Innerhalb des Datenschutzrechts hat die Einwilligung bekanntermaßen eine besondere Stellung: Sie ist das einzige Mittel, um eine Verarbeitung von personenbezogenen Daten nicht aufgrund eines vorliegenden gesetzlichen Erlaubnistatbestands zu ermöglichen. Die Einwilligung wird legaldefiniert als „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DSGVO). Sie wird daher oft auch als „genuiner Ausdruck des Rechts auf informationelle Selbstbestimmung“ bezeichnet – handelt es sich bei ihr doch letzten Endes um die Entscheidung des Einzelnen, diese Daten im von ihr (der Einwilligung) umfassten Rahmen verarbeiten zu lassen.
Einwilligung = keine Erforderlichkeit notwendig?
Allerdings scheint die Einwilligung in der Praxis zu einem Instrument geworden zu sein, mit dem die Verarbeitung möglichst vieler personenbezogener Daten gerechtfertigt werden soll. Anders als bei allen anderen allgemeinen Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO, heißt es im Wortlaut zur Einwilligung nicht ausdrücklich, die Datenverarbeitung, welche sie legitimiert, müsse erforderlich sein (vgl. Art. 6 Abs. 1 lit. a DSGVO).
Vermutlich resultiert daraus der Umstand, dass bspw. bei Datenverarbeitungen zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DSGVO) oder zur Wahrung eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) erfahrungsgemäß strikter darauf geachtet wird, sich