Einwilligung

Wann ist eine Einwilligung nötig?

Eine Einwilligung ist nicht immer nötig. Zum Beispiel wenn

die Bearbeitungsgrundsätze eingehalten werden (und die betroffene Person somit informiert ist),
Personendaten öffentlich verfügbar sind oder
ein überwiegendes Interesse des Verantwortlichen besteht.

Eine Einwilligung ist immer nötig, wenn

vorhandene Personendaten für einen anderen Zweck verwendet werden sollen,
die Bearbeitungsgrundsätze (ohne guten Grund) nicht eingehalten werden oder
es um besonders schützenswerte Personendaten geht.

Nach Art. 6 Abs. 3 DSG dürfen Personendaten nur zu einem für die betroffene Person erkennbaren Zweck bearbeitet werden. Somit ist eine Information der betroffenen Person schon beim Beschaffen von Personendaten nötig. Wird der Beschaffung der Personendaten nicht widersprochen, kann das als implizite/formlose Einwilligung verstanden werden.

Auch in anderen Fällen ist eine Einwilligung nicht immer nötig.

Ausnahmen bestehen insbesondere nach Art. 17 Bst. e DSG, wenn eine betroffene Person Daten über sich allgemein zugänglich gemacht hat, und nach Art. 17 Bst. f DSG, wenn die Personendaten aus einem gesetzlich vorgesehenen Register stammen.

Es muss grundsätzlich auch keine Einwilligung eingeholt werden, wenn ein überwiegendes Interesse des Verantwortlichen nach Art. 31 DSG besteht. Zum Beispiel im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags, zur Prüfung der Kreditwürdigkeit oder für Forschung, Planung oder Statistik.

Für KMU relevante Themen

Erfüllung von Aufträgen

Die Erfüllung von Aufträgen sollte vertraglich geregelt sein. Für den Abschluss oder die Abwicklung von Verträgen braucht es keine separate Einwilligung zur Bearbeitung von Personendaten.

Werbung bei Kunden

Um bei bestehenden Kunden Werbung für die eigenen Produkte zu machen, braucht es keine Einwilligung. Voraussetzung ist, dass die Kunden schon für Angebote oder Dienstleistungen bezahlt haben und ihnen ähnliche Angebote gemacht werden.

Cookie-Banner

Für Webseiten existiert in der Schweiz keine Pflicht für einen Cookie-Banner, eine einfache Information reicht. In der EU besteht die Pflicht aktuell noch. Cookie-Banner werden aber voraussichtlich bald keine Pflicht mehr sein und durch einen einfachen Hinweis (Infobanner) abgelöst werden.

Versand von Marketing E-Mails

Für den Versand von Marketing E-Mails mit ähnlichen Angeboten an bestehende Kunden (haben schon etwas gekauft) ist keine Einwilligung nötig. Für den Versand von Marketing E-Mails an weitere Personen oder mit anderen Angeboten ist eine ausdrückliche Einwilligung (Opt-In) erforderlich.

Die ausdrückliche Einwilligung

Wenn besonders schützenswerte Personendaten betroffen sind, dann muss eine ausdrückliche Einwilligung vorhanden sein.

Eine ausdrückliche Einwilligung sollte nachweisbar sein.

Die betroffene Person muss angemessen informiert werden. Das bedeutet, dass über alles informiert wird, was für die Entscheidung wichtig ist. Immer dazu gehören

die Identität der Verantwortlichen,
der Zweck des Verarbeitungsvorgangs,
die betroffenen Daten und
ein Hinweis auf das Widerrufsrecht.

Nach Art. 6 Abs. 7 DSG muss die Einwilligung ausdrücklich erfolgen für die Bearbeitung von besonders schützenswerten Personendaten oder für ein Profiling mit hohem Risiko. Hier ist also die ausdrückliche Zustimmung der betroffenen Person immer nötig und sollte nachweisbar sein.

Wie eine ausdrückliche Einwilligung genau aussieht, ist nicht eindeutig definiert. Eine Einwilligung muss nicht unbedingt schriftlich erfolgen, damit sie gültig ist. Um eine Einwilligung später nachweisen zu können, muss sie aber in geeigneter Form vorliegen.

Anforderungen an eine Einwilligung

Die Form einer Einwilligung ist nicht vorgegeben.

Eine Einwilligung muss freiwillig geschehen, unmissverständlich sein und sich auf eine bestimmte Sache beziehen.

Einwilligen kann nur, wer vorher ausreichend informiert wurde. «Generelle» Einwilligungen sind ungültig.

Die Anforderungen an die Gültigkeit einer Einwilligung steigen proportional zum Risiko, das für die betroffene Person besteht.

Eine Einwilligung muss nicht in einer bestimmten Form geschehen und kann auch implizit gegeben werden. Allerdings wird es je nach dem schwierig eine implizite Einwilligung im Nachhinein zu beweisen. Die Beweislast liegt beim Datenbearbeiter, darum sollte im Zweifelsfall eine nachweisbare Einwilligung eingeholt werden.

Eine Einwilligung muss sich auf einen konkreten Sachverhalt beziehen und die einwilligende Person muss vorher ausreichend aufgeklärt worden sein.

Eine Einwilligung muss freiwillig erfolgen und sie darf nicht irreführend sein. Sie muss also klar und unmissverständlich formuliert sein.

Generelle Einwilligungen für das Bearbeiten von Daten können nicht erteilt werden, sie sind nicht gültig/rechtswirksam. Einwilligungen können nur für eine Datenbearbeitung mit einem bestimmten Umfang und Zweck gegeben werden.

Verweise

Art. 17 Abs. 1 DSG (Ausnahmen)
Art. 21 Abs. 3 DSG (Automatisierte Einzelfallentscheide)
Art. 25 Abs. 3 DSG (Auskunftsrecht betreffend Gesundheitsdaten)
Art. 31 Abs. 2 DSG (Rechtfertigungsgründe)
Art. 34 Abs. 4 DSG (Bearbeitung ohne hinreichende Rechtsgrundlage durch Bundesorgane)
Art. 36 Abs. 2, 3 und 5 DSG (Bekanntgabe von Personendaten durch Bundesorgane)
Art. 39 DSG (Datenbearbeitung für nicht personenbezogene Zwecke durch Bundesorgane)