Regina Mühlich - AdOrga Solutions GmbH Datenschutz

Im Da­ten­schutz­recht gilt der Grund­satz, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­bo­ten ist, soweit und solange sie nicht durch eine ent­spre­chen­de ge­setz­li­che Be­stim­mung erlaubt wird. Das Da­ten­schutz­ge­setz ist folg­lich, wie seit jeher, ein Ver­bots­ge­setz mit Er­laub­nis­tat­be­stand („Ver­bots­prin­zip“). Dies wird im Wort­laut der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO), wonach die Ver­ar­bei­tung nur recht­mä­ßig ist, wenn sie auf min­des­tens einen der dort ge­nann­ten Rechts­grün­de ge­stützt ist, ein­deu­tig zum Aus­druck ge­bracht.[1]

Nach der DSGVO ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten somit nur dann recht­mä­ßig, wenn eine der sechs in Art. 6 Abs. 1 DSGVO (Recht­mä­ßig­keit der Ver­ar­bei­tung) auf­ge­führ­ten Be­din­gun­gen erfüllt ist:

Art. 6 Abs. 1 DSGVO:
Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn min­des­tens eine der nach­ste­hen­den Be­din­gun­gen erfüllt ist:

  1. Die be­trof­fe­ne Person hat ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder mehrere be­stimm­te Zwecke gegeben;
  2. die Ver­ar­bei­tung ist für die Er­fül­lung eines Ver­trags, dessen Ver­trags­par­tei die be­trof­fe­ne Person ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men er­for­der­lich, die auf Anfrage der be­trof­fe­nen Person erfolgen;
  3. […]
Was ist eine Einwilligung?

Laut Art. 4 Nr. 11 DSGVO:
„Im Sinne dieser Ver­ord­nung be­zeich­net der Ausdruck […]

  1. „Ein­wil­li­gung“ der be­trof­fe­nen Person jede frei­wil­lig für den be­stimm­ten Fall, in in­for­mier­ter Weise und un­miss­ver­ständ­lich ab­ge­ge­be­ne Wil­lens­be­kun­dung in Form einer Er­klä­rung oder einer sons­ti­gen ein­deu­ti­gen be­stä­ti­gen­den Hand­lung, mit der die be­trof­fe­ne Person zu ver­ste­hen gibt, dass sie mit der Ver­ar­bei­tung der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist.“ […]

Die Ver­ar­bei­tung bio­me­tri­scher Daten zur ein­deu­ti­gen Iden­ti­fi­ka­ti­on einer na­tür­li­chen Person ist darüber hinaus nur unter Be­rück­sich­ti­gung der engen Grenzen des Art. 9 DSGVO und § 22 BDSG möglich:
Artikel 9 der DSGVO regelt die Ver­ar­bei­tung be­son­de­rer Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten („sen­si­ble Daten“):

  • Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, aus denen […] her­vor­ge­hen, sowie die Ver­ar­bei­tung von ge­ne­ti­schen Daten, bio­me­tri­schen Daten zur ein­deu­ti­gen Iden­ti­fi­zie­rung einer na­tür­li­chen Person, Gesundheitsdaten […]
  • 22 BDSG regelt:
  • Ab­wei­chend von Artikel 9 Absatz 1 der Ver­ord­nung (EU) 2016/679 ist die Ver­ar­bei­tung be­son­de­ren Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten im Sinne des Ar­ti­kels 9 Absatz 1 der Ver­ord­nung (EU) 2016/679 zulässig […]
Vor­aus­set­zun­gen der Einwilligung

Eine Ein­wil­li­gung ist an be­stimm­te Vor­aus­set­zun­gen ge­bun­den, d.h. sie muss be­stimm­te An­for­de­run­gen er­fül­len, um rechts­kon­form und somit gültig zu sein. Die Be­din­gun­gen für die Ein­wil­li­gung sind in Art. 7 DSGVO nor­miert: [2]

