Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap

Datenschutzrechtliche Anforderungen an eine Einwilligung

Version: 2.0, Stand der Bearbeitung: 30. April 2021

Zusammenfassung/Abstract

Die datenschutzrechtliche Einwilligung beinhaltet die autonome Entscheidung der betroffenen Person für oder gegen eine Verarbeitung ihrer personenbezogenen Daten und ermöglicht die Erhaltung der informationellen Selbstbestimmung bei gleichzeitiger Verarbeitung personenbezogener Daten durch interessierte Parteien. Während in Art. 4 Ziff. 11 DS-GVO die Begriffsbestimmung zu finden ist, muss zur Erfassung, was für eine rechtswirksame Einwilligung alles beachtet werden muss, Art. 4 Ziff. 11, Art. 7 und Art. 6 Abs. 1 lit. a DS-GVO bzw. bei sensiblen Daten wie genetischen oder Gesundheitsdaten Art. 4 Ziff. 11, Art. 7 und Art. 9 Abs. 2 lit. a DS-GVO zusammen betrachtet werden.
Einer Einwilligung kann nur zustimmen, wer einsichtsfähig ist. Einsichtsfähig bedeutet: Betroffene Personen, die über eine Einwilligung entscheiden können sollen, müssen einerseits eine hinreichende Fähigkeit zur kognitiven Erfassung des Sachverhalts einschließlich der mit einer Einwilligung verbundenen Folgen aufweisen, gleichzeitig muss die Fähigkeit zur selbstbestimmten Willensbildung sowie Willensbekundung vorhanden sein. Daneben sind die wichtigsten Anforderungen an eine rechtsgültige Einwilligung: Bei den in Art. 9 Abs. 1 DS-GVO genannten Daten wie genetischen und Gesundheitsdaten ist zudem eine ausdrückliche Einwilligung erforderlich, was bei diesen Daten sowohl eine stillschweigende, als auch eine mutmaßliche und ebenso eine konkludente Einwilligung ausschließt. Die DS-GVO enthält keine konkreten Vorgaben hinsichtlich der Form einer Einwilligung. Somit gilt der Grundsatz der Formfreiheit: Eine Einwilligung kann mündlich, schriftlich oder auch elektronisch (z. B. durch eine E-Mail oder ein Webformular) abgegeben werden. Jedoch existiert eine Nachweispflicht: Verantwortliche müssen gemäß Art. 7 Abs. 1 DS-GVO den Nachweis des Vorliegens einer rechtsgültigen Einwilligung erbringen können. Die DS-GVO schreibt jedoch nicht vor, wie der Nachweis zu erbringen ist; bei elektronischen Einwilligungen wird regelhaft eine Protokollierung für den Nachweis eingesetzt. Wird gegen die Vorgaben hinsichtlich einer Einwilligung verstoßen, insbesondere eine auf Einwilligung als Rechtsgrundlage basierende Verarbeitung ohne rechtskonforme Einwilligung durchgeführt, so findet das „höhere“ Bußgeld (von bis zu 20.000. Euro bzw. 4 % des weltweit erzielten Umsatzes) Anwendung.
Bei der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten ist zu beachten, dass eine Einwilligung in die Verarbeitung dieser Daten nur möglich ist, wenn der betreffende Mitgliedstaat kein Verbot dieser Verarbeitung erlassen hat. So ist z. B. die Verarbeitung von Sozialdaten in Deutschland abschließend in den Sozialgesetzbüchern geregelt und eine von den dort legitimierten Verarbeitungsmöglichkeiten abweichende Nutzung von Sozialdaten dürfte auch mit einer Einwilligung nicht legitimiert werden können. Weiterhin können entsprechend Art. 9 Abs. 4 DS-GVO die Mitgliedsstaaten durch nationale Regelungen für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten „zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten“. Dies geschah in Deutschland sowohl im Bundesrecht wie auch in den verschiedenen, durch die Bundesländer erlassenen Gesetzen.

Die Praxishilfe wurde von den Verbänden unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/deed.de“ bzw. für den vollständigen Lizenztext auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/legalcode“.

Download der Ausarbeitung: