Art. 7 DSGVO: Bedingungen für die Einwilligung
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 11.06.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Einwilligung
- Form der Einwilligung
- Bestimmtheit der Einwilligung
- Informationspflicht des Verantwortlichen
- Freiwilligkeit der Einwilligung
- Widerrufsrecht der betroffenen Person
- Nachweispflicht des Verantwortlichen
Inhalt der Regelung
Art. 7 Abs. 1 DSGVO regelt die Nachweispflicht der Verantwortlichen für das Vorliegen einer Einwilligung.
Art. 7 Abs. 2 DSGVO enthält die Festlegung, dass die Einwilligung, sofern sie schriftlich erteilt wird, klar von anderen Sachverhalten unterscheidbar sein muss.
Das Recht der betroffenen Person auf Widerruf der Einwilligung ist in Art. 7 Abs. 3 DSGVO geregelt.
Die zwingende Voraussetzung der Freiwilligkeit einer Einwilligung regelt Art. 7 Abs. 4 DSGVO.
Ergänzende/korrespondierende Regelungen
Art. 4 Nr. 11 DSGVO enthält die Begriffsbestimmung und beschreibt die Anforderungen an eine Einwilligung, die im Erwägungsgrund (ErwG) 32 DSGVO noch näher ausgeführt werden und im ErwG 33 DSGVO bezüglich der Forschung spezifiziert werden.
Nach Art. 6 Abs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat. Art. 7 DSGVO und Art. 8 DSGVO ergänzen die Anforderungen an die Wirksamkeit der Einwilligung.
ErwG 42 DSGVO und ErwG 43 DSGVO enthalten ergänzende Erläuterungen zur Nachweispflicht des Verantwortlichen über das Vorliegen einer Einwilligung, die Festlegungen für eine vorformulierte Einwilligungserklärung und zur Freiwilligkeit der Einwilligung. Darüber hinaus spezifiziert § 67b Abs. 2 und 3 SGB X die Nachweis- und Aufklärungspflicht der Art. 7 DSGVO und Art. 4 DSGVO.
Einwilligung
Der Einwilligung kommt eine zentrale Rolle als Erlaubnistatbestand für eine rechtmäßige Datenverarbeitung zu. Besteht keine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten, ist eine Datenverarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck erteilt hat.
Beruht die Datenverarbeitung auf einer Einwilligung, die bereits vor Inkrafttreten der DSGVO erteilt wurde, ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung erteilt. Voraussetzung dafür ist jedoch, dass die Art der Einwilligung den Vorgaben der DSGVO entspricht (ErwG 171 DSGVO).
Form der Einwilligung
Die Einwilligung ist an keine bestimmte Form gebunden, so dass kein Schriftformerfordernis besteht. Sie kann schriftlich, mündlich oder durch eine eindeutig bestätigende Handlung (zum Beispiel elektronisch) der betroffenen Person erteilt werden (siehe dazu auch GRA zu § 67b SGB X). Zum Nachweis im Sinne des Art. 7 Abs. 1 DSGVO, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, soll die Einwilligung schriftlich oder elektronisch erfolgen.
Einwilligung in schriftlicher Form
Wird die Einwilligung in schriftlicher Form eingeholt, muss sie in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache formuliert und getrennt von anderen Inhalten dargestellt sein (Art. 7 Abs. 2 DSGVO).
Einwilligung durch eine eindeutige Handlung
Die Einwilligung, in Art. 4 Nr. 11 DSGVO als unmissverständlich abgegebene Willensbekundung beschrieben, erfordert zwingend, dass die betroffene Person selbst aktiv handelt. Für den elektronischen Bereich bedeutet das, dass die betroffene Person durch Mausklick das Kästchen für die Einwilligung selbst ankreuzen muss. Ein vorangekreuztes Kästchen und die sich daraus ergebene Möglichkeit des Entfernens des Häkchens sind unzulässig (ErwG 32 DSGVO).
Bestimmtheit der Einwilligung
Eine pauschale Einwilligung in die Verarbeitung personenbezogener Daten ist unzulässig. Allgemeine Formulierungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Aus der Einwilligung muss daher eindeutig erkennbar sein, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden dürfen. Je weitreichender die Datennutzung erfolgen soll, umso genauer muss der Zweck der Datennutzung umschrieben sein. Für die Verarbeitung von besonderen Kategorien personenbezogener Daten muss sich die Einwilligung ausdrücklich darauf beziehen (Art. 9 Abs. 2 Buchst. a DSGVO).
Informationspflicht des Verantwortlichen
Der Verantwortliche muss die betroffene Person vor der Abgabe ihrer Einwilligung über den vorgesehenen Zweck der Verarbeitung ihrer personenbezogenen Daten informieren. Der Zweck der Verarbeitung darf nicht zu allgemein gehalten sein. Außerdem muss die betroffene Person in die Lage versetzt werden, die Informationen leicht zu erkennen und die Einwilligung auch als solche identifizieren zu können (siehe dazu auch GRA zu § 67b SGB X).
Freiwilligkeit der Einwilligung
Die Einwilligung erlangt nur dann Rechtsgültigkeit, wenn die betroffene Person sie freiwillig erteilt hat (Art. 7 Abs. 4 DSGVO und Art. 4 Nr. 11 DSGVO und ergänzend dazu ErwG 32 DSGVO und ErwG 34 DSGVO). Die betroffene Person muss in der Lage sein, eine Wahl zu treffen und darf in ihrer Entscheidungsfreiheit nicht eingeschränkt werden.
Widerrufsrecht der betroffenen Person
Nach Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Darüber hat der Verantwortliche die betroffene Person vor Abgabe der Einwilligung in Kenntnis zu setzen (Art. 21 Abs. 1 DSGVO). Außerdem muss der Widerruf der Einwilligung so einfach sein wie die Erteilung der Einwilligung.
Aufgrund des Rechts auf informationelle Selbstbestimmung ist ein Verzicht auf das Widerspruchsrecht durch die betroffene Person nicht möglich.
Nimmt die betroffene Person ihr Widerrufsrecht wahr, kann der Widerruf der Einwilligung nur mit Wirkung für die Zukunft erfolgen. Die bis zum Widerruf erfolgten Datenverarbeitungen werden durch den Widerruf nicht berührt (Art. 7 Abs. 3 Satz 2 DSGVO).
Eine Einwilligung kann ganz oder teilweise widerrufen werden.
Nachweispflicht des Verantwortlichen
Erfolgt die Verarbeitung personenbezogener Daten mit Einwilligung der betroffenen Person, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO und ergänzend ErwG 42 DSGVO).
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.