Einwilligungen
Eine Kurzzusammenfassung mit Mustertexten finden Sie am Ende des Beitrags.
Sicherlich hatten auch Sie schon Kontakt mit dem Datenschutz. Sei es im Alltag in Form von Informations-Bannern auf Webseiten, im Zuge medialer und politischer Diskussionen, oder beim Lesen und Unterschreiben von Einwilligungserklärungen.
Für gewöhnlich sind Sie dabei in der Rolle des oder der Betroffenen, da Ihre personenbezogenen Daten verarbeitet werden. Wie verhält es sich aber, wenn Sie selbst personenbezogene Daten von Dritten verarbeiten? Beispielsweise innerhalb eines studentischen Projektes, bei der Erstellung Ihrer Abschlussarbeit, beim Anfertigen von Alumni-Newslettern oder bei Umfragen? Dadurch ändert sich Ihr Blickwinkel weg vom Betroffenen hin zum Verantwortlichen und es ergeben sich teils völlig neue Fragestellungen.
Beispielsweise:
- Welche datenschutzrechtlichen Voraussetzungen muss ich beachten?
- Wann und unter welchen Auflagen darf ich personenbezogene Daten erfassen, speichern und verarbeiten?
- Was ist eine Einwilligung, was eine Datenschutzerklärung und wann benötige ich sie?
- Was ist zu beachten, wenn Umfragen erstellt werden?
- Welche Besonderheiten sind zu beachten, wenn Daten von Minderjährigen betroffen sind?
Der nachfolgende Beitrag widmet sich unter anderem diesen Fragestellungen und soll einen ersten Überblick darüber geben, wann und unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist.
Beispiel-Anwendungsfälle im studentischen Projekt
Die DSGVO gilt immer dann, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder nichtautomatisiert verarbeitet, aber in einem Dateisystem gespeichert werden.
Folgende Anwendungsfälle, in denen eine datenschutzrechtliche Einwilligung erforderlich ist, könnten mitunter im Laufe des Studiums auftreten:
- Bei einem Praxisprojekt soll mit Privatpersonen zusammengearbeitet werden. Um diese kontaktieren zu können, werden Name, Anschrift und Telefonnummer der Teilnehmenden erfasst und digital in einer Liste gespeichert.
- In Kooperation mit einem Unternehmen ist ein Prototyp für ein neues innovatives Produkt entstanden. Um dessen Handhabung dem Praxistest zu unterziehen, bittet Ihr Projektpartner Sie, den Prototypen in der Würzburger Fußgängerzone von Passanten testen zu lassen und dies in Form einer Foto-Reportage zu dokumentieren. Die geplanten Fotos sollen Mimik und Emotionen der Testpersonen deutlich zeigen und nach Abschluss der Kooperation im Unternehmen zur Analyse und Produktverbesserung verwendet werden.
- Für eine Bachelor-/Masterarbeit soll eine Online-Umfrage durchgeführt werden, bei der u.a. Angaben über das monatliche Einkommen, den Wohnort und Familienstand der Teilnehmenden erhoben werden. Wenn diese Daten in irgendeiner Weise auf eine natürliche Person bezogen werden können benötigen Sie eine Einwilligungserklärung. Sollten die Angaben in anonymisierter Form erhoben und weiterverarbeitet werden benötigen Sie keine Einwilligung. Eine Information darüber, wie Sie die Daten erfassen und weiterverarbeiten ist aber im Sinne des Transparenzgebots dennoch notwendig.
Darüber hinaus sind noch viele weitere Szenarien denkbar, in denen Sie dem Datenschutz im Rahmen studentischer Projekte begegnen können. Sollten Sie sich unsicher sein, ob Datenverarbeitungen in Ihrem Projekt bereits unter den Anwendungsbereich der Datenschutzgesetze fallen, gilt: Lieber eine Einwilligung zu viel einholen als eine zu wenig. Denn sollte sich herausstellen, dass eine Einwilligung nicht eingeholt wurde, obwohl sie nötig gewesen wäre, wird die Verarbeitung der Daten dadurch unzulässig und es können Sanktionen drohen.
Voraussetzungen und Inhalt der Einwilligung
Die DSGVO stellt einige Voraussetzungen an eine Einwilligung1, Art. 4 Nr. 11, 7 DSGVO:
- Freiwilligkeit und Kopplungsverbot – Die Einwilligung muss freiwillig abgegeben werden. Außerdem darf die Datenverarbeitung für eine Vertragserfüllung nicht an eine Verarbeitung geknüpft werden, die zur Vertragserfüllung nicht notwendig ist. Die betroffene Person muss die Einwilligung also auch verweigern oder widerrufen können, ohne dadurch benachteiligt zu werden2. Unfreiwillig könnte die Einwilligung auch sein, wenn ein klares Machtverhältnis oder anderweitiges Ungleichgewicht zwischen der verarbeitenden und der betroffenen Person besteht.
