Was ist eine ausdrückliche Zustimmung nach der Datenschutz-Grundverordnung?

Die Einwilligung ist einer der sechs rechtmäßigen Gründe für die Verarbeitung personenbezogener Daten gemäß der DSGVO. Damit die Einwilligung als gültig erteilt gilt, muss sie freiwillig, spezifisch, informiert und eindeutig erfolgen. Einfach ausgedrückt bedeutet dies, dass Sie sich bei der Einholung einer Einwilligung nicht auf vage oder unklare Formulierungen verlassen können – die betroffenen Personen müssen klar und ohne Verwirrung verstehen, wozu sie ihre Einwilligung geben.

Im Rahmen der DSGVO stellt die ausdrückliche Einwilligung einen höheren Standard dar, der in bestimmten Situationen erforderlich ist. Sie ist vor allem bei der Verarbeitung besonderer Kategorien von Daten oder in Fällen erforderlich, in denen die Datenverarbeitung voraussichtlich erhebliche Auswirkungen auf die Person hat. Wenn Sie erfahren möchten, wie Sie anstelle einer ausdrücklichen Einwilligung eine Einwilligung einholen, lesen Sie unseren Blog: Wie holt man gemäß der DSGVO richtig eine Einwilligung ein?

In diesem Artikel untersuchen wir das Konzept der ausdrücklichen Zustimmung, besprechen die Situationen, in denen sie erforderlich ist, geben Hinweise, wie man sie effektiv einholt, und bieten Einblicke in die Gewährleistung der kontinuierlichen Einhaltung der DSGVO-Anforderungen.

Was ist eine ausdrückliche Zustimmung nach der Datenschutz-Grundverordnung?

Bei der ausdrücklichen Einwilligung handelt es sich um eine klare, spezifische und eindeutige Erklärung einer Einzelperson, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Im Gegensatz zur allgemeinen Zustimmung, die manchmal aus Handlungen abgeleitet oder impliziert werden kann, erfordert die ausdrückliche Zustimmung eine direkte, absichtliche und bewusste Handlung der betroffenen Person. Die ausdrückliche Zustimmung stellt sicher, dass die Person die spezifischen Verarbeitungsaktivitäten, die stattfinden werden, vollständig versteht und ihnen zustimmt.

Eine ausdrückliche Zustimmung kann in verschiedenen praktischen Szenarien erfolgen. Zum Beispiel:

• Unterzeichnung eines Einverständnisformulars: Eine Person unterzeichnet ein Formular, in dem die spezifische Verwendung ihrer personenbezogenen Daten klar dargelegt wird.
• Aktivieren eines Opt-In-Kästchens: Ein Benutzer aktiviert ein Kästchen, das nicht bereits ausgewählt ist, und gibt damit an, dass er dem Erhalt von Marketing-E-Mails zustimmt. Bereits aktivierte Kästchen vermitteln oft eine stark beworbene Auswahl und können Benutzer davon abhalten, eine aktive Entscheidung zu treffen. Darüber hinaus kann eine vage oder unklare Formulierung in Zustimmungsanfragen Verwirrung über die Auswirkungen des Aktivierens oder Deaktivierens eines Kästchens stiften und so die Gültigkeit der Zustimmung weiter untergraben.

• Mündliche Zustimmung: In manchen Fällen kann auch eine mündliche Erklärung, wie etwa „Ich stimme der Verarbeitung meiner Gesundheitsdaten zu“, eine ausdrückliche Zustimmung darstellen. In diesen Fällen ist es wie bei anderen Formen der Zustimmung wichtig, sicherzustellen, dass die Zustimmung ausreichend dokumentiert wird.

Schlüsselkomponenten einer DSGVO-konformen ausdrücklichen Zustimmung

Eine ausdrückliche Zustimmung muss vier Hauptkomponenten aufweisen: Sie muss freiwillig, spezifisch, informiert und eindeutig erfolgen.

