Eine Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Es sei denn, eine gesetzliche Vorschrift erlaubt dies ausdrücklich oder der Betroffene willigt in die Verarbeitung ein. Dies nennt man den sogenannten Erlaubnisvorbehalt. Im Folgenden geht es um das Thema „Einwilligungen“, denn für eine Vielzahl von Verarbeitungstätigkeiten ist eine Einwilligung der Betroffenen i.S.d. Art. 6 Abs. 1 S.1 lit. a DSGVO notwendig, da es keine andere gesetzliche Vorschrift gibt, die die Verarbeitung der personenbezogenen Daten erlaubt. Beispiele hierfür sind zum Beispiel der Versand von Newslettern an Kunden oder die Veröffentlichung von Fotos auf der Webseite des Unternehmens.
Aber Achtung: Eine Art „Generaleinwilligung“ gibt es nicht!
Ist die Einwilligung nicht korrekt erfolgt, ist sie unwirksam und somit fehlt die Rechtsgrundlage, die personenbezogenen Daten zu verarbeiten. Das bedeutet, dass der Verantwortliche unerlaubterweise personenbezogene Daten verarbeitet – und das kann teuer werden. Im Jahr 2020 wurde gegen die AOK in Baden-Württemberg aus diesem Grund ein Bußgeld in Höhe von 1,2 Mio. Euro ausgesprochen.
In Österreich wurde nun jüngst am 02.08.2021 ein Bußgeld in Höhe von 2 Mio. Euro ausgesprochen – wegen undurchsichtiger Einwilligungen eines großen Handelskonzerns. Details finden Sie hier!
Wie sollte eine Einwilligung aussehen?
Die DSGVO gibt in Art 7 Abs. 2 der DSGVO vor, wie das Ersuchen der Einwilligung aussehen soll:
„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“
Es muss also so verständlich sein, dass jeder es verstehen kann, auch ohne juristische Vorbildung. Zudem muss sie freiwillig erfolgen und eindeutig sein.
Ist die Einwilligung unwirksam, folgt daraus, dass die Daten nicht verarbeitet werden dürfen – besonderes ärgerlich, wenn es sich um Daten handelt, die für den Geschäftszweck notwendig sind.
Damit dies nicht passiert, ist es wichtig, bereits im Vorfeld zu prüfen, ob die Rechtsgrundlage für die Verarbeitung – nämlich die Einwilligung – korrekt ist und eine Datenverarbeitung möglich ist. Da das Thema sehr komplex ist, sollten Sie Ihren Datenschutzbeauftragten frühzeitig, idealerweise vor Beginn der Verarbeitung, in die Gestaltung der Einwilligung einbinden.