Читать книгу DS-GVO/BDSG - David Klein - Страница 602

122

Als Ausnahme vom grundsätzlichen Verarbeitungsverbot des Art. 9 Abs. 1 nennt Art. 9 Abs. 2 lit. a zunächst die Einwilligung[225].

123

Danach gilt Art. 9 Abs. 1 nicht, wenn die betroffene Person in die Verarbeitung der personenbezogenen Daten für einen oder mehrere festgelegte Zwecke eingewilligt hat. Der strenge Maßstab des Art. 9 hinsichtlich der Zulässigkeit einer Verarbeitung sensibler Daten wird bereits daraus ersichtlich, dass Art. 9 Abs. 2 lit. a anders als etwa Art. 6 Abs. 1 lit. a und Art. 7 eine ausdrückliche Einwilligung des Betroffenen erfordert.[226] Art. 9 Abs. 2 lit. a nimmt daher die Anforderungen von Art. 6 Abs. 1 S. 1 lit. a in sich auf, ist aber hinsichtlich seiner Voraussetzungen strenger. Insofern scheiden etwa schlüssige Handlungen oder konkludente Einwilligungen als taugliche Einwilligung i.S.d. s Art. 9 Abs. 2 lit. a aus.[227] Hinsichtlich der Anforderungen an eine wirksame Einwilligung ist im Rahmen von Art. 9 insbesondere an eine Einwilligung als sog. „Mandated Choice“[228] zu denken, bei dem die betroffene Person sowohl die Einwilligung als auch deren Verweigerung aktiv zum Ausdruck bringen muss (etwa durch Anwählen eines „Ja“ oder „Nein“-Feldes) und nicht passiv die Einwilligung durch Nicht-Setzen eines Häkchens im Rahmen eines Ankreuzfeldes verweigern kann, vgl. dazu Kommentierung in Art. 4 Nr. 11 Rn. 213. Eine derartige Ausgestaltung der Einwilligung trägt zwar den Schutzinteressen der betroffenen Person in hohem Maße Rechnung, wird aber in der Praxis oftmals unpraktikabel sein.

124

Da die Einwilligung letztlich eine Ausprägung des allgemeinen Persönlichkeitsrechts sowie der allgemeinen Handlungsfreiheit des Betroffenen darstellt, wird diesen Rechten somit nur dadurch Rechnung getragen, wenn der Betroffene in eine Datenverarbeitung freiwillig und bewusst eingewilligt hat. Dies beinhaltet jedenfalls, dass sich die Einwilligung explizit auf die Verarbeitung der sensiblen Daten beziehen muss und daher ein erhöhtes Maß an Bestimmtheit und Genauigkeit erforderlich ist.[229] Das Freiwilligkeitserfordernis unterstreicht, dass die Einwilligung frei von Zwang oder Täuschung oder ähnlichen Mitteln sein muss, die die Willensfreiheit des Betroffenen beeinflussen können.[230] Der Prüfung der Freiwilligkeit kommt dabei gerade im Rahmen von Abhängigkeitsverhältnissen große Bedeutung zu.

125

Gleichwohl ist zu beachten, dass Art. 9 Abs. 2 lit. a kein Formerfordernis enthält. Insofern ist auch eine ausdrücklich mündlich erteilte Einwilligung ausreichend.[231] Gleichwohl ist in der Praxis bereits vor dem Hintergrund des Art. 5 Abs. 2 (Rechenschaftspflicht)[232] eine geeignete Dokumentation ratsam.[233] Zudem sind in der praktischen Anwendung gegebenenfalls einschlägige spezialgesetzliche Regelungen zu beachten, die ein zwingendes Formerfordernis für eine Einwilligung vorsehen.

126

Praxisrelevanz hat die Ausnahme des Art. 9 Abs. 2 lit. a etwa bei der Entbindung von der beruflichen Schweigepflicht. Da die datenschutzrechtliche Einwilligung nicht mit der Entbindung identisch ist, muss aus Gründen der Rechtssicherheit erkennbar sein, dass die von der Einwilligung erfassten Daten auch einem Berufsgeheimnis unterliegen.[234] Dies kann etwa durch zwei getrennte Erklärungen erfolgen, in denen zum einen in die Verarbeitung der sensiblen Daten und zum anderen in die Entbindung der Schweigepflicht eingewilligt wird.[235] Sofern also Fitness-, Lifestyle- und Gesundheits-Apps Gesundheitsdaten verarbeiten, ist daher die ausdrückliche Einwilligung (gerade hinsichtlich einer Weiterverarbeitung der Daten) der betroffenen Person nach Maßgabe des Art. 9 Abs. 2 lit. a erforderlich. Problematisch ist in der Praxis insbesondere die Ausgestaltung einer Einwilligungserklärung im Rahmen von Big Data-Anwendungen. Denn den Anforderungen hinsichtlich der Bestimmtheit der Einwilligungserklärung kann nicht hinreichend Rechnung getragen werden, wenn der Verantwortliche zum Zeitpunkt der Erhebung der Daten selbst noch nicht alle Verarbeitungszwecke benennen und die betroffene Person entsprechend informieren kann.[236]

