Eine der in der DSGVO vorgesehenen Rechtsgrundlagen für eine Verarbeitung von personenbezogenen Daten [Link] ist die Einwilligung des Betroffenen. Falsch ist, dass man sein der DSGVO nur noch mit Einwilligung des Betroffenen seine Daten verarbeiten kann. Es gibt hingegen in Art. 6 DSGV einen ganzen Katalog von Rechtsgrundlagen für eine rechtmäßige Verarbeitung. Die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO ist nur eine Möglichkeit.
Sie ist jedoch immer dann möglich (und nötig) wo andere Rechtsgrundlagen nicht greifen. Wichtig ist also, dass eine Einwilligung rechtssicher eingeholt wird. Im Zweifel ist nämlich das Unternehmen beweispflichtig dafür, dass eine rechtmäßige Einwilligung vorliegt (Art. 7 Abs. 1 DSGVO). Insoweit wäre die Dokumentation der Einwilligungen wichtig.
Wichtig ist, dass die Einwilligung sich als „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ darstellt.
Das bedeutet, der Betroffene muss umfassend informiert werden und seine Erklärung darf nicht von anderen Erklärungen abhängen oder damit verbunden sein („freiwillig“). Eine Einwilligung kann also z.B. nicht in allgemeinen Geschäftsbedingungen „versteckt“ werden.
Problematisch ist es auch, wenn die Einwilligung im Rahmen von Dienstleistungen eingeholt wird, die für die Dienstleistung nicht notwendig sind, die Erbringung aber von der Einwilligung abhängen soll (Art. 7 Abs. 4 DSGVO).
Ein Formerfordernis besteht für die Einwilligung nicht. Die Einwilligung kann auch in elektronischer Form erfolgen. Vorsicht ist bei den sogenannten Opt-Kästchen geboten. Auch vorausgewählte Opt-In-Kästchen werden einer Einwilligung nicht gerecht (siehe hierzu BGH-Urteil vom 28.05.2020, Az. I ZR 7/16, https://dejure.org/2020,12443 ).
Die meisten Tracking oder Cookie-Verarbeitungen [LINK Cookies] zum Tracking werden derartige Einwilligungen erfordern.
Wichtig ist neben der Information des Betroffenen auch, dass er genauso einfach wie er eigewilligt hat, auch seine Erklärung jederzeit widerrufen kann (Art. 7 Abs. 3 DSGVO). Klassisches Beispiel ist hier der Link im Werbe-Newsletter zum Abmelden vom Newsletter.
Ob also alle Erfordernisse einer Einwilligung vorliegen, ist im Einzelfall nicht leicht zu beurteilen.