Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Sie muss freiwillig, informiert, unmissverständlich und für einen bestimmten Zweck abgegeben werden. Die betroffene Person kann sie jederzeit widerrufen.
Ausführliche Erklärung
Die Einwilligung zählt zu den sechs Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO, auf die sich Unternehmen bei der Verarbeitung personenbezogener Daten stützen können. Sie erlaubt die Datenverarbeitung dann, wenn die betroffene Person für einen oder mehrere bestimmte Zwecke ausdrücklich zustimmt. Allerdings ist die Einwilligung in der Praxis nicht automatisch die beste Wahl: Sie kann jederzeit ohne Begründung widerrufen werden, und ab diesem Zeitpunkt entfällt die Rechtsgrundlage für die weitere Verarbeitung.
Damit eine Einwilligung rechtswirksam ist, muss sie mehrere Voraussetzungen erfüllen: Sie muss freiwillig, informiert, unmissverständlich und zweckgebunden sein. Freiwilligkeit bedeutet, dass kein Zwang besteht und kein klares Ungleichgewicht zwischen Verantwortlichem und betroffener Person vorliegt – etwa bei Behörden oder im Arbeitsverhältnis. Das Koppelungsverbot nach Art. 7 Abs. 4 DSGVO verbietet, die Erfüllung eines Vertrags von einer Einwilligung abhängig zu machen, wenn diese für die Vertragserfüllung nicht erforderlich ist. Die betroffene Person muss zudem vorab klar informiert werden: welche Daten zu welchen Zwecken verarbeitet werden, wer verantwortlich ist und dass ein Widerruf jederzeit möglich ist.
Für KMU ist entscheidend: Vor dem Einholen einer Einwilligung sollte geprüft werden, ob nicht bereits eine andere Rechtsgrundlage greift – etwa die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO oder berechtigte Interessen nach lit. f. Denn eine einmal widerrufene Einwilligung lässt sich nicht durch nachträglichen Rückgriff auf andere Rechtsgrundlagen ersetzen. Die Einwilligung muss nachweisbar sein: Der Verantwortliche trägt die Beweislast, dass eine wirksame Zustimmung vorliegt. Schriftliche oder elektronisch protokollierte Einwilligungen (etwa per Double-Opt-In) sind daher dringend empfohlen. Vorformulierte Häkchen, die bereits gesetzt sind, gelten nicht als wirksame Einwilligung.
Die Einwilligung gilt nur für die Zukunft – ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Der Widerruf muss genauso einfach möglich sein wie die Erteilung der Einwilligung. Bei Verstößen gegen die Anforderungen an die Einwilligung drohen Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 5 lit. a DSGVO.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 8 Mitarbeitenden in Graz möchte ihren Mandanten einen monatlichen Newsletter mit Steuertipps zusenden. Die reine Vertragsabwicklung – Buchhaltung, Jahresabschluss – ist durch Art. 6 Abs. 1 lit. b DSGVO gedeckt. Für den Newsletter jedoch benötigt die Kanzlei eine separate, freiwillige Einwilligung nach lit. a. Sie holt diese per elektronischem Formular mit aktivem Häkchen ein, informiert vorab über Zweck, Widerrufsmöglichkeit und Verantwortlichen, und dokumentiert Zeitpunkt sowie IP-Adresse der Zustimmung.