» » » Übersicht – Einwilligung nach der EU-DSGVO

Übersicht – Einwilligung nach der EU-DSGVO

eingetragen in: Datenschutz | 0
Übersicht – Einwilligung

Nachdem die EU-DSGVO am 4.5.2016 im Amtsblatt der Europäischen Union veröffentlicht wurde, trat sie am 24.5.2016 in Kraft. Nach Art. 99 Abs. 1 EU-DSGVO wird sie jedoch erst zwei Jahre nach Inkrafttreten, also erst / schon am 25.5.2018 unmittelbar in allen Mitgliedstaaten gelten und folglich Teil des nationalen Rechts sein. Damit wird die EU-DSGVO die Datenschutzrichtlinie 95/46/EG ablösen.

In Erwägungsgrund 9 heißt es: „Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit (…)“. Das bedeutet, dass Prinzipien wie etwa das Verbot mit Erlaubnisvorbehalt erhalten bleiben. Die Verarbeitung personenbezogener Daten setzt -wie § 4 Abs.1 BDSG- weiterhin einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung voraus. Letzteres ist zentral in den Art. 6, 8 und 9 EU-DSGVO geregelt. Nunmehr sieht die EU-DSGVO auch eine explizite Regelung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Kindern vor.

Die genauen Einwilligungsvoraussetzungen sind in Art. 7 EU-DSGVO geregelt. Neu ist auch, dass Art. 17 Abs. 1 lit b. EU-DSGVO eine bislang umstrittene Frage löst. Kommt es nämlich zum Wegfall der Einwilligung, kann die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nunmehr auch auf einen gesetzlichen Erlaubnistatbestand gestützt werden.

Allgemein

Nach Erwägungsgrund 32 ist die Einwilligung eine ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekundete Handlung darüber, dass die betroffene Person mit der Verarbeitung ihrer Daten einverstanden ist.

Form

§ 4 Abs. 1 S. 2 BDSG setzt für die Einwilligungserklärung grundsätzlich die Schriftform voraus. Auf diesen Grundsatz verzichtet die EU-DSGVO. Deutsche Datenschützer sehen hierin einen gravierenden Datenschutzverlust. (Da eben auch mündliche Einwilligungserklärungen möglich sind) Die EU-DSGVO kompensiert diesen Datenschutzverlust indes durch Art. 7 Abs. 1 EU-DSGVO dadurch, dass dem Verantwortlichen die Beweislast für das Vorliegen einer wirksamen Einwilligung aufgebürdet wird. So werden die Verantwortlichen den Erhalt der Einwilligung protokollieren müssen, um im Bedarfsfall dessen Vorliegen nachweisen zu können. Im Gegensatz zu § 28 Abs. 3a BDSG oder § 13 Abs. 2 TMG macht der Unionsgesetzgeber in diesem Zusammenhang allerdings keine konkreten Angaben hinsichtlich der Art und Weise einer Protokollierung. Im Zuge dessen wird das sog. „Double-Opt-in-Verfahren“ weiterhin einen gangbaren Weg darstellen.

Erfolgt die Einwilligungserklärung neben einem anderen Sachverhalt schriftlich gilt Art. 7 Abs. 2 EU-DSGVO. Die Schriftform entspricht jedoch nicht §§ 126, 126 a und b BGB, sondern ist vielmehr als Textform zu verstehen. Die Einholung der Einwilligungserklärung muss sich dabei von dem anderen Sachverhalt deutlich abheben. Dies entspricht im Grunde § 4 Abs. 1 S. 3 BDSG, wonach die Einwilligung besonders hervorgehoben sein muss, soweit sie mit anderen Erklärungen zusammenfällt, um eben eine Überfrachtung durch mehrere Erklärungen zu vermeiden.

Ausdrücklichkeit der Erklärung

Art. 4 Nr. 11 EU-DSGVO und der Erwägungsgrund 32 machen deutlich, dass die Einwilligungserklärung Ausdruck eines aktiven Verhaltens sein muss. Ein bloßes passives Verhalten reicht als Einwilligung nicht aus, wozu im Übrigen auch die reine Nutzung eines angebotenen Dienstes gehört. Zudem fällt hierunter nach Erwägungsgrund 32 auch ein voreingestelltes Häkchen, ein Schweigen oder eine bloße Inaktivität.

Transparenz

Die betroffene Person muss nach dem bekannten Transparenzgebot und wie nach § 4a Abs. 1 S. 2 BDSG genau erfassen, in welche Verarbeitungen von personenbezogenen Daten sie einwilligt und welchen Zwecken sie dienen.

Freiwilligkeit

Freiwilligkeit bedeutet nach Erwägungsgrund 43, dass die betroffene Person eine echte oder freie Wahl haben muss. Dazu gehört auch die Möglichkeit die Einwilligung verweigern oder zurückziehen zu können, ohne dass sie hierdurch Nachteile erleidet. Nach Erwägungsgrund 43 liegt keine Freiwilligkeit vor, wenn ein eindeutiges Ungleichgewicht vorliegt. Im Massengeschäft wird dies allerdings regelmäßig der Fall sein, so dass es entscheidend auf eine Einzelfallprüfung ankommt. Zu einer fehlenden Freiwilligkeit kann auch das Trennungsgebot führen, das besagt, dass streng genommen jeder Datenverarbeitung bzw. jedem Datenverarbeitungsvorgang eine eigene Einwilligung zugrunde liegen muss. Dies ergibt sich aus Erwägungsgrund 43. Eingeschränkt wird das Trennungsgebot zugunsten des Verantwortlichen wiederum dadurch, dass das Trennungsgebot nur bei einem überschaubaren Aufwand eingehalten werden muss. Dadurch entstehen Interpretationsmöglichkeiten zugunsten von Verantwortlichen. Ein weiteres Kriterium, das die Freiwilligkeit ausschließen kann, ist das Kopplungsverbot in Art. 7 Abs. 4 EU-DSGVO. Für die Erfüllung eines Vertrages werden oftmals Daten benötigt. Der Vertrag bildet hierzu die gesetzliche Erlaubnis. Möchte der Verantwortliche weitere Daten zu anderen Zwecken verarbeiten, setzt letztere eine Einwilligung voraus, die eben nicht über eine vorformulierte Einwilligung legitimiert werden darf. Mit anderen Worten darf die Erfüllung eines Vertrages oder die Erbringung von Diensten nicht von der Erteilung einer Einwilligung abhängig gemacht werden, obwohl dies für die Erfüllung des Vertrages nicht erforderlich ist. Damit geht das Koppelungsverbot der EU-DSGVO weiter als das in § 28 Abs. 3b BDSG enthaltene Koppelungsverbot, das lediglich auf sog. Monopolverträge beschränkt ist.

Widerrufsrecht

Art. 7 Abs. 3 EU-DSGVO sieht ein Widerrufsrecht vor. Ein solches kennt aber auch das aktuelle Datenschutzrecht. So wird der jederzeitige Widerruf mit Wirkung für die Zukunft möglich blieben. Nur wenn der Verantwortliche die Datenverarbeitung dann auf einen gesetzlichen Erlaubnistatbestand stützen kann, bleibt diese rechtmäßig.

Sonderregeln bei Einwilligung von Kindern
Für die Einwilligung von Kindern in die Verarbeitung ihrer personenbezogenen Daten in Bezug auf Dienste der Informationsgesellschaft (vor allem Facebook) gilt Art. 8 EU-DSGVO.

Als Untergrenze gibt die EU-DSGVO in Art. 8 Abs. 2 das 13. Lebensjahr vor. In dem Zeitraum zwischen dem 13. Und 16. Lebensjahren können die Mitgliedstaaten andere Altersgrenzen regeln. Darüber hinaus normiert Art. 8 Abs. 2 EU-DSGVO eine Protokollierungspflicht der Einholung der Einwilligung durch die Eltern. Art. 8 Abs. 3 EU-DSGVO sieht vor, dass die nationalen Vorschriften der §§ 104 ff. BGB bestehen bleiben. So ist es möglich, dass bereits zum Vertragsschluss eine Einwilligung durch die Eltern erfolgen muss. In diesem Fall bedarf es keiner weitergehenden datenschutzrechtlicher Einwilligung. Außerhalb von Diensten für die Informationsgesellschaft gelten die nationalen Vorschriften. Letztlich gilt Art. 12 Abs. 1 EU-DSGVO, wonach Informationspflichten der Art. 12 und 13 EU-DSGVO in einer klaren und verständlichen Art und Weise vermittelt werden müssen. In Bezug auf Kinder müssen die Informationen also altersgerecht formuliert sein.

Zusammenfassung

– Form – schriftlich, mündlich oder elektronisch
– Ausdrücklichkeit – aktives Verhalten
– Kenntnis – Kenntnis über Datenverarbeitung, Verantwortlicher, Zweck
– Transparenz –vorformulierte Einwilligung muss verständlich und leicht zugänglich sein
– Freiwilligkeit – kein Zwang, freie Wahl, Koppelungsverbot, Trennungsgebot, kein gravierendes Ungleichgewicht
– Bezug zu einem konkreten Sachverhalt – Einwilligungserklärung in Bezug auf diesen konkreten Sachverhalt
– Dokumentation – Dokumentationspflicht
– Widerrufsrecht – Hinweis auf jederzeitige Widerrufsmöglichkeit
– Sonderregeln bei Kindern

Unser Kommentar

Aus dem vorgenannten Überblick wird ersichtlich, dass die grundsätzlichen Anforderungen zwar erhalten bleiben. Die Regelungen sind aber ersichtlich detaillierter geworden. Die Regelung des Art. 8 EU-DSGVO ist mit Sicherheit eine Bereicherung. Auf den ersten Blick scheinen auch andere Regelungen für eine positive Entwicklung. Hierzu gehört z.B. das Koppelungsverbot, ein scharfes Schwert geworden ist. Vor allem wird das Koppelungsverbot den Online-Gewinnspielbereich nicht unerheblich verkomplizieren. Schließlich stärkt die EU-DSGVO den Bereich der Einwilligung auch durch Art. 83 Abs. 5 EU-DSGVO durch erhöhte Bußgelder.