Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 364

5. Einwilligungen in der Systematik des Datenschutzrechts

Оглавление

26

Der Erlaubnistatbestand für die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung findet sich in Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO. Mit Art. 7 DSGVO ist die Zulässigkeit der Datenverarbeitung also nicht begründbar, weil sich hierin kein Erlaubnistatbestand befindet; er enthält allerdings als Teil der allgemeinen Grundsätze aus Kapitel II die weiteren Voraussetzungen für eine wirksame Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO. Darüber hinaus hängt die Wirksamkeit der Einwilligung außer von den in der Legaldefinition des Art. 4 Nr. 11 DSGVO genannten Voraussetzungen noch von weiteren, an anderen Stellen geregelten Faktoren ab, etwa bei der Einwilligung durch Kinder in Bezug auf Dienste in der Informationsgesellschaft (Art. 8 DSGVO), oder für eine Einwilligung in besonderen Verarbeitungssituationen wie der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. a DSGVO, siehe Art. 9 Rn. 18ff.), die Einwilligung in automatisierte Entscheidungen (Art. 22 Abs. 2 lit. c DSGVO, siehe Art. 22 Rn. 62), in die Übermittlung personenbezogener Daten in Drittländer (Art. 49 Abs. 1 lit. a DSGVO, siehe Art. 49 Rn. 4f.) und in die Einwilligung im Beschäftigungsverhältnis (§ 26 Abs. 2 BDSG i.V.m. Art. 88 DSGVO, siehe § 26 Rn. 75).

27

Die Einwilligung kann neben einer gesetzlichen Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b – lit. f DSGVO eine Verarbeitung erlauben. Daraus folgt, dass im Fall eines Widerrufs der Einwilligung die Daten wegen Fehlens einer Verarbeitungserlaubnis nicht gelöscht werden müssen. Insofern folgt aus einem Widerruf der Einwilligung keine Sperrwirkung für die Datenverarbeitung (siehe Rn. 47ff.). Die Einwilligung wird in der Praxis häufig dann (zusätzlich) eingeholt, wenn Rechtsunsicherheit darüber besteht, ob der gesetzliche Erlaubnistatbestand die Verarbeitung zu legitimieren vermag. Dies zeigt sich etwa bei einer Wechselwirkung von Wertpapierhandelsgesetz (WpHG) und DSGVO. § 83 Abs. 3ff. WpHG sieht vor, dass bei Wertpapiergeschäften Telefonate aufgezeichnet werden müssen (sog. Taping).36 Der gesetzliche Erlaubnistatbestand dafür ist Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. § 83 Abs. 3 WpHG. Insbesondere vor dem Hintergrund des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO dürfen danach nur die Informationen aufgezeichnet werden, die nach § 83 WpHG aufzeichnungspflichtig, also erforderlich sind. Über den Umfang der Aufzeichnungspflicht besteht große Unsicherheit, weil sich in der Praxis zeigte, dass sich als irrelevant eingeschätzte Gespräche im Nachhinein als sehr relevant ergeben haben. Um eine bußgeldbewehrte Verletzung zu vermeiden, zeichnet das Wertpapierdienstleistungsunternehmen unter Umständen mehr Gesprächsdaten auf, als es nach § 83 Abs. 3 WpHG müsste. Um bei einer Aufzeichnung der sich als nicht „erforderlich“ erweisenden Gespräche eine Verarbeitungserlaubnis dokumentieren zu können, wird eine Einwilligung für die Gesprächsaufzeichnung eingeholt.37

28

Ist dem Verantwortlichen bewusst, dass neben der Einwilligung (möglicherweise) auch eine gesetzliche Erlaubnis zur Verarbeitung vorliegt, empfiehlt es sich, im Rahmen der Informationspflicht nach Art. 13 DSGVO auf diese „Zweispurigkeit“ hinzuweisen. Wird dem Verantwortlich erst nach der auf eine Einwilligung gestützten Verarbeitung bewusst, dass (mutmaßlich) auch eine gesetzliche Erlaubnis vorliegt, sollte diese Information nachgeholt werden, auch wenn Art. 13 Abs. 1 lit. c DSGVO davon ausgeht, dass die Information über die Erhebung der Daten „zum Zeitpunkt der Erhebung“ mitzuteilen ist. Das dürfte hinzunehmen sein, weil die Information bereits vollumfänglich zum Zeitpunkt der Erhebung erfolgte und hier nur eine weitere Rechtsgrundlage für die Verarbeitung mitgeteilt wird. Aber auch ohne diese Information wird die Datenverarbeitung bei Vorliegen einer gesetzlichen Erlaubnis im Falle eines Widerrufs der Einwilligung nicht rechtswidrig. Es bleibt im Beispiel des § 83 Abs. 3 WpHG aber die Unsicherheit über den zulässigen Umfang der Aufzeichnung. Das Beispiel zeigt, dass auch auf EU-Ebene Gesetze nicht immer aufeinander abgestimmt sind.

