Die Einwilligung nach der DSGVO

1. Die Einwilligung als eine der Grundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten durch öffentliche Stellen bedarf auch ab 25. Mai 2018 – wie schon bisher – einer

• bereichsspezifischen Zulässigkeitsnorm (Art. 6 Abs. 2, Abs. 3 Satz 3 DSGVO i.V.m. einer Durchführungsnorm) oder einer
  
  
• allgemeinen Zulässigkeitsnorm (Art. 6 Abs. 3 Satz 1 DSGVO i.V.m. einer Durchführungsnorm) oder einer
  
  
• Einwilligung (Art. 6 Abs. 1 Unterabsatz 1 Buchst. a DSGVO).

Fehlt es hieran, ist die Datenverarbeitung nicht rechtmäßig (vgl. Art. 6 Abs. 1 am Anfang DSGVO). Den bereichsspezifischen Durchführungsnormen entsprechen z.B. die Verarbeitungsvorschriften des bisherigen Bundesmeldegesetzes, allgemeinen Durchführungsnormen die Art. 16 bis 19 des bisherigen BayDSG. Für die Einwilligung bildet Art. 6 Abs. 1 Unterabsatz 1 Buchst. a DSGVO demgegenüber unmittelbar eine Verarbeitungsgrundlage. Eine Durchführung bzw. „Umsetzung“ ist weder erforderlich noch möglich.

2. Bedeutung im öffentlichen Bereich

Die Bedeutung der Einwilligung im öffentlichen Bereich ist aus der Sicht der DSGVO offenbar eher gering. Erwägungsgrund 43 geht davon aus, dass die Einwilligung im öffentlichen Bereich im Verhältnis zu den Zuläs­sigkeitsnormen nur nachrangig anwendbar ist und vorran­gig diese Zulässigkeitsnormen zu prüfen sind. Die Erwähnung der Einwilligung als Buchst. a an der Spitze der „Rechtmä­ßigkeitsbedingungen“ nach Art. 6 Abs. 1 DSGVO bringt diesen – richtigen – Ansatz von der Systematik her bezogen auf den öffentlichen Bereich nicht deutlich zum Ausdruck, sondern spiegelt eher ihre Bedeutung bei der Datenverarbeitung nicht-öffentli­cher Stellen wieder.

3. Voraussetzungen einer wirksamen Einwilligung

Was sind nun die Voraussetzungen einer wirksamen Einwilligung? Folgendes muss erfüllt sein:

• Die Erlaubnis muss einem oder mehreren Datenverarbeitern (Verantwortlichen, Art. 4 Nr. 7 DSGVO) erteilt worden sein, d.h. der Betroffene muss – selbstverständlich – wissen, wem er die Erlaubnis erteilt (ErwG 42 Satz 4).

• Die Erlaubnis muss „für einen oder mehrere bestimmte Zwecke“ erteilt worden sein (vgl. Art. 6 Abs. 1 Unterabsatz 1 Buchst. a DSGVO). Erhebungszweck ist die Erfüllung einer konkreten, durch das Fachrecht vorgegebenen Aufgabe. Die Einwilligung bezieht sich dann auf die hierfür erforderli­chen Verarbeitungsvorgänge. Die Definition des Begriffs der „Einwilligung“ in Art. 4 Nr. 11 DSGVO spricht etwas ungenau von der Erteilung „für den bestimmten Fall.“ Die Erteilung setzt selbstverständlich voraus, dass der Betroffene über den Verarbeitungszweck bzw. die Verarbeitungszwecke informiert worden ist. Diese Informationspflicht hat schon bisher bestanden (vgl. Art. 16 Abs. 3 Satz 1 BayDSG), sie ist nichts Neues.

• Soll eine Verarbeitung sog „sensibler Daten“ im Sinne des Art. 9 Abs. 1 DSGVO (z.B. von Gesundheitsdaten) erfolgen, so muss sich die Einwilligung „ausdrücklich“ auf diese Daten beziehen (Art. 9 Abs. 2 Abs. 1 Buchst. a DSGVO). Auch hier: Nichts Neues (siehe bisher Art. 15 Abs. 7 Satz 1 Nr. 2 BayDSG).

