Im Datenschutzrecht gilt der Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, soweit und solange sie nicht durch eine entsprechende gesetzliche Bestimmung erlaubt wird – das Datenschutzgesetz ist folglich, wie seit jeher, ein Verbotsgesetz mit Erlaubnistatbestand („Verbotsprinzip“). Dies wird im Wortlaut der Datenschutz-Grundverordnung (DS-GVO), wonach die Verarbeitung nur rechtmäßig ist, wenn sie auf mindestens einen der dort genannten Rechtsgründe gestützt ist, eindeutig zum Ausdruck gebracht. [1]
Nach der DS-GVO ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn eine der sechs in Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung) aufgeführten Bedingungen erfüllt ist. Eine dieser Bedingungen ist die Einwilligung der betroffenen Person in eine Verarbeitung ihrer personenbezogenen Daten zu einem oder mehreren bestimmten Zwecken.
Was ist eine Einwilligung? (Art. 4 Nr. 11 DS-GVO)
„Einwilligung“ der betroffenen Person [ist] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Was sind die Bedingungen für eine wirksame Einwilligung?
- Es bedarf einer unmissverständlich abgegebenen Willensbekundung der betroffenen Person, dass sie mit der Verarbeitung einverstanden ist. Notwendig ist ein aktives Verhalten. Vorausgefüllte Kästchen oder die bloße Weiternutzung eines Dienstes genügen nicht. Ebenso wenig genügt es als aktive Willensbekundung, wenn ein vorformulierter Einwilligungstext nicht durchgestrichen wird.
- Die Einwilligung muss freiwillig erfolgen. Die betroffene Person muss eine echte und freie Wahl haben. Sie muss die Einwilligung jederzeit ohne Nachteile verweigern oder zurückziehen können.
- Zudem darf zwischen Verantwortlichem und betroffener Person kein (klares) Ungleichgewicht bestehen, wie es etwa gegenüber Behörden oder im Beschäftigungsverhältnis häufig der Fall ist. In diesen Fällen ist deshalb vielfach keine Freiwilligkeit gegeben.
- Die Einwilligung muss in informierter Weise erfolgen. Die Einwilligungserklärung selbst muss klar und verständlich sein.
- Zudem muss die betroffene Person darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden sollen.
- Sie ist darüber hinaus über die Art der verarbeiteten Daten zu informieren und über das Recht, die Einwilligung jederzeit widerrufen zu können.
- Ggf. sind noch spezifische weitere Informationen zu geben.
Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben, also auch nicht die Schriftform. [2]
§ 126 Abs. 1 BGB: Ist durch Gesetz schriftliche Form vorgeschrieben, so muss die Urkunde von dem Aussteller eigenhändig durch Namensunterschrift oder mittels notariell beglaubigten Handzeichens unterzeichnet werden.
Eine Einwilligung kann somit auch z.B. im (double-)opt-in-Verfahren (nicht opt-out!) eingeholt werden, elektronisch oder auch telefonisch. Allerdings muss das Unternehmen aus Datenschutzsicht der Verantwortliche – d.h. derjenige der die Einwilligung für die zweckgebundene Verarbeitung einholt – in der Lage sein, die gesetzeskonforme Einwilligung „beweisen zu können“ (Art. 5 Abs. 2 DS-GVO „Rechenschaftspflicht“). Die Abgabe durch bloßes Stillschweigen oder Untätigkeit ist nicht möglich (Erwägungsgrund 32).
Als freiwillig wird die Einwilligung nur betrachtet, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat. Besteht zwischen der betroffenen Person und dem Verantwortlichen ein (klares) Ungleichgewicht, ist eine Einwilligung als (alleinige) Rechtsgrundlage für die Verarbeitung nicht ausreichend. Der Verzicht bzw. die Ablehnung einer Einwilligung darf keine Nachteile für die betroffene Person haben. Des Weiteren muss diese die Möglichkeit haben, ihre Einwilligung zurückzuziehen (widerrufen).
Formulierungsvorschlag:
Ich kann die Einwilligung ohne Angabe von Gründen verweigern, ohne dass ich deswegen Nachteile zu befürchten hätte. Ich kann diese Einwilligung zudem jederzeit in Textform (z.B. Brief, E-Mail) widerrufen. Die Angaben werden dann umgehend gelöscht und nicht mehr verwendet.
Kopplungsverbot?
Besonderes Augenmerk ist auf das Koppelungsverbot (Art. 7 Abs. 4 DS-GVO) zu legen: auf keinen Fall kann eine Annahme eines Vertrages mit der Einwilligung zur Verarbeitung von personenbezogenen Daten gekoppelt werden, wenn diese Verarbeitung nicht zur Erfüllung des Vertrages erforderlich ist. Die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung dürfen folglich auch nicht von einer Einwilligung in solche Verarbeitungen abhängig gemacht werden (Freiwilligkeit), die für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung nicht erforderlich sind. Daher ist auch eine Vertragsannahme von einer Einwilligung zu entkoppeln – d.h. eine Unterschrift/opt-in für die Vertragsannahme und eine Unterschrift/opt-in für die Einwilligung.
Wann ist der beste Zeitpunkt für eine Einwilligung?
Der beste Zeitpunkt ist vor Beginn der Datenverarbeitung – es ist auch der einzige Zeitpunkt, an dem eine Einwilligung gesetzeskonform eingeholt werden kann.
Diese Voraussetzung ist zwar nicht explizit geregelt, sie ergibt sich aber aus der Funktion der Einwilligung, eine Datenverarbeitung zu legitimieren. [3]
Was bedeutet in „informierter Weise erfolgen“ (Transparenzpflichten)?
Mit der Einführung der DS-GVO wurden die Betroffenenrechte bewusst gestärkt: „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ (Erwägungsgrund 11). Einer der Hauptpfeiler sind die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung:
– Art. 13 DS-GVO Informationspflichten bei der Direkterhebung sowie
– Art. 14 DS-GVO als Pendant bei der Erhebung von Daten bei Dritten.
Der Europäische Datenschutzausschuss (EDSA) setzt grundsätzlich voraus, dass dem Betroffenen vor der Abgabe der Einwilligung die folgenden Mindestinformationen gegeben werden müssen:
- Identität des Verantwortlichen;
- Verarbeitungszwecke;
- die verarbeiteten Daten;
- die Absicht einer ausschließlich automatisierten Entscheidung und
- die Absicht einer Datenübermittlung in Drittländer.
Die Verarbeitungszwecke müssen konkret beschrieben werden. Häufig finden sich Formulierungen wie z.B.
- um die Webseite optimal zu gestalten und zu verbessern;
- für Werbemaßnahmen
- für die Zusendung unseres Newsletters und Informationen.
Solche Formulierungen sind nicht ausreichend.
Ist Nudging zulässig?
Als sogenanntes Nudging werden Techniken bezeichnet, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Betroffenen erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging (enge) Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können. [4]
Kann eine Einwilligung widerrufen werden?
Ja – und darin liegt das Problem einer Einwilligung: der Widerruf der Einwilligung durch die betroffene Person führt zum Wegfall der Rechtsgrundlage für die Verarbeitung (Art. 7 Abs. 3 DS-GVO) und entsprechend durch den Verantwortlichen umzusetzen. Der Widerruf kann jederzeit für die Zukunft (also nicht rückwirkend) erfolgen. Dies kann durch den Betroffenen formlos erfolgen – per E-Mail, Post, Telefax, Telefon.
Art. 7 Abs. 3 S. 4 DS-GVO fordert ausdrücklich, dass der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.