Art. 6 Abs. 1 lit. a) und b) DSGVO nennt dazu ausdrücklich Einwilligungen des Betroffenen und Vertragsverhältnisse inklusive vorvertraglicher Maßnahmen, die auf Anfrage des Betroffenen erfolgen. In diesen Konstellationen sind primär die Hinweispflichten nach Art. 13 und Art. 14 DSGVO relevant und es ist auf klare und transparente Sprache zu achten. Im Übrigen bietet es sich an, bestimmte datenschutzrechtliche Klauseln und Einwilligungserklärungen als Standard zu erstellen und zu verwenden und Ausnahmen nur in begründeten Fällen zuzulassen.
Da die Einwilligung eine wichtige Rechtsgrundlage für die Verarbeitung ist, ist die korrekte Ausgestaltung des Ersuchens um Einwilligung sowie der Einwilligungserklärung selbst von besonderer Bedeutung.
Der Verantwortliche muss die betroffene Person um Erteilung der Einwilligung ersuchen. Dabei muss eine umfassende Aufklärung darüber erfolgen, welche Daten auf welche Weise und zu welchem Zweck verarbeitet werden und ggf. auch, an wen sie übermittelt werden. Die zur Verfügung gestellten Informationen müssen der betroffenen Person eine informierte Entscheidung ermöglichen.
Bereits vor Abgabe der Einwilligung muss die betroffene Person darüber aufgeklärt werden, dass die Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann, wobei die Zulässigkeit der Verarbeitung bis zum Einlangen des Widerrufs unberührt bleibt.
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten, wie z.B. den AGB oder dem Vertragsinhalt, klar zu unterscheiden ist.
Das Ersuchen um Einwilligung sowie die Einwilligung selbst sollten auf einem eigenen Blatt bzw. einer eigenen Darstellung auf der Webseite erfolgen. Zumindest sollten das Ersuchen und die Einwilligungserklärung grafisch hervorgehoben werden.
Das Ersuchen selbst muss freiwillig erfolgen. D.h. es darf kein Zwang auf die betroffene Person ausgeübt werden. Wenn die Einwilligung zu mehreren Verarbeitungszwecken (z.B. Vertragserfüllung und Marketing) eingeholt werden soll, muss der betroffenen Person ermöglicht werden, für jeden Zweck eine gesonderte Einwilligung zu erteilen. Eine Koppelung kann die Einwilligung unwirksam und damit die Verarbeitung unzulässig machen.
Die Erklärung des Widerrufs der Einwilligung muss (zumindest) so einfach sein wie die Erteilung der Einwilligung. Es sollten hierzu mehrere Kommunikationskanäle eingerichtet werden (z.B. per Post, via Webseite etc.).
Da die Einwilligung wie auch ihr Ersuchen nachweisbar sein muss, sollte der Verantwortliche ein angemessenes Dokumentenmanagementsystem einsetzen. Im Falle einer Webseite sollte die Gestaltung in jeder Versionierung, sowohl in grafischer Darstellung als auch in textlicher Beschreibung, dokumentiert werden.
Sonderfall Kinder
Kinder i.S.d. DSGVO sind minderjährige Personen. Sofern Dienste der Informationsgesellschaft direkt einem Kind angeboten werden, muss sein Alter erhoben und geprüft werden. Die Einwilligung eines Kindes ist in Österreich nur wirksam, wenn es das 14. Lebensjahr vollendet hat. Das Ersuchen um Einwilligung und die Einwilligungserklärung sind besonders einfach und verständlich zu gestalten.