- Informiertheit und Unmissverständlichkeit – Die Einwilligungserklärung muss für den Betroffenen verständlich sein und eine Mindestanforderung an Information zur Datenverarbeitung (s.u.) enthalten
- Zweckbindung – Für die betroffene Person muss klar sein, für welchen Zweck die erhobenen Daten verwendet werden sollen. Haben Betroffene der Verarbeitung ihrer personenbezogenen Daten zu diesem definierten Zweck zugestimmt, dürfen die Daten nicht ohne erneute Einwilligung für anderweitige Zwecke verwendet werden. (Sind jedoch bereits vorab verschiedene Einsatzzwecke angedacht, kann die Einwilligung auch für mehrere Zwecke gleichzeitig eingeholt werden3 – beispielsweise für die Veröffentlichung der Daten sowohl auf einer Website als auch auf Social Media.)
Damit Betroffene ihre Einwilligung in informierter Weise abgegeben können, müssen Verarbeitende die Informationspflichten des Art. 13 DSGVO erfüllen. Eine Auflistung der Informationen, die Sie betroffenen Personen demnach mindestens mitteilen müssen, finden Sie hier ("Welche Informationspflichten müssen erfüllt werden?")
Im Zuge des Transparenzgebots und gegebenenfalls bestehender Nachweispflichten sollte (bzw. muss) bei Bedarf nachgewiesen werden können, dass die eben genannten Informationen dem Betroffenen im Zuge der Einwilligung mitgeteilt wurden. Daher sollten die eben genannten Informationen unbedingt schriftlich festgehalten und deren Kenntnisnahme zusammen mit der Einwilligung durch den Betroffenen bestätigt werden.
Widerrufsrecht
Betroffene können eine bereits erteilte Einwilligung jederzeit widerrufen und müssen auf dieses Recht bereits bei Erteilen der Einwilligung hingewiesen werden. Der Widerruf gilt ab dem Zeitpunkt der Willensbekundung für die Zukunft.
Das bedeutet: Die Verarbeitung der personenbezogenen Daten (die bis dato auf Grund einer Einwilligung zulässig war) muss umgehend eingestellt werden, wenn die betroffene Person den Widerruf mitteilt.5
Formen der Einwilligung
Eine Einwilligung setzt stets „ein aktives Verhalten der betroffenen Person“6 voraus. Sie muss per Gesetz nicht zwingend schriftlich eingeholt werden, sondern kann auch mündlich erteilt werden.
Die Schriftform empfiehlt sich in der Praxis trotzdem – allein schon, um einen eindeutigen Nachweis über die eingeholte Einwilligung erbringen zu können (gem. Art. 7 Abs. 1 DSGVO besteht eine Nachweispflicht für Verantwortliche).7
Stillschweigen oder Untätigkeit der betroffenen Person stellen keine wirksame Einwilligung dar. Entscheidend ist, dass es sich um eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung“8 seitens der betroffenen Person handelt.
Findet eine Datenerhebung elektronisch (bspw. online im Zuge einer Umfrage) statt, kann die Einwilligung auch durch Anklicken eines entsprechenden Feldes geschehen. Wichtig ist auch hier, dass es sich um eine aktive Einwilligung handelt. Die/der Betroffene muss also selbst ein Kästchen anklicken oder anderweitig aktiv einwilligen (sog. Opt-In-Lösung). Voreingestellte Zustimmungs-Häkchen, die bereits von vornherein gesetzt sind und die der Betroffene manuell abwählen müsste, um keine Einwilligung zu erteilen (sog. Opt-Out-Lösung), sind unzulässig9. Um im elektronischen Bereich die Nachweispflicht zu erfüllen, sollte die Einwilligung auch hier dokumentiert werden. Das funktioniert zum Beispiel, indem beim Erstellen der Umfrage technisch sichergestellt ist, dass nur Personen teilnehmen können, die zuvor per Anklicken eines Einwilligungsfeldes der Datenverarbeitung zugestimmt haben und bei jenen Personen, die diese nicht getan haben, keine Weiterleitung zur eigentlichen Umfrage erfolgt.10
Mündliche Einwilligungen sind grundsätzlich ebenfalls denkbar, allerdings in der Praxis nur sinnvoll, wenn sie auch nachgewiesen werden können11 – also beispielsweise, wenn sie auf auditiv oder audiovisuell aufgezeichnet werden.
