Читать книгу DS-GVO/BDSG - David Klein - Страница 161

211

Aus der Definition der Einwilligung ergeben sich Wirksamkeitsvoraussetzungen für die datenschutzrechtliche Einwilligung.[489] Tatbestandsmerkmale sind die Freiwilligkeit[490], die Bestimmtheit[491], die Informiertheit[492] und die unmissverständlich abgegebene Willensbekundung[493]. Diese Begriffe werden von den Aufsichtsbehörden der verschiedenen Mitgliedstaaten unterschiedlich ausgelegt. Unternehmen mit Hauptniederlassung[494] in Deutschland sollten sich gleichwohl auch im Falle grenzüberschreitender Datenverarbeitungen aufgrund des One-Stop-Shop-Prinzip[495] an der Auslegung der deutschen Datenschutzaufsicht orientieren, da allein diese für sie praktische Bedeutung erlangt.

212

Hinzu kommt für besondere Verarbeitungssituationen die Ausdrücklichkeit. Dies gilt für eine Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a. Zu denken ist hier an Gesundheitsdaten[496], aber auch an automatisierte Entscheidungen[497] und an die Datenübermittlungen in Drittländer[498].

213

Online erfolgt die Gestaltung von Einwilligungserklärungen in der Regel nach dem Opt-in- oder dem Opt-out-Prinzip. Hierbei ist entweder die Zustimmung zur Datenverarbeitung bereits voreingestellt, kann aber abgewählt werden („Widerspruchslösung“) oder die Ablehnung der Datenverarbeitung ist voreingestellt, die Einwilligung kann aber entsprechend erteilt werden („Zustimmungslösung“). ErwG 32 nennt das „Anklicken eines Kästchens beim Besuch einer Internetseite“ und damit eine Erklärung nach dem Opt-in-Prinzip ausdrücklich als tatbestandliche Einwilligung.[499] Nicht ausreichend sind hiernach jedoch „bereits angekreuzte Kästchen“ und damit Erklärungen nach dem Opt-Out-Prinzip.[500] Alternativ gibt es die Möglichkeit einer sog. Mandated Choice[501], bei welcher es keine voreingestellte Auswahloption gibt. Vielmehr muss sowohl die Zustimmung als auch die Ablehnung der Datenverarbeitung stets ausgewählt werden. Diese ist, da sie dem Schutzinteresse der betroffenen Person im hohen Maße Rechnung trägt, prinzipiell geeignet eine wirksame Einwilligung hervorzubringen. Grenzen zeigen sich, zumindest wenn es um eine Datenverarbeitung der in Art. 9 genannten Daten geht,[502] womöglich aber dort, wo der Entscheidungsgestaltung trotz verschiedener Auswahloptionen eine Verhaltenssteuerung durch sog. Framing[503] innewohnt. Gemeint ist hiermit etwa die positive Formulierung der Zustimmung im Vergleich zur Ablehnung oder das Betonen der Vorzüge, die die Zustimmung ermöglicht ohne auf Nachteile und Gefahren hinzuweisen.[504]

214

Hinsichtlich der Voraussetzungen an eine wirksame Einwilligung hat der EuGH 2019 über ein Vorabentscheidungsersuchen des BGH von 2017[505] bezüglich der Frage entschieden, ob eine nach der ePrivacy-RL in Verbindung mit der DSRL bzw. der DS-GVO wirksame Einwilligung für die Verwendung von Cookies auch im Falle eines voreingestellten Ankreuzkästchens vorliegt, das der Nutzer abwählen muss. Bei der Teilnahme an einem Internetgewinnspiel waren für den Nutzer Name und Anschrift einzutragen. Hier befanden sich zwei mit Ankreuzfeldern versehene Texte. Dabei war der zweite Hinweistext mit einem voreingestellten Häkchen versehen und gab die Einwilligung des Nutzers hinsichtlich der Verwendung von Cookies durch einen Webanalysedienst zu Auswertung des Surf- und Nutzungsverhaltens vor.

215

Ob voreingestellte Ankreuzkästchen als wirksame Einwilligung für die Verwendung von Cookies gelten, hängt von der Auslegung der Art. 5 Abs. 3, 2 ePrivacy-RL (RL 2002/58/EG) in Verbindung mit Art. 2 lit. h DSRL (RL 95/46/EG) bzw. Art. 4 Nr. 11, 6 Abs. 1 lit. a, 94 Abs. 2 DS-GVO sowie im nationalen Recht von der Anwendbarkeit des § 15 Abs. 3 TMG ab.

216

Der BGH ging schon für den Geltungszeitraum der DSRL unter Auslegung des ErwG 17 der ePrivacy-RL („Die Einwilligung kann in jeder geeigneten Weise gegeben werden, wodurch der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt (…); hierzu zählt auch das Markieren eines Feldes auf einer Internetseite“) und ErwG 66 der Cookie-RL (RL 2009/136/EG) davon aus, dass der Begriff der „spezifischen Angabe“ dahingehend auszulegen ist, dass eine gesonderte Einwilligung erforderlich ist und Opt-Out-Erklärungen nicht den Voraussetzungen der ePrivacy-RL entsprechen.[506] Erst recht gelte dieses Ergebnis seit dem Inkrafttreten der DS-GVO im Jahr 2018, denn nach Art. 94 Abs. 2 DS-GVO gelten Verweise der ePrivacy-RL auf die DSRL nunmehr als Verweise auf die DS-GVO und somit deren besondere Voraussetzungen hinsichtlich der Rechtmäßigkeit einer Einwilligung.[507] ErwG 32 der DS-GVO enthält insoweit die Aussage, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person (…) keine Einwilligung darstellen (…).“ Daraus folgt für den BGH, dass Erklärungen i.S. e. Opt-Out, weder im Geltungszeitraum der Datenschutzrichtlinie i.V.m. Art. 5 Abs. 3 ePrivacy-RL eine wirksame Einwilligung darstellten[508] noch aktuell unter der DS-GVO darstellen können.[509]

217

Der EuGH bestätigte diese Sichtweise nunmehr in seinem Urteil in der Rs. Planet49.[510] Er führt insofern aus, dass Art. 5 Abs. 3 ePrivacy-RL i.V.m. Art. 2 Buchst. h der DSRL bzw. Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DS-GVO dahingehend auszulegen sind, „dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“[511] Der EuGH begründet dies mit dem Wortlaut und der Entstehungsgeschichte des Art. 5 Abs. 3 ePrivacy-RL.[512] Die Formulierung „Einwilligung geben“ lege ein Tätigwerden des Nutzers nahe.[513] Auch der Wortlaut des Art. 2 lit. h DSRL fordere aufgrund des Erfordernisses einer „Willensbekundung“ ein aktives und kein passives Verhalten.[514] Seit dem Inkrafttreten der DS-GVO stütze sich dieses Ergebnis zudem auf ErwG 32 DS-GVO, der ausdrücklich eine aktive Einwilligung vorsehe.[515]

218

Damit sind allerdings die für Deutschland relevanten Fragen, ob zum einen § 15 Abs. 3 TMG auch unter Geltung der DS-GVO Anwendung findet und ob zum anderen Cookies neben einer Einwilligung auch über eine Interessenabwägung zu rechtfertigen sind, nicht beantwortet. Fraglich ist insofern vor allem, ob § 15 Abs. 3 TMG einen Umsetzungsakt des Art. 5 Abs. 3 ePrivacy-RL darstellt. Würde man § 15 Abs. 3 TMG als Umsetzung der ePrivacy-RL begreifen, so hätte dies die Anwendbarkeit der Kollisionsregelung des Art. 95 DS-GVO zur Folge und die DS-GVO träte letztlich hinter § 15 Abs. 3 TMG zurück.[516] § 15 Abs. 3 TMG fände somit trotz Geltung der DS-GVO weiterhin Anwendung. Für zulässige Profilbildung im Online-Bereich wäre es daher § 15 Abs. 3 TMG entsprechend ausreichend dem Nutzer ein Widerspruchsrecht einzuräumen. Wird § 15 Abs. 3 TMG hingegen nicht als Umsetzungsakt der ePrivacy-RL begriffen, würde er wegen des prinzipiellen Anwendungsvorrangs der DS-GVO (Art. 288 Abs. 2 EUV) § 15 Abs. 3 TMG zurücktreten, da Öffnungsklauseln für Telemediendienste in der DS-GVO nicht vorgesehen sind.[517] Der EuGH hat diese Frage nicht entschieden.

