DSGVO-Einwilligung: Wann eine Einverständniserklärung zur Datenverarbeitung nötig ist

Die konkrete Ausgestaltung der Datenschutzgrundverordnung (DSGVO) wirft bei Unternehmern oftmals noch die Fragen auf: Benötige ich zur Datenverarbeitung immer eine Einwilligung? Auch wenn Juristen auf Fragen zumeist mit „Das kommt darauf an…“ reagieren, kann diese Frage kurz und knapp beantwortet werden: Nein, Sie müssen nicht immer eine DSGVO-Einwilligung haben. Was Sie beachten müssen, lesen Sie hier.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Eine Person reicht einer anderen Person ein DSGVO-Formular zum Unterschreiben
© TeamDaf - stock.adobe.com
 |  Zuletzt aktualisiert am:17.10.2023

Wann dürfen personenbezogene Daten verarbeitet werden?

Das Datenschutzrecht ist auch nach Maßgabe der DSGVO als sogenanntes „Verbot mit Erlaubnisvorbehalt“ ausgestaltet. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt und nur ausnahmsweise gestattet. Es gibt mehrere Ausnahmen, die Ihnen die Datenverarbeitung erlauben. Nämlich die folgenden:

  • Gesetzliche Ausnahmetatbestände
  • Berechtigte Interessen
  • Einwilligung

Welche Rechtsgrundlagen für die Datenverarbeitung gibt es neben der DSGVO-Einwilligung?

Die Einwilligungserklärung einer betroffenen Person ist nur eine Möglichkeit, zulässigerweise personenbezogene Daten zu verarbeiten. In Ihrem Arbeitsalltag gibt es auch andere Rechtsgrundlagen, insbesondere gesetzliche Regelungen. Die wichtigsten bringt die DSGVO in Art. 6 gleich selbst mit. Danach dürfen Sie Daten mit Personenbezug in folgenden Fällen verarbeiten:

  • zur Erfüllung eines Vertrages (z. B. bei einer Bestellung im Onlineshop),
  • zur Durchführung vorvertraglicher Maßnahmen (z. B. die Erhebung der E-Mail-Adresse zwecks Übersendung eines Angebots),
  • aufgrund rechtlicher Verpflichtungen (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen),
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z. B. durch die Verarbeitung von Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen) oder
  • bei der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. zur Ausübung öffentlicher Gewalt (z. B. „Knöllchen“ vom Ordnungsamt).

Wann Sie keine Einwilligungserklärung nach DSGVO brauchen

Wenn Sie also die Daten Ihrer Kund:innen verarbeiten, um ihnen die Auftragsbestätigung oder die Rechnung zu übersenden, dann tun Sie dies zur Erfüllung eines Vertrages. Eine gesetzliche Pflicht zwingt Sie außerdem dazu, Rechnungen und andere steuerrechtlich relevante Unterlagen 10 Jahre aufzubewahren.

Die Daten Ihrer Mitarbeiter:innen verarbeiten Sie ebenfalls zur Erfüllung des Arbeitsvertrages bzw. bestehender gesetzlicher Pflichten (z. B. zur Leistung von Sozialabgaben). Es wäre in diesen Fällen also sowohl unnötig als auch unpraktisch, von Ihren Kunden bzw. Mitarbeitern jeweils eine Einwilligung in die Verarbeitung ihrer Daten einzuholen. Unpraktisch deshalb, weil eine Einwilligung jederzeit frei widerrufbar ist und die entsprechenden Daten daher ab dem Zeitpunkt des Widerrufs nur noch eingeschränkt verarbeitet werden dürfen (z.B. um die steuerrechtlichen Aufbewahrungsfristen erfüllen zu können).

Achtung

Überlegt vorgehen

Ein Vorgehen nach dem Motto „wir holen sicherheitshalber mal eine DSGVO-Einwilligung ein“ ist definitiv nicht zu empfehlen. Nicht selten existiert eine andere Rechtsgrundlage, auf deren Basis Sie die Daten verarbeiten dürfen.

DSGVO und Datenverarbeitung: Wann liegt „berechtigtes Interesse“ vor?

Die Verarbeitung personenbezogener Daten kann auch im „berechtigten Interesse“ eines Unternehmens liegen. Wie genau die Kriterien hierfür aussehen, ist im Einzelnen (noch) umstritten. Die DSGVO nennt allerdings beispielhaft die Direktwerbung oder auch die Verhinderung von Betrug als berechtigte Interessen eines Unternehmens.

DSGVO-Einwilligung – welche Kriterien muss sie erfüllen?

Neben der Möglichkeit zum Widerruf gibt es bei der Einwilligung übrigens noch einen weiteren „Haken“. Denn eine wirksame DSGVO-Einwilligung ist an bestimmte Voraussetzungen gebunden. Sie muss die folgenden Kriterien erfüllen:

  • freiwillig
  • unmissverständlich
  • vor Beginn der Datenverarbeitung
  • auf Basis ausreichender Informationen
  • bezogen auf einen konkreten Verarbeitungszweck
  • durch Willenserklärung oder konkludente Handlung
  • formlos, aber auch in Schriftform
  • Einverständnis mit konkreter Datenverarbeitung
  • Nachweispflicht der verantwortlichen Stelle

An diesen Vorgaben wird deutlich, dass es gemäß DSGVO gar nicht so einfach ist, eine korrekte Einwilligungserklärung zur Datenverarbeitung einzuholen.

Sondersituation E-Mail-Marketing – keine Werbung ohne Einwilligung ...