1. Freiwillig : Die Einwilligung muss freiwillig und ohne jegliche Form von Druck oder Zwang erteilt werden. Die betroffene Person sollte eine echte Wahl haben und ihre Einwilligung jederzeit verweigern oder widerrufen können, ohne negative Konsequenzen befürchten zu müssen. Wenn ein Unternehmen beispielsweise von seinen Kunden verlangt, dass sie sich für den Erhalt von Marketing-E-Mails anmelden, sollte es die Anmeldung zu diesen E-Mails nicht zur Voraussetzung für den Zugriff auf seine Dienste machen. Kunden sollten den Dienst auch dann nutzen können, wenn sie sich gegen den Erhalt von Marketing-Mitteilungen entscheiden.
2. Spezifisch : Die Zustimmung muss für bestimmte Zwecke eingeholt werden. Eine pauschale Zustimmung, wie etwa die Zustimmung zu allen möglichen Datenverarbeitungsaktivitäten in einer allgemeinen Erklärung oder die Zustimmung zu einer Datenschutzrichtlinie, ist nicht ausreichend. Mit anderen Worten: Die bloße Zustimmung zu dem Satz „Ich stimme Marketingaktivitäten zu“ erfüllt nicht die Anforderung an Spezifität gemäß der DSGVO. Stattdessen sollte jeder Zweck der Datenverarbeitung dargelegt werden, wobei die Person die Wahl haben sollte, jedem dargelegten Zweck zuzustimmen. Wenn Sie nach einer Formel zum Erstellen von Zustimmungserklärungen suchen, sehen Sie sich unsere DSGVO-Zustimmungsformel an.
3. Informiert : Die betroffene Person muss sich der Datenverarbeitungsvorgänge voll bewusst sein, um eine gültige Einwilligung erteilen zu können. Dazu gehört, dass sie weiß, wer die Daten erhebt (die Identität des Verantwortlichen), zu welchem Zweck die Daten verarbeitet werden, welche Arten von Daten verarbeitet werden und welche Rechte sie hat.
4. Eindeutigkeit : Die Einwilligung muss von der betroffenen Person klar und deutlich zum Ausdruck gebracht werden. Es darf keinen Raum für Zweifel an ihrer Zustimmung geben. Aktionen wie das Ankreuzen eines Kontrollkästchens, das Unterschreiben eines Dokuments oder jede andere klare Einwilligungserklärung können dazu beitragen, Eindeutigkeit zu erreichen.

Situationen, die eine ausdrückliche Zustimmung erfordern

Gemäß der DSGVO ist in bestimmten Situationen aufgrund der Sensibilität der Daten oder ihrer möglichen Auswirkungen auf den Einzelnen eine ausdrückliche Zustimmung erforderlich. Zu diesen Situationen gehören:

• Verarbeitung besonderer Kategorien personenbezogener Daten;
• automatisierte Entscheidungsfindung und Profilerstellung; und 
• Übermittlung personenbezogener Daten in Drittländer ohne angemessenen Datenschutz

Verarbeitung besonderer Kategorien personenbezogener Daten

Besondere Datenkategorien beziehen sich auf Datenarten, die dazu verwendet werden könnten, jemanden auszugrenzen, zu diskriminieren oder zu schädigen. Dazu gehören:

• Daten, aus denen die rassische oder ethnische Herkunft hervorgeht
• politische Meinungen
  religiöse oder philosophische Überzeugungen
• Gewerkschaftsmitgliedschaft
• Gesundheitsdaten
• biometrische Daten und
• Informationen im Zusammenhang mit der sexuellen Orientierung oder den Gewohnheiten einer Person.

Angesichts der möglichen Auswirkungen auf die Grundrechte und Grundfreiheiten natürlicher Personen ist für die Verarbeitung dieser Art von Daten im Allgemeinen eine ausdrückliche Einwilligung erforderlich, und die Rechtfertigung anderer Rechtsgrundlagen ist schwierig.

Automatisierte Entscheidungsfindung und Profiling

Die DSGVO gibt Einzelpersonen das Recht, nicht Entscheidungen unterworfen zu werden, die ausschließlich von automatisierten Systemen wie Computeralgorithmen getroffen werden, wenn diese Entscheidungen schwerwiegende rechtliche Auswirkungen haben – es sei denn, die Person hat ausdrücklich zugestimmt. In Situationen wie der Arbeitssuche oder der Kreditaufnahme haben Einzelpersonen beispielsweise das Recht zu verlangen, dass solche Entscheidungen nur unter menschlicher Aufsicht getroffen werden. Obwohl eine andere Rechtsgrundlage, wie etwa die Erfüllung eines Vertrags, eine automatisierte Entscheidungsfindung zulassen könnte, bleibt die ausdrückliche Zustimmung in den meisten Fällen obligatorisch.