29

Vorrangig ist zunächst, die Definition der Einwilligung in Art. 4 Nr. 11 DSGVO heranzuziehen. Danach muss die Einwilligung von „der betroffenen Person“ selbst erteilt werden, sie muss „freiwillig“ und für einen bestimmten Verwendungszweck („für den bestimmten Fall“) auf der Grundlage ausreichender Informationen („in informierter Weise“, informed consent) und „unmissverständlich“, entweder „in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“ (ErwG 32 Satz 1) erteilt werden. Verlangt wird damit eine Erklärung oder Verhaltensweise, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“ (ErwG 32 Satz 2). Damit wird klargestellt, dass es keine wirksame Einwilligung darstellt, wenn die betroffene Person untätig bleibt, indem etwa ein voreingestelltes Häkchen einer Checkbox vor einer vorformulierten Einwilligungserklärung belassen wird oder in einem Formular die vorformulierte Einwilligungserklärung nicht durchgestrichen wird. Der EuGH stellte dies in seinem Planet49-Urteil klar und entschied, dass „keine wirksame Einwilligung ... vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss“.38

30

Für die Auslegung der Vorschriften zur Einwilligung sind auch die Erwägungsgründe wesentlich. So gibt ErwG 32 wichtige Hinweise darauf, wie die Einwilligung erfolgen soll. Danach sollte die Einwilligung „durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

31

Eine aktiv von der betroffenen Person vorgenommene – also nicht bereits voreingestellte – Einstellung des Browsers, mit der automatisch Einwilligungen pauschal erteilt werden, wenn auf einer besuchten Webseite danach gefragt wird, dürfte nicht zulässig sein, da es in jedem Einzelfall einer Information über den mit der Verarbeitung verfolgten Zweck und den Verantwortlichen bedarf, um gegenüber der betroffenen Person in jedem Einzelfall einer abzugebenden Erklärung die erforderliche Transparenz herzustellen und die Warnfunktion wirksam werden zu lassen.39 Eine pauschale Browser-Opt-In-Lösung muss scheitern.

32

Ob vor diesem Hintergrund eine Einwilligungserklärung auch konkludent abgegeben werden kann, ist fraglich. Diese Möglichkeit scheidet aus, wenn das Gesetz eine „ausdrückliche“ Erklärung40 verlangt. Eine konkludente Einwilligung in die Verarbeitung von personenbezogenen Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, ist ausgeschlossen (siehe auch ErwG 51). Eine konkludente Einwilligung in die automatisierte Entscheidung einschließlich Profiling wird es daher ebenso wenig geben (Art. 22 Abs. 2 lit. c DSGVO; ErwG 71), wie in die Drittstaatenübermittlung (Art. 49 Abs. 1 lit. a DSGVO; ErwG 111) oder die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. a DSGVO).41 Im Sozialdatenschutz ist die konkludente Einwilligung in der Regel42 ausgeschlossen.

33

Soweit die DSGVO keine besondere Form (‚ausdrücklich‘) verlangt, soll eine konkludente Einwilligung als ein Verhalten bzw. Erklärung in anderer Form als der Schriftform möglich sein.43 Dem konkludenten Verhalten muss aber ein eindeutiges Erklärungsverhalten zu entnehmen sein, das einen Rückschluss auf den eindeutigen Willen des Erklärenden zulässt (Art. 4 Nr. 11 DSGVO: „in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung“).44 Schließlich müssen alle Anforderungen an die Wirksamkeit erfüllt sein, also auch die der Einwilligungserklärung vorausgehenden Informationspflichten, damit die durch eine konkludente Erklärung ausgedrückte Entscheidung auf der Basis ausreichenden Wissens erfolgt. Liegt dann zwar keine schriftliche, textliche oder mündliche Erklärung, wohl aber ein schlüssiges Verhalten vor, könnte die konkludente Einwilligung wirksam sein.

