwilligung wird in Art. 4 Nr. 11 DSGVO definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. In „Normaldeutsch“ übersetzt heißt das: Einwilligungen müssen mehrere Bedingungen erfüllen. Sie müssen vom Betroffenen … freiwillig abgegeben worden sein, sonst ist die Einwilligung nicht wirksam. Man darf also niemanden unter Druck setzen oder zwingen, eine Einwilligung abzugeben. So darf man zum Beispiel potenzielle Kunden nicht zwingen, eine Einwilligungserklärung abzugeben, wenn die Datenverarbeitung gar nicht notwendig ist, um die Leistung anzubieten. Ein Frisör etwa darf nicht von seinen Kunden verlangen, dass sie einwilligen, dass ihre Daten in seine Kundendatenbank eingepflegt werden - schließlich kann er auch Haare schneiden, ohne dass das geschieht. (Mehr zum so genannten Kopplungsverbot weiter unten). in informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn er klar und verständlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht. unmissverständlich abgegeben worden sein. Das bedeutet, der Betroffene muss aktiv zustimmen. Wichtig: Aktiv zustimmen ist etwas anderes als nicht widersprechen. So genannte Opt-out-Verfahren, zum Beispiel Checkboxen, in denen der Haken schon gesetzt ist, sind also nicht erlaubt. immer nur für einen oder mehrere bestimmte Zwecke abgegeben werden. Eine Blanko-Einwilligung nach dem Motto „In die Verarbeitung meiner Daten durch den Datenverarbeiter willige ich generell ein“, ist unwirksam. Der Betroffene muss zudem zur Einwilligung fähig sein. Das betrifft Minderjährige. Sie können erst ab 16 Jahren wirksam einwilligen. Bei jüngeren Kindern müssen die Erziehungsberechtigten einwilligen. Die EU-Mitgliedstaaten dürfen Regelungen erlassen, nach denen auch Kinder ab 13 wirksam einwilligen können. Deutschland hat das Alter bislang nicht herabgesetzt. Wenn für einen Online-Dienst aber nicht deutsches Recht gilt, kann es zu unterschiedlichen Altersgrenzen kommen. Was hat es mit dem Kopplungsverbot auf sich? Artikel 7, Absatz 4 der DSGVO enthält das so genannte Kopplungsverbot: Betroffene müssen freiwillig in die Verarbeitung ihrer personenbezogenen Daten einwilligen, also frei von Zwängen. Wenn man die Einwilligung nun an andere Leistungen koppelt, dann ist das nicht mehr der Fall. Die Einwilligung wäre damit unwirksam. Ein Beispiel: Damit ein Online-Händler seinem Kunden die bestellte Ware liefern und den Kaufpreis kassieren kann, benötigt er zwar dessen Adresse. Es ist aber nicht notwendig, dass er dem Kunden an diese Adresse Werbung schickt. Wenn der Kunde einwilligen muss, dass er Werbung erhält, und ansonsten nicht bestellen kann, dann hat er diese Einwilligung nicht freiwillig erteilt – sie ist somit unwirksam. Das Kopplungsverbot ist auch für das Geschäftsmodell „Service gegen Daten“ relevant. Dazu zählen Online-Gewinnspiele, kostenfreie E-Mail-Konten, der Newsletterversand und Downloadmöglichkeiten kostenloser E-Books oder Videokurse (Freebie/Whitepaper). Die Leistung wird „kostenfrei“ erbracht, es wird kein Geld vom Nutzer verlangt. Will er die Leistung in Anspruch nehmen, dann muss er allerdings einwilligen, dass seine personenbezogenen Daten verarbeitet werden, denn diese Geschäftsmodelle werden mit den Daten „refinanziert“. Die Daten werden dann zu Werbezwecken genutzt und so zu Geld gemacht. Unternehmen, deren Geschäftsmodell darauf beruht, Gratis-Inhalte anzubieten, um so an Nutzerdaten zu kommen, stehen somit vor einem Problem. Wenn das bei Ihnen der Fall ist, haben Sie folgende Lösungsmöglichkeiten. Wege, um das Kopplungsverbot zu umgehen Entkoppeln: Sie bitten den Nutzer erst nach dem erfolgreichen Download/Kauf um die Einwilligung in die Verarbeitung seiner Daten. So werden Sie allerdings sehr viel weniger Einwilligungen erhalten als zuvor. Integrieren: Die Datenverarbeitung zum Zwecke der Werbung wird zum Bestandteil des Vertrags gemacht. Der Nutzer muss klar und verständlich darüber informiert werden, dass seine Gegenleistung darin besteht, dass er seine Daten für Werbezwecke hergibt. Diese Möglichkeit ist laut einer Stellungnahme des Bayrischen Landesamt für Datenschutz und laut der Datenschutzkonferenz zulässig. Alternative: Bieten Sie Ihr Whitepaper oder Ihr Freebie gegen Daten oder gegen Bezahlung an – der Nutzer hat dann die Wahl, ob der mit Geld oder mit seinen Daten bezahlen möchte. Warum gibt es beim Thema Kopplungsverbot eine so große Unsicherheit? Daran ist auch der Gesetzgeber schuld: Er hat den Vorschriften der DSGVO so genannte „Erwägungsgründe“ vorangestellt. Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel der DSGVO verfolgt wurden, sollen also der Interpretation dienen. Allerdings widersprechen sich die Verordnung und der Erwägungsgrund 43: Die eigentliche Verordnung ist beim Thema Kopplungsverbot recht blumig formuliert; Erwägungsgrund 43 ist deutlich strenger. Die Einwilligung zur Datenverarbeitung muss nachweisbar sein In Artikel 7, Absatz 1 der DSGVO steht zudem, dass alle, die Daten verarbeiten, nachweisen können müssen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten auch wirklich eingewilligt hat. Laut Datenschutz-Grundverordnung müssen Einwilligungen nicht mehr unbedingt schriftlich erteilt werden, praktisch ist die Schriftform aber fast immer notwendig. Wenn jemand einem auf einer Veranstaltung eine Visitenkarte überreicht und sagt: "Senden Sie mir gerne Ihren Newsletter zu", kann man später kaum nachweisen, dass derjenige seine Einwilligung erteilt hat – es sei denn, es gibt dafür Zeugen. (Natürlich muss man hier abwägen, wie wahrscheinlich es ist, in diesem Fall abgemahnt zu werden.) Mit der DSGVO kommt auch die Beweislast. Der, der die Daten erhebt, verarbeitet oder nutzt, muss nachweisen können, dass er dazu befugt ist, weil die betroffene Person eingewilligt hat. Online können Einwilligungshandlungen mit dem Zeitpunkt („timestamp“) protokolliert werden. Dazu werden am besten die gekürzte IP-Adresse und möglicherweise dem Zeitpunkt des so genannten Double-Opt-ins in einer Datenbank gespeichert. Das Double-Opt-in-Verfahren Beim Double-Opt-in setzt der Interessent ein Häkchen und willigt damit ein, dass das Unternehmen seine Daten verarbeiten darf. Danach erhält er eine E-Mail mit einem Bestätigungslink. Erst wenn er den Link anklickt, werden seine Daten verarbeitet. Das Double-Opt-in-Verfahren ist keine Pflicht, damit können Sie aber vermeiden, dass Dritte im Namen einer Person die Einwilligungserklärung abgeben. Außerdem hilft das Double-Opt-in-Verfahren, die Einwilligung nachzuweisen. Elektronisch übermittelte Einverständniserklärungen müssen gespeichert werden und es muss möglich sein, sie jederzeit auszudrucken. Achtung: Nachweisen muss man nicht nur, dass der Betroffene seine Einwilligung gegeben hat, sondern auch, dass er hinreichend darüber informiert wurde, was mit seinen Daten passiert. Das können Sie beispielsweise durch Screenshots erreichen oder indem Sie die Bestätigungs-E-Mail archivieren. Die Einwilligung zur Datenverarbeitung muss widerrufbar sein In Artikel 7 Abs. 3 der DSGVO steht, dass der Nutzer seine einmal erklärte Einwilligung jederzeit widerrufen kann. Über dieses Recht muss er informiert werden, bevor man seine Daten aufnimmt. Wer Daten verarbeitet, muss gewährleisten, dass der Nutzer seinen Widerruf genauso einfach erklären kann wie die ursprüngliche Einwilligung. Es ist empfehlenswert, dazu eine E-Mail-Adresse einzurichten, über die der Nutzer direkt mit dem Datenschutzbeauftragten kommunizieren kann. So ist gewährleistet, dass Nutzer schnell und sicher qualifizierte Auskünfte zu Datenschutzanfragen erhalten. Wie muss die Einwilligungserklärung konkret aussehen? Die Einwilligungserklärung muss verständlich und transparent sein. Kurz: Der Betroffene muss wissen, worauf er sich einlässt. In der Einwilligungserklärung muss stehen, welche personenbezogenen Daten (Name, E-Mail-Adresse, Postadresse etc.) verarbeitet werden, warum