Ein­wil­li­gung – die frei­wil­li­ge Zustimmung

Im Da­ten­schutz­recht gilt der Grund­satz, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­bo­ten ist, soweit und solange sie nicht durch eine ent­spre­chen­de ge­setz­li­che Be­stim­mung erlaubt wird – das Da­ten­schutz­ge­setz ist folg­lich, wie seit jeher, ein Ver­bots­ge­setz mit Er­laub­nis­tat­be­stand („Ver­bots­prin­zip“). Dies wird im Wort­laut der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO), wonach die Ver­ar­bei­tung nur recht­mä­ßig ist, wenn sie auf min­des­tens einen der dort ge­nann­ten Rechts­grün­de ge­stützt ist, ein­deu­tig zum Aus­druck ge­bracht. ^[1]
Nach der DS-GVO ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nur dann recht­mä­ßig, wenn eine der sechs in Art. 6 Abs. 1 DSGVO (Recht­mä­ßig­keit der Ver­ar­bei­tung) auf­ge­führ­ten Be­din­gun­gen erfüllt ist. Eine dieser Be­din­gun­gen ist die Ein­wil­li­gung der be­trof­fe­nen Person in eine Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu einem oder meh­re­ren be­stimm­ten Zwecken.

Was ist eine Ein­wil­li­gung? (Art. 4 Nr. 11 DS-GVO)
„Ein­wil­li­gung“ der be­trof­fe­nen Person [ist] jede frei­wil­lig für den be­stimm­ten Fall, in in­for­mier­ter Weise und un­miss­ver­ständ­lich ab­ge­ge­be­ne Wil­lens­be­kun­dung in Form einer Er­klä­rung oder einer sons­ti­gen ein­deu­ti­gen be­stä­ti­gen­den Hand­lung, mit der die be­trof­fe­ne Person zu ver­ste­hen gibt, dass sie mit der Ver­ar­bei­tung der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist.“

Was sind die Be­din­gun­gen für eine wirk­sa­me Einwilligung?

• Es bedarf einer un­miss­ver­ständ­lich ab­ge­ge­be­nen Wil­lens­be­kun­dung der be­trof­fe­nen Person, dass sie mit der Ver­ar­bei­tung ein­ver­stan­den ist. Not­wen­dig ist ein aktives Ver­hal­ten. Vor­aus­ge­füll­te Käst­chen oder die bloße Wei­ter­nut­zung eines Diens­tes genügen nicht. Ebenso wenig genügt es als aktive Wil­lens­be­kun­dung, wenn ein vor­for­mu­lier­ter Ein­wil­li­gungs­text nicht durch­ge­stri­chen wird.
• Die Ein­wil­li­gung muss frei­wil­lig er­fol­gen. Die be­trof­fe­ne Person muss eine echte und freie Wahl haben. Sie muss die Ein­wil­li­gung je­der­zeit ohne Nach­tei­le ver­wei­gern oder zu­rück­zie­hen können.
• Zudem darf zwi­schen Ver­ant­wort­li­chem und be­trof­fe­ner Person kein (klares) Un­gleich­ge­wicht be­stehen, wie es etwa ge­gen­über Be­hör­den oder im Be­schäf­ti­gungs­ver­hält­nis häufig der Fall ist. In diesen Fällen ist deshalb viel­fach keine Frei­wil­lig­keit gegeben.
• Die Ein­wil­li­gung muss in in­for­mier­ter Weise er­fol­gen. Die Ein­wil­li­gungs­er­klä­rung selbst muss klar und ver­ständ­lich sein.
• Zudem muss die be­trof­fe­ne Person darüber in­for­miert werden, wer der Ver­ant­wort­li­che ist und zu welchen Zwecken die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden sollen.
• Sie ist darüber hinaus über die Art der ver­ar­bei­te­ten Daten zu in­for­mie­ren und über das Recht, die Ein­wil­li­gung jeder­zeit wi­der­ru­fen zu können.
• Ggf. sind noch spe­zi­fi­sche weitere In­for­ma­tio­nen zu geben.

Eine be­stimm­te Form ist für die Ein­wil­li­gung nicht vor­ge­schrie­ben, also auch nicht die Schrift­form. ^[2]

§ 126 Abs. 1 BGB: Ist durch Gesetz schrift­li­che Form vor­ge­schrie­ben, so muss die Urkunde von dem Aus­stel­ler ei­gen­hän­dig durch Na­mens­un­ter­schrift oder mittels no­ta­ri­ell be­glau­big­ten Hand­zei­chens un­ter­zeich­net werden.

