Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Was sind die neuen Anforderungen an eine rechtkonforme Einwilligung? Was sind die zu beachtenden Formalien? Müssen Einwilligungen weiterhin schriftlich erfolgen? Darf ein Vertragsabschluss von einer Einwilligung abhängig gemacht werden? Genau diese Themen behandeln wir in unserem heutigen Beitrag.

Nach einem Überblick über verfassungsrechtliche Grundsätze stellen wir zunächst die bisherige Rechtslage dar, die bis zum Inkrafttreten der DSGVO gültig bleibt. Sodann stellen wir die neuen Regelungen der DSGVO dar und inwieweit diese von den derzeitigen Regelungen abweichen.

Bereits an dieser Stelle kann gesagt werden, dass keine bisher geltenden Gewissheiten durch die DSGVO komplett „über den Haufen“ geworfen werden.

Verfassungsrechtliche Grundsätze

Grundlage des gesamten Datenschutzrechtes ist das Grundrecht auf Datenschutz. Dieses wird sowohl durch das deutsche Grundgesetz garantiert als auch durch die Charta der Grundrechte der Europäischen Union (Charta). Teil des Grundrechts ist nicht nur der Schutz vor unberechtigten Datenverarbeitungen, sondern auch das Recht, selbst über Verarbeitungen eigener Daten bestimmen zu können.

Grundgesetz: Informationelle Selbstbestimmung

Das Grundrecht auf Datenschutz wird im Grundgesetz gemäß dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts aus dem Allgemeinen Persönlichkeitsrecht abgeleitet. Das Bundesverfassungsgericht spricht insoweit vom “Grundrecht auf informationelle Selbstbestimmung”, das in Art. 2 Abs. 1, Art. 1 Abs. 1 GG verankert ist.

Das Grundrecht auf informationelle Selbstbestimmung (Grundrecht auf Datenschutz) gewährleistet das Recht des Einzelnen, grundsätzlich über die Preisgabe und Verwendung seiner persönlichen Daten zu selbst zu bestimmen.

Von dieser Selbstbestimmung ist das ungeschriebene Recht umfasst, dass jeder Betroffene selbst über die Preisgabe und Verwendung seiner Daten verfügen kann. Die freiwillige und ausreichend konkrete Einwilligung schließt einen Grundrechtseingriff daher grundsätzlich aus.

Charta: Artikel 8 – Schutz personenbezogener Daten

Auf europäischer Ebene ist das Grundrecht auf Datenschutz insbesondere in Artikel 8 der Charta der Grundrechte der Europäischen Union normiert.

Dessen Absatz 1 lautet:

„Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

In Absatz 2 Satz 1 wird festgelegt, dass Daten aufgrund einer Einwilligung verarbeitet werden dürfen:

„Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“

Hier wird also sogar direkt normiert, dass jede Person in die Verarbeitung ihrer Daten einwilligen kann.

Ausgestaltung der Grundrechte durch gesetzliche Regelungen

Während ein Grundrecht zunächst nur als sog. Abwehrrecht gegenüber dem Staat gilt und relativ pauschal besagt, wer und was von ihm geschützt wird, können über einfache Gesetze genaue Angaben zum „wie“ gemacht werden. Die einfachgesetzliche Ausgestaltung des Grundrechts auf Datenschutz ist in Deutschland bisher unter anderem durch das Bundesdatenschutzgesetz (BDSG) erfolgt. Das BDSG setzt wiederum die Vorgaben aus der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) um.

In Zukunft wird das Grundrecht europaweit durch die DSGVO ausgestaltet, die direkt anwendbares Recht darstellt.

Sowohl im BDSG als auch in der DSGVO finden sich umfangreiche Regelungen dazu, wie eine Einwilligung erteilt werden muss, damit diese tatsächlich wirksam ist.

Auch wenn die Formulierungen aus der EU-Datenschutzrichtlinie ggf. hilfreich für die Auslegung und einen Vergleich der Regelungen des BDSG und der DSGVO sein können, wurde an dieser Stelle bewusst auf deren Einbeziehung in den Vergleich verzichtet, um den Umfang des Beitrags nicht zu sprengen.

Regelungen im Bundesdatenschutzgesetz

Die maßgeblichen Regelungen zur Einwilligung finden sich im Bundesdatenschutzgesetz in § 4 Absatz 1 und § 4a Absatz 1 und 3.

1.  Zulässigkeit der Datenverarbeitung durch Einwilligung

In § 4 Abs. 1 wird zunächst der Grundsatz des Verbots mit Erlaubnisvorbehalt statuiert:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“

Eine Verarbeitung personenbezogener Daten ist danach also zulässig, wenn der Betroffene hierin eingewilligt hat.

2. Anforderungen an eine wirksame Einwilligung

In § 4a Absatz 1 und 3 werden dann Ausführungen zur Wirksamkeit, zum Inhalt und zur Form einer Einwilligung gemacht.

Abs. 1:

„Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.“

Abs. 3:

„Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.“

Nach den bisherigen Regelungen des Bundesdatenschutzgesetzes mussten also bisher stets folgende Tatbestandsmerkmale erfüllt sein, damit eine Einwilligung als wirksam erachtet werden kann:

  • Freiwilligkeit: Die Artikel 29 Datenschutzgruppe definiert (Arbeitspapier Nr. 114 vom 25.11.2015, S. 13) Freiwilligkeit als die Möglichkeit des Betroffenen, eine echte Wahl zu treffen, d.h. im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt zu werden und eine realistische Möglichkeit zum Widerruf der Einwilligung zu haben, ohne dadurch einen Nachteil zu erleiden.
    Aus dem Prinzip der „Freiwilligkeit“ kann in besonderen Fällen auch ein sog. „Kopplungsverbot“ folgen. Das kann der Fall sein, wenn in einer Privatrechtsbeziehung einseitige Bestimmungsmacht gegeben ist und der Erhalt einer Leistung an die Preisgabe persönlicher Informationen gebunden ist.
  • Informiertheit, Bestimmtheit und Erkennbarkeit: Eine freie Zustimmung setzt stets die vorangegangene umfassende Information über die erhebende und verantwortliche Stelle, die Art der Daten und den Zweck sowie alle weiteren für eine Entscheidungsfindung relevanten und hinreichend bestimmten Informationen voraus. Sämtliche Informationen müssen stets leicht erkennbar sein, insbesondere dann, wenn die Einwilligung zusammen mit anderen Erklärungen eingeholt werden soll.
  • Abgabe vor Datenverarbeitung: Die Einwilligung muss vor der Erhebung oder Verwendung erfolgen. Eine rückwirkende Legitimation ist nicht möglich.
  • Schriftform: Die Einwilligung muss grundsätzlich schriftlich erfolgen (insb. Warnfunktion für den Betroffenen und Beweisfunktion für die verantwortliche Stelle). Unter besonderen Umständen, insbesondere bei der Kommunikation über elektronische Medien wie E-Mail oder das Internet, wird eine Ausnahme vom Schriftformerfordernis gemacht.
  • Widerruflichkeit: Die einmal abgegebene Einwilligung muss stets widerrufbar sein, um den Einzelnen nicht unwiederbringlich seines Rechts auf informationelle Selbstbestimmung zu berauben.
  • Besondere Bezugnahme bei der Verarbeitung besonderer Arten personenbezogener Daten: Die Einwilligung muss sich auf diese Verarbeitung beziehen.

Regelungen in der EU-Datenschutzgrundverordnung

In der DSGVO finden sich viele der bisherigen Regelungen in verschiedenen Vorschriften wieder. Diese sind in mancher Hinsicht deutlich detaillierter als die Normen des BDSG, in anderen Belangen aber auch genereller gefasst. Die DSGVO enthält zudem eine Reihe von Erwägungsgründen, mit denen die Ziele und Zwecke der eigentlichen Regelungen vorab erläutert werden. Die Erwägungsgründe selbst stellen kein bindendes Recht dar, sollen aber für die Auslegung der Rechtsnormen herangezogen werden.

1. Zulässigkeit der Datenverarbeitung durch Einwilligung

Auch in der DSGVO bleibt das Prinzip des Verbots mit Erlaubnisvorbehalt erhalten. Jede Datenverarbeitung wird auch in Zukunft einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen bedürfen. In Artikel 6 DSGVO wird zunächst aufgezählt, unter welchen Bedingungen eine Datenverarbeitung rechtmäßig ist. Die Einwilligung wurde in Artikel 6 Abs. 1a) aufgenommen:

“1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

(a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben”

In dieser Vorschrift wird also zunächst nur die Anforderung “bestimmte Zwecke” genannt. Dies entspricht damit dem bisherigen „Bestimmtheitsgebot“. In Erwägungsgrund 32 der Verordnung wird zudem unter anderem folgendes ausgeführt:

“Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung […]. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.”

Hier wird also ausgeführt, dass es für eine wirksame Einwilligung eines Opt-Ins bedarf. Ein Opt-Out soll nicht ausreichend sein. Nach den bisherigen Regelungen konnte in bestimmten Fällen auch ein Opt-Out ausreichen.

2. Anforderungen an eine wirksame Einwilligung

Weitere Anforderungen an die Einwilligung werden in Artikel 7 genannt, auf die wir hier im Einzelnen eingehen möchten.

Absatz 1

“Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“

Der Absatz statuiert, dass eine verantwortliche Stelle in der Lage sein muss, zu beweisen, dass eine Einwilligung abgegeben wurde. Diese Anforderung ist damit vergleichbar mit dem Schriftformerfordernis bzw. dem Erfordernis einer sonstigen angemessenen Form. Der Schwerpunkt wird hier aber, anders als im BDSG, auf die Perspektive der verarbeitenden Stelle gelegt.

