Einwilligung

• Die Einwilligung setzt eine freiwillige Entscheidung voraus. Nach Art. 7 DSGVO kann eine Willensbekundung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.
• Zustimmung unter der DSGVO erfordert ein „positives Opt-in“. Das heisst, Sie müssen der Person, von der Sie die Einwilligung möchten, die Möglichkeit geben, aktiv zu werden und ihr eine echte Wahlmöglichkeit bieten. Verwenden Sie daher keine vorgekreuzten Kästchen oder andere Standard-Zustimmungsverfahren. 
• Die DSGVO erfordert eindeutige, voneinander klar abgegrenzte Zustimmungsoptionen für unterschiedliche Verarbeitungsvorgänge.
• Die Einwilligung sollte von anderen Bedingungen getrennt sein und keine Voraussetzung für eine Dienstleistung sein.
• Die DSGVO gibt den betroffenen Personen ein jederzeitiges Widerrufsrecht, über das Sie informieren müssen. 
• Für Behörden, Arbeitgeber und andere Organisationen, die sich in einer  gewissen „Machtposition“ befinden, gelten erhöhte Anforderungen, um sicherzustellen, dass die Einwilligung freiwillig und ohne Einflussnahme oder Zwang erfolgte.
• Vor dem 20. Juli 2018 eingeholte Einwilligungen gelten unter der Voraussetzung fort, dass diese den Anforderungen der DSGVO entsprechen. Bis zur Geltung der DSGVO war eine sogenannte Opt-out Lösung möglich, das heisst eine datenverarbeitende Stelle konnte davon ausgehen, dass eine Person der Verarbeitung zustimmt, es sei denn, sie widersprach dediziert dieser Vorgehensweise, indem sie etwa den schon gesetzten Haken entfernte. Dies entspricht nicht mehr den aktuellen Vorgaben.
• Sie müssen Aufzeichnungen führen, um die erhaltenen Einwilligungen nachweisen zu können. Dokumentieren Sie, wann und wie die betroffene Person eingewilligt hat und welche Informationen Sie der betroffenen Person im Zuge der Einwilligung zur Verfügung gestellt haben.

Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Eine Einwilligungserklärung kann schriftlich, elektronisch (z.B. durch aktives Anklicken einer vorformulierten Einwilligungserklärung) oder mündlich, aber auch in konkludenter Form erfolgen.

Blosses Schweigen oder Untätigkeit der betroffenen Person gilt nicht als Einwilligung, ausser die Begleitumstände weisen zweifelsfrei auf eine Zustimmung zur Datenverarbeitung hin (z.B. unmissverständliches Kopfnicken auf die Frage, ob die betroffene Person mit einer Datenverarbeitung für einen bestimmten Zweck einverstanden ist). 

Die Datenschutzstelle empfiehlt auch künftig, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung nachgewiesen werden.

Eine betroffene Person muss bei Abgabe ihrer Einwilligung über Folgendes informiert werden : 

• Identität des für die Verarbeitung Verantwortlichen: In Erwägungsgrund 42 heisst es, dass die Person die Identität des für die Verarbeitung Verantwortlichen kennen sollte. Dies bedeutet, dass Sie sich selbst identifizieren und auch weitere Verantwortliche nennen müssen, die sich auf die Zustimmung stützen.
• Zweck der Verarbeitung: In Erwägungsgrund 43 heisst es, dass für unterschiedliche Verarbeitungen eine separate Einwilligung erforderlich ist, soweit dies angebracht ist.
• Verarbeitungstätigkeiten: Die einzelnen Verarbeitungstätigkeiten müssen definiert werden.
• Das Recht, die Einwilligung jederzeit zu widerrufen. 

Sie müssen den betroffenen Personen klar und unmissverständlich erklären, wozu sie ihre Einwilligung konkret erteilen. Der Antrag auf Einwilligung muss deutlich und getrennt von anderen Geschäftsbedingungen und in einfacher Sprache abgefasst sein.

Wenn Sie die Einverständniserklärung mit dem Informationsblatt gemäss Art. 13 DSGVO kombinieren möchten, ist auch hier eine klare und unmissverständliche Trennung vorzunehmen. Der Betroffene muss genau erkennen können, dass und wozu er konkret seine Einwilligung erteilt.

Für den Betroffenen muss es offensichtlich sein, dass er bewusst eine Entscheidung trifft und in eine bestimmte Datenverarbeitung einwilligt. Vermeiden Sie Sätze wie: „Mir ist bekannt, dass ...“ und wählen Sie Formulierungen mit eindeutigem Inhalt wie etwa:

Ich willige ein, dass ... Ich bin einverstanden, dass ... Mit der Unterschrift geben Sie Ihre Einwilligung, dass ...

Weiters muss es sich um eine bewusste Erklärung der betreffenden Person selbst handeln (Opt-in). Schon von der verantwortlichen Stelle im Sinne einer Zustimmung vorangekreuzte Einwilligungstexte oder nur mit einer Streich-/Abwahl-Möglichkeit versehene „vorgegebene Zustimmungen“ (Opt-out) genügen nicht.

Eine wirksame Einwilligung im Sinne von Art. 7 DSGVO liegt nur dann vor, wenn diese freiwillig erteilt wird und auch jederzeit widerrufen werden kann. Eine unter Druck oder Zwang abgegebene datenschutzrechtliche Einwilligung ist unwirksam.

Eine Einwilligung ist in der Regel nicht freiwillig, wenn zwischen der datenverarbeitenden Stelle und der betroffenen Person ein eindeutiges Machtungleichgewicht besteht. Dies liegt daran, dass Personen, die von den Diensten abhängig sind oder negative Konsequenzen befürchten, das Gefühl haben, dass sie keine andere Wahl haben, als einzuwilligen - also wird Zustimmung nicht als frei gegeben angesehen. Dies kann vor allem ein Problem für Behörden und Arbeitgeber sein, weshalb in diesen Fällen an die Freiwilligkeit höhere Massstäbe angesetzt werden.