Eine Ein­wil­li­gung kann somit auch z.B. im (double-)opt-in-Verfahren (nicht opt-out!) ein­ge­holt werden, elek­tro­nisch oder auch te­le­fo­nisch. Al­ler­dings muss das Un­ter­neh­men aus Da­ten­schutz­sicht der Ver­ant­wort­li­che – d.h. der­je­ni­ge der die Ein­wil­li­gung für die zweck­ge­bun­de­ne Ver­ar­bei­tung einholt – in der Lage sein, die ge­set­zes­kon­for­me Ein­wil­li­gung „be­wei­sen zu können“ (Art. 5 Abs. 2 DS-GVO „Re­chen­schafts­pflicht“). Die Abgabe durch bloßes Still­schwei­gen oder Un­tä­tig­keit ist nicht möglich (Er­wä­gungs­grund 32).
Als frei­wil­lig wird die Ein­wil­li­gung nur be­trach­tet, wenn die be­trof­fe­ne Person tat­säch­lich eine Wahl­mög­lich­keit hat. Besteht zwi­schen der be­trof­fe­nen Person und dem Ver­ant­wort­li­chen ein (klares) Un­gleich­ge­wicht, ist eine Ein­wil­li­gung als (al­lei­ni­ge) Rechts­grund­la­ge für die Ver­ar­bei­tung nicht aus­rei­chend. Der Ver­zicht bzw. die Ab­leh­nung einer Ein­wil­li­gung darf keine Nach­tei­le für die be­trof­fe­ne Person haben. Des Wei­te­ren muss diese die Mög­lich­keit haben, ihre Ein­wil­li­gung zu­rück­zu­zie­hen (wi­der­ru­fen).

For­mu­lie­rungs­vor­schlag:
Ich kann die Ein­wil­li­gung ohne Angabe von Gründen ver­wei­gern, ohne dass ich des­we­gen Nach­tei­le zu be­fürch­ten hätte. Ich kann diese Ein­wil­li­gung zudem je­der­zeit in Text­form (z.B. Brief, E-Mail) wi­der­ru­fen. Die Angaben werden dann um­ge­hend ge­löscht und nicht mehr verwendet.

Kopp­lungs­ver­bot?
Be­son­de­res Au­gen­merk ist auf das Kop­pe­lungs­ver­bot (Art. 7 Abs. 4 DS-GVO) zu legen: auf keinen Fall kann eine Annahme eines Ver­tra­ges mit der Ein­wil­li­gung zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ge­kop­pelt werden, wenn diese Ver­ar­bei­tung nicht zur Er­fül­lung des Ver­tra­ges er­for­der­lich ist. Die Er­fül­lung eines Ver­tra­ges oder die Er­brin­gung einer Dienst­leis­tung dürfen folg­lich auch nicht von einer Ein­wil­li­gung in solche Ver­ar­bei­tun­gen ab­hän­gig gemacht werden (Frei­wil­lig­keit), die für die Er­fül­lung des Ver­tra­ges oder die Er­brin­gung der Dienst­leis­tung nicht er­for­der­lich sind. Daher ist auch eine Ver­trags­an­nah­me von einer Ein­wil­li­gung zu ent­kop­peln  – d.h. eine Un­­ter­­schrif­­t/­­opt-in für die Ver­trags­an­nah­me und eine Un­­ter­­schrif­­t/­­opt-in für die Einwilligung.

Wann ist der beste Zeit­punkt für eine Einwilligung?
Der beste Zeit­punkt ist vor Beginn der Da­ten­ver­ar­bei­tung  – es ist auch der einzige Zeit­punkt, an dem eine Ein­wil­li­gung ge­set­zes­kon­form ein­ge­holt werden kann.
Diese Vor­aus­set­zung ist zwar nicht ex­pli­zit ge­re­gelt, sie ergibt sich aber aus der Funk­ti­on der Ein­wil­li­gung, eine Da­ten­ver­ar­bei­tung zu le­gi­ti­mie­ren. ^[3]

Was be­deu­tet in „in­for­mier­ter Weise er­fol­gen“ (Trans­pa­renz­pflich­ten)?
Mit der Ein­füh­rung der DS-GVO wurden die Be­trof­fe­nen­rech­te bewusst ge­stärkt: „Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten er­for­dert die Stär­kung und präzise Fest­le­gung der Rechte der be­trof­fe­nen Per­so­nen“ (Er­wä­gungs­grund 11). Einer der Haupt­pfei­ler sind die aus­ge­wei­te­ten Trans­pa­renz­pflich­ten bei der Datenverarbeitung:
– Art. 13 DS-GVO In­for­ma­ti­ons­pflich­ten bei der Di­rekt­er­he­bung sowie
– Art. 14 DS-GVO als Pendant bei der Er­he­bung von Daten bei Dritten.