• Die Erlaubnis muss freiwillig erteilt worden sein. Dies folgt aus der Definition in Art. 4 Nr. 11 DSGVO und indirekt auch aus Art. 7 Abs. 4 DSGVO. Freiwillig ist die Einwilligung erteilt, wenn der Betroffene „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen ohne Nachteile zu erleiden“ (ErwG 42 Satz 5). Diese Voraussetzung wird regelmäßig nur im Bereich der Privatwirtschaft erfüllt werden können. Die Verordnung geht davon aus, dass im öffentlichen Be­reich ein „klares Ungleichgewicht“ zwischen Betroffenem und Behörde be­steht und deshalb eine Freiwilligkeit hier nur ausnahmsweise „in Anbetracht aller Umstände in dem speziellen Fall“ gegeben sein kann (ErwG 43 Satz 1). Wie oben unter 2. er­wähnt ist des­halb vorran­gig auf Zulässigkeitsnormen und nur im Ausnahmefall auf die Einwilligung zurückzugrei­fen. Aber auch das ist nichts Neues.

4. Keine besonderen Formerfordernisse

Die Einwilligung bedarf keiner besonderen Form. Sie kann schriftlich (vgl. Art. 7 Abs. 2 Satz 1 DSGVO), elektronisch (etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, ErwG 32 Satz 1 und 2) oder mündlich (ErwG 32 Satz 1) erfolgen. Erforderlich, aber auch ausreichend ist eine eindeutig bestätigende Handlung (vgl. Art. 4 Nr. 11 DSGVO). Die „Gleichberechti­gung“ einer nur mündlich erteilten Auskunft ist ein Novum gegenüber der bisherigen Rechts­lage (Art. 15 Abs. 3 Satz 1 BayDSG), hat aber praktisch nur geringe Bedeutung, denn die Einwilli­gung muss dokumentiert werden (Art. 7 Abs. 1 DSGVO). Regelmäßig sollte deshalb die schriftliche oder elektronische Erfassung stattfinden.

5. Widerruflichkeit der Einwilligung

Einwilligungen sind – ebenfalls wie bisher – jederzeit mit Wirkung für die Zukunft widerruflich (Art. 7 Abs. 3 Satz 1 DSGVO). Über diese Widerruflichkeit musste allerdings bisher nicht ausdrücklich belehrt werden. Die noch geltenden Vorschriften des Art. 15 BayDSG und § 4a BDSG sehen dies nicht vor. Demgegenüber fordert die DSGVO nun ausdrücklich eine solche Belehrung über die Wider­ruflichkeit der Einwilligung, verbunden mit dem Hinweis, dass die Rechtsmäßigkeit der bis zum Widerruf erfolgen Verarbeitungen unberührt bleibt (vgl. Art. 7 Abs. 3 Satz 3).

6. Einwilligung in informierter Weise

Art. 4 Nr. 11 DSGVO setzt voraus, dass die Einwilligung „in informierter Weise“ erfolgen soll. Dies erfordert jedenfalls eine Information über Datenverarbeiter, Verarbeitungszweck, zu verar­beitende sensible Daten und das Widerrufsrecht einschließlich des Hinweises, dass die Rechtsmäßigkeit der bis zum Widerruf erfolgen Verarbeitungen unberührt bleibt (siehe oben Nr. 3. Spiegelpunkte 1, 2 und 3, sowie Nr. 5.). Ob die darüberhinausgehenden sonstigen, in Art. 13 DSGVO vorgesehe­nen Informationen eine Voraussetzung für die Wirksamkeit einer Einwilligung sind oder ob sie vielmehr erst als Folge einer erteilten Einwilli­gung zusätzlich erteilt werden müssen, ist bislang ungeklärt.

7. Weitergeltung bisheriger Einwilligungen

Erfüllen bisher erteilte Einwilligungen auch die Voraussetzungen nach der DSGVO, so kann von ihnen weiterhin Gebrauch gemacht werden, d.h. diese Einwilligungen brauchen nicht erneut eingeholt zu werden. Erwägungsgrund 171 Satz 2 legt dies ausdrücklich fest. Damit diese Fortgeltungsmöglichkeit nicht völlig leerläuft, wird jedenfalls in Bezug auf die Fortgeltung früher erteilter Einwilligungen eine erfolgte Information über den Mindestinhalt (Daten­verarbeiter, Verarbeitungszweck, zu verar­beitende sensible Daten und das Widerrufsrecht) als ausreichend erachtet werden kön­nen, d.h. die zusätzlichen Informationspflichten nach Art. 13 dürften nicht erfüllt sein müssen. Denn eine faktisch leerlaufende Fortgeltung kann der Ver­ordnungsgeber nicht gewollt haben.

Trotzdem, ein Problem bleibt, nämlich die oft fehlende Belehrung über die Widerruflichkeit der Einwilligung (oben Nr. 5). Sicherheitshalber sollte – wenn man schon die Einwilligung nicht erneut einholen will – zumindest eine Belehrung über das Widerrufsrecht (und die Folgen des Widerrufs) nachgeschoben werden.

Marcus Niese

Mitautor Datenschutz in Bayern