Die Bedeutung der konkludenten Einwilligung für Unternehmen
Die DSGVO beinhaltet eine Reihe von Vorschriften, die die Mitgliedstaaten der Europäischen Union umsetzen müssen, um die Privatsphäre digitaler Daten zu schützen. Eines der Schlüsselkonzepte der DSGVO ist die Einwilligung, die definiert ist als "jede freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willensbekundung, mit der die betroffene Person entweder durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt".
Mit anderen Worten: Die Betroffenen muss seine ausdrückliche Zustimmung zur Erhebung und Verarbeitung der personenbezogenen Daten geben. Es gibt jedoch bestimmte Umstände, unter denen stattdessen eine stillschweigende Zustimmung (eine konkludente Einwilligung) verwendet werden kann. In diesem Blogbeitrag gehen wir näher darauf ein, was eine stillschweigende Einwilligung ist und wann sie verwendet werden kann
Inhaltsverzeichnis:
Was ist eine konkludente Einwilligung?
Eine konkludente Einwilligung liegt vor, wenn die Handlungen einer Person darauf hindeuten, dass sie mit der Erhebung und Verarbeitung ihrer personenbezogenen Daten einverstanden ist, auch wenn sie dies nicht ausdrücklich gesagt hat. Wenn zum Beispiel jemand eure Website besucht und ein Formular ausfüllt, um weitere Informationen über euer Produkt oder eure Dienstleistung zu erhalten, könnt ihr davon ausgehen, dass die Person stillschweigend zustimmt, dass ihr sie kontaktieren dürft.
Eine stillschweigende Einwilligung kann jedoch nur unter bestimmten Umständen verwendet werden. Damit eine stillschweigende Zustimmung gültig ist, müssen mehrere Bedingungen erfüllt sein:
- Es muss eine bereits bestehende Beziehung zwischen der Person und der Organisation, die ihre Daten sammelt, bestehen. Wenn jemand zum Beispiel bereits Kund:innen eures Unternehmens ist, könnt ihr davon ausgehen, dass er:sie damit einverstanden ist, dass ihr seine:ihre personenbezogenen Daten für Marketingzwecke verwenden.
- Die Anfrage nach Daten muss für die bereits bestehende Beziehung relevant sein. Wenn ihr zum Beispiel einen Blog über Steuervorbereitung betreibt und jemand sich in eure Mailingliste einträgt, könnt ihr nicht davon ausgehen, dass er/sie auch zustimmt, Marketing-E-Mails zu einem anderen Thema zu erhalten (es sei denn, ihr bietet sowohl Nachrichten über Steuervorbereitung als auch dieses andere Thema an).
- Die Person muss die Möglichkeit haben, der Erfassung und/oder Verarbeitung ihrer Daten zu widersprechen. Wenn sie z. B. auf dem Anmeldeformular eurer Website ein Kästchen ankreuzen, mit dem man sich für den Erhalt von Marketing-E-Mails entscheiden kann, haben diejenigen, die das Kästchen nicht ankreuzen, keine stillschweigende Zustimmung gegeben.
- Die Anfrage nach Daten muss klar und präzise sein. Wenn ihr z. B. ein komplexes Dokument mit Nutzungsbedingungen habt, das die meisten Menschen nicht lesen würden, bevor sie sich für euren Dienst anmelden, würden alle personenbezogenen Daten, die von denjenigen erhoben werden, die sich anmelden, nicht als stillschweigende Zustimmung gelten.
Sichere deinen Wettbewerbsvorteil
Schlussfolgerung
Eine konkludente Einwilligung liegt vor, wenn die Handlungen einer Person darauf hindeuten, dass sie mit der Erhebung und Verarbeitung ihrer personenbezogenen Daten einverstanden ist, auch wenn sie dies nicht ausdrücklich gesagt hat. Solch eine stillschweigende Einwilligung kann jedoch nur in bestimmten Situationen verwendet werden, wenn zwischen der Person und der Organisation, die die Daten erhebt, bereits eine Beziehung besteht, die Anfrage nach Daten für diese Beziehung relevant ist, die Person die Möglichkeit hat, der Erfassung oder Verarbeitung ihrer Daten zu widersprechen, und die Anfrage nach Daten klar und präzise ist. Wenn ihr euch nicht sicher seid, ob ihr die konkludente Einwilligung einer Person habt oder nicht, ist es immer am besten, auf Nummer sicher zu gehen und eine ausdrückliche Zustimmung einzuholen.
Fragen zu Datenschutz oder Einwilligung für Unternehmen?
Kostenlose Beratung sichern!Compliance-Newsletter
Abonniere jetzt unseren Newsletter und bleibe informiert über die neuesten Entwicklungen zu Datenschutz, DSGVO, Cybersicherheit und weiteren wichtigen Compliance-Regelungen wie revDSG, NIS 2 und ISO 27001. Erhalte wertvolle Tipps, exklusive Ressourcen und regelmäßigen Zugang zu Webinaren. Verpasse keine wichtigen Neuigkeiten mehr!
Weitere Artikel
AI bei X: Datenschutzbedenken, Verstöße gegen die DSGVO und Fehlinformationen
Der rasante Aufstieg von KI-Technologien wie Grok, dem KI-Modell von X, wirft kritische Bedenken hinsichtlich des Datenschutzes und der Verbreitung von Fehlinformationen auf. Grok wird mit riesigen Mengen an Nutzerdaten von X trainiert, was zu Verstößen gegen die DSGVO führt, da noyb eine Beschwerde gegen X wegen der Nutzung personenbezogener Daten von EU-Nutzern ohne deren Zustimmung eingereicht hat. Gerichtsverfahren in Irland führten zu einer Einstellung der Datenverarbeitung, aber die Transparenz- und Datenschutzpraktiken von X werden weiterhin überprüft. Die Führung von Elon Musk und seine Beteiligung an der Verbreitung von Fehlinformationen tragen zu den ethischen Herausforderungen der Plattform bei, wobei der Datenschutz und die verantwortungsvolle Nutzung von KI entscheidende Themen sind.
Mehr erfahren
NIS2 Insights: Experten-Tipps zu Compliance und den Folgen für Dein Unternehmen
Die NIS2-Richtlinie aktualisiert die EU-Vorgaben für Cybersicherheit und weitet die Regelungen auf mehr Branchen aus, darunter Gesundheit und öffentliche Verwaltung. Sie verschärft Meldepflichten, erhöht Strafen und fordert mehr Verantwortung auf Leitungsebene. Auch Unternehmen, die nicht direkt betroffen sind, profitieren von erhöhten Sicherheitsmaßnahmen, um Vertrauen bei Partnern zu stärken und sich auf zukünftige Regularien vorzubereiten. Erste Schritte umfassen Risikobewertungen, Schulungen und Meldeprozesse, um die Cybersicherheit ganzheitlich zu integrieren.
Mehr erfahren
KI-Compliance: Ein Leitfaden für Start-ups
Das EU KI-Gesetz verpflichtet Start-ups, KI-Systeme zu dokumentieren, Risiken einzuschätzen und Mitarbeiter:innen zu schulen. Unser Leitfaden erklärt die wichtigsten Schritte – von der Bestandsaufnahme der KI-Systeme bis zur Risikoanalyse. Anhand des Beispiels von CrediScore-AI zeigen wir, wie ein Fintech-Start-up Compliance erfolgreich umsetzt: von der Klassifizierung der Systeme nach Risiko bis zur gezielten Schulung der Teams.
Mehr erfahren