  • Es bedarf einer un­miss­ver­ständ­lich ab­ge­ge­be­nen Wil­lens­be­kun­dung der be­trof­fe­nen Person, dass sie mit der Ver­ar­bei­tung ein­ver­stan­den ist. Not­wen­dig ist ein aktives Ver­hal­ten. Vor­aus­ge­füll­te Käst­chen oder die bloße Wei­ter­nut­zung eines Diens­tes genügen nicht. Ebenso wenig genügt es als aktive Wil­lens­be­kun­dung, wenn ein vor­for­mu­lier­ter Ein­wil­li­gungs­text nicht durch­ge­stri­chen wird.
  • Die Ein­wil­li­gung muss frei­wil­lig Die be­trof­fe­ne Person muss eine echte und freie Wahl haben. Sie muss die Ein­wil­li­gung je­der­zeit ohne Nach­tei­le ver­wei­gern oder zu­rück­zie­hen können.
  • Zudem darf zwi­schen Ver­ant­wort­li­chem und be­trof­fe­ner Person kein (klares) Un­gleich­ge­wicht be­stehen, wie es etwa ge­gen­über Be­hör­den oder im Be­schäf­ti­gungs­ver­hält­nis häufig der Fall ist. In diesen Fällen ist deshalb viel­fach keine Frei­wil­lig­keit gegeben.
  • Die Ein­wil­li­gung muss in in­for­mier­ter Weise Die Ein­wil­li­gungs­er­klä­rung selbst muss klar und ver­ständ­lich sein. Zudem muss die be­trof­fe­ne Person darüber in­for­miert werden, wer der Ver­ant­wort­li­che ist und zu welchen Zwecken die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden sollen.
  • Darüber hinaus ist die be­trof­fe­ne Person über die Art der ver­ar­bei­te­ten Daten zu in­for­mie­ren und
  • über das Recht, die Ein­wil­li­gung je­der­zeit wi­der­ru­fen zu können.
  • sind noch spe­zi­fi­sche weitere In­for­ma­tio­nen zu geben.
Ein­deu­tig und freiwillig

Die Ein­wil­li­gung hat durch eine ein­deu­ti­ge be­stä­ti­gen­de Hand­lung zu er­fol­gen, mit der frei­wil­lig, für einen kon­kre­ten Fall, in in­for­mier­ter Weise und un­miss­ver­ständ­lich be­kun­det wird, dass der Be­trof­fe­ne mit der Ver­ar­bei­tung seiner per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist. Es besteht kein Schrift­form­erfor­der­nis gemäß § 126 Abs. 1 BGB. Die Ein­wil­li­gung kann auch elek­tro­nisch (z.B. per E-Mail), in einer münd­li­chen Er­klä­rung oder durch das An­kli­cken eines Käst­chens beim Besuch einer In­ter­net­sei­te erfolgen.
Still­schwei­gen, bereits an­ge­kreuz­te Käst­chen oder Un­tä­tig­keit der be­trof­fe­nen Person stellen keine Ein­wil­li­gung dar (ErwG 32).

Um wirksam zu sein, muss die Ein­wil­li­gung ins­be­son­de­re frei­wil­lig erfolgt sein. Nach Maßgabe des ErwG 43 ist eine Ein­wil­li­gung dann nicht als frei­wil­lig an­zu­se­hen, wenn ein klares Un­gleich­ge­wicht zwi­schen be­trof­fe­ner Person und dem Ver­ant­wort­li­chen der Da­ten­ver­ar­bei­tung besteht. Dies ist grundsätzlich im Rahmen von Arbeitsverhältnissen an­zu­neh­men. Dennoch sind nach Ansicht des Europäischen Da­ten­schutz­aus­schus­ses (EDSA) auch im Rahmen von Arbeitsverhältnissen Si­tua­tio­nen denkbar, in denen ein Ar­beit­ge­ber nach­wei­sen kann, dass die Ein­wil­li­gung in eine Ver­ar­bei­tung frei­wil­lig er­folg­te, ins­be­son­de­re dann, wenn die Ver­wei­ge­rung der Ein­wil­li­gung kei­ner­lei nach­tei­li­ge Folgen für den Ar­beit­neh­mer gehabt hätte.

Auch nach § 26 Abs. 2 BDSG kann eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Beschäftigten grundsätzlich auf der Grund­la­ge einer Ein­wil­li­gung er­fol­gen. Al­ler­dings sind bei der Be­ur­tei­lung der Frei­wil­lig­keit der Ein­wil­li­gung ins­be­son­de­re die im Beschäftigungsverhältnis be­stehen­de Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Ein­wil­li­gung erteilt worden ist, zu berücksichtigen. Frei­wil­lig­keit kann danach ins­be­son­de­re vor­lie­gen, wenn für die beschäftigte Person ein recht­li­cher oder wirt­schaft­li­cher Vorteil er­reicht wird oder Ar­beit­ge­ber und beschäftigte Person gleich­ge­la­ger­te In­ter­es­sen verfolgen.

