Der EuGH verschärft Anforderungen an Nachweis und Freiwilligkeit – ohne aktive Einwilligung DSGVO ist die Verarbeitung personenbezogener Daten unzulässig. Mit seinem Urteil vom 11. November 2020 hat der Europäische Gerichtshof (EuGH) erneut klargestellt: Eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten setzt ein aktives Verhalten der betroffenen Person voraus. Vorgekreuzte Kästchen, pauschale Vertragsklauseln oder „stillschweigende Zustimmung“ reichen hierfür nach der Datenschutz-Grundverordnung (DSGVO) nicht aus. Damit betont der EuGH erneut die zentrale Bedeutung der aktiven Einwilligung als Grundlage datenschutzkonformer Datenverarbeitung nach Art. 6 Abs. 1 lit. a DSGVO.
Hintergrund des EuGH-Urteils: Mobilfunkanbieter sammelt Ausweiskopien
Der rumänische Telekommunikationsanbieter Orange România verlangte beim Abschluss von Mobilfunkverträgen von seinen Kunden, dass diese Kopien ihres Ausweisdokuments anfertigen und dauerhaft speichern lassen. Die entsprechenden Verträge enthielten eine Standardklausel, die vorgab, dass die Kunden über die Datenverarbeitung informiert seien und darin eingewilligt hätten. Allerdings war das zugehörige Ankreuzfeld im Vertragsformular regelmäßig bereits durch Mitarbeitende des Unternehmens vorab markiert worden.
Die rumänische Datenschutzbehörde ANSPDCP sah hierin einen klaren Verstoß gegen das Datenschutzrecht, verhängte ein Bußgeld und ordnete die Vernichtung der gesammelten Ausweiskopien an. Orange România legte Rechtsmittel ein – woraufhin das zuständige rumänische Gericht den EuGH um Auslegung zentraler Bestimmungen der Richtlinie 95/46/EG sowie der Datenschutz-Grundverordnung (DSGVO) bat bezüglich der Verarbeitung personenbezogener Daten.
Rechtliche Leitlinien des EuGH zur Einwilligung nach der DSGVO
1. Anforderungen an die aktive Einwilligung nach DSGVO
Nach Ansicht des EuGH müssen Einwilligungen in die Verarbeitung personenbezogener Daten folgende Voraussetzungen erfüllen:
- freiwillig,
- für den konkreten Fall,
- in informierter Weise,
- durch aktive Handlung.
Eine gültige Einwilligung personenbezogener Daten nach der DSGVO erfordert eine eindeutige und bewusste Entscheidung des Betroffenen. Bereits angekreuzte Kästchen, unterschwellige Zustimmung („stillschweigend“) oder formularartige Bestätigungsklauseln genügen nicht. Die betroffene Person muss über alle maßgeblichen Informationen – insbesondere über den Zweck, Umfang und die Dauer der Verarbeitung sowie die Identität des Verantwortlichen – in klarer und verständlicher Sprache informiert werden. Damit bekräftigt der EuGH, dass aktive Einwilligungen bezüglich personenbezogener Daten ein zentrales Element der DSGVO-Compliance und der rechtmäßigen Datenverarbeitung darstellen.
2. Beweislast liegt beim Unternehmen
Der EuGH stellt klar: Es ist allein Sache des Verantwortlichen (Art. 7 Abs. 1 DSGVO), nachzuweisen, dass eine wirksame Einwilligung bezüglich personenbezogener Daten vorliegt. Dies umfasst:
- die aktive Zustimmung durch die betroffene Person,
- die ordnungsgemäße Information über alle relevanten Umstände.
Ein Vertrag mit einem vorangekreuzten Kästchen, das vom Anbieter selbst markiert wurde, erfüllt diesen Beweismaßstab nicht.
Damit konkretisiert der EuGH die Nachweispflicht zur Einwilligung bei personenbezogenen Daten und unterstreicht die Bedeutung der Dokumentation und Nachvollziehbarkeit für die Datenschutz-Compliance nach DSGVO. Schulen Sie diesbezüglich auch Ihre Mitarbeiter!
