Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Sie muss freiwillig, informiert, unmissverständlich und für einen bestimmten Zweck abgegeben werden. Die betroffene Person kann sie jederzeit widerrufen.
Ausführliche Erklärung
Die Einwilligung ist eine der sechs Rechtsgrundlagen, auf die sich eine Datenverarbeitung nach der Datenschutz-Grundverordnung stützen kann. Sie erlaubt es, personenbezogene Daten zu verarbeiten, wenn die betroffene Person ausdrücklich zustimmt. Die DSGVO definiert sie als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung" (Art. 4 Nr. 11 DSGVO). Damit wird der betroffenen Person Kontrolle über ihre Daten gegeben – allerdings nur, wenn die Einwilligung korrekt eingeholt wird.
Für KMU ist die Einwilligung wichtig, aber anspruchsvoll. Sie kommt typischerweise zum Einsatz, wenn keine andere Rechtsgrundlage greift – etwa beim Newsletter-Versand, der über die reine Vertragserfüllung hinausgeht, oder bei der Nutzung bestimmter Marketing-Tools. Dennoch sollten Unternehmen prüfen, ob nicht eine andere Rechtsgrundlage wie Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f) passender ist. Denn eine Einwilligung kann jederzeit widerrufen werden – und dann entfällt die Rechtsgrundlage für die weitere Verarbeitung.
Die Anforderungen an eine wirksame Einwilligung sind streng. Freiwilligkeit bedeutet: Die betroffene Person muss eine echte Wahl haben, ohne Nachteile befürchten zu müssen. Ein sogenanntes Kopplungsverbot nach Art. 7 Abs. 4 DSGVO verbietet es, die Erbringung einer Dienstleistung davon abhängig zu machen, dass jemand in eine Datenverarbeitung einwilligt, die für die Leistung nicht erforderlich ist. Informiertheit verlangt, dass der Zweck, die Art der verarbeiteten Daten und die Identität des Verantwortlichen klar benannt werden. Unmissverständlichkeit erfordert eine aktive Handlung – etwa das Anklicken eines Kästchens. Vorangekreuzte Häkchen oder bloßes Schweigen genügen nicht.
Der Verantwortliche muss die Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO). Das bedeutet: Dokumentationspflicht. Außerdem muss vor Abgabe der Einwilligung über das jederzeitige Widerrufsrecht informiert werden, und der Widerruf muss genauso einfach sein wie die Erteilung. Bei sensiblen Daten (etwa Gesundheitsdaten nach Art. 9 DSGVO) gelten noch strengere Anforderungen – hier ist eine ausdrückliche Einwilligung erforderlich.
Praxisbeispiel
Eine steirische Steuerberatungskanzlei mit 12 Mitarbeitenden möchte einen monatlichen Newsletter mit Steuertipps versenden. Die Verarbeitung der E-Mail-Adressen zu diesem Zweck ist nicht vertraglich erforderlich, daher holt die Kanzlei eine Einwilligung ein: Per Double-Opt-In-Verfahren klicken Interessierte aktiv ein Kästchen an und bestätigen ihre Anmeldung per E-Mail. Die Einwilligungserklärung benennt klar den Zweck (Newsletter), die verantwortliche Kanzlei und das Widerrufsrecht. Die Kanzlei dokumentiert Zeitpunkt und Inhalt jeder Einwilligung.