Be­weis­pflicht des Verantwortlichen

Eine Ein­wil­li­gung kann wie oben dar­ge­legt z. B. auch im (Double-)Opt-in-Verfahren (nicht Opt-out!) ein­ge­holt werden, elek­tro­nisch oder auch te­le­fo­nisch. Al­ler­dings muss das Un­ter­neh­men, aus Da­ten­schutz­sicht der Ver­ant­wort­li­che, – d. h. der­je­ni­ge, der für die Ein­wil­li­gung für die zweck­ge­bun­de­ne Ver­ar­bei­tung ver­ant­wort­lich ist (auch ein Auf­trags­ver­ar­bei­ter kann im Rahmen einer Auf­trags­ver­ar­bei­tung die Ein­wil­li­gung beim Be­trof­fe­nen ein­ho­len, letzt­end­lich ist aber auch hier der Ver­ant­wort­li­che für die ge­set­zes­kon­for­me Ein­ho­lung ver­ant­wort­lich) –, in der Lage sein, die ge­set­zes­kon­for­me Ein­wil­li­gung „be­wei­sen zu können (Art. 5 Abs. 2 DSGVO – „Re­chen­schafts­pflicht“). Die Abgabe einer Ein­wil­li­gung durch bloßes Still­schwei­gen oder Un­tä­tig­keit ist nicht möglich (Er­wä­gungs­grund 32).

Als frei­wil­lig wird die Ein­wil­li­gung nur be­trach­tet, wenn die be­trof­fe­ne Person tat­säch­lich eine Wahl­mög­lich­keit hat. Besteht zwi­schen der be­trof­fe­nen Person und dem Ver­ant­wort­li­chen ein (klares) Un­gleich­ge­wicht, ist eine Ein­wil­li­gung als al­lei­ni­ge Rechts­grund­la­ge für die Ver­ar­bei­tung nicht aus­rei­chend. Der Ver­zicht bzw. die Ab­leh­nung einer Ein­wil­li­gung darf keine Nach­tei­le für die be­trof­fe­ne Person haben. Des Wei­te­ren muss diese die Mög­lich­keit haben, ihre Ein­wil­li­gung zu­rück­zu­zie­hen (wi­der­ru­fen).

Kopp­lungs­ver­bot

Be­son­de­res Au­gen­merk ist auf das Kopp­lungs­ver­bot (Art. 7 Abs. 4 DSGVO) zu legen: Auf keinen Fall kann eine Annahme eines Ver­trags mit der Ein­wil­li­gung zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ge­kop­pelt werden, wenn diese Ver­ar­bei­tung nicht zur Er­fül­lung des Ver­trags er­for­der­lich ist. Die Er­fül­lung eines Ver­trags oder die Er­brin­gung einer Dienst­leis­tung dürfen folg­lich auch nicht von einer Ein­wil­li­gung in solche Ver­ar­bei­tun­gen ab­hän­gig gemacht werden (Frei­wil­lig­keit), die für die Er­fül­lung des Ver­trags oder die Er­brin­gung der Dienst­leis­tung nicht er­for­der­lich sind.

Daher ist auch eine Ver­trags­an­nah­me von einer Ein­wil­li­gung zu ent­kop­peln, d. h. jeweils

  • eine Un­ter­schrift bzw. ein Opt-in für die Ver­trags­an­nah­me und
  • eine Un­ter­schrift bzw. ein Opt-in für die Einwilligung.
Der beste Zeitpunkt…

… ist vor Beginn der Da­ten­ver­ar­bei­tung. Es ist auch der einzige Zeit­punkt, an dem eine Ein­wil­li­gung ge­set­zes­kon­form ein­ge­holt werden kann. Diese Vor­aus­set­zung ist zwar nicht ex­pli­zit ge­re­gelt, sie ergibt sich aber aus der Funk­ti­on der Ein­wil­li­gung, eine Da­ten­ver­ar­bei­tung zu le­gi­ti­mie­ren.[3]

Was be­deu­tet „in in­for­mier­ter Weise“ (Trans­pa­renz­pflich­ten)?