34

Angenommen wurde bislang, dass von einer wirksamen konkludenten Einwilligung etwa dann ausgegangen werden kann, wenn ein Anrufer zu Beginn des Telefongesprächs vom Angerufenen darüber informiert wird, dass das Gespräch zu Qualitätssicherungszwecken oder zur Stimmungsanalyse aufgezeichnet (gespeichert) wird, wenn dem nicht widersprochen wird, und der Anrufer das Gespräch dann ohne Widerspruch fortführt.45 Diese Praxis der stillschweigenden Einwilligung, der nur durch eine Aktivität des Anrufers nach Aufforderung beispielsweise durch Drücken der Taste „1“ (opt-out) begegnet werden kann, soll als „konkludente Einwilligung“ auch weiterhin zulässig sein und eine wirksame Erklärungshandlung darstellen.46 Die Fortführung des Telefonats nach einem entsprechenden Hinweis auf die Aufzeichnung soll eindeutig ein Einverständnis signalisieren und eine eindeutig bestätigende Handlung darstellen. Daran besteht doch erheblicher Zweifel, weil für den Angerufenen aus dem Schweigen oder dem nicht erfolgenden Drücken einer Taste keine eindeutige Erklärungshandlung ableitbar ist. Tatsächlich wird gerade nicht gehandelt und nicht erklärt, sodass diese Situation mit einem Opt-out-Verfahren vergleichbar ist, das nicht zulässig ist. „Dulden ist keine Handlung“.47 Diese Praxis wird unter der DSGVO daher nicht aufrechterhalten werden können; der Telefoncomputer wird vom Anrufer erbitten müssen, etwa mit einem gesprochenen „Ja“ oder durch Drücken einer Ziffer, in die Aufzeichnung des Gesprächs einzuwilligen.48

35

In der Regel wird es an einer eindeutigen Willensäußerung, die neben der Pflicht zur Transparenz über den Zweck der gewünschten Datenerhebung und -verwendung, die Bedingung für die Wirksamkeit der Einwilligung ist, fehlen, sodass die konkludente Einwilligung als Erlaubnis kaum eine Zukunft hat.

36

Eine mutmaßliche Einwilligung erfüllt – wie eine „Einwilligung durch Schweigen“ – nicht die Anforderungen der DSGVO.49 Bei einer mutmaßlichen Einwilligung müsste davon ausgegangen werden, dass der Betroffene ein Interesse daran haben würde, dass Daten über ihn verwendet würden.50 Diese Annahme verbietet sich von vornherein, weil die Zulässigkeit dann nicht von dem Willen des Betroffenen, den dieser zu erklären hätte, sondern allein von einem Abwägungsprozess bei der verantwortlichen Stelle abhinge. Eine Ausnahme gibt es gem. Art. 9 Abs. 2 lit. c DSGVO nur dann, wenn besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) auf der Grundlage einer Einwilligung erhoben werden sollen, die betroffene Person „aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben“. In diesen Fällen darf zum Schutz lebenswichtiger Interessen der betroffenen Person eine Datenverarbeitung, für die nicht schon eine sonstige gesetzliche Erlaubnis vorliegt, eine Verarbeitung erfolgen. Mutmaßlich hätte die betroffene Person eingewilligt, wenn sie dazu rechtlich oder tatsächlich in der Lage wäre (siehe Art. 9 DSGVO Rn. 22).51

37

Auch § 13 BDSG a.F. kannte keine mutmaßliche Einwilligung in die Datenerhebung durch öffentliche Stellen, sondern normiert in § 13 Abs. 2 Nr. 3 BDSG a.F. einen eigenen gesetzlichen Erlaubnistatbestand für den Fall, dass die Erhebung zum Schutz lebenswichtiger Interessen erforderlich ist und der Betroffene an der Abgabe einer Einwilligungserklärung tatsächlich oder rechtlich gehindert ist. In einer solchen Situation wird nun der Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO als Erlaubnistatbestand heranzuziehen sein, wonach die Datenverarbeitung erlaubt ist, wenn sie erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

