SiDIT Logo
    Zurück zum Blog
    Online-Auftritt28. Februar 2021

    Einwilligung im Datenschutz: Nicht immer die beste Wahl

    Einwilligung im Datenschutz: Nicht immer die beste Wahl

    Einwilligung im Datenschutz: Nicht immer die beste Wahl

    „Ich gehe lieber auf Nummer sicher und hole mir eine Einwilligung ein. Dann habe ich nichts zu befürchten.“

    Diesem Irrglauben unterliegen viele, wenn es zum Beispiel um Einwilligungen bei Kontaktformularen auf der Webseite geht. Doch häufig ist das Einholen einer solchen Einwilligung zwar schnell erfolgt, kann aber in manchen Fällen fatale Folgen haben.

    Was ist eine Einwilligung?

    Die Einwilligung ist eine mögliche Legitimation für die Verarbeitung personenbezogener Daten. Das Gesetz stellt in Art. 4 Nr. 11 und Art. 7 DSGVO Anforderungen an die Einwilligung, wonach diese freiwillig, für einen bestimmten Zweck, in informierter Weise, unmissverständlich, nachweisbar und widerrufbar erfolgen muss.

    Bei Nichterfüllung dieser Voraussetzungen ist die Einwilligung und damit möglicherweise auch die Datenverarbeitung unzulässig und kann zu hohen Bußgeldern durch die Aufsichtsbehörden führen.

    Zum Verhängnis werden kann einem Verantwortlichen vor allem der Widerruf. Der Widerruf der Einwilligung muss genauso einfach erfolgen wie die Erteilung und kann jederzeit durch die betroffene Person erfolgen. Dadurch wird zwar nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs berührt, jedoch die ab dem Widerruf.

    Das bedeutet für den Verantwortlichen, dass ab diesem Zeitpunkt zum Beispiel jeglicher Kontakt, der auf Basis einer Einwilligung bei einem Kontaktformular erfolgt ist, sofort einzustellen wäre. Damit kann eine Löschpflicht der personenbezogenen Daten einhergehen. Problematisch wird hier vor allem die Löschungsverpflichtung, wenn die Datenverarbeitung eigentlich im Rahmen der Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO erfolgt, der Betroffene aber falsch belehrt und irrtümlich eine Einwilligung eingeholt wurde. Dann darf der Verantwortliche diese Daten gar nicht löschen, obwohl ein Widerruf der vermeintlichen Einwilligung vorliegt.

    Alternativen zur Einwilligung

    Bevor eine Einwilligung als Basis für die Datenverarbeitung herangezogen wird, sollten Sie immer prüfen, ob eine Verarbeitung nicht auf die Durchführung vorvertraglicher Maßnahmen oder die Wahrnehmung eines berechtigten Interesses gestützt werden kann. In diesen Fällen ist ein Kontakt mit dem Betroffenen ohne Einwilligung möglich.

    Aber auch hier gilt keine vollständige Narrenfreiheit. Es ist darauf zu achten, nur die notwendigen Daten abzufragen, wie beispielsweise Name und E-Mail-Adresse. Die Daten sind jedoch drei Monate (spätestens sechs Monate) nach Erhalt zu löschen, sofern diese nicht für eine weitere vertragliche Beziehung benötigt werden.

    Unterschied zur Belehrung

    Sobald personenbezogene Daten durch den Verantwortlichen erhoben werden, ist dies der betroffenen Person zum Zeitpunkt der Erhebung der Daten mitzuteilen. Je nachdem, ob diese Daten bei der betroffenen Person selbst oder nicht bei der betroffenen Person erhoben wurden, erfolgt die Belehrung nach Art. 13 oder 14 DSGVO. Dies kann zum Beispiel vom Betreiber einer Internetseite über die Datenschutzerklärung oder über die Datenschutzbelehrung im Erstkontakt mit betroffenen Personen per E-Mail erfolgen.

    Im Zuge einer solchen Belehrung muss die betroffene Person ausführlich darüber informiert werden, was mit den Daten geschieht.

    Häufigste Fehler bei Einwilligungen und Belehrungen

    Oftmals findet man auf Webseiten zum Beispiel eine Checkbox, in welcher man bestätigt, dass die Datenschutzerklärung akzeptiert oder gelesen wurde. Da die Datenschutzerklärung eine Belehrung ist, bedarf diese keiner Bestätigung, sondern wird lediglich zur Kenntnisnahme zur Verfügung gestellt. Über die Folgen einer Datenschutzerklärung mit Checkbox und die Notwendigkeit von Checkboxen im Gegenzug klärt unser Blogbeitrag auf: Verwechslungsgefahr: Checkboxen oder Einwilligung?.

    Was müssen wir uns merken?

    • Im Gegensatz zur Einwilligung muss IMMER eine Belehrung der betroffenen Person erfolgen, sobald Daten erhoben werden.
    • Es sollte immer geprüft werden, ob eine Verarbeitung nicht bereits aufgrund einer anderen Rechtsgrundlage wie (vor-)vertragliche Maßnahmen oder berechtigtes Interesse erfolgen kann.
    • Es gibt Voraussetzungen für eine Einwilligung, die bei Nichterfüllung zur Unwirksamkeit der Datenverarbeitung führen.
    • Eine Einwilligung führt bei Widerruf zu sofortigem Einstellen der Verarbeitung personenbezogener Daten.
    • Eine Datenschutzerklärung auf der Webseite bedarf keiner Zustimmung.

    Benötigen Sie Hilfe bei der Erstellung der entsprechenden Datenschutzbelehrungen oder Einwilligungen in Ihrem Unternehmen? Wir beraten Sie gerne! Kontaktieren Sie uns unter: info@sidit.de

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Datenschutzkonforme Einbettung von YouTube-Videos – Optionen, Risiken, Praxis
    Online-Auftritt14. Nov. 2025

    Datenschutzkonforme Einbettung von YouTube-Videos – Optionen, Risiken, Praxis

    Rund 200 Webseiten wurden geprüft – der Großteil übertrug personenbezogene Daten an Google ohne Einwilligung. Was Sie tun müssen.

    Weiterlesen
    Cookie-Banner erneut auf dem Prüfstand
    Online-Auftritt4. Juli 2025

    Cookie-Banner erneut auf dem Prüfstand

    Das VG Hannover hat ein wichtiges Urteil zur Cookie-Banner-Gestaltung gefällt: Eine zweistufige Gestaltung ohne „Alles ablehnen"-Button ist rechtswidrig.

    Weiterlesen
    Cookie-Banner auf Webseiten
    Online-Auftritt30. Apr. 2025

    Cookie-Banner auf Webseiten

    Cookie-Banner bleiben ein Dauerbrenner. Verstöße werden regelmäßig sanktioniert. Ein rechtssicheres Banner ist Pflicht.

    Weiterlesen