127

Eine Rechtfertigung der Verarbeitung über eine Interessenabwägung entsprechend Art. 6 Abs. 1 S. 1 lit. f und Abs. 4 scheidet bei Art. 9 aus (dazu Rn. 21). Insofern sind Verantwortliche angehalten, die Zwecke der Verarbeitung so genau zu bestimmen wie möglich, sofern kein gesetzlicher Erlaubnistatbestand im Rahmen von Abs. 2 einschlägig ist. Ggf. muss eine nachträgliche Information und eine erneute Einwilligung der betroffenen Person erfolgen.[237] Die von der Bundesregierung einberufene Datenethikkommission (DEK) empfiehlt daher den Einsatz eines broad consents und die Entwicklung von Musterverfahren zur Einholung von Einwilligung bei der Verarbeitung von sensiblen Daten.[238] Daneben regt sie den Einsatz von dynamic consents an, damit die betroffene Person auch nach Abgabe der Einwilligung die Kontrolle und Souveränität über die Datenverarbeitung ausüben kann.[239] Dies könnten zukunftsfähige Lösungsansätze sein, um das Instrument der Einwilligung bei der Verarbeitung von sensiblen Daten im Rahmen von Big Data-Anwendungen nicht auszuklammern, sondern so auszugestalten, dass den datenschutzrechtlichen Anforderungen hinreichend Rechnung getragen werden kann. Bedeutsam ist in diesem Zusammenhang insbesondere ErwG 33, der im Rahmen von Datenverarbeitungen zu wissenschaftlichen Forschungszwecken Erleichterungen hinsichtlich der Rechtmäßigkeit von Einwilligungserklärungen vorsieht. Vgl. dazu Art. 89 Rn. 30 ff.

128

Darüber hinaus ist das Freiwilligkeitskriterium insbesondere im Rahmen von Abhängigkeitsverhältnissen (wie etwa Arbeitsverhältnissen) und bei der Verarbeitung von Beschäftigtendaten relevant. Hier sind insbesondere die Vorgaben nach Art. 88 zu beachten.[240]

129

Ferner wird das Instrument der Einwilligung zukünftig insbesondere bei der Verarbeitung sensibler Daten zu Werbezwecken den Verantwortlichen mit den hohen Anforderungen des Art. 9 Abs. 2 lit. a konfrontiert. Dies gilt jedenfalls dann, wenn im Zuge der Werbung Gesundheitsdaten verarbeitet werden. So werden Gesundheitsunternehmen auch im Rahmen von Gesundheits-Apps, aber auch Optiker oder Orthopäden (sofern diese personalisierte Werbung unter Auswertung von Gesundheitsdaten an Kunden übersendet) den Anforderungen von Art. 9 Abs. 2 lit. a Rechnung tragen müssen.[241] Insofern ist stets sorgsam zu prüfen, ob Daten zu allgemeinen Werbezwecken (z.B. Übersendung der neuen Sonnenbrillen-Kollektion durch den Optiker) oder ob Daten unter Auswertung von Gesundheitsdaten (z.B. Übersendung der neuen Kollektion von Gleitsichtbrillen durch den Optiker) zu Werbezwecken verarbeitet werden. Nur in Letzterem greift Art. 9.

130

Zu beachten ist ferner Art. 9 Abs. 2 lit. a Hs. 2: Danach kann die Einwilligung als Erlaubnistatbestand ausgeschlossen sein, wenn das Verbot des Art. 9 Abs. 1 gem. unionsrechtlicher oder spezieller mitgliedstaatlicher Normen nicht durch die Einwilligung aufgehoben werden kann. Insofern besteht für die Mitgliedstaaten die Möglichkeit die Anforderungen des Art. 9 im Sinne einer Abweichung „nach oben“ zu verschärfen. So können etwa Verarbeitungsverbote statuiert werden, ohne dem Betroffenen die Möglichkeit einzuräumen, dieses durch seine Einwilligung aufzuheben. Ein Beispiel dafür ist etwa § 20 Abs. 2 PAuswG.[242]

131

Zur Eindämmung der Infektionsgefahren im Zuge der COVID-19-Pandemie werden derzeit (Stand: Juni 2020) die Modalitäten zur Nutzung von Corona-Apps[243] diskutiert (dazu bereits Rn. 92).[244] Da die Feststellung einer Infektion eines Nutzers eine Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 darstellt, ist eine Rechtfertigung nach Art. 9 Abs. 2 erforderlich. Im Rahmen einer vorrangigen Freiwilligkeit der Nutzung sind dabei insbesondere die Voraussetzungen von Art. 9 Abs. 2 lit. a zu beachten (dazu auch Rn. 92 und 202).[245] Zum Ganzen vgl. auch Art. 4 Nr. 5 Rn. 109.