Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 222

302

Das Erfordernis der Freiwilligkeit ist eng mit dem Grundsatz der Selbstbestimmung verknüpft. Die Freiwilligkeit und die Selbstbestimmung bedingen einander. Handelt eine (betroffene) Person nicht freiwillig, bestimmt sie nicht über sich selbst. Kann eine betroffene Person nicht über sich selbst bestimmen, handelt sie nicht freiwillig.566 Hieraus folgt, dass die Einwilligung als Ausdruck der Selbstbestimmung der betroffenen Person freiwillig erfolgen muss, damit sie wirksam ist.

303

Eine Einwilligung wird freiwillig abgegeben, wenn die betroffene Person eine „echte Wahl“ hat, ob sie die Einwilligung erteilen möchte oder nicht (ausführlich zur Freiwilligkeit einer Einwilligung auch Art. 7 Rn. 88ff.).567 Nach ErwG 42 sollte dabei davon ausgegangen werden, dass eine betroffene Person eine echte Wahl hat, wenn sie in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Insbesondere darf die betroffene Person keinem (physischen oder psychischen) Zwang ausgesetzt sein, eine Einwilligung zu erteilen.568

304

Dies kann nach ErwG 43 insbesondere der Fall sein, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht. Dabei ist zu beachten, dass das bloße Vorhandensein eines Ungleichgewichts allein noch nicht dazu führt, dass eine Einwilligung nicht freiwillig erteilt wird. Vielmehr ist im Einzelfall zu prüfen, ob sich das bestehende Ungleichgewicht in einer Art und Weise ausgewirkt hat, dass die betroffene Person im konkreten Fall keine „echte Wahl“ hatte (siehe im Hinblick auf die Verarbeitung von Beschäftigtendaten auch § 26 Abs. 2 BDSG). Dies kann insbesondere der Fall sein, wenn zwischen dem Einwilligenden und der die Einwilligung einholenden Stelle ein Abhängigkeitsverhältnis (z.B. Arbeitgeber und Arbeitnehmer, Vermieter und Mieter etc.)569 besteht, die einholende Stelle über eine monopolartige Stellung verfügt, der Einwilligende bei der Einholung der Einwilligung überrumpelt wird oder ihm bei der Verweigerung der Einwilligung (erhebliche) Nachteile drohen.570 Aber auch in diesen Situationen ist stets zu prüfen, ob sich das Ungleichgewicht in einer Art und Weise ausgewirkt hat, dass der Einwilligende im konkreten Fall keine echte Wahlmöglichkeit hatte.

305

Werden betroffene Personen bloß durch (nicht allzu große) Vergünstigungen, wie z.B. die Teilnahme an einem Gewinnspiel, angelockt, die gewährt werden, wenn sie die gewünschte Einwilligung in die Verarbeitung ihrer Daten erteilen, stellt dies allein i.d.R. noch keinen unzulässigen Druck im Sinne der vorangegangenen Erläuterungen dar.571 Zudem kann auch nicht jeder mögliche kleine Nachteil dazu führen, dass die Einwilligung nicht freiwillig erteilt wird.572 Das entscheidende Kriterium bei der Bestimmung der Freiwilligkeit einer Einwilligung besteht mithin darin, ob im konkreten Fall die Willensentschließungs- und Handlungsfreiheit der betroffenen Person gewahrt wurde oder nicht.573

306

Ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen kann vor allem auch dann bestehen, wenn es sich bei dem Verantwortlichen um eine Behörde oder um einen anderen Hoheitsträger handelt (vgl. ErwG 43 S. 1).574 Dies gilt insbesondere für den Fall, dass eine solche Stelle bei Verweigerung der Einwilligung die Datenverarbeitung infolge öffentlich-rechtlicher Sonderrechte durchsetzen könnte.575

307

Ebenso wird eine Einwilligung nicht freiwillig erteilt, wenn dabei gegen das in Art. 7 Abs. 4 DSGVO normierte sogenannte Koppelungsverbot verstoßen wird, welches die Abhängigmachung („Koppelung“) eines Vertrages von der Erteilung einer Einwilligung in die Verarbeitung von personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, regelt (siehe ausführlich zum Koppelungsverbot Art. 7 Rn. 94ff.).

308

Ganz generell ist – wenn die Einwilligung im Zusammenhang mit einem Vertrag erteilt werden soll – zur Wahrung von deren Freiwilligkeit sicherzustellen, dass die betroffene Person bzgl. der (bestehenden oder nicht bestehenden) Möglichkeit, den Vertrag auch dann abzuschließen, wenn sie die Einwilligung verweigert, klar informiert und nicht, z.B. durch Vertragsbestimmungen, in die Irre geführt wird.576

309

Im Übrigen gilt eine Einwilligung gem. ErwG 43 Satz 2 nicht als freiwillig erteilt, wenn es der betroffenen Person nicht möglich ist, zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten gesondert eine Einwilligung zu erteilen, obwohl dies im Einzelfall angebracht ist.577 Diese Anforderung ist aber mit Augenmaß zu betrachten.

310

ErwG 32 S. 4 und 5 stellt zudem fest, dass die Einwilligung sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen sollte und dass, wenn die Verarbeitung mehreren Zwecken dient, für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden sollte. Nach Auffassung des Europäischen Datenschutzausschusses folgt hieraus, dass, wenn die Datenverarbeitung, die durch eine Einwilligung gerechtfertigt werden soll, zu mehreren Zwecken erfolgt, die betroffene Person frei auswählen können soll, welchem Verarbeitungszweck sie zustimmen möchte und welchem nicht.578 Daher ist nach Ansicht des Europäischen Datenschutzausschusses in einem solchen Fall ein granulares Einwilligungskonzept erforderlich.579 Andernfalls bestehe keine freie Wahl für die betroffene Person.580

311

Dies erscheint jedoch sehr weitgehend und lässt sich nach hier vertretener Ansicht auch nicht zwingend aus dem Wortlaut von ErwG 32 S. 4 und 5 entnehmen. So scheint es sich bei den in ErwG 32 S. 4 und 5 enthaltenen Anforderungen zuvorderst um Transparenzanforderungen zu handeln, nach denen der Verantwortliche die betroffene Person bei Einholung der Einwilligung über alle verfolgten Verarbeitungszwecke, die von der Einwilligung erfasst werden sollen, und sämtliche Datenverarbeitungen, die zu dem jeweiligen Zweck erfolgen, informieren muss.581 Mithin kann nach hier vertretener Ansicht die betroffene Person mittels einer Erklärung grundsätzlich auch in die Verarbeitung ihrer Daten zu mehreren Zwecken (zugleich, also „gebündelt“) einwilligen.582 Gesonderte Erklärungen (bzw. gesonderte Auswahlmöglichkeiten) für jeden einzelnen Verarbeitungszweck sind demzufolge nach hier vertretener Ansicht nicht in jedem Fall zwingend erforderlich.583

312

Jedenfalls sollte es zulässig sein, im Falle einer Einwilligung im Wege eines Mehrebenenansatzes (siehe hierzu Rn. 345) auf der ersten Ebene nur einen „Zustimmen“-Button vorzusehen, mittels dessen in alle in der Einwilligungserklärung vorgesehenen Datenverarbeitungen und alle Zwecke eingewilligt wird, und auf der zweite Ebene granulare Auswahlmöglichkeiten im Hinblick auf die ggf. verschiedenen Verarbeitungszwecke anzubieten.584 Hierbei ist es aber erforderlich, dass die betroffene Person hinreichend auf diese Möglichkeit aufmerksam gemacht wird (siehe zum Nudging/zu „Dark Patterns“ auch Rn. 318ff.) und dass, sofern sich die betroffene Person für die granulare Auswahl entscheidet, die einzelnen Auswahlmöglichkeiten – dem Prinzip des Privacy by Default und den Vorgaben des EuGH folgend – standardmäßig nicht ausgewählt sind.585 Inwiefern bei einer solchen Gestaltung auch ein Button, mit dem die Erteilung der Einwilligung (generell) abgelehnt werden kann, auf der ersten Ebene vorzusehen ist, oder ob es ausreicht, diesen auf der zweiten Ebene vorzuhalten, ist nicht abschließend geklärt.586 Soweit die Erbringung eines Dienstes/der Abschluss eines Vertrages in zulässiger Weise an die Erteilung einer Einwilligung gekoppelt wird, ist die Vorhaltung eines „Ablehnen-Buttons“ grundsätzlich generell nicht erforderlich.587

313

Gesonderte Einwilligungserklärungen bzw. gesonderte Auswahlmöglichkeiten können jedoch auch nach hier vertretener Ansicht insbesondere dann (zwingend) erforderlich sein, wenn die Zwecke, für die die Einwilligung eingeholt wird, nicht zusammenhängen oder sich nicht sonst „nahestehen“. Mithin kann es, gerade wenn die Zwecke, für die die Daten verarbeitet werden sollen, einander fernliegen, erforderlich sein, gesonderte Zustimmungen einzuholen, damit die Einwilligung als freiwillig angesehen werden kann. Dies gilt erst recht, wenn die Zustimmung zu einem Verarbeitungszweck „abgepresst“ werden soll, indem dieser mit anderen Zwecken im Rahmen der Einwilligung verbunden wird und der Einwilligende der gewünschten Datenverarbeitung zu den anderen Zwecken nur zustimmen kann, wenn er zugleich auch dem weiteren („abgepressten“) Zweck zustimmt. Bei der Gestaltung der (granularen) Auswahl ist darauf zu achten, dass diese nicht mit einem Aufwand verbunden ist, der außer Verhältnis zum „Einsatzzweck“ der Einwilligung steht – andernfalls könnte dies zur Unwirksamkeit der Einwilligung wegen mangelnder Bestimmtheit führen (siehe ausführlich dazu Rn. 331).

314

Granulare Einwilligungserklärungen, also Auswahlmöglichkeiten, im Hinblick auf einzelne Datenempfänger, sind nach hier vertretener Auffassung von der DSGVO nicht vorgeschrieben.588

315

Im Übrigen kann ErwG 32 Satz 4 und 5 nach hier vertretener Ansicht nicht entnommen werden, dass

 – ein Verantwortlicher eine Datenverarbeitung, die zu mehreren Zwecken erfolgt, nicht im Hinblick auf einige der Zwecke auf eine Einwilligung und für andere Zwecke auf gesetzliche Grundlagen stützen können soll, sondern er in diesem Fall für sämtliche Zwecke eine Einwilligung einholen muss (Satz 5),589 oder

 – es einem Verantwortlichen, der mehrere Datenverarbeitungen zu demselben Zweck/denselben Zwecken durchführt, verwehrt sein soll, diese teilweise auf eine Einwilligung und teilweise auf gesetzliche Grundlagen zu stützen. Aus ErwG 32 Satz 4 und 5 folgt nach hier vertretener Auffassung also nicht, dass der Verantwortliche in einem solchen Fall – wenn er einige Verarbeitungen auf eine Einwilligung stützen möchte – auch für sämtliche anderen Datenverarbeitungen eine Einwilligung einholen muss. Ein solches Erfordernis kann allenfalls unter den Voraussetzungen von ErwG 43 Satz 2 DSGVO bestehen (siehe oben Rn. 309).

Auch wenn der Wortlaut von ErwG 32 Satz 4 und 5 durchaus so verstanden werden kann, dass sich aus ihm eventuell die soeben aufgeführten Aussagen entnehmen lassen, würde dies Art. 6 Abs. 1 S. 1 DSGVO widersprechen, nach dem die Datenverarbeitung gerechtfertigt ist, wenn mindestens eine der in Art. 6 Abs. 1 Satz 1 DSGVO genannten Bedingungen erfüllt ist, zu denen sowohl die Einwilligung als auch gesetzliche Erlaubnistatbestände zählen. Ein Ausschluss der Möglichkeit, sich in Fällen wie den oben genannten auf die gesetzlichen Erlaubnistatbestände zu berufen, ist mit dem Wortlaut von Art. 6 Abs. 1 Satz 1 DSGVO mithin nicht vereinbar und kann daher auch nicht aus ErwG 32 S. 4 und 5 abgeleitet werden.

316

Eine Einwilligung ist grundsätzlich auch dann als freiwillig und bei Vorliegen der weiteren Voraussetzungen als wirksam anzusehen, wenn der Verantwortliche die Datenverarbeitung (auch) auf eine andere (gesetzliche) Erlaubnis stützen könnte (siehe ausführlich hierzu Art. 6 Rn. 24ff. und 47ff.).590

317

Die Freiwilligkeit einer Einwilligung kann allerdings ausgeschlossen sein, wenn die betroffene Person diese (aktiv) verweigern muss, z.B. durch Klicken auf einen „Ablehnen-Button“,591 und diese Verweigerung gegenüber der Erteilung der Einwilligung mit zusätzlichen Anforderungen verbunden ist.592 Dies dürfte jedenfalls dann der Fall sein, wenn die Willensbildung der betroffenen Person dadurch so beeinflusst wird, dass diese die Einwilligung erteilt, weil dies der für sie einfachere Weg und ihr die Verweigerung zu umständlich ist.593

318

Umstritten ist, inwieweit das sogenannte „Nudging“ bzw. „Dark Patterns“ mit dem Erfordernis der Freiwilligkeit der Einwilligung vereinbar sind. Die Bedeutung der Begriffe „Nudging“ und „Dark Patterns“ ist dabei gerade in Einzelheiten noch nicht abschließend geklärt – zudem lassen sich die beiden Begriffe auch nicht immer trennscharf voneinander unterscheiden.594 Ganz grundsätzlich werden als „Nudging“ oder „Dark Patterns“ Gestaltungen der Einwilligung bezeichnet, die die Entscheidung der betroffenen Person in eine bestimmte Richtung, also in Richtung der Erteilung der Einwilligung, lenken sollen.595 Der Unterschied zwischen Nudging und Dark Patterns besteht – etwas verkürzt ausgedrückt – dann darin, dass „Nudging“ die betroffene Person zu einem Handeln bewegen will, das ihren vermuteten eigenen Interessen entspricht bzw. wenigstens gesamtgesellschaftliche Ziele fördert,596 wohingegen „Dark Patterns“ die Interessen der betroffenen Person zumindest ignorieren und sie zu einer Handlung bewegen sollen, die (einseitig) den Interessen des Verwenders dient.597 Oftmals werden derartige Verfahren beispielsweise bei Einwilligungen in die Verwendung von Cookies eingesetzt und z.B. der „Zustimmen“-Button auffälliger gestaltet, als der „Ablehnen“-Button.

319

Werden Nudging- oder Dark Patterns-Techniken verwendet, kann dies – je nach Einzelfall – insbesondere Auswirkungen auf die Freiwilligkeit,598 die Informiertheit599 sowie die Bestimmtheit600 der Einwilligung haben. Mitunter kann es in solchen Fällen auch fraglich sein, ob die betroffene Person ihre Einwilligung unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt.601 Insoweit verbieten sich aufgrund der unüberschaubaren Vielzahl an Gestaltungsmöglichkeiten602 allzu pauschalierende, generelle Aussagen zur Zulässigkeit derartiger Techniken, da letztlich in jedem Einzelfall zu prüfen ist, ob die (allgemeinen) Anforderungen an die Freiwilligkeit, Informiertheit etc. der Einwilligung erfüllt sind.603

320

Ist dies der Fall, steht der Einsatz von Nudging- bzw. Dark-Patterns-Techniken der Wirksamkeit der Einwilligung nicht entgegen. Die Freiwilligkeit kann dabei im vorliegenden Zusammenhang insbesondere dann ausgeschlossen sein, wenn die Gestaltung derart unübersichtlich ist, dass (i) die betroffene Person faktisch keine echte Wahl hat, ob sie die Einwilligung erteilt oder nicht, (ii) die Gestaltung die betroffene Person bzgl. ihrer Wahlmöglichkeiten in die Irre führt (die betroffene Person z.B. irrig annimmt, ihre Einwilligung erteilen zu müssen, um bestimmte Dienste etc. nutzen zu können), (iii) die Verweigerung der Einwilligung gegenüber der Erteilung mit zusätzlichen Anforderungen verbunden ist604 oder (iv) die Erteilung der Einwilligung als klar vorzugswürdige Option erscheint.605

321

Mithin sind nach hier vertretener Ansicht das bloße farbliche Hervorheben606 oder die vorteilhafte Platzierung eines Buttons oder eine etwas größere Schrift oder Fettdruck für den „Zustimmen-Button“ per se grundsätzlich nicht mit den Vorgaben der DSGVO unvereinbar.607 Nicht zulässig ist es hingegen i.d.R, wenn nur der „Zustimmungs-Button“ blinkt oder die Schrift bei einer (Ablehnungs-)Möglichkeit wegen der Schriftfarbe oder -größe kaum (noch) lesbar ist.608 Nach Auffassung des LG Rostock ist es unzulässig, wenn eine Schaltfläche zur Auswahl nur notwendiger Cookies, die als Alternative zur Schaltfläche „Cookies zulassen“ implementiert ist, gar nicht als anklickbare Schaltfläche zu identifizieren ist und die „Cookies zulassen“-Schaltfläche durch ihre Farbgebung vorbelegt erscheint.609 Im Übrigen sollten alle vorgehaltenen Buttons gleich aussagekräftig bezeichnet („Zustimmen“, „Ablehnen“, „Cookies auswählen“ etc.) sein und ihre Bedeutung nicht „verschleiern“ oder gar in die Irre führen.610 Siehe zu der Frage, inwiefern im Rahmen eines Mehrebenenansatzes ggf. auch ein Button, mit dem die Erteilung der Einwilligung (generell) abgelehnt werden kann, auf der ersten Ebene vorzusehen ist, die Ausführungen unter Rn. 312. Soweit die Erbringung eines Dienstes/der Abschluss eines Vertrages in zulässiger Weise an die Erteilung einer Einwilligung gekoppelt wird, ist die Vorhaltung eines „Ablehnen-Buttons“ grundsätzlich generell nicht erforderlich.611

322

Daneben können sich Anforderungen bzw. Grenzen in Bezug auf Nudging oder Dark Patterns unter Umständen auch aus Art. 25 DSGVO („Privacy by design and default“) ergeben.612

323

Der Europäische Datenschutzausschuss scheint insoweit dann auch eine strengere Sichtweise zu vertreten. So vertritt er in seinen Erläuterungen zu Art. 25 DSGVO („Privacy by design and default“) die Auffassung, dass bei einer (elektronischen) Einwilligung die Wahlmöglichkeiten zur Zustimmung und zur Ablehnung der Einwilligung gleich sichtbar anzuzeigen seien, damit diese den Vorgaben aus Art. 25 DSGVO entsprächen.613 Auch die französische Datenschutzaufsichtsbehörde CNIL verlangt, dass die verschiedenen Wahlmöglichkeiten gleichberechtigt ohne Bevorzugung einer Möglichkeit vorgehalten werden.614 Die Landesbeauftragte für den Datenschutz Niedersachsen scheint das Nudging/Dark Patterns hingegen zu einem gewissen Maß zu akzeptieren.615 So führt sie in einer Handreichung zu Einwilligungen auf Webseiten aus, dass erlaubtem Nudging Grenzen gesetzt seien und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.616 Hieraus lässt sich im Umkehrschluss entnehmen, dass es nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen auch erlaubtes Nudging geben muss – Nudging also nicht per se verboten ist. Unzulässig sollen – jedenfalls unter bestimmten Umständen – aber z.B. Verfahren sein, die darauf abzielen, betroffene Personen wiederholt nach ihrer Einwilligung zu fragen, wenn diese eine Webseite erneut besuchen und die Erteilung der Einwilligung zuvor bereits abgelehnt haben. So könnten die betroffenen Personen in diesem Fall die Einwilligung irgendwann einfach deshalb abgeben, um „in Ruhe gelassen zu werden“.617

324

Ggf. können beim Nudging/Dark Patterns auch wettbewerbsrechtliche Grenzen zu beachten sein.