Übermittlung personenbezogener Daten in Drittländer ohne angemessenen Datenschutz

Bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union, die nicht über angemessene Datenschutzmaßnahmen wie einen Angemessenheitsbeschluss oder andere geeignete Garantien verfügen, ist gemäß Artikel 49 der DSGVO die ausdrückliche Zustimmung als gültige Rechtsgrundlage für solche Übermittlungen zulässig. In diesen Fällen muss die betroffene Person umfassend über die potenziellen Risiken für ihre Rechte und Freiheiten aufgrund der Übermittlung informiert werden.

Darüber hinaus verlangt die ePrivacy-Richtlinie , dass vor der Verwendung nicht unbedingt erforderlicher Cookies, wie sie für Tracking und Werbung verwendet werden, eine ausdrückliche Zustimmung eingeholt werden muss. Eine ausdrückliche Zustimmung kann nicht dadurch eingeholt werden, dass man auf unbestimmte Zeit auf der Website surft, ohne etwas zu unternehmen.

So erhalten und dokumentieren Sie eine ausdrückliche Zustimmung

Wenn Sie eine ausdrückliche Einwilligung gemäß der DSGVO einholen möchten, müssen Sie unbedingt sicherstellen, dass der Prozess klar, transparent und leicht verständlich ist. Zu den wichtigsten Schritten zum Einholen einer gültigen ausdrücklichen Einwilligung gehören:

1. Verwenden Sie eine klare und einfache Sprache

Einwilligungsanfragen müssen in klarer, einfacher Sprache verfasst sein, die für jeden leicht verständlich ist. Vage oder komplexe Terminologien müssen vermieden werden. Ein nützliches Tool zur Beurteilung der Lesbarkeit von Einwilligungstexten ist der Flesch Reading Ease-Score, der anhand der Wort- und Satzstruktur misst, wie leicht ein Text gelesen werden kann.

2. Zustimmungsanfragen müssen spezifisch sein

Zustimmungsanfragen sollten getrennt von Geschäftsbedingungen, allgemeinen Vereinbarungen oder anderen rechtlichen Bedingungen präsentiert werden. Die Zustimmungsanfrage sollte leicht von anderen Anfragen oder Informationen unterscheidbar sein.

3. Opt-In-Mechanismen nutzen

Die ausdrückliche Zustimmung muss durch eine positive Handlung, wie z. B. einen Opt-in-Mechanismus, eingeholt werden. Dies kann das Ankreuzen eines nicht angekreuzten Kästchens oder das Unterschreiben eines Zustimmungsformulars sein. Der Opt-in-Prozess sollte klar zum Ausdruck bringen, dass die Person mit der Zustimmung den beschriebenen spezifischen Datenverarbeitungsaktivitäten zustimmt.

4. Stellen Sie die Granularität der Einwilligung sicher

Wenn für mehrere Zwecke eine Zustimmung erforderlich ist, sollte jeder Zweck klar umrissen und die Zustimmung für jeden Zweck separat eingeholt werden. Das heißt, wenn Sie die Zustimmung zum Senden von Marketingnachrichten und zur Weitergabe personenbezogener Daten an Dritte zu Marketingzwecken einholen möchten, sollten diese beiden Aktivitäten getrennte Anfragen sein. Durch die Granularität wird sichergestellt, dass Einzelpersonen die Kontrolle über jeden Aspekt ihrer Zustimmung haben und nicht zu einer Alles-oder-Nichts-Entscheidung gezwungen werden.

5. Detaillierte Aufzeichnungen führen

Das Einholen einer ausdrücklichen Einwilligung allein reicht nicht aus; die Einwilligung muss auch dokumentiert werden, um die DSGVO einzuhalten. Die Führung detaillierter Aufzeichnungen der Einwilligung ist unerlässlich und sollte Folgendes umfassen:

• Wer hat die Einwilligung erteilt (unter Angabe der Person)?
• Wann wurde die Einwilligung eingeholt (Datum und Uhrzeit)?
• Wie wurde die Zustimmung erteilt (z. B. über ein unterzeichnetes Formular, ein angekreuztes Kästchen usw.)?
• Was deckt die Einwilligung ab (konkrete Datenverarbeitungstätigkeiten)?

Diese Aufzeichnungen müssen leicht zugänglich sein und für die Dauer der Einwilligung aufbewahrt werden. Darüber hinaus ist es wichtig zu dokumentieren, ob die Einwilligung widerrufen wurde und, falls nicht, wann die Einwilligung erlischt.

