Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 317

37

Zu den Grundsätzen einer rechtmäßigen Datenverarbeitung gehört nach Art. 5 Abs. 1 lit. a DSGVO auch, dass die für den Betroffenen zum Nachvollziehen der Verarbeitungsvorgänge erforderliche Transparenz rechtzeitig hergestellt wird. Das gilt in besonderer Weise dann, wenn die betroffene Person erst durch ihre Einwilligungserklärung eine rechtmäßige Datenverarbeitung ermöglicht. Er muss daher wissen, welche Daten zu welchem Zweck wie lange gespeichert werden (informierte Einwilligung).52 Es ist also gerade bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wurde, bevor die Einwilligung der betroffenen Person nach einer Abwägung und einer Bewertung etwaiger für sie und ihre Persönlichkeitsrechte entstehenden Risiken der Datenverarbeitung erklärt wird (siehe Art. 7 Rn. 47).

38

Zu den Informationen, die der betroffenen Person vor dessen Einwilligungserklärung gegeben werden müssen, gehören aufgrund der Transparenzpflichten nach Art. 12 und 13 DSGVO alle für die Entscheidung, ob eine Einwilligung erfolgen soll, wesentlichen dort genannten Angaben. Diese entscheidungserheblichen Informationen sind „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1 DSGVO).

39

Die vor der Einwilligungserklärung zu erteilenden Informationen sind an keine Form gebunden. Sie können entsprechend Art. 12 Abs. 1 Satz 2 DSGVO „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ erfolgen. Sie können sogar mündlich erteilt werden, falls die betroffene Person dies verlangt (entsprechend Art. 12 Abs. 1 Satz 3 DSGVO). Dabei ist vom Verantwortlichen allerdings zu beachten, dass er die Voraussetzungen der Rechtmäßigkeit nachweisen können muss. Dazu gehört auch, dass er im Fall der Einwilligung belegen können muss, dass die betroffene Person vor Abgabe ihrer Einwilligungserklärung alle erforderlichen Informationen in der gebotenen Form erhalten hat; deshalb empfiehlt sich eine mündliche Information über die zu verarbeitenden Daten und die damit verfolgten Zwecke der mit einer Einwilligung legitimierten Datenverarbeitung nicht. Die strengen Anforderungen sind essenziell, um sichergehen zu können, dass die betroffenen Personen sich der Risiken der durch die Einwilligung legitimierten Datenverarbeitung bewusst sind und eine vernünftige Abwägung treffen können. Andererseits dürfen die Anforderungen auch nicht höher sein, weil dadurch der gegenteilige Effekt eintreten könnte und die Gewährleistung der Selbstbestimmung in einer Beschränkung des Selbstbestimmungsrechts umschlagen könnte.53 Eine solche Ausnahme54 wird diskutiert, wenn pandemiebedingt Präsenzprüfungen durch Online-Prüfungen (online-Proctoring) ersetzt werden müssen, um Täuschungen vorzubeugen oder ex post festzustellen. Kommt eine Erlaubnis nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO nicht in Betracht (siehe Rn. 100), kann die Einwilligung in die Verarbeitung bei dieser Prüfungsform erwogen werden, wobei wegen des Unterordungsverhältnisses und der deshalb fehlenden Freiwilligkeit eine Einwilligung eher nur dann in Betracht kommt, wenn den betroffenen Personen eine weniger eingriffsintensive alternative Prüfungsform angeboten wird.

40

An der erforderlichen Transparenz fehlt es dann, wenn die Information über die Bedeutung und Folgen der Einwilligung in einer Weise dargeboten wird, dass die betroffene Person sie als Belästigung empfindet und sie nicht zur Kenntnis nimmt. Es gibt zahlreiche Beispiele von Webseiten, die von den Nutzern erwarten, dass sie sich durch ein Labyrinth von Seiten klicken müssen, um sich umfassend zu informieren. Häufig sind die Seiten nach einem Klick auf den „Weiter“-Button jeweils anders aufgebaut, sodass Nutzer sich immer wieder neu orientieren müssen, wo sie wesentliche Informationen finden und wie sie auf die Folgeseite kommen. Die Datenethikkommission machte in ihrem Gutachten auf das Phänomen der Dark Patterns aufmerksam, „die geeignet sind, einen Nutzer über bestimmte Punkte zu täuschen und/oder ihn manipulativ zu veranlassen, eine bestimmte – möglicherweise auch wirtschaftlich relevante – Entscheidung zu treffen“ (siehe Art. 4 Rn. 318ff.).55 Das Design derartiger mit Dark Patterns arbeitenden Webseiten ist darauf angelegt, die überforderten und sich belästigt fühlenden Nutzer zu einer Einwilligung zu bewegen, um den komplexen Prozess der sukzessiven und zermürbenden Einholung von Informationen zu vermeiden („Benutzeroberflächendesign zur Manipulation von Verbrauchern“56). Bei den sogenannten Cookie-Bannern ist der Einsatz von Consent Management Platforms (CMP) verbreitet.57 Diese kritikwürdige Methode ist geeignet, die Einwilligungslösung zu diskreditieren und der damit nicht ganz von der Hand zu weisenden Kritik, es handele sich bei ihr um einen „formalisierten Akt, der beim Nutzer nur die Illusion der Kontrolle über ‚seine‘ Daten nährt“,58 Vorschub zu leisten.59 Mit dem Einsatz von Personal Information Management-Systemen (PIMS) wird die Erwartung verbunden, dass Nutzer mit weniger Aufwand nicht gewünschtes Tracking verhindern können (siehe § 26 TTDSG Rn. 3ff.).60

41

Nach den Entscheidungen von EuGH61 und BGH62 zum Erfordernis der Einwilligung in das Setzen sog. Cookie-Banner, die nicht aus technischen Gründen erforderlich sind,63 sondern der Analyse des Nutzerverhaltens dienen, sind die Anforderungen an die Einwilligung näher konturiert.64 Eine erhebliche Rolle spielt dabei die Transparenz, weil Nutzer die Zwecke und Auswirkungen der teilweise mehreren hundert Cookies von Drittanbietern nicht überschauen können. Mit dem TTDSG wurden die Einwilligungsanforderungen in das Setzen von Cookie-Bannern neu und spezifisch reguliert.65