3. Einwilligung darf bei personenbezogenen Daten nicht erschlichen werden
Der EuGH nimmt zudem Bezug auf die Freiwilligkeit der Einwilligung bei personenbezogenen Daten als Kernelement der DSGVO. Diese ist nicht gegeben, wenn:
- der Betroffene nicht darüber informiert wird, dass der Vertrag auch ohne Einwilligung abgeschlossen werden kann,
- die Verweigerung der Einwilligung mit zusätzlichem Aufwand verbunden ist (etwa durch ein separates Weigerungsformular),
- oder durch Gestaltung und Druckmittel („Nudging“) ein Einwilligungsdruck entsteht.
Die Entscheidung des EuGH lehnt damit indirekt auch manipulative Einwilligungsmechanismen bei personenbezogenen Daten ab, wie sie etwa im Rahmen sogenannter „Dark Patterns“ oder durch unklare Gestaltung von Opt-in-Funktionen zum Einsatz kommen.
Das Urteil stärkt somit die Datenschutzgrundsätze Transparenz, Freiwilligkeit und Informiertheit im Sinne der DSGVO.
Auswirkungen für die Praxis und Datenschutz-Compliance
Für datenverarbeitende Unternehmen – nicht nur im Telekommunikationssektor – ergibt sich aus dem Urteil ein klarer Handlungsbedarf zur Optimierung der Einwilligungspraxis bezüglich personenbezogener Daten.
Insbesondere sind folgende Punkte zu beachten:
- Einwilligungen bezüglich personenbezogener Daten müssen durch Nutzer selbst aktiv erfolgen – etwa durch das manuelle Anklicken eines zuvor leeren Feldes.
- Der Einwilligungsvorgang darf nicht mit anderen Vertragselementen vermischt oder verborgen werden.
- Es ist dringend davon abzuraten, Einwilligungen vorzuformulieren oder Bestätigungsklauseln ohne gesonderte Abfrage zu verwenden.
- Unternehmen sollten Verfahrensanweisungen und interne Dokumentationen bereitstellen, um im Streitfall beweisen zu können, dass die DSGVO-Anforderungen erfüllt wurden.
Fazit zum Erfordernis der aktiven Einwilligung bei personenbezogenen Daten
Mit dem Urteil in der Sache Orange România verschärft der EuGH den Maßstab für eine datenschutzrechtlich wirksame Einwilligung bei personenbezogenen Daten und bekräftigt die Position, die bereits in der Planet49-Entscheidung grundgelegt wurde. Die Entscheidung betont die hohe Bedeutung der individuellen Selbstbestimmung im Datenschutzrecht und fordert eine klare, transparente und dokumentierte Einwilligungspraxis.
Unternehmen sind gut beraten, ihre Verfahren, Vertragsformulare und Datenschutzdokumente entsprechend zu überprüfen – denn fehlende oder unwirksame Einwilligungen können nicht nur zur Unwirksamkeit der Datenverarbeitung führen, sondern auch erhebliche Bußgelder gem. Art. 83 DSGVO nach sich ziehen.
Unternehmen sollten die Anforderungen des EuGH-Urteils zur aktiven DSGVO-Einwilligung bei personenbezogenen Daten nicht nur rechtlich verstehen, sondern auch praktisch umsetzen. Besonders wichtig ist, dass Mitarbeitende im Umgang mit personenbezogenen Daten geschult werden – denn sie tragen die Verantwortung für die tägliche Einhaltung der Datenschutzvorgaben.
Fragen zur rechtssicheren Umsetzung der aktiven Einwilligung nach DSGVO?
Buchen Sie unsere DSGVO-Schulung und machen Sie Ihre Mitarbeitenden fit im Datenschutzrecht – von der rechtssicheren Einwilligung bis zur täglichen Datenverarbeitung. Alternativ können Sie auch eine individuelle Beratung bei einem unserer spezialisierten Anwälte anfordern.