Einwilligung von Minderjährigen
Für die Einwilligungsfähigkeit von Minderjährigen gibt es – je nach Alter des/der Minderjährigen – zwei Stufen12:
- Kinder und Jugendliche bis zur Vollendung des 16. Lebensjahres: In dieser Altersgruppe ist die Einwilligung der Eltern / Erziehungsberechtigten zwingend (mit)erforderlich, Art. 8 Abs. 1 S. 2 DSGVO.
- Jugendliche im Alter von 16 bis zum Erreichen der Volljährigkeit: Eine alleinige Einwilligung des/der Minderjährigen ist in diesem Fall ausreichend, sofern es sich „um ein Angebot von Diensten der Informationsgesellschaft“ handelt, Art. 8 Abs. 1 S. 1 DSGVO.
Um auf der sicheren Seite zu sein, sollte nach Möglichkeit bei der Verarbeitung personenbezogener Daten aller Minderjähriger stets auch eine Einwilligung der Eltern bzw. Erziehungsberechtigten eingeholt werden. Lediglich eine Einwilligung von gesetzlichen Vertretern, nicht aber von den betroffenen Minderjährigen selbst einzuholen, empfiehlt sich (außer bei sehr jungen Kindern) nicht, da ab einem gewissen Alter das Persönlichkeitsrecht der minderjährigen Person erfordert, dass sie der Verarbeitung auch selbst zustimmt13.
Besondere Vorsicht im Umgang mit sensiblen personenbezogenen Daten!
Neben den gewöhnlichen personenbezogenen Daten wie beispielsweise Name und Anschrift gibt es auch Kategorien personenbezogener Daten, die besonders sensibel und damit besonders schutzbedürftig sind, da es sich um Daten handelt, von denen hohe Risiken für die Rechte und Freiheiten der Betroffenen ausgehen können. Für deren Verarbeitung gelten daher stärkere regulatorische Einschränkungen.
Zu diesen besonderen Kategorien von personenbezogenen Daten zählen gem. Art. 9 DSVGO alle personenbezogenen Daten, aufgrund derer Rückschlüsse auf die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Person gezogen werden können. Zusätzlich zählen auch genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person zu den sensiblen personenbezogenen Daten. Auch diese Kategorien personenbezogener Daten dürfen grundsätzlich mit Einwilligung der betroffenen Person verarbeitet werden. Da für sie aber im Allgemeinen ein höheres Schutzniveau notwendig ist, sollte die Verarbeitung dieser Daten nur dann stattfinden, wenn sie zwingend notwendig ist.
Fragen Sie sich daher am besten vorab, ob auch mit der Verwendung weniger sensibler Daten gleichwertige Ergebnisse in ihrem Vorhaben erzielt werden können. Falls ja, sollte die Verarbeitung der sensiblen Daten vermieden und stattdessen auf „gewöhnliche“ personenbezogene Daten zurückgegriffen werden.
Falls nein, sollten sie bei der Einwilligung besonders auf Folgendes achten14:
- Alle bereits aufgeführten Voraussetzungen einer Einwilligung gelten auch für eine Einwilligung zur Verarbeitung sensibler personenbezogener Daten
- Um die Informationspflicht zu erfüllen, muss zudem ausdrücklich darauf hingewiesen, dass es sich bei den Daten, für deren Verarbeitung die Einwilligung erteilt werden soll, um sensible Daten i.S.d. Art. 9 DSGVO handelt und von der Verarbeitung dieser ein hohes Risiko ausgehen kann.
- Es sollte in besonderem Maße darauf geachtet werden, dass die Einwilligung tatsächlich freiwillig erteilt wird. Im Idealfall enthält die Einwilligung „eine ausdrückliche Begründung der Freiwilligkeit“15.
Mit der Verarbeitung sensibler personenbezogener Daten gehen höhere Risiken für die Betroffenen einher und damit auch über die Einwilligung hinaus höhere Anforderungen an Sie als Datenverarbeiter. So müssen Sie unter Umständen eine Datenschutz-Folgeabschätzung durchführen eventuell auch weitere, bereichsspezifische Datenschutzvorschriften beachtet werden (im Fall von Sozialdaten beispielsweise Vorschriften aus den Sozialgesetzbüchern).
Gerne besprechen wir mit Ihnen die individuellen Umstände und rechtlichen Anforderungen für Ihr Vorhaben, wenn Sie planen, an der FHWS sensible personenbezogene Daten zu verarbeiten.
