Datenschutzrechtliche Einwilligungserklärung nach DSGVO: Muster und Anforderungen an die Datenverarbeitung

15.02.2019 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© natali_mis – stock.adobe.com
Gerade im Bereich des Marketings und der Werbung müssen Unternehmen aufgrund der DSGVO die Einwilligung ihrer Kunden in die Verarbeitung der personenbezogenen Daten einholen. Wann sie darauf verzichten können und welche Anforderungen an die Einwilligungserklärung und das Widerrufsrecht gestellt werden, erfahren Sie in diesem Beitrag. Außerdem erhalten Sie ein Muster zur Einwilligungserklärung.

 

  1. Muster für eine Einwilligung zur Datenverarbeitung 
  2. Datenverarbeitung: Grundlagen zur Einwilligung
  3. Anforderungen an die datenschutzrechtliche Einwilligungserklärung
  4. Nachweisbarkeit der datenschutzrechtlichen Einwilligungserklärung
  5. Widerruf der Einwilligungserklärung 
  6. Wann kann auf die Einwilligungserklärung verzichtet werden

Muster für eine Einwilligung zur Datenverarbeitung 

Das folgende Muster zur Datenverarbeitung gemäß DSGVO dient lediglich als Orientierungshilfe für die Formulierung einer allgemein gehaltenen Einwilligungserklärung zur Verarbeitung von Kundendaten zu Werbezwecken ohne Einschaltung eines Dritten (z. B. externer Dienstleister etc.). Dieser Vorlage liegt zudem die Annahme zugrunde, dass die personenbezogenen Daten des Kunden im Rahmen eines Vertragsabschlusses erhoben wurden. 

Weitere editierbare Vorlagen zur Datenverarbeitung können Sie der „Dokumentenmappe: Datenschutz im Unternehmen“ entnehmen. Diese Mappe enthält praxiserprobte Vorlagen zur Umsetzung der datenschutzrechtlichen Anforderungen der DSGVO und des BDSG. Weitere Umsetzungshilfen erhalten Datenschutzbeauftragte mit dem „Infodienst Datenschutz für Praktiker“

 

Muster zur Datenverarbeitung 



Unser Unternehmen nimmt den Schutz der Daten der Kunden ernst. Grundsätzlich gilt, dass der Schutz Ihrer individuellen Privat- und Persönlichkeitssphäre für uns von höchster Bedeutung ist. Deshalb ist das Einhalten der gesetzlichen Bestimmungen zum Datenschutz für uns selbstverständlich. Darüber hinaus ist es uns wichtig, dass unsere Kunden jederzeit wissen, wann wir welche Daten speichern und wie wir sie verwenden. 


Datenverarbeitung zur Vertragsabwicklung  


Die Verarbeitung der von Ihnen angegebenen personenbezogenen Daten (wie Name, Adresse, Geburtsdatum, Telefonnummer) durch uns ist zur ordnungsgemäßen Abwicklung des zugrunde liegenden Vertragsverhältnisses und soweit wir zu deren Erhebung gesetzlich verpflichtet sind, z. B. zur Einhaltung von Vorhaltefristen gegenüber dem Finanzamt, erforderlich. Sie beruht auf Art. 6 Abs. 1 Buchstabe b und c DSGVO.  

Die Daten werden gelöscht, sobald sie für die vorgenannten Zwecke nicht mehr erforderlich sind. Wir speichern Ihre personenbezogenen Daten jedoch, solange wir gesetzlich dazu verpflichtet sind, beispielsweise aufgrund von Aufbewahrungspflichten oder Verjährungsfristen noch nicht abgelaufener potenzieller Rechtsansprüche. 

Eine darüber hinausgehende Verarbeitung personenbezogener Daten, die im folgenden Abschnitt beschrieben ist, erfolgt nur mit Ihrer Einwilligung (freiwillig). 


Einwilligung in die Datenverarbeitung zu Werbezwecken


◊ Ja, ich bin damit einverstanden, dass das Unternehmen (ggf. unter Einschaltung eines beauftragten Dienstleisters) meine personenbezogenen Daten zum Zweck der Werbung bis auf Widerruf verwendet.

Zu den vorgenannten Zwecken möchte ich per (Zutreffendes bitte ankreuzen, Mehrfachnennungen sind möglich)

◊ Post
◊ E-Mail
◊ Telefon
◊ Fax
◊ SMS

kontaktiert werden. Mir ist bewusst, dass diese Einwilligung freiwillig erfolgt und jederzeit widerrufbar ist. Meine im folgenden Abschnitt dargestellten Datenschutzrechte habe ich zur Kenntnis genommen. 

