Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 316

32

Die Einwilligung erfordert gemäß Art. 4 Nr. 11 DSGVO eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (siehe auch Art. 4 Rn. 302). Freiwillig erfolgt die Einwilligungserklärung, wenn sie ohne jeden Zwang oder Druck abgegeben wurde und die betroffene Person bei einer Verweigerung der Einwilligung oder einen Widerruf keine Nachteile befürchten muss (Art. 7 Rn. 88ff.).45 Sachwidrige Kopplungen der Einwilligung mit anderen Erklärungen sind deshalb unzulässig (Art. 7 Rn. 94ff.).

33

Eine Freiwilligkeit läge auch dann nicht vor, wenn zwar nicht vom Verantwortlichen, sondern von Dritten ein gesellschaftlicher Druck ausgeübt würde, der sich zu einem sozialen Zwang ausweiten könnte. So wurde erwogen, ob die „Publicity Kampagne“ zur Nutzung der Corona-Warn-App (CWA) zu einer „faktischen sozialen Ächtung“ führen könnte, wenn die CWA nicht heruntergeladen würde.46 Würde man eine solche Zwangssituation bejahen, würde sie die Freiwilligkeit aufheben. Einen so starken Druck gab und gibt es bei der CWA allerdings nicht, sondern es wird vielmehr öffentlich stets auf die Freiwilligkeit der Nutzung hingewiesen. Auch Arbeitgeber dürfen die Nutzung der CWA nicht verlangen oder gar zur Voraussetzung für ein Betreten des Arbeitsplatzes machen. Im Übrigen findet bei einem Herunterladen einer App – abgesehen von den einem App Store bei der Installation übermittelten Daten – noch keine Datenverarbeitung statt, deren Rechtmäßigkeit einer Einwilligung bedürfte. Eine Datenverarbeitung durch die CWA auf der Grundlage einer Einwilligung wäre allenfalls bei einer Infektionsmeldung zu prüfen.47

34

Die Frage nach der Freiwilligkeit stellt sich eher bei der Luca-App, die der besseren Nachverfolgung der Covid19-Infektionskette dienen soll; weil die Nutzung der App als Voraussetzung für das Betreten von Geschäften, Gastronomiebetrieben und Freizeiteinrichtungen gemacht wird, ist der Druck erheblich größer, eine Einwilligung zu erteilen, weil mit ihrer Nutzung „positive Anreize für individuelle Personen“ gesetzt werden.48 Es müsste dann sogar eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sein, weil Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten gehören. Eine schon für die CWA geforderte Regulierung mit einer gesetzlichen Erlaubnis gibt es auch für die Luca-App nur teilweise in Corona-Schutz-Verordnungen. So hat die Sächsische Corona-Schutz-Verordnung vom 10.6.2021 in § 6 Abs. 7 und 8 Einrichtungen verpflichtet, vorrangig digitale Systeme für die Kontaktnachverfolgung zu verwenden, mit denen ausschließlich für den genannten Zweck Name, Telefonnummer oder E-Mail-Adresse und Anschrift der Besucher sowie Zeitraum und Ort des Besuchs verarbeitet werden dürfen.49 Soweit keine Regelungen zur digitalen Erfassung von Kontaktverfolgungsdaten erfolgen, enthalten die Verordnungen der Länder Verpflichtungen, Besucherdaten in analogen Listen zu erfassen und zu dokumentieren. Eine Verpflichtung des Gastes, die Luca-App zu nutzen, folgt daraus nicht. Wenn sie eingesetzt wird, willigt die betroffene Person in die Verarbeitung ihrer personenbezogenen Gesundheitsdaten ein, weil die zunächst verschlüsselten Daten von den Gesundheitsämtern entschlüsselt werden dürfen und dann eine Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt.50

35

Aus dem Normtext von Art. 6 Abs. 1 UAbs 1 lit. a DSGVO ergibt sich nicht ausdrücklich, dass eine Einwilligung als Rechtsgrundlage für die Datenverarbeitung einer öffentlichen Stelle regelmäßig nicht in Betracht kommt. Aus Art. 7 Abs. 4 DSGVO folgt allerdings, dass eine Einwilligung freiwillig erklärt werden muss. Es ist festzustellen, ob die Freiwilligkeit als Tatbestandsmerkmal gegeben oder die Einwilligung unwirksam ist, weil es etwa dann an der Freiwilligkeit fehlt, „wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“. Als Regelbeispiel für ein solches Ungleichgewicht sieht ErwG 43 die Situation, in der „es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“ (siehe Art. 7 Rn. 22ff.).

36

Im Übrigen darf eine öffentliche Stelle personenbezogene Daten nur im Rahmen ihrer Aufgabenzuweisung verarbeiten. Soweit eine Eingriffserlaubnis fehlt, ist eine Legitimation der hoheitlichen Datenverarbeitung durch Einwilligung außerhalb der mit Vorbehalt eines formellen Gesetzes handelnden Eingriffsverwaltung nur sehr bedingt möglich, sie wird eine Ausnahme sein, die als Ausnahme von der Regel gut zu begründen ist (siehe Art. 7 Rn. 22ff.).51