Beispiele: Ein Unternehmen fordert seine Mitarbeitenden auf, der Überwachung am Arbeitsplatz zuzustimmen. Da  die Mitarbeitenden auf ihren Arbeitsplatz angewiesen sind, können sie sich gezwungen sehen, ihre Zustimmung zu geben, um den Arbeitsplatz nicht zu riskieren.   Ein Online-Buchhandlung verlangt von den Kunden deren Einwilligung, dass sie ihre Daten im Rahmen des Kaufvorgangs mit anderen Unternehmen teilen. Die Einwilligung wird hier zur Verkaufsbedingung, obwohl die Weitergabe der Daten an weitere Unternehmen nicht in unmittelbarem  Zusammenhang mit dem Kauf des Buches steht. Die Einwilligung ist folglich nicht freiwillig erfolgt und somit nicht gültig. Nur wenn die Kunden eine freie Wahl hätten, wäre die Einwilligung freiwillig.

Wenn Sie eine alternative gesetzliche Grundlage für Ihre Datenverarbeitung suchen, finden Sie diese in Art. 6 Abs. 1 DSGVO. Hiernach dürfen Sie personenbezogene Daten ohne Zustimmung verarbeiten, wenn dies erforderlich ist für:

• die Erfüllung eines Vertrags wie z.B. die Lieferung von Waren oder Dienstleistungen, oder zur Erfüllung Ihrer Verpflichtungen aus einem Arbeitsvertrag. Dies beinhaltet auch Schritte, die auf Wunsch der betroffenen Person bereits im Vorfeld des Abschlusses eines Vertrages erfolgen (Art. 6 Abs. 1 Bst. b);
• die Einhaltung einer gesetzlichen Verpflichtung: Wenn Sie nach liechtensteinischem oder EU-Recht verpflichtet sind, die Daten für einen bestimmten Zweck zu verarbeiten (Art. 6 Abs. 1 Bst. c);
• den Schutz von lebenswichtigen Interessen: Sie können personenbezogene Daten verarbeiten, wenn es notwendig ist, das Leben eines Menschen zu schützen (Art. 6 Abs. 1 Bst. d);
• die Wahrnehmung einer öffentlichen Aufgabe: Wenn Sie personenbezogene Daten verarbeiten müssen, um eine Aufgabe im öffentlichen Interesse zu erfüllen - und Sie dafür eine Rechtsgrundlage im liechtensteinischen Recht haben. Dies trifft vor allem auf die Behörden in Liechtenstein zu (Art. 6 Abs. 1 Bst. e);
• Berechtigte Interessen: Sie können personenbezogene Daten ohne Einwilligung verarbeiten, wenn Sie dies aus einem echten und legitimen Grund (einschliesslich kommerzieller Vorteile) tun müssen, es sei denn, dies wird durch die Rechte und Interessen des Einzelnen aufgewogen. Bitte beachten Sie jedoch, dass Behörden diese Möglichkeit nicht nutzen können.

Vor allem von Unternehmen oder Vereinen werden die „berechtigten Interessen“ gerne als Grundlage verwendet, wenn sich die Einholung der Einwilligung als schwierig erweist und auch keine der anderen genannten Grundlagen adäquat erscheint. Zu beachten ist hier vor allem, dass die betroffenen Personen nicht mit einer Datenverarbeitung konfrontiert werden dürfen, die sie nicht erwarten müssen oder die ungerechtfertigte Auswirkungen auf sie hat. Auch hier ist wesentlich, dass die Datenverarbeitung fair, transparent und verantwortungsbewusst erfolgt.

Die Einholung einer Einwilligung ist zu erwägen, wenn offensichtlich keine andere gesetzliche Grundlage besteht. Dies kann zum Beispiel der Fall sein, wenn Sie personenbezogene Daten auf eine Art und Weise verwenden oder weitergeben möchten, die mit dem ursprünglichen Zweck nicht kompatibel ist.

Ebenso ist die Einwilligung eine Möglichkeit, die Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäss Art. 9 Abs. 1 DSGVO zu legitimieren, aber nicht die einzige Möglichkeit. In Art. 9 Abs. 2 werden neun weitere Rechtsgrundlagen aufgeführt. Diese Alternativen sind in der Regel restriktiver und auf bestimmte Situationen zugeschnitten. Sie sollten jedoch zunächst prüfen, ob eine dieser Grundlagen zutrifft und nur wenn dies nicht der Fall ist, auf die Einwilligung ausweichen.

Zu beachten ist zudem, dass selbst bei Anwendung einer anderen Rechtsgrundlage in Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO die Einwilligung für darüberhinausgehende Elemente Ihrer Verarbeitung zusätzlich nötig sein kann. Wenn Sie zum Beispiel als Arzt die Datenverarbeitung im Rahmen der Behandlung Ihrer Patienten auf Art.  9 Abs. 2 Bst. h DSGVO stützen können, benötigen Sie eine ausdrückliche Zustimmung zur Offenlegung der Daten gegenüber einem Labor, einem zu Rate gezogenen Facharzt oder einer privaten Krankenversicherung.

Sie benötigen zudem auch die Zustimmung gemäss den ePrivacy-Bestimmungen für viele Arten von Marketinganrufen und Marketingnachrichten, Cookies auf Ihrer Internetseite oder andere Online-Tracking-Methoden sowie zum Installieren von Apps oder anderer Software auf Geräten von Privatpersonen. Diese dürften durch die neue ePrivacy-Verordnung noch erweitert werden.