6. Verwenden von Consent Management Tools

Tools zur Einwilligungsverwaltung können bei der Verfolgung und Verwaltung von Einwilligungen hilfreich sein. Diese Tools ermöglichen die effiziente Organisation von Einwilligungsaufzeichnungen. Sie können den Ablauf von Einwilligungen verfolgen und Erneuerungsanfragen automatisieren. Sie erleichtern auch die Erfüllung von Anfragen betroffener Personen, indem sie einfache Mechanismen zum Widerruf von Einwilligungen bereitstellen.

Darüber hinaus ließe sich auch ein Datenschutz-Dashboard implementieren, das es den betroffenen Personen ermöglicht, ihre erteilten Einwilligungen einzusehen und zu verwalten.

Verwalten und Rückziehen ausdrücklicher Einwilligungen

Einzelpersonen müssen ihre Einwilligung ebenso einfach widerrufen können, wie sie sie erteilt haben. Wenn die Einwilligung zunächst durch Ankreuzen eines Kästchens erteilt wurde, sollte der Widerruf so einfach sein wie das Entfernen des Häkchens eines ähnlichen Kästchens. Betroffene Personen müssen die Möglichkeit haben, von sich aus und ohne zusätzliche Hürden ihre Einwilligung zu widerrufen.

Betroffene Personen müssen darüber informiert werden, wie sie ihre Einwilligung widerrufen können. Diese Information sollte in Datenschutzerklärungen enthalten sein und in Einwilligungsanfragen wiederholt werden.

Die Einwilligung sollte regelmäßig überprüft und erneuert werden, um ihre Gültigkeit und Relevanz sicherzustellen. Wenn die betroffenen Personen nicht regelmäßig kontaktiert werden, sollten sie gelegentlich an ihr Recht erinnert werden, die Einwilligung zu widerrufen und wie sie dies tun können.

Sicherstellung der Compliance und Risikomanagement mit ausdrücklicher Zustimmung

Die Einhaltung der Anforderungen der ausdrücklichen Zustimmung gemäß der DSGVO erfordert proaktive Strategien und kontinuierliche Überwachung.

Durch regelmäßige Audits und Überprüfungen der Zustimmungsprozesse wird sichergestellt, dass die Verfahren zur Zustimmungseinholung den aktuellen gesetzlichen Anforderungen entsprechen. Die Einbeziehung von Überprüfungen der Zustimmungsprozesse in den Compliance-Kalender der Organisation mit dedizierten Zeitblöcken kann dazu beitragen, etwaige Lücken oder Verbesserungsbereiche systematisch zu schließen.

Darüber hinaus sollten regelmäßige Schulungen durchgeführt werden, um die Mitarbeiter über die korrekten Verfahren zur Einholung und Handhabung ausdrücklicher Einwilligungen zu informieren. Neue Mitarbeiter sollten während der Einarbeitung spezifische Richtlinien oder Verfahrensdokumente erhalten, die die allgemeine Datenschutzschulung ergänzen. Diese Dokumente sollten regelmäßig überprüft und aktualisiert werden, um etwaige Vorschriften oder interne Prozessänderungen zu berücksichtigen.

Häufig gestellte Fragen zur ausdrücklichen Zustimmung

Welche Strafen drohen, wenn keine ausdrückliche Zustimmung eingeholt wird?

Das Versäumnis, eine ausdrückliche Zustimmung gemäß der DSGVO einzuholen, kann schwerwiegende Konsequenzen nach sich ziehen. Zu den Konsequenzen zählen hohe Geldstrafen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens betragen können, je nachdem, welcher Betrag höher ist. Neben Geldstrafen kann der falsche Umgang mit personenbezogenen Daten oder das Verlassen auf eine ungültige Zustimmung den Ruf eines Unternehmens erheblich schädigen. Ein Verlust des Kundenvertrauens kann zu einem geringeren Engagement führen, da Einzelpersonen möglicherweise zögern, ihre Daten weiterzugeben, wenn sie glauben, dass diese nicht verantwortungsbewusst oder transparent verwaltet werden.

Kann aus Handlungen auf eine ausdrückliche Einwilligung geschlossen werden?

Nein, aus den Handlungen einer Person kann keine ausdrückliche Zustimmung abgeleitet werden, egal wie offensichtlich diese Zustimmung auch erscheinen mag. Eine ausdrückliche Zustimmung muss durch eine direkte Aussage oder Handlung klar und ausdrücklich bestätigt werden. 