sie verarbeitet werden (Zweck) und wer sie verarbeitet. Wenn die Daten an Dritte weitergegeben werden, muss auch das in der Einwilligungserklärung stehen. Außerdem müssen die Nutzer über ihre Rechte, insbesondere über ihr Widerrufsrecht aufgeklärt werden. Das alles muss nicht unter jedem Formular stehen, man kann auch durch einen Link auf die Datenschutzerklärung oder Allgemeine Geschäftsbedingungen (AGBs) verweisen. Diese müssen dann aber ebenfalls den Anforderungen einer rechtmäßigen Einwilligungserklärung genügen. Wie detailliert man den Zweck der Datenverarbeitung beschreibt, hängt davon ab, wie tief der Eingriff in das Persönlichkeitsrecht ist: Je tiefer der Eingriff, desto genauer muss die Einwilligungserklärung sein. Muster-Formulierungen für Einwilligungserklärungen Schon aus der Formulierung muss hervorgehen, dass die Person mit ihrer Zustimmung in die Datenerhebung und Datenverarbeitung einwilligt. Korrekte Überschriften sind zum Beispiel: Einverständniserklärung zur Erhebung personenbezogener Daten Datenschutzrechtliche Einwilligungserklärung nach DSGVO Formulierungen wie „Mir ist bekannt, dass …“, „Ich bin mir bewusst, dass ...“, sind meist ungenügend. Bessere Alternativen: Mit meiner Unterschrift willige ich ein, dass … Ich erteile meine Einwilligung, dass … Ich bin damit einverstanden, dass … Mit der Unterschrift geben Sie Ihre Einwilligung, dass ... Durch Ihre Unterschrift wird die vorstehende Einwilligungserklärung mit den auf der Rückseite abgedruckten näheren Erläuterungen zur Datenverarbeitung und Datennutzung für … (Zweck) Bestandteil des Antrages. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt werden. Was ist mit bisher erteilten Einwilligungen? Das ist eine rechtliche Grauzone. Der Düsseldorfer Kreis – das ist ein Gremium aus den Landesdatenschutzbeauftragten – sagt, alte personenbezogene Daten dürfen dann weiter verwendet werden, wenn sie unter dem bisher geltenden Bundesdatenschutzgesetz (BSDG) rechtmäßig erhoben wurden. Allerdings hat dieses Gremium ab dem 25. Mai 2018 nicht mehr so viel zu sagen. Dann sind ihm Gremien auf europäischer Ebene übergeordnet. Die DSGVO ist diesbezüglich strenger. Sie besagt, alte Daten dürfen nur dann weiter genutzt werden, wenn die Einwilligung den Anforderungen der DSGVO entspricht. „Aber dann wäre so gut wie kein E-Mail-Verteiler mehr rechtmäßig“, sagt Rechtsanwältin Swantje Wallbraun. Sie berät Unternehmen in Sachen Datenschutz. Unternehmen müssten hier das Risiko abwägen. „Wenn man bis jetzt ordentlich gearbeitet hat, ist das Risiko tragbar“, meint die Anwältin. Wer sich unsicher sei, der solle zur Sicherheit den Betroffenen eine E-Mail schicken und um eine erneute Einwilligung bitten. Richard Heyer, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, weist allerdings darauf hin, dass man nachweisen können muss, dass die Betroffenen in die Verarbeitung ihrer Daten eingewilligt haben. Dazu gab es in der Vergangenheit bereits ein BGH-Urteil und auch die DSGVO pocht auf die Nachweispflicht. Nachteile von Einwilligungen Viele Unternehmen meinen nun, sie gingen auf Nummer sicher, wenn sie für alles Mögliche die Einwilligung der Nutzer einholen. Einwilligungen sollte man allerdings nur dann einholen, wenn die Datenverarbeitung nicht zur Erfüllung eines Vertrags oder zur Vertragsanbahnung notwendig ist und man sich nicht auf ein berechtigtes Interesse berufen kann. Der Nachteil von Einwilligungen ist nämlich, dass sie jederzeit widerrufen werden können – und dann muss man sämtliche Daten löschen. Umstritten ist zum Beispiel, ob man bei Kontaktformularen eine Einwilligung zur Verarbeitung personenbezogener Daten einholen muss. Die dienen entweder der Vertragsanbahnung oder das Unternehmen kann sich auf ein berechtigtes Interesse berufen und das mit den Interessen des Betroffenen abwägen. Und der wird wohl kaum etwas gegen die Verarbeitung seiner Daten haben, sonst würde er das Kontaktformular ja nicht ausfüllen.