DS-GVO & Einwilligung

Auch bei der Einwilligung ändert sich durch die DS-GVO einiges. Lesen Sie diesen Artikel um zu wissen was genau.

Datenschutzgrundverordnung (DS-GVO) & Einwilligung

Die Einwilligung in die Datenverarbeitung ist die Entscheidung des Betroffenen, dem Datenverarbeiter die Verarbeitung von personenbezogenen Daten, die auf ihn verweisen, zu gestatten. Als stärkster Ausdruck des Rechts der informationellen Selbstbestimmung kommt der Einwilligung damit eine zentrale Rolle zur Legitimation der Verarbeitung personenbezogener Daten zu. Denn sie ist Ausdruck der Freiheit und Schutzinteressen der geschützten Person sowie der Rücksichtnahme auf die Grundrechte und Interessen der Datenverarbeiter. Aufgrund dieser hervorgehoben Stellung unterliegt eine wirksame Einwilligung strengen Anforderungen. Ab dem 25. Mai 2018 ergeben sich diese aus den Vorschriften der Datenschutzgrundverordnung (DS-GVO).

Die Datenschutzgrundverordnung

Bisher existierte kein einheitliches europäisches Datenschutzrecht, sondern nur eine Datenschutz-Richtlinie die von den einzelnen Mitgliedstaaten der europäischen Union in nationale Gesetze umgesetzt werden musste. In Deutschland fand die Datenschutz-Richtlinie Einzug in das Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG). Durch die Datenschutzgrundverordnung soll das Datenschutzrecht in der EU nunmehr harmonisiert werden. Die EU-Kommission erhofft sich dadurch einen einheitlichen Rahmen der den heutigen digitalen Anforderungen besser gerecht wird.

Zu diesem Zweck ist die Datenschutzgrundverordnung bereits am 24. Mai 2016 nach ihrer Veröffentlichung in Kraft getreten und gilt nach Ablauf einer zweijährigen Übergangsphase ab dem 25. Mai 2018 in allen Mitgliedstaaten der europäischen Union.

Aufbau und Systematik der Datenschutzgrundverordnung

Die Datenschutzgrundverordnung setzt sich aus 99 Artikeln und 173 Erwägungsgründen zusammen. Die Erwägungsgründe dienen der besseren Interpretation der einzelnen Artikel, denn sie erläutern einzelne Tatsachen der Verordnung und zeigen auf, welche Überlegungen der EU-Kommission zu den einzelnen Vorschriften geführt haben.

Die Ziele der Datenschutzgrundverordnung werden gleich zu Beginn in Art. 1 Abs. 1 und 2 DS-GVO erläutert: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie der freie Verkehr dieser Daten. Die Datenschutzgrundverordnung ist dabei, wie bereits das Bundesdatenschutzgesetz, der Systematik nach ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 Abs. 1 DS-GVO). Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann erlaubt ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene in die Datenverarbeitung eingewilligt hat. Zwar sind sich die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz demnach in Aufbau und Systematik sehr ähnlich. Dennoch müssen alle Unternehmen, die personenbezogene Daten verarbeiten, strukturelle Prozesse im Datenschutzmanagement überarbeiten um nach Ablauf der Übergangsphase nicht gegen Datenschutzvorschriften zu verstoßen.

Die Freiwilligkeit der Einwilligung

Da die Einwilligung stärkster Ausdruck des Rechts auf informationelle Selbstbestimmung ist, kann diese gem. § 4a Satz 1 BDSG nur dann wirksam sein, wenn sie auf der freien Entscheidung des Betroffenen beruht. Weitere Konkretisierungen zur Freiwilligkeit macht das Bundesdatenschutzgesetz allerdings nicht. Von den deutschen Gerichten wird die Freiwilligkeit jedenfalls dann bezweifelt, wenn zwischen dem Datenverarbeiter und der betroffenen Person ein Ungleichgewicht herrscht, wie etwa eine wirtschaftliche Abhängigkeit im Fall eines Beschäftigungsverhältnisses.

Im Gegensatz zum Bundesdatenschutzgesetz greift die Datenschutzgrundverordnung die Problematik eines Ungleichgewichts zwischen Datenverarbeiter und Betroffenen nunmehr konkret auf in Erwägungsgrund 43 auf. Dort heißt es, dass die Einwilligung insbesondere dann nicht freiwillig erklärt worden sein kann, und daher keine gültige Legitimation für eine zulässige Verarbeitung liefert, wenn es sich bei dem Datenverarbeiter um eine Behörde handelt. Die EU-Kommission unterstreicht damit die Bedeutung der Einwilligung für den privatrechtlichen Anwendungsfall, da das Tatbestandsmerkmal eines Ungleichgewichts nur in Verbindung mit einer öffentlich-rechtlichen Datenverarbeitung in Verbindung gebracht wird. Im Kommissionsentwurf zur Datenschutzgrundverordnung war als weiteres Beispiel noch das Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer aufgeführt. Dieser zweite Anwendungsfall wurde letztendlich aber wieder gestrichen.

Verbot der Koppelung von Einwilligung und Leistungserbringung

Auch die Koppelung von Einwilligung und Leistungserbringung kann die Freiwilligkeit in Frage stellen und die Einwilligung unwirksam machen. Aus diesem Grund sieht das Bundesdatenschutzgesetz gem. § 28 Abs. 3a BDSG mit seinem bereichsspezifischen Koppelungsverboten etwa vor, dass sich der Datenverarbeiter die Einwilligung des Betroffenen nicht zum Zwecke der Werbung oder des Adresshandels auf dem Wege verschaffen darf, dass hiervon der Abschluss eines Vertrages abhängig gemacht wird. Auch die Datenschutzgrundverordnung enthält gem. Art. 7 Abs. 4 DS-GVO ein Koppelungsverbot, macht dabei aber keine bereichsspezifischen Einschränkungen mehr. Beim neuen Koppelungsverbot handelt es sich also um ein allgemeines, nicht nur ein branchen- oder bereichsspezifisches Koppelungsverbot. Demnach darf die Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung in Zukunft grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, die für die Vertragserfüllung nicht erforderlich ist.

Gerade Anbieter von Webdiensten werden ihre Verarbeitungsprozesse daher einer Prüfung nach den Maßstäben des Koppelungsverbots gem. Art. 7 Abs. 4 DS-GVO unterziehen und ggf. Anpassungen vornehmen müssen.

Formvorschriften der Einwilligung

Musste die Einwilligung in die Datenverarbeitung bisher in aller Regel schriftlich vorliegen und konnte nur in Ausnahmefällen elektronisch erteilt werden, so erlaubt die Datenschutzgrundverordnung ausdrücklich die elektronische Einwilligung. Denn im Gegensatz zum Bundesdatenschutzgesetz geht die Datenschutzgrundverordnung nicht mehr von einem grundsätzlichen Schriftformerfordernis aus. Die Einwilligung muss gem. Art. 4 Nr. 11 DS-GVO nur noch durch eine eindeutig bestätigende Handlung des Nutzers erklärt werden. Das kann gem. Erwägungsgrund 32 Satz 2 etwa durch das setzen eines Häckchens (Opt-In) erfolgen. Stillschweigende Einwilligungen oder ein Opt-Out sind gem. Erwägungsgrund 32 Satz 3 hingegen auch in Zukunft für eine Einwilligung in die Verarbeitung personenbezogener Daten nicht ausreichend.

Schließlich hat der Datenverarbeiter gem. Art. 7 Abs. 1 DS-GVO zu gewährleisten, die Abgabe dieser Einwilligung im Bedarfsfall nachweisen zu können.

Informierte Einwilligung

Der Nutzer muss seine Einwilligung gem. Art. 4 Nr. 11 DS-GVO und Erwägungsgrund 42 S. 3 zudem in informierter Weise und in Kenntnis der Sachlage erteilt haben. Die Erklärung einer informierten Einwilligung setzt etwa voraus, dass der Betroffene die Möglichkeit hat, den Inhalt seiner Einwilligung in zumutbarer Weise zur Kenntnis zu nehmen. Dies gilt insbesondere bei vorformulierten Einwilligungen, wie etwa in AGB oder Datenschutzerklärungen.

Versteckte Hinweise die nicht jedem Nutzer zugänglich sind oder undeutliche Schriftarten können diese Zumutbarkeit ebenso hindern wie überlange Texte. Deswegen sind Einwilliugungserklärungen die mehrere Seiten lang sind, nur dann zumutbar, wenn dieser Umfang tatsächlich erforderlich ist um den Sachverhalt zu erläutern. Anderenfalls drängt sich der Verdacht auf, dass der Verwender von der Lektüre abschrecken und damit bestimmte Inhalte verstecken möchte.

Widerruflichkeit

Gem. Art 7 Abs. 3 DS-GVO darf der Nutzer seine einmal erklärte Einwilligung jederzeit für die Zukunft widerrufen. Auch über dieses Recht ist der Nutzer vor Beginn der Datenerhebung zu informieren, wobei der Datenverarbeiter zu gewährleisten hat, dass der Nutzer seinen Widerruf genauso einfach erklären kann, wie die ursprüngliche Einwilligung.

Hierzu empfehlen wir eine spezielle E-Mail-Adresse einzurichten, die einen direkten Kommunikationskanal zwischen Nutzer und Datenschutzbeauftragtem eröffnet. So ist gewährleistet, dass Ihre Nutzer schnell und sicher qualifierzierte Auskünfte zu Datenschutzanfragen erhalten.

Fazit

Auch die elektronische Einwilligung per Mausklick muss informiert sowie transparent erfolgen und darf dabei nicht gegen das Koppelungsverbot verstoßen. Sonst drohen hohe Bußgelder. Denn bei einem Verstoß  gegen die Vorschriften der Datenschutzgrundverordnung können gem. Art. 83 DS-GVO zukünftig Geldbußen von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes oder 20.000.000 EUR verhängt werden – je nachdem, welcher der Beträge höher ist.

Gerne unterstützen wir Sie bei der Implementierung von Einwilligungen die im Einklang mit den Vorschriften der Datenschutzgrundverordnung sind und überprüfen Ihre Dienste auf die Einhaltung des Koppelungsverbotes. Wir freuen uns auf Ihre Kontaktaufnahme.