Wie oft sollte die ausdrückliche Zustimmung überprüft und aktualisiert werden?

Es gibt keine feste Frist für die Gültigkeit einer ausdrücklichen Einwilligung; sie hängt vom Kontext und der Art der Datenverarbeitung ab. Die Einwilligung sollte jedoch regelmäßig überprüft und aktualisiert werden, damit sie aktuell und angemessen bleibt. Wichtige Zeitpunkte für die Überprüfung der Einwilligung sind wesentliche Änderungen der Datenverarbeitungsaktivitäten, Aktualisierungen der Datenschutzrichtlinien oder Änderungen der relevanten Vorschriften. In der Praxis sollten Sie eine Überprüfung jährlich oder immer dann durchführen, wenn es wesentliche Änderungen der Datenverarbeitungsaktivitäten oder der gesetzlichen Anforderungen gibt.

Was ist der Unterschied zwischen ausdrücklicher und impliziter Zustimmung?

Bei einer expliziten Einwilligung muss eine Person eine klare, bestätigende Handlung ausführen, z. B. ein Kontrollkästchen aktivieren oder ein Formular unterzeichnen, mit der sie ihre Zustimmung zu bestimmten Datenverarbeitungsvorgängen ausdrücklich erklärt. Im Gegensatz dazu wird eine implizite Einwilligung aus Handlungen einer Person abgeleitet, z. B. der Nutzung eines Dienstes oder der Anmeldung für einen Newsletter, ohne dass eine explizite Zustimmungserklärung vorliegt.

Best Practices für die Umsetzung der ausdrücklichen Zustimmung

• Kommunizieren Sie klar den Zweck der Datenerfassung und deren Verwendung. Vermeiden Sie komplizierten juristischen Fachjargon.
• Verwenden Sie eindeutige Methoden wie Kontrollkästchen oder digitale Signaturen. Vermeiden Sie bereits aktivierte Kontrollkästchen oder stillschweigende Zustimmung.
• Ermöglichen Sie es Einzelpersonen, ihre Einwilligung jederzeit in einem unkomplizierten Verfahren zu widerrufen.
• Führen Sie eine umfassende Dokumentation aller eingeholten Einwilligungen, einschließlich Datum, Uhrzeit und Einwilligungsmethode.
• Bewerten Sie regelmäßig Ihre Zustimmungspraktiken, um die fortlaufende Einhaltung gesetzlicher Anforderungen sicherzustellen und Verbesserungsbereiche zu identifizieren.
• Vermeiden Sie dunkle Muster . Verwenden Sie keine irreführenden oder manipulativen Designelemente, um Zustimmungsentscheidungen zu beeinflussen.
• Erwägen Sie die Verwendung spezieller Software wie Privasee, um den Zustimmungsprozess zu optimieren und die Einhaltung der Vorschriften sicherzustellen.

Die wesentliche Rolle der ausdrücklichen Zustimmung bei der Einhaltung der DSGVO

Zusammenfassend lässt sich sagen, dass die ausdrückliche Zustimmung von grundlegender Bedeutung ist, um die Einhaltung der DSGVO sicherzustellen. Sie stellt sicher, dass Einzelpersonen klare Kontrolle über die Verwendung ihrer Daten haben. Zustimmungspraktiken müssen regelmäßig überprüft und aktualisiert werden, um sie an sich entwickelnde Vorschriften anzupassen und die Transparenz zu erhöhen.

Um eine ausdrückliche Einwilligung wirksam umzusetzen, ist es entscheidend, sie von Anfang an in die organisatorischen Abläufe einzubinden. Indem Unternehmen Produkte und Dienstleistungen so gestalten, dass Datenschutz als Standard gilt, können sie proaktiv sicherstellen, dass die betroffenen Personen die Kontrolle über die Verwendung ihrer personenbezogenen Daten haben.

Letztendlich ist die ausdrückliche Zustimmung mehr als eine gesetzliche Anforderung; sie drückt den Respekt einer Organisation gegenüber den betroffenen Personen und deren Recht auf Kontrolle ihrer personenbezogenen Daten aus.

Weitere Lektüre und Ressourcen zum Thema „Explizite Zustimmung“

EDPB-Leitlinien 05/2020 zur Einwilligung

ICO-Leitfaden zur Einwilligung