Absatz 2

„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.“

Absatz 2 entspricht der Regelung in § 4a Abs. 1 S. 4 BDSG, wonach eine Einwilligung, die zusammen mit anderen Erklärungen schriftlich erteilt wird, besonders hervorzuheben ist. Die Regelung der DSGVO geht hierüber im Detail sogar hinaus.

Absatz 3

„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein .“

In Absatz 3 werden umfangreiche Ausführungen zum Recht auf Widerruf einer abgegebenen Einwilligung gemacht. Auch wenn die gemachten Regelungen im BDSG nicht genau so ausführlich oder überhaupt nicht niedergeschrieben sind, entsprechen sie komplett der bisherigen Rechtslage: Nach S. 1 muss eine einmal gegebene Einwilligung jederzeit widerrufbar sein. S. 2 gibt lediglich eine Selbstverständlichkeit wieder, nämlich, dass der Widerruf die Rechtmäßigkeit der Datenverarbeitung vor dem Widerruf nicht berührt. In S. 3 ist wiederum festgelegt, dass der Betroffene vor der Einwilligung über die Datenverarbeitung informiert werden muss. S. 4 stellt klar, dass es genauso einfach sein muss, eine Einwilligung zu widerrufen, wie sie abzugeben.

Weitere Ausführungen zur Freiwilligkeit werden in Erwägungsgrund 42 gemacht:

“Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

An dieser Stelle wird also noch klargestellt, dass es darauf ankommt, dass eine Einwilligung auf der freien Entscheidung des Betroffenen beruhen muss. Der Betroffene muss eine tatsächliche Wahl haben und keine Nachteile befürchten müssen.

Absatz 4

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Absatz 4 gibt eine Auslegungshilfe für die Frage, ob eine Einwilligung freiwillig abgegeben wurde. Hier soll insbesondere in Betracht gezogen werden, ob ein Unternehmen Daten eines Verbrauchers verarbeiten möchte, die für die Erfüllung eines Vertrages nicht erforderlich sind.

Weitere Ausführungen hierzu werden in Erwägungsgrund 43 gemacht.

“Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.”

Darin wird ausgeführt, wann eine Einwilligung nicht als Rechtsgrundlage für eine Datenverarbeitung angesehen werden sollte. Zunächst soll dies der Fall sein, wenn ein Ungleichgewicht zwischen dem von der Datenverarbeitung Betroffenem und der verarbeitenden Stelle (insb. bei öffentlichen Stellen) besteht. Dieser Gedanke entspricht somit dem bereits bestehenden, oben erläuterten, „Kopplungsverbot“.

Die Einwilligung soll zudem dann als nicht freiwillig angesehen werden, wenn in verschiedene Zwecke der Datenverarbeitung nicht einzeln eingewilligt werden kann, obwohl dies im Einzelfall angebracht wäre.

Schließlich soll eine Einwilligung auch dann als nicht freiwillig erteilt gelten, wenn die Durchführung eines Vertrages davon abhängig gemacht wird, obwohl die Datenverarbeitung für diese Durchführung nicht erforderlich ist.

Für letztere Formulierung ist insbesondere fraglich, wie dies im Verhältnis zu Art. 6 Abs. 1b) zu verstehen ist. Danach dürfen Daten ohnehin ohne eine Einwilligung verarbeitet werden, wenn die Daten für die Durchführung eines Vertrages erforderlich sind. Mit der Formulierung scheinen also weitere personenbezogene Daten gemeint zu sein, die nicht zur Vertragsdurchführung notwendig sind. Insoweit wurde hier also nur noch einmal klargestellt, dass – wie bisher – das Gebot der Datensparsamkeit gilt.

Eine Neuerung stellt hingegen die Regelung der Anforderungen an eine Einwilligung von unter 16-jährigen dar, die in Artikel 8 gemacht werden:

„Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

2. Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.”

Hier wird klar geregelt, dass eine Einwilligung in eine Datenverarbeitung, die Minderjährige unter 16 Jahren (bzw. unter 13 Jahren soweit das nationale Recht dies vorsieht) abgeben, nur dann wirksam ist, wenn die Sorgeberechtigten hierin einwilligen bzw. zustimmen. Eine ausdrückliche Regelung hierzu fand sich bisher nicht im BDSG. Hier war bisher lediglich anerkannt, dass die Rechtswirksamkeit einer Einwilligung eines Minderjährigen von dessen Einsichtsfähigkeit abhängt.

Zusammenfassung

Zusammenfassend lässt sich also sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen erhalten bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Wirklich neue Erfordernisse sind ebenfalls nicht dazugekommen.

Teilweise wurden jedoch Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.

Unterschiede können sich zudem in nachgelagerten Fragen ergeben, also dazu, wann ein Tatbestandsmerkmal eigentlich wirklich erfüllt wird. Die Entwicklung bleibt hier abzuwarten. Die weitere Ausgestaltung wird dabei insbesondere von der dazu ergehenden Rechtsprechung abhängig sein.

Weitere Beiträge zur DSGVO in unserem Blog.

Update 25.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.