<Ort>, den <Datum> 

<Unterschrift des Kunden> 


Datenschutzrechte des Kunden und Kontaktdaten  


Sie können von uns jederzeit Auskunft über Ihre gespeicherten personenbezogenen Daten erhalten (Art. 15 DSGVO), deren Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) oder Einschränkung der Verarbeitung (Art. 18 DSGVO) verlangen sowie Ihr Recht auf Datenübertragbarkeit (Art. 20 DSGVO) geltend machen. Zudem können Sie Ihre Einwilligungserklärung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft ändern oder widerrufen (Art. 21 DSGVO). Bitte beachten Sie dabei, dass Datenverarbeitungen, die vor dem Widerruf erfolgt sind, hiervon nicht betroffen sind. Zu den vorgenannten Zwecken wenden Sie sich bitte an eine der nachfolgenden Kontaktadressen: 

Verantwortlich für die Datenverarbeitung 

XY-AG
Geschäftsführer: Max Mustermann
11111 Musterstadt 
Telefon: 0111 1111-111
Telefax: 0111 1111-112
E-Mail: info(at)xy-ag.de

Sie erreichen unsere Datenschutzbeauftragte/unseren Datenschutzbeauftragten unter

XY-AG
Datenschutzbeauftragte/Datenschutzbeauftragter – 
Musterstraße 11
11111 Musterstadt 
Telefon: 0111 1111-111
Telefax: 0111 1111-112
E-Mail: datenschutz(at)xy-ag.de 

Des Weiteren steht Ihnen gem. Art. 77 DSGVO das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. 



Hinweis: Die kursiv hervorgehobenen Stellen sind durch Ihre Angaben zu ersetzen. 

Datenverarbeitung: Grundlagen zur Einwilligung

  • Die Rechte im Hinblick auf den Datenschutz gemäß DSGVO müssen der betroffenen Person zum Zeitpunkt der Datenerhebung mitgeteilt werden, d. h. regelmäßig bei Vertragsabschluss. 
  • Die Verwendung der personenbezogenen Daten zur Abwicklung des geschlossenen Vertrags müssen dem Kunden im Rahmen der Datenverarbeitung so transparent und ausführlich wie möglich beschrieben werden.  
  • In der Einwilligungserklärung zur Datenverarbeitung sind alle Zwecke, für die die personenbezogenen Daten verwendet werden, sowie die Rechtsgrundlage für jede einzelne Verarbeitung anzugeben. Deshalb sollten Unternehmen nur die Daten vom Kunden erfragen, die für die konkrete Vertragsabwicklung tatsächlich notwendig sind (Grundsatz der Datensparsamkeit). 
  • Werden externe Dienstleister wie Auftragsverarbeiter mit der Datenverarbeitung beauftragt, müssen diese entweder konkret oder in Kategorien benannt sein. 
  • Die Einwilligung des Kunden zur Datenverarbeitung muss aktiv erfolgen
  • Das Unternehmen hat den Kunden bereits bei der Datenerhebung auf sein Widerrufsrecht hinzuweisen und entsprechende Kontaktdaten anzugeben. 
  • Erst die Unterschrift des Kunden legitimiert die Werbung. Erfolgt keine Unterschrift, liegt auch keine Einwilligung zur Datenverarbeitung vor. Somit ist es unzulässig, den Kunden zu Werbezwecken zu kontaktieren. 
  • Das Unternehmen muss die Informationen, wie z. B. beim Auskunftsrecht, grundsätzlich unentgeltlich zur Verfügung zu stellen. 

Anforderungen an die datenschutzrechtliche Einwilligungserklärung 

Kernanforderung an eine wirksame Einwilligung im Sinne der Europäischen Datenschutzgrundverordnung (DSGVO) ist gemäß Art. 4 Nr. 11, dass sie „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegeben wird. In diesem kurzen Satz stecken einige Informationen, die hier aufgeschlüsselt dargestellt werden: 

„Freiwillig“: Die Abgabe einer datenschutzrechtlichen Einwilligungserklärung gilt nur dann als freiwillig, wenn die betroffene Person eine echte und freie Wahl hat und die Möglichkeit bekommt, die Einwilligung zu verweigern oder zu widerrufen, ohne dass ihr ein Nachteil daraus entsteht. 

Hierbei ist auch das im neuen Datenschutzrecht verankerte Koppelungsverbot zu beachten. Das bedeutet, dass die Erfüllung eines Auftrags nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden darf. 

„Für den bestimmten Fall“: Für jede Verarbeitung müssen Unternehmen eine gesonderte Einwilligung einholen. Die datenschutzrechtliche Einwilligungserklärung darf also nicht die Datenverarbeitung zu verschiedenen Zwecken umfassen. Bei Einwilligungen in die Direktansprache des Kunden über unterschiedliche Kommunikationskanäle sollte zudem eine gesonderte Einwilligung für jeden potenziellen Kommunikationskanal erfolgen. 