Bitte suchen Sie bei solchen Vorhaben direkt den Kontakt zu uns, damit Unklarheiten unmittelbar erkannt und frühestmöglich beseitigt werden können.
Weitere Infos speziell zum Umgang mit sensiblen personenbezogenen Daten finden Sie hier: www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_17.pdf und hier: www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO3.pdf.
Zusammenfassung: Checkliste datenschutzrechtliche Einwilligung
- Die Einwilligung ist eine von mehreren datenschutzrechtlichen Legitimationen, die die Erhebung und Verarbeitung personenbezogener Daten zulässig machen
- Einwilligungen müssen stets freiwillig, informiert und unmissverständlich erteilt werden daraus resultieren Informationspflichten
- Bei der Einwilligung von Minderjährigen ist i.d.R. eine (zusätzliche) Einwilligung durch Eltern bzw. Erziehungsberechtigte erforderlich.
- Bei der Verarbeitung sensibler personenbezogener Daten müssen (u.a. auch mit der Rechtsgrundlage der Einwilligung) zusätzliche Schutzvorkehrungen getroffen werden
- Betroffene haben jederzeit das Recht zum Widerruf ihrer Einwilligung. Nehmen sie dieses Recht wahr, so muss die bis dato rechtmäßige Verarbeitung sofort unterlassen und bereits erhobene Daten gelöscht werden
- Erteilte Einwilligungen müssen bei Bedarf nachgewiesen werden können (keine Schriftformerfordernis, aber Nachweispflicht). Daher sind Aufbewahrung und Dokumentation von eingeholten Einwilligungen erforderlich
Aber Achtung: Datenschutz endet nicht mit dem Einholen der Einwilligung! Auch im weiteren Verlauf der Verarbeitung gibt es wichtige Datenschutzprinzipien, die beachtet werden müssen.16
Weiterführende Informationen zur datenschutzrechtlichen Einwilligung finden Sie unter anderem hier:
- DSK: Kurzpapier Nr. 20 – Einwilligung nach der DS-GVO, abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html
- Artikel-29-Datenschutzgruppe: Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, abrufbar unter: www.datenschutz-bayern.de/datenschutzreform2018/wp259rev01_de.pdf
Für Anregungen und Kritik sowie bei individuellen Fragen und Problemstellungen stehen wir Ihnen gerne unter datenschutzbeauftragter(at)fhws.de zur Verfügung und freuen uns auf einen regen Austausch.
Mustertext: Datenschutzrechtliche Einwilligungen
Um Ihnen einen Eindruck zu geben, wie Einwilligungsformulare aussehen können, stellen wir Ihnen nachfolgend Formulierungsvorschläge zur Verfügung. Diese können Sie nach Bedarf an Ihr individuelles Verarbeitungs-Vorhaben anpassen und für Ihr Projekt nutzen.
1) Bretthauer in: Specht, Louisa/Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 18 f., München, 2019; Fechner, Frank: Medienrecht, Kap. 6 Rn. 37 ff., Tübingen, 2018.
2) DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 1, online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.
3) Mantz/Marosi in: Specht, Louisa/Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 55, München, 2019.
4) DSK (Hrsg.): Kurzpapier Nr. 10. Informationspflichten bei Dritt- und Direkterhebung, S. 1 f., online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020; DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 2, online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.
5) Fechner, Frank: Medienrecht, Kap. 6 Rn. 40, Tübingen, 2018.
6) DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 1, online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.
7) Mantz/Marosi in: Specht, Louisa/Mantz, Reto: Handbuch Europäisches und deutsches Datenschutzrechts, § 3 Rn. 56; Lauber-Rönsberg in: a.a.O., § 4 Rn. 77.
8) DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 1, online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.
9) EuGH C-673/17 – Planet 49.
10) DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 1 f., online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.
11) BfDI (Hrsg.): Sozialdatenschutz, S. 20, online abrufbar unter: www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO3.pdf, zuletzt besucht am 15. Juni 2020.
12) Lauber-Rönseberg in: Specht, Louisa/Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, § 4 Rn. 78 f., München, 2019.
13) Fechner, Frank: Medienrecht, Kap. 4 Rn. 40, Tübingen, 2018.
14) BfDI (Hrsg.): Sozialdatenschutz, S. 20, online abrufbar unter: www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO3.pdf, zuletzt besucht am 15. Juni 2020.
15) Kipker/Pollmann in: Specht, Louisa/Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, § 26 Rn. 42, München, 2019.
16) In Anlehnung an: DSK (Hrsg.): Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, S. 2, online abrufbar unter: www.datenschutzkonferenz-online.de/kurzpapiere.html, zuletzt besucht am 10. Juni 2020.