Konkludente Einwilligung nach DSGVO

Die Verarbeitung personenbezogener Daten erfordert die Einhaltung entsprechender Rechtsgrundlagen. Eine davon ist die Einwilligung durch die Person, deren Daten erhoben werden sollen. Fällt aber auch die sogenannte konkludente Einwilligung unter diese Kategorie?
 

Was versteht man unter einer konkludenten Einwilligung?

Die Bezeichnung dieser Art von Einwilligung leitet sich vom lateinischen Begriff „concludere“ ab, was „einen Schluss ziehen“ oder „folgern“ bedeutet. Die konkludente Einwilligungserklärung geht also davon aus, dass anhand des Verhaltens eines Menschen auf einen bestimmten Willen geschlossen werden kann. Die handelnde Person muss hierbei nicht explizit aussprechen, was sie möchte.

Sie könnten zum Beispiel in der Fußgängerzone von einem Kamerateam um einen Kommentar zu einem bestimmten Thema gebeten werden. Sollten Sie aus freien Stücken an dem Interview teilnehmen, dann kann Ihre Zustimmung zur Verwendung und eventuellen Veröffentlichung des Filmmaterials vorausgesetzt werden. Aber auch wenn Sie in den ICE steigen, erklären Sie damit stillschweigend für diese Fahrt ein Ticket zu lösen.

Rein rechtlich kann ein Verhalten als schlüssig verstanden werden, wenn ein sogenannter Rechtsfolgewillen nach BGH NJW 1986, 977 zu erkennen ist. Dazu muss ein „nach außen hervortretendes Verhalten vorliegen, aus dem sich die Willenserklärung für den Adressaten eindeutig ergibt“ (vgl. BGHZ 74, 352, 356). Hierzu wird auch die nonverbale Kommunikation durch Gestik und Mimik, wie etwa das Handzeichen auf einer Versteigerung, gezählt. Bei der Beurteilung, ob eine konkludente Einwilligung als solche erkannt werden kann, zählt auch der sogenannte objektive Empfängerhorizont. Laut § 133 BGB muss vom Standpunkt eines unbeteiligten objektiven Dritten aus das Verhalten des Angebotsempfängers aufgrund aller äußeren Indizien auf einen wirklichen Annahmewillen schließen lassen.
 

Ist eine konkludente Einwilligung DSGVO-konform?

Grundsätzlich sind konkludente Einwilligungen mit dem Datenschutz vereinbar, denn sie sind genauso gültig wie ein aktiv bekundetes Einverständnis. Je nach Situation kann es aber schwierig sein, eine stillschweigende Einwilligung nachzuweisen. Wenn Besucher:innen einer Website der Nutzung von Cookies zustimmen, ist das Einverständnis zur möglichen Datenverarbeitung nachvollziehbar. Etwas komplizierter ist die Sachlage jedoch bei einer Firmenfeier, auf der durch die Betriebsleitung Foto- oder Videoaufnahmen gemacht werden. Dürfen Unternehmen solches Bildmaterial ohne die ausdrückliche Erlaubnis der Fotografierten weiterverarbeiten bzw. nutzen? In diesem Fall sind Organisator:innen einer solchen Veranstaltung auf der sicheren Seite, wenn sie gemäß Art. 5 Abs. 1 lit. a) DSGVO ihrer Verpflichtung zur Verarbeitung nach Treu und Glauben, Transparenz und Rechtmäßigkeit nachkommen. So können sie geladene Mitarbeiter:innen im Vorhinein oder bei Betreten der Veranstaltung auf mögliche Videoaufnahmen hinweisen und gleichzeitig um deren Einverständnis bitten. Eine solche Einverständniserklärung muss jedoch wiederum den geltenden Regeln der DSGVO gemäß behandelt werden. 

Weiterhin liegt die Beweislast für das Bestehen einer Einwilligung  beim Verantwortlichen und somit beim Unternehmen. Im Zweifelsfall muss dieser also nachweisen können, dass eine informierte, freiwillige und unmissverständliche Einwilligung eingeholt wurde. Da sich dies bei einer konkludenten Einwilligung als schwierig erachten kann, ist der sicherste Weg sich das Einverständnis der jeweiligen Person in Textform einzuholen. 

In bestimmten Fällen reicht eine konkludente Einwilligung rechtlich nicht aus. So bedarf es bei der Erhebung besonderer personenbezogener Daten einer aktiven Zustimmung der jeweiligen Person. Auch die Verarbeitung von Mitarbeiterdaten in Betrieben kann nicht auf Grundlage des stillschweigenden Einverständnisses geschehen. Diese ist nur nach § 26 Abs. 1 S 1. BDSG möglich. Außerdem dürfen personenbezogene Daten ohne aktive Einwilligung nicht an Drittländer weitergegeben werden.
 

Ist der Widerruf einer stillschweigenden Einwilligung möglich?

Rechtlich gesehen können konkludente Einwilligungserklärungen zu jeder Zeit von der betroffenen Person widerrufen werden. In der Praxis ist dies je nach Zeitpunkt des Widerrufs jedoch nicht immer ganz einfach umzusetzen. Handelt es sich um das Foto von der Firmenfeier, das Mitarbeiter:innen nicht auf der Website ihres Unternehmens sehen möchten, lässt sich ein Widerruf recht schnell und einfach durchsetzen. Die Verantwortlichen müssen die jeweiligen Fotos so schnell wie möglich von der Seite nehmen. Schwieriger wird es, wenn derartige Fotos für Broschüren oder sonstige Druckerzeugnisse verwendet wurden. Sobald diese erst einmal gedruckt und verbreitet wurden, ist eine „Löschung“ Ihres Abbildes nur schwer möglich. Sind die Drucksachen noch nicht in Umlauf gebracht worden, können Betroffene deren Vernichtung verlangen. Abgesehen vom Widerruf empfiehlt es sich bei Weiterverarbeitungen wie der Nutzung für Druckerzeugnisse, eine ausführliche Einwilligungserklärung in Textform einzuholen.
In einigen Fällen, in denen sich Verantwortliche auf die konkludente Einwilligung stützen wollen, besteht auch die alternative Möglichkeit, sich auf Art. 6 Abs. 1 lit. f) DSGVO, das berechtigte Interesse zu stützen. Demnach ist eine Verarbeitung von persönlichen Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Die Interessen oder Grundrechte der betroffenen Person dürfen dabei jedoch nicht verletzt werden. Das berechtigte Interesse käme z.B. dann in Frage, wenn Gruppenfotos angefertigt werden und intern veröffentlicht werden sollen. 
 

Konkludente Einwilligungen und Datenschutz sind also durchaus miteinander vereinbar, solange diese den Anforderungen aus Art. 4 DSGVO gerecht werden, spricht nichts gegen den Einsatz dieser Art von Zustimmung zur Datenverarbeitung.