219

Der Generalanwalt Szpunar bezeichnete § 15 Abs. 3 TMG in seinen Schlussanträgen als Umsetzungsakt, ohne dies allerdings näher zu begründen.[518] Dieser Linie folgte, ebenfalls ohne nähere Begründung, auch der BGH in seinem auf das Vorabentscheidungsersuchen gestützte Urteil. Der BGH prüft hier die Zulässigkeit des Setzens von Cookies zu Werbezwecken anhand des § 15 Abs. 3 TMG, erachtet diesen insofern für anwendbar.[519]Der BGH geht anscheinend davon aus, dass nationale Gesetze trotz ausdrücklich entgegenstehendem Regelungsgehalt kraft richtlinienkonformer Auslegung als Umsetzungsakt klassifizierbar sind, auch wenn der Gesetzgeber diese nicht als solche bezeichnet („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“[520]).

220

Die gegenteilige Auffassung in Deutschland, so insbesondere auch die DSK,[521] sieht hingegen in § 15 Abs. 3 TMG keine Umsetzung der ePrivacy-RL.[522] Auch die EU-Kommission stellte im Jahr 2015 klar, dass sie Art. 5 Abs. 3 der ePrivacy-RL als im deutschen Recht für nicht umgesetzt ansieht.[523] Hierfür spricht zunächst die Entstehungsgeschichte des TMG. Die datenschutzrechtlichen Vorschriften des 4. Abschnittes des TMG entsprechen im Wesentlichen den Regelungen des TDDSG. Dieses ist bereits 1998 und damit zeitlich vor der ePrivacy-RL in Kraft getreten. Zudem verfolgen § 15 Abs. 3 TMG und Art. 5 Abs. 3 ePrivacy-RL unterschiedliche Schutzziele. Während § 15 Abs. 3 TMG lediglich den Schutz personenbezogener Daten zum Ziel hat, dient Art. 5 Abs. 3 ePrivacy-RL auch dem Schutz der Vertraulichkeit elektronischer Kommunikation.[524] Gegen die Annahme eines Umsetzungsaktes spricht schließlich auch die Tatsache, dass die Normen konträre inhaltliche Entscheidungen enthalten. Denn nach § 15 Abs. 3 TMG darf der Diensteanbieter Cookies einsetzen, solange der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht („Opt-Out-Regelung“). Art. 5 Abs. 3 ePrivacyR-RL gestattet hingegen die Nutzung von Cookies nur dann, wenn der Nutzer nach einer umfassenden Information hinsichtlich der Zwecke der Verarbeitung seine Einwilligung gegeben hat. Insofern sieht Art. 5 Abs. 3 ePrivacyR-RL eine „Opt-In-Regelung“ vor.[525] Daher stelle § 15 Abs. 3 TMG keine Umsetzung der ePrivacy-RL dar. Schließlich scheide auch eine unmittelbare Anwendung des Art. 5 Abs. 3 der ePrivacy-RL aus, da eine Richtlinie keine Verpflichtungen für Private begründen kann (keine horizontale unmittelbare Drittwirkung).[526] Die Kollisionsregelung des Art. 95 DS-GVO käme daher, unabhängig von ihrem konkreten Regelungsgehalt,[527] gar nicht erst zur Anwendung. Demnach richtet sich die Rechtsgrundlage für das Setzen von Cookies nach der Ansicht der Datenschutzaufsichten sowie der vorherrschenden Meinung in der Literatur in Deutschland – bis zum Inkrafttreten der geplanten ePrivacy-VO – nach der DS-GVO (zur Bedeutung für die Praxis vgl. Art. 6 lit. f Rn. 177).[528]

221

Weitere formale Wirksamkeitsvoraussetzungen für die Einwilligung (Transparenz, Form, Zeitpunkt, Person)[529] folgen aus Art. 7 Abs. 2 und aus den allgemeinen Grundsätzen nach Art. 5. Die Widerrufbarkeit der Einwilligung ist in Art. 7 Abs. 3 geregelt.[530] Zu den Grenzen der Freiwilligkeit der Einwilligung und einem Verstoß gegen das Koppelungsverbot vgl. die Ausführungen zur aktuellen Rechtsprechung des BGH unter Art. 7 Rn. 48.