Mit der Ein­füh­rung der DSGVO wurden die Be­trof­fe­nen­rech­te bewusst ge­stärkt: „Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten er­for­dert die Stär­kung und präzise Fest­le­gung der Rechte der be­trof­fe­nen Per­so­nen“ (ErwG 11). Einer der Haupt­pfei­ler sind die aus­ge­wei­te­ten Trans­pa­renz­pflich­ten bei der Datenverarbeitung:

  • Art. 13 DSGVO In­for­ma­ti­ons­pflich­ten bei der Di­rekt­er­he­bung sowie
  • Art. 14 DSGVO als Pendant bei der Er­he­bung von Daten bei Dritten.

Der Eu­ro­päi­sche Da­ten­schutz­aus­schuss (EDSA) setzt grund­sätz­lich voraus, dass dem Be­trof­fe­nen vor der Abgabe der Ein­wil­li­gung die fol­gen­den Min­dest­in­for­ma­tio­nen gegeben werden müssen:

  • Iden­ti­tät des Verantwortlichen;
  • Ver­ar­bei­tungs­zwe­cke;
  • die ver­ar­bei­te­ten Daten;
  • die Absicht einer aus­schließ­lich au­to­ma­ti­sier­ten Ent­schei­dung und
  • die Absicht einer Da­ten­über­mitt­lung in Drittländer.

Die Ver­ar­bei­tungs­zwe­cke müssen konkret be­schrie­ben werden. Häufig finden sich al­ler­dings For­mu­lie­run­gen wie z. B.

  • „um die Web­sei­te optimal zu ge­stal­ten und zu verbessern“;
  • „für Wer­be­maß­nah­men“;
  • „für die Zu­sen­dung unseres News­let­ters und Informationen“.

Solche For­mu­lie­run­gen sind nicht aus­rei­chend.

Gül­tig­keit bis in alle Ewigkeit….

Eine Ein­wil­li­gung kann je­der­zeit für die Zukunft wi­der­ru­fen werden – und darin liegt das Problem einer Ein­wil­li­gung. Der Wi­der­ruf der Ein­wil­li­gung durch die be­trof­fe­ne Person führt zum Wegfall der Rechts­grund­la­ge für die Ver­ar­bei­tung (Art. 7 Abs. 3 DSGVO) und ist ent­spre­chend durch den Ver­ant­wort­li­chen umzusetzen.

Der Wi­der­ruf kann je­der­zeit für die Zukunft (also nicht rück­wir­kend) er­fol­gen. Der Wi­der­ruf kann durch den Be­trof­fe­nen formlos er­fol­gen – per E-Mail, Post, Telefax oder Telefon.

Art. 7 Abs. 3 Satz 4 DSGVO fordert hier aus­drück­lich, dass der Wi­der­ruf der Ein­wil­li­gung so einfach wie die Er­tei­lung der Ein­wil­li­gung sein muss:
[…] 2Durch den Wi­der­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wi­der­ruf er­folg­ten Ver­ar­bei­tung nicht berührt. 3Die be­trof­fe­ne Person wird vor Abgabe der Ein­wil­li­gung hiervon in Kennt­nis gesetzt. Der Wi­der­ruf der Ein­wil­li­gung muss so einfach wie die Er­tei­lung der Ein­wil­li­gung sein.

Und auch hier gilt: Der Datenschutz­beauftragte ist recht­zei­tig ein­zu­be­zie­hen, am besten von Anfang an (Art. 38 Abs. 1 DSGVO).

 

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

 

[1] vgl. He­ber­lein: Kapitel II. Grund­sät­ze, S. 208, Rn. 4.  In: Ehmann/Selmayr (Hrsg.): DS-GVO Kom­men­tar, 2. Auflage 2018, C. H. BECK oHG, München.

[2] vgl. https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Einwilligung.html?nn=340692 [zuletzt ab­ge­ru­fen am: 11.10.2021].

[3] Buchner/Kühling, In: Kühling/Buchner: DS-GVO/BDSG, 3. Auflage 2020, Art. 7, Rn. 30.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!