38

Gegenüber der DSRl und dem BDSG ist die DSGVO insofern strenger, als es nicht mehr genügt, über bereits vom Verantwortlichen angekreuzte Kästchen eine Einwilligung zu erteilen.52 Nunmehr muss die betroffene Person aktiv werden und selbst eine Handlung vornehmen, aus der sich die Einwilligung ergibt, sei es „durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise (...), mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“ (ErwG 32).53 Es wird kein Zweifel daran gelassen, dass „Stillschweigen, oder Untätigkeit der betroffenen Person ... keine Einwilligung darstellen“ kann (ErwG 32). Das vom Anbieter voreingestellte Kreuz in einem Ankreuzkästchen (Checkbox), mit dem die Einwilligung erklärt werden soll, kann ebenso keine wirksame Einwilligungserklärung darstellen wie ein vorformulierter Text ganz ohne Checkbox. Dieses bestätigte der EuGH in seiner Planet49-Entscheidung,54 die auf einen Vorlagebeschluss des BGH erging. Auch kann eine Einwilligungserklärung nicht angenommen werden, wenn oberhalb des die Einwilligung formulierenden Textes eine Schaltfläche angebracht wird, deren Anklicken zu einem Vertragsschluss führen soll, der von einer Einwilligung abhängig gemacht wird.

39

Im Verfahren Planet49 hatte der Generalanwalt in seinen Schlussanträgen55 die Ansicht vertreten, dass die Einwilligungserklärung gesondert von anderen Erklärungen abzugeben sei. Hierauf war der EuGH im Urteil nicht explizit eingegangen, sondern stellte nur fest, dass eine Einwilligung nicht aus einer Willenserklärung zu einem anderen Thema abgeleitet werden kann. Bei einer anderen, eindeutigen Gestaltung mit verständlicher Darlegung der Erklärungsinhalte ist es aber möglich, durch einen einzigen Klick zwei rechtserhebliche Erklärungen zusammen abzugeben. Der Wortlaut von Art. 7 Abs. 2 Satz 1 ist insofern eindeutig (siehe auch Rn. 54). Dies bedeutet letztlich, dass dann, wenn die Einwilligung von den übrigen Erklärungsinhalten hinreichend klar unterscheidbar und ihr Inhalt eindeutig von der Schaltfläche umfasst ist, davon ausgegangen werden kann, dass die betroffene Person sie durch einen Klick auf die Schaltfläche auch unmissverständlich zusammen mit einer anderen (Vertrags-)Erklärung abgeben kann.56

40

Wegen des Zusammenspiels von Art. 5 Abs. 3 ePrivacyRL, dem durch Art. 3 des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien aufgehobenen § 15 Abs. 3 Satz 1 TMG und der Datenschutz-Grundverordnung gehörte es zu den komplexesten Fragen, unter welchen Voraussetzungen, in welcher Weise sowie aufgrund welchen Rechtsgrundes eine Einwilligung in das Setzen und Auslesen von Cookies wirksam erteilt werden kann. Eigentlich sollte diese Rechtsfrage durch die ePrivacyVO geklärt werden, die gemeinsam mit der DSGVO wirksam werden sollte, aber die über einen Vorschlag des Rates, der im Trilog zu beraten ist, bislang nicht hinauskam.57 Der deutsche Gesetzgeber hat daher letztlich doch (noch) mit § 24 TTDSG eine Vorschrift geschaffen, nach der eine Einwilligung in das Speichern von Informationen in Endeinrichtungen oder den Abruf von Informationen, die in Endeinrichtungen der Endnutzer gespeichert sind, erforderlich ist. Die Anforderungen an die Wirksamkeit der Einwilligung und an die klare und umfassende Information über die Einwilligung ergeben sich dabei aufgrund des Verweises in § 25 Abs. 1 Satz 2 TTDSG aus der DSGVO.58

41

Über die nach früherem Recht geführte Diskussion zur Rechtsnatur der Einwilligung nach dem Recht eines Mitgliedstaates ist unter dem Regime der DSGVO weitgehend obsolet geworden. Ein Bedürfnis dafür besteht nicht, weil sich die Bedingungen der wirksamen Einwilligung allein aus der DSGVO ergeben.59

DSGVO - BDSG - TTDSG

Подняться наверх