Im Bereich des E-Mail-Marketings und der elektronischen Werbung ist es so, dass hier nach alter wie auch neuer Rechtslage auf jeden Fall eine Einwilligung erforderlich ist. Zwar ist Direktwerbung, wie gesagt, als berechtigtes Interesse von Unternehmen einzustufen und macht insoweit eigentlich die DSGVO-Einwilligung überflüssig. Allerdings regelt § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) speziell den Bereich der elektronischen Werbung. Der Begriff der „Werbung“ ist sehr weit zu verstehen, so dass es hier nicht nur um Newsletter oder andere Werbe-Mails, sondern auch um werbliche Kurznachrichten in sozialen Netzwerken oder auch um Imagewerbung und Sponsoring geht.

 

Achtung

Keine Ausnahmen für Online-Werbung!

§ 7 UWG fußt auf einer europarechtlichen Basis, so dass sie auch nicht durch die DSGVO verdrängt wird. Es gilt also weiterhin der Grundsatz: Keine elektronische Werbung ohne vorherige Einwilligung.

... oder doch?

Es wäre kein richtiger Grundsatz, wenn es nicht auch eine Ausnahme gäbe. § 7 Abs. 3 UWG sieht vor, dass ausnahmsweise keine DSGVO-Einwilligung für den Erhalt elektronischer Werbung nötig ist, wenn:

  • ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  • der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Verwendung nicht widersprochen hat und
  • der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Info

Was genau sind „ähnliche Waren oder Dienstleistungen“?

Eine Ähnlichkeit in diesem Sinne liegt vor, wenn die Waren oder Dienstleistungen generell austauschbar sind bzw. gleichen oder ähnlichen Zwecken dienen. Dies gilt u.a. also auch für typisches Zubehör. Allerdings ist zu beachten, dass es sich bei § 7 Abs. 3 UWG um eine Ausnahmevorschrift handelt, die entsprechend eng auszulegen ist.

Braucht man auch beim Einsatz von Cookies eine DSGVO-Einwilligung?

Werden online Daten erhoben, z. B. im virtuellen Warenkorb eines Onlineshops oder durch Analyse-Tools (wie z. B. Google Analytics), geschieht dies durch den Einsatz sogenannter Cookies.

Hierbei werden in aller Regel personenbezogene Daten verarbeitet, also etwa der Name oder die IP-Adresse des Website-Besuchers. Aktuell streiten sich die Experten, ob und inwieweit eine Einwilligung der Nutzer in die Verarbeitung ihrer Daten durch Cookies erforderlich ist.

Info

Was sind Cookies?

Cookies sind kleine Dateien mit Textinhalten, in denen z. B. der Inhalt des Warenkorbs oder die Anmeldeinformationen für eine Website enthalten sind und die auf dem Endgerät des betreffenden Website-Besuchers gespeichert werden.

Die Ansicht der Datenschutz-Aufsichtsbehörden zur Nutzung von Cookies

Die Datenschutzkonferenz (DSK) – ein Zusammenschluss der deutschen Datenschutz‐Aufsichtsbehörden – hat eine Stellungnahme zum Thema Cookies veröffentlicht. Die Datenschutzkonferenz hat darin u. a. folgendes geäußert: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking‐Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte DSGVO-Einwilligung […] eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Achtung

Genau hinschauen!

Konkret bedeutet das für Sie als Betreiber einer Internetseite oder eines Webshops, dass Sie auf jeden Fall genau hinschauen müssen, wenn Sie Cookies verwenden. Gegebenenfalls müssen Sie eine technische Anpassung an Ihrer Website vornehmen.

Die guten und die „bösen“ Cookies

Es muss unterschieden werden zwischen:

  1. Technisch notwendigen Cookies
  2. Sonstigen Cookies

Denn aus der Rechtsansicht der Datenschutzkonferenz folgt, dass Cookies z. B. zu Analyse- oder Werbezwecken nur noch mit vorheriger Einwilligung seitens der Website-Besucher zulässig sind. Es ist aber leider nicht ganz klar, was genau von den Aussagen der Datenschutzkonferenz umfasst ist.

Allerdings kann man bei der Verwendung von Webanalyse‐Tools wie z. B. Google Analytics wohl von einer Erstellung von Nutzungsprofilen ausgehen. Auch der Bereich Online‐Werbung ist betroffen. Nur für Cookies, die technisch erforderlich sind (wie z. B. für den virtuellen Warenkorb in einem Webshop), gilt das Erfordernis der DSGVO-Einwilligung wohl nicht, denn deren Daten werden aufgrund einer entsprechenden Rechtsgrundlage verarbeitet.

Das sollten Sie beim Einsatz von Cookies auf ihrer Website beachten:

Um die Gefahr von Abmahnungen in Bezug auf Cookies zu vermeiden, gibt es folgende Lösungsmöglichkeiten:

  • Sie löschen alle Cookies, die technisch nicht zum Betrieb der Website erforderlich sind.
  • Sie richten eine Vorschaltseite für Ihre Website ein und holen sich darüber die Einwilligungen Ihrer Website-Besucher ein.
  • Sie binden einen sogenannten Cookie-Layer ein, der eine Opt-in-Lösung umsetzt. Das bedeutet, es darf kein (technisch nicht erforderlicher) Cookie gesetzt werden, solang der Website-Besucher dem nicht ausdrücklich per Mausklick über den Cookies-Layer zugestimmt hat. Außerdem muss der Cookie-Layer einen Hinweistext mit zumindest den wichtigsten Infos zu Cookies sowie einem Link zu den Datenschutzhinweisen Ihrer Website enthalten. Hierbei kann Ihnen ggf. auch ein externer Dienstleister, wie z.B. Cookiebot, helfen.
Lexware Newsletter

Möchten Sie zukünftig wichtige News zu Gesetzes­änderungen, hilfreiche Praxis-Tipps und kostenlose Tools für Unternehmen erhalten? Dann abonnieren Sie unseren Newsletter.