❓ FAQ: Verarbeitung personenbezogener Daten erfordert aktive Einwilligung gemäß DSGVO laut EuGH
Der EuGH hat entschieden, dass eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten nur dann vorliegt, wenn die betroffene Person aktiv, freiwillig und informiert zustimmt. Ein vorab angekreuztes Kästchen in einem Vertrag – selbst wenn der Vertrag unterschrieben wird – genügt nicht als Nachweis für eine wirksame Einwilligung.
Die betroffene Person muss die Einwilligung selbstständig und bewusst durch eine aktive und bestätigende Handlung abgeben. Typische Beispiele:
- Manuelles Anklicken eines nicht vorangekreuzten Kästchens auf einem Bildschirm oder Formular,
- Unterschrift unter eine separate Einwilligungserklärung, die klar von anderen Vertragsinhalten getrennt ist.
Nur ein Opt-in erfüllt die aktive Einwilligung DSGVO; vorangekreuzte Kästchen sind unzulässig (EuGH, Planet49).
Nein, eine pauschale Vertragsklausel ersetzt keine aktive Einwilligung nach DSGVO. Wenn eine Vertragsklausel lediglich pauschal erklärt, dass der Kunde „informiert wurde und einwilligt“, genügt das nicht, insbesondere dann nicht, wenn:
- das entsprechende Kästchen schon vom Unternehmen angekreuzt wurde,
- der Kunde nicht erkennen kann, dass er auch ohne Einwilligung einen Vertrag schließen könnte,
- die Einwilligung nicht klar von anderen Vertragsbestandteilen getrennt ist.
Die Beweislast liegt zur aktiven Einwilligung nach DSGVO liegt vollständig beim datenverarbeitenden Unternehmen (Art. 7 Abs. 1 DSGVO). Es muss dokumentieren, dass:
- die Einwilligung freiwillig und aktiv erteilt wurde,
- die betroffene Person vollständig und verständlich informiert wurde.
Ja. Das Urteil bezieht sich auf die Auslegung der Datenschutz-Grundverordnung (DSGVO), die in der gesamten EU unmittelbar gilt. Es ist daher für Unternehmen und Behörden in allen Mitgliedstaaten verbindlich.
Verstößt ein Unternehmen gegen die Vorgaben zur Einwilligung bei personenbezogenen Daten, drohen:
- Unwirksamkeit der gesamten Datenverarbeitung,
- Löschung der betroffenen Daten (in diesem Fall: Ausweiskopien),
- Bußgelder nach Art. 83 DSGVO
Sie haben Fragen zur Umsetzung der DSGVO? Nehmen Sie gerne an unserer DSGVO Sprechstunde teil!
Weiterführende Themen
EuGH zur DSGVO: Verarbeitung personenbezogener Daten erfordert aktive Einwilligung
Der Europäische Gerichtshof hat klargestellt: Ohne echte, freiwillige Zustimmung ist die Verarbeitung personenbezogener Daten unzulässig. Vorgekreuzte Kästchen und pauschale Klauseln reichen nicht aus. Warum dieses Urteil für Unternehmen ein Weckruf ist – und wie Sie Ihre Einwilligungsprozesse rechtssicher gestalten sollten. Jetzt weiterlesen!
DSGVO: EuGH stärkt Verbraucherschutzverbände und Verbandsklagen
DSGVO: EuGH stärkt Verbraucherschutzverbände – Zwei richtungsweisende Urteile verändern die Spielregeln im Datenschutzrecht: Verbände dürfen künftig auch ohne konkreten Auftrag gegen Unternehmen vorgehen. Was das für Ihre Datenschutzerklärung, Einwilligungsprozesse und die Abmahngefahr bedeutet, erfahren Sie hier.
BGH-Urteil zur Cookie-Einwilligung: Aktive Zustimmung wird Pflicht
Was wie ein harmloser Klick im Gewinnspiel beginnt, wird zum Grundsatzurteil für digitalen Datenschutz. Erfahre, warum der BGH mit „Cookie-Einwilligung II“ das Online-Marketing auf den Kopf stellt und was Webseitenbetreiber jetzt wirklich beachten müssen. Transparenz, Opt-in, Rechtsklarheit – hier geht’s um mehr als nur Häkchen!