Der Eu­ro­päi­sche Da­ten­schutz­aus­schuss (EDSA) setzt grund­sätz­lich voraus, dass dem Be­trof­fe­nen vor der Abgabe der Ein­wil­li­gung die fol­gen­den Min­dest­in­for­ma­tio­nen gegeben werden müssen:

• Iden­ti­tät des Verantwortlichen;
• Ver­ar­bei­tungs­zwe­cke;
• die ver­ar­bei­te­ten Daten;
• die Absicht einer aus­schließ­lich au­to­ma­ti­sier­ten Ent­schei­dung und
• die Absicht einer Da­ten­über­mitt­lung in Drittländer.

Die Ver­ar­bei­tungs­zwe­cke müssen konkret be­schrie­ben werden. Häufig finden sich For­mu­lie­run­gen wie z.B.

• um die Web­sei­te optimal zu ge­stal­ten und zu verbessern;
• für Wer­be­maß­nah­men
• für die Zu­sen­dung unseres News­let­ters und Informationen.

Solche For­mu­lie­run­gen sind nicht aus­rei­chend.

Ist Nudging zulässig?
Als so­ge­nann­tes Nudging werden Tech­ni­ken be­zeich­net, durch die das Ver­hal­ten der Nutzer be­ein­flusst werden soll. Diese Be­ein­flus­sung kann grund­sätz­lich im In­ter­es­se des Be­trof­fe­nen er­fol­gen oder im – ent­ge­gen­ste­hen­den – In­ter­es­se des­je­ni­gen, der Nudging ein­setzt. Wird Nudging vom Ver­ant­wort­li­chen mit dem Ziel ein­ge­setzt, den Be­trof­fe­nen zur Er­tei­lung der Ein­wil­li­gung zu ver­lei­ten, so kann damit je nach kon­kre­ter Aus­ge­stal­tung gegen un­ter­schied­li­che recht­li­che Vor­ga­ben für die da­ten­schutz­recht­li­che Ein­wil­li­gung ver­sto­ßen werden. Fest steht, dass einem er­laub­ten Nudging (enge) Grenzen gesetzt sind und ver­hal­tens­ma­ni­pu­lie­ren­de Aus­ge­stal­tun­gen zu einer Un­wirk­sam­keit der Ein­wil­li­gung führen können. ^[4]

Kann eine Ein­wil­li­gung wi­der­ru­fen werden?
Ja – und darin liegt das Problem einer Ein­wil­li­gung: der Wi­der­ruf der Ein­wil­li­gung durch die be­trof­fe­ne Person führt zum Wegfall der Rechts­grund­la­ge für die Ver­ar­bei­tung (Art. 7 Abs. 3 DS-GVO) und ent­spre­chend durch den Ver­ant­wort­li­chen um­zu­set­zen. Der Wi­der­ruf kann je­der­zeit für die Zukunft (also nicht rück­wir­kend) er­fol­gen. Dies kann durch den Be­trof­fe­nen formlos er­fol­gen – per E-Mail, Post, Telefax, Telefon.
Art. 7 Abs. 3 S. 4 DS-GVO fordert aus­drück­lich, dass der Wi­der­ruf der Ein­wil­li­gung so einfach wie die Er­tei­lung der Ein­wil­li­gung sein muss.

 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

[1] Vgl. He­ber­lein, Kapitel II. Grund­sät­ze, S. 208. In: Ehmann, E., Selmayr, M., (Hrsg.), (2018), DS-GVO Kom­men­tar, 2. Auflage, Verlag C. H. BECK oHG, München.[2] Vgl. https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/Einwilligung.html (zuletzt ab­ge­ru­fen am 12.01.2021)[3] Buchner/Kühling, In: Kühling/Buchner, DS-GVO/BDSG, 3. Auflage 2020, Art. 7, Rn. 30.[4] Vgl. https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html (zuletzt ab­ge­ru­fen am 12.01.2021)