Person mit Brillen sitzt an Tisch und blickt auf Formulare vor ihr liegend, am Tisch aufgeklapptes Notebook, Tasse und Smartphone
© Moon Safari | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Einwilligungs­erklärung

Wann brauche ich eine Einwilligung? Was muss sie enthalten?

Lesedauer: 4 Minuten

Bei der Verarbeitung von Daten hat der „Verantwortliche“ zunächst die allgemeinen Grundsätze einzuhalten. In einem zweiten Schritt hat er zu prüfen, auf welcher Rechtsgrundlage er eine Datenverarbeitung rechtmäßig durchführen kann. Dabei ist zwischen sensiblen Daten und nicht-sensiblen Daten zu unterscheiden.

Praxistipp: Prüfen Sie bevor Sie eine Einwilligung einholen zunächst, ob nicht bereits eine andere Rechtsgrundlage für die Datenverarbeitung vorliegt (in diesem Fall wäre keine Einwilligung notwendig).

Die Einwilligungserklärung

Eine "Einwilligung" muss eine durch die betroffene Person freiwillige, für einen bestimmten Fall, in informierter Weise abgegebene Willensbekundung sein. Diese kann die Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung haben. Mit dieser gibt die betroffene Person zu verstehen, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

Daraus folgt, dass eine Einwilligungserklärung in unterschiedlichen Formen etwa schriftlich, elektronisch (z.B. durch aktives Anklicken einer vorformulierten Einwilligungserklärung) oder mündlich, aber auch konkludent erfolgen kann. Ein bloßes Schweigen oder Untätigkeit der betroffenen Person kann keine Einwilligung darstellen, sofern nicht andere sonstige Be­gleitumstände eindeutig auf ein Zustimmen zur Datenverarbeitung hinweisen (z.B. klares Kopfnicken auf die Frage, ob die betroffene Person mit einer Datenverarbeitung für einen bestimmten Zweck einverstanden ist).

TippAus Beweisgründen und im Hinblick auf die Rechenschaftspflicht ist anzuraten, dass der Verantwortliche auch bei der Zustimmungserklärung von nicht-sensiblen Daten schriftliche Einwilligungserklärungen oder sonstige nachweisbare Zustimmungserklärungen einholt.

Freiwillig“ ist eine Einwilligungserklärung dann, wenn die betroffene Person ihre Zustimmung insbesondere ohne Zwang und nach freier Entscheidungsmöglichkeit abgegeben hat. 

Freiwilligkeit ist insbesondere dann zweifelhaft:

  • wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert Einwilligungserklärungen erteilt werden können, obwohl es im Einzelfall angebracht ist,

    Tipp: Holen Sie für jeden Verarbeitungszweck eine gesonderte Einwilligung ein. 

    wenn die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist (Koppelungsverbot), 

  • wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht (z.B. wenn es sich bei dem Verantwortlichen um eine Behörde handelt).

Eine weitere Voraussetzung für eine gültige Einwilligungserklärung ist, dass sie sich auf „bestimmte Fälle“ beziehen muss. Daraus folgt, dass die betroffene Person im Rahmen der Einwilligungserklärung in Kenntnis gesetzt werden muss, welche Datenarten für welche konkreten Zwecke verarbeitet werden sollen.

Nach der Definition muss eine Einwilligung durch den Betroffenen auch in “informierter Weise“ erfolgen. Neben dem bereits angeführten Erfordernis der Kenntnis, welche Datenarten zu welchen Zwecken verarbeitet werden, sieht die DSGVO vor allem für schriftliche Erklärungen weitere Bedingungen vor: So hat die (vorformulierte) Zustimmungserklärung vor allem in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu erfolgen. Praxistipp: Die Einwilligungserklärung sollte daher nicht in AGB eingebettet sein. AGB umfassen noch andere Sachverhalte (z.B. Regelungen über die Gewährleistung oder Zahlungsbedingungen

Wird gegen dieses Transparenzgebot verstoßen, sind jene als intransparent zu wertenden Teile einer datenschutzrechtlichen Einwilligungserklärung nicht verbindlich.

Die betroffene Person hat jederzeit das Recht, ihre abgegebene Einwilligungserklärung zu widerrufen. Auf diese Möglichkeit ist die betroffene Person vor Abgabe der Einwilli­gung hinzuweisen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Hinweis: Mehr Infos finden Sie in den Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung.

Beispielhafter Formulierungsvorschlag 

„Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur zentralen Abwicklung des Kunden-Beschwerdemanagements“) an … (genaue Angabe des Dritten, z.B. Name der Konzernmutter mit Anschrift) weitergegeben werden.

Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.“ 

Achtung: Soll auch eine Weitergabe von Daten in Drittstaaten erfolgen, sind zusätzlich die Erfordernisse des internationalen Datenverkehrs zu berücksichtigen (siehe dazu Internationaler Datenverkehr).

Bei Datenverarbeitungen müssen auch immer bestimmte Informationspflichten erfüllt werden. Diesen kann mit einem Link zur Datenschutzerklärung nachgekommen werden.

Besonderheiten bei Einwilligungserklärungen von Kindern

Im Falle von Zustimmungserklärungen im Zusammenhang mit Angeboten von Diensten der Informationsgesellschaft (z.B. Webshop), die einem Kind direkt gemacht werden, ist eine Datenverarbeitung personenbezogener Daten von Kindern vor Vollendung des 14. Lebensjahres nur dann rechtmäßig, sofern und soweit die Einwilligung zur Datenverarbeitung durch Obsorgeberechtigte (va Eltern), für das Kind oder mit deren Zustimmung erteilt wurde.

Achtung: Neben dieser datenschutzrechtlichen Regelung sind für den Vertragsabschluss auch die zivilrechtlichen Bestimmungen zur Geschäftsfähigkeit zu berücksichtigen.

Um sich in solchen Fällen zur vergewissern, dass die Einwilligung durch die Obsorgeberechtigten für das Kind erteilt wurde, hat der Verantwortliche unter Berücksichtigung der verfügbaren Technik „angemessene“ Anstrengungen zu unternehmen. 

Relevante Artikel der DSGVO: Art 4 Z 11, Art 7, Art 8, , Art 9 Abs 2 lit a
Relevante Erwägungsgründe: 32ff, 171
Relevante Bestimmungen des DSG: § 4

Stand: 07.08.2024

Weitere interessante Artikel
  • Weißer Schriftzug DSGVO mit Paragraphenzeichen vor einer weißen Wand
    EU-Daten­schutz-Grund­ver­ordnung (DSGVO): Wichtige Be­griffs­be­stimmungen
    Weiterlesen
  • Weißer Schriftzug DSGVO mit Paragraphenzeichen vor einer weißen Wand
    EU-Datenschutz-Grundverordnung (DSGVO): Das österreichische Datenschutzgesetz - DSG
    Weiterlesen
  • Person mit Brillen stützt Hand an Kinn an Schreibtisch sitzend und blickt auf Bildschirm, auf dem Quellcodes zu sehen sind
    EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches
    Weiterlesen