„Informiert“: Grundvoraussetzung für die Abgabe einer gültigen Einwilligungserklärung ist die „Kenntnis der Sachlage“ (ErwG 42 Satz 3 DSGVO). Im Rahmen der Einwilligung werden daher besondere Transparenzanforderungen gestellt, die grundsätzlich unabhängig von den allgemeinen Informationspflichten nach Art. 13 und 14 DSGVO zu betrachten sind. 

Betroffene sollten gemäß ErwG 42 Satz 3 DSGVO und Artikel-29-Datenschutzgruppe folgende Informationen erhalten: 

  • Identität des Verantwortlichen 
  • Zwecke der Verarbeitung 
  • verarbeitete Datenkategorien 
  • Widerrufsrecht 

Produktempfehlung

Praxisnahe Beispiele, die Ihnen die rechtssichere Umsetzung erleichtern, finden Sie im Buch „Datenschutz 2024“. Speziell gefilterte Informationen für den Internetauftritt sind in der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“ enthalten. 

„Unmissverständlich“: Damit die Einwilligungserklärung wirksam wird, muss eine eindeutige Handlung des Betroffenen erfolgen, mit welcher das Einverständnis in die Datenverarbeitung im jeweiligen Kontext unmissverständlich zum Ausdruck kommt. Nachdem die DSGVO im Gegensatz zum BDSG a. F. nicht verlangt, dass die Erklärung schriftlich (sie kann nun auch elektronisch oder mündlich erteilt werden) erfolgt, ist auch keine ausdrückliche Erklärung erforderlich. Es genügt eine eindeutige Verhaltensweise des Betroffenen.

Bleibt die betroffene Person dagegen untätig, reicht das nicht aus, um die Einwilligung als gegeben hinzunehmen. 

Hinweis: Das Mittel der Wahl ist in diesem Rahmen regelmäßig die Verwendung des Opt-in-Verfahrens. Hierbei muss der Betroffene im ersten Schritt ein Häkchen setzen oder eine E-Mail-Adresse angeben. Im zweiten Schritt bekommt er dann eine Bestätigungs-E-Mail an seine E-Mail-Adresse. 

Wenn die Einwilligung erteilt wurde

Zusammengefasst ist Folgendes zu beachten, nachdem die Einwilligung erfolgt ist:

elektronisch erteilt  telefonisch erteilt 
Nutzer muss seine Einwilligung bewusst und eindeutig erklären  Der Inhalt der Einwilligung muss dem Betroffenen noch einmal nachträglich schriftlich oder in Textform bestätigt werden
Die Einwilligung muss protokolliert werden Der Betroffene muss auf sein Widerrufsrecht hingewiesen werden
Der Betroffene muss den Inhalt der Einwilligung jederzeit aufrufen können Die Einwilligung wird meist nur telefonisch abgegeben, wenn der Kunde selbst anruft oder einen Rückruf wünscht. 
Die Einwilligung muss jederzeit widerrufen werden können  

Nachweisbarkeit der datenschutzrechtlichen Einwilligungserklärung

Im Rahmen der allgemeinen Rechenschaftspflicht des Verantwortlichen gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass der Nutzer wirklich in die Verarbeitung seiner Daten eingewilligt hat. Daher bleibt es – trotz des Wegfalls des Schrifterfordernisses – sinnvoll, eine perpetuierte Einwilligungserklärung einzuholen. 

Widerruf der Einwilligungserklärung 

Art. 7 Abs. 3 Satz 1 DSGVO räumt Betroffenen das Recht ein, ihre Einwilligung jederzeit zu widerrufen. Erfolgt ein Widerruf, wirkt er erst ab dem Zeitpunkt des Widerrufs. Die vor dem Widerruf erfolgte Datenverarbeitung bleibt davon unberührt. Wie schon die Einwilligungserklärung sollte der Widerruf auf einzelne Verarbeitungszwecke eingeschränkt werden. 

Hinweis: Die Erklärung des Widerrufs muss für den Betroffenen genauso einfach sein, wie die Erteilung der Einwilligung. 

Wann kann auf die Einwilligungserklärung verzichtet werden? 

Einwilligungen, die bereits vor der Anwendbarkeit der DSGVO erteilt wurden, sollen nach ErwG 171 Satz 3 DSGVO sowie der Ansicht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) weiterhin rechtmäßig sein, wenn die Art dieser Einwilligungen den Bedingungen des Art. 7 DSGVO entspricht. 

Quellen: „Dokumentenmappe: Datenschutz im Unternehmen“, „Datenschutz 2020“, „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“

Mehr zu den Themen: Datenschutz Internetauftritt DSGVO