Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 366

46

Unbeschadet der sich aus den allgemeinen Grundsätzen zur materiellen Beweislast nach deutschem Zivilprozessrecht bzw. nach dem Verwaltungs- und Verwaltungsgerichtsverfahren ergebenden Anforderungen obliegt es gem. Art. 7 Abs. 1 DSGVO dem Verantwortlichen, das Vorliegen einer Einwilligung nachzuweisen, wenn er sich bei der Verarbeitung personenbezogener Daten nicht auf eine gesetzliche Erlaubnis stützen kann, sondern die Verarbeitung durch Einholen einer Einwilligung legitimiert. Die Beweislast, dass eine Einwilligung erteilt wurde, liegt damit bei dem Verantwortlichen.67 Kann die Einwilligung nicht oder nicht in der Form und unter den Bedingungen, die sich aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO ergeben, nachgewiesen werden, ist die Verarbeitung der personenbezogenen Daten für den Zweck, für den eine Einwilligungserklärung mangels eines sonstigen Erlaubnistatbestandes vorliegen müsste, unzulässig. ErwG 42 führt aus, dass der Verantwortliche nachweisen können sollte, „dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat“.

47

Der Verantwortliche hat deshalb nachzuweisen, in welcher Weise und aufgrund welcher vor Beginn der Verarbeitung erfolgten Erklärung oder aktiven Handlung die betroffene Person die Einwilligung vornahm.

48

Es muss nachweisbar sein, dass die Erklärung vorab erfolgte (Art. 6 Abs. 1 lit. a DSGVO („hat ... gegeben“). Die Einwilligung ist eine Zustimmung, die einer künftigen Verarbeitung zur Zulässigkeit verhelfen soll. Sie kann also eine ursprünglich gesetzlich nicht erlaubte oder ohne vorherige Einwilligung erfolgte Verarbeitung nicht rückwirkend legitimieren.68

49

Außerdem ist nachzuweisen, was der Inhalt der Einwilligung ist, in welche Verarbeitung welcher Daten zu welchem Zweck eingewilligt wurde. Des Weiteren ist der Nachweis zu erbringen, dass der betroffenen Person vor Erteilung ihrer Einwilligung alle erforderlichen Informationen gegeben wurden, damit die einwilligende Person die Entscheidung auf der Basis hinreichender Informationen über Risiken und Folgen der Einwilligung erkennen konnte. Zu protokollieren und zu dokumentieren sind demnach nicht nur der Inhalt der Erklärung, sondern auch das Verfahren, wie die Erklärung zustande kam einschließlich der Angabe, welche Informationen über den Umfang und den Zweck der Datenverarbeitung sowie das Widerrufsrecht der betroffenen Person vor Abgabe der Erklärung zur Entscheidungsfindung gegeben wurden.69

50

Der Nachweis wird dann problemlos möglich sein, wenn die Einwilligung schriftlich auf einer Bestellkarte oder einem unterzeichneten Formular oder in Textform in einer E-Mail erklärt wurde. Das lässt sich dokumentieren, sodass die Transparenz im Sinne des Art. 5 Abs. 1 lit. a DSGVO jederzeit hergestellt werden kann. Wird die Einwilligung elektronisch erklärt, wird das Double-opt-in-Verfahren akzeptiert, das eine Protokollierung ermöglicht.70 Dabei wird nach einer elektronischen Einwilligungserklärung der Erklärende mit einer an die von diesem angegebenen E-Mail-Adresse aufgefordert, die erfolgte Einwilligung zu bestätigen. Dadurch wird verhindert, dass die Einwilligungserklärung von einem Dritten unter einer fremden E-Mail abgegeben wird. Eine Einwilligungserklärung kann aber auch formlos durch eine „eindeutige, bestätigende Handlung“ erfolgen. Sie kann mündlich am Telefon oder in einem Geschäft erklärt werden – was für die Nachweispflicht herausfordernde Szenarien sein dürften und eine Bestätigung in Textform im Nachgang angeraten sein lässt – oder durch Einwurf einer Visitenkarte in einer bei einer Konferenz für diejenigen aufgestellten Box, die regelmäßig Newsletter des Veranstalters erhalten möchten.71 Diese Vorgänge wären zu protokollieren.

51

Transparenz und Nachweispflicht sollen es dem Betroffenen ermöglichen, selbst zu kontrollieren, wann er in welcher Weise seine Einwilligung erteilte.72 Auch die Aufsichtsbehörde soll durch die Rechenschaftspflicht eine Unterstützung erhalten, wenn sie die Rechtmäßigkeit von sich aus kontrolliert oder einem Hinweis eines Betroffenen nachgeht, der vorträgt, keine Einwilligung erteilt zu haben.

52

An die Form der Nachweisbarkeit stellt Art. 7 Abs. 1 DSGVO keine Anforderung; weder wird Schriftlichkeit noch Textform verlangt. Allerdings wird es schwierig sein, konkludente Einwilligungen nachweisen zu können, sodass diese Form der Einwilligung kaum eine Rolle spielen dürfte. Die Auswahl der technischen Mittel zur Protokollierung und Dokumentation ist dem Verantwortlichen überlassen. Kleine und Mittlere Unternehmen werden einfachere, aber gleichwohl wirksame Lösungen finden, als große Konzerne, die etwa bestehende Risikomanagement- oder Compliance-Systeme nutzen können, um die datenschutzrechtliche Accountability zu integrieren. Außerdem gibt es bereits am Markt entsprechende Softwarelösungen.