Die Europäische Datenschutzgrundverordnung (DSGVO) führt den bisher geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt fort. Datenverarbeitungen sind demnach generell verboten – es sei denn, es liegt ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung der betroffenen Person vor. Bildlich gesprochen schließt die DSGVO also zunächst alle Tore, um dann einzelne wieder zu öffnen.
I. Rechtsgrundlage
Nach Artikel 4 Nr. 11 DSGVO bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Formale Anforderungen an die Einwilligung enthält § 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen.
1. Freiwilligkeit
Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Nach den Erwägungsgründen, welche der DSGVO angehängt sind und ihrer Auslegung dienen, gilt eine Einwilligung dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde.
2. Informiertheit
Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Vielmehr muss die betroffene Person deutlich verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.
3. Eindeutigkeit
Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Dieser Grundsatz bedeutet das Ende von Opt-Out-Wahlmöglichkeiten – Stillschweigen, Inaktivität oder vorangekreuzte Kästchen gehören damit also der Vergangenheit an und werden von der Opt-In-Lösung abgelöst.
4. Kopplungsverbot
Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Verantwortliche Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt. Umstritten ist, ob das Kopplungsverbot auch dort Anwendung findet, wo Nutzern entgeltfreie – weil zum Beispiel werbefinanzierte – Inhalte und Dienstleistungen angeboten werden. Wird eine vertragliche Leistung entgeltfrei angeboten unter Bereitstellung personenbezogener Daten als Gegenleistung (= Dienstleistung gegen Daten) und kann der angebotene Dienst nur auf diese Weise wirtschaftlich angeboten werden, wird teilweise die Ansicht vertreten, dass das Kopplungsverbot nicht greift. Die Klärung dieser Streitfrage bleibt abzuwarten. Bis zur rechtsverbindlichen Entscheidung der Frage, ist es jedoch ratsam, sich an dem Wortlaut der DSGVO zu orientieren.
5. Form
Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Welche Form sich unter der DSGVO als praktikabel erweisen wird, ist bis heute noch nicht geklärt. Allerdings – und das dämpft die Freude über die Lockerung der Formvorschrift erheblich – sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter zwingend der Nachweispflicht aus Artikel 5 Absatz 2 DSGVO unterliegen. Danach sind sie verpflichtet, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen. In der Praxis wird es im Ergebnis daher wohl weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.
6. Hinweis auf Widerrufsmöglichkeit
Altbekannt und keine Überraschung ist die Pflicht zum Hinweis auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.
II. Gelten bisher eingeholte Einwilligungen fort?
Große Bedeutung für Unternehmen hat die Frage, ob die bislang nach BDSG und TMG eingeholten Einwilligungen fortgelten. Hierzu bringt Erwägungsgrund 171 Licht ins Dunkel. Danach ist es nicht nötig, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Verstoßen alte Einwilligungen allerdings gegen das Gebot der Freiwilligkeit und speziell gegen das neu verankerte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO gelten sie nicht fort. Dann müssen sie erneut eingeholt werden. Es ist also ratsam, bestehende Einwilligungen auf diesen Sachverhalt hin zu prüfen – und den Prozess der Einwilligung gegebenenfalls anzupassen.
III. Was passiert bei unwirksamer Einwilligung?
Erweisen sich Einwilligungen nach den oben genannten Kriterien als unwirksam oder ist das Vorliegen der Einwilligung nicht durch den Verantwortlichen nachweisbar und liegen auch keine sonstigen gesetzlichen Tatbestände für eine Erlaubnis vor, ist eine Verarbeitung personenbezogener Daten unzulässig. Dies kann dann mit einem Bußgeld belegt werden.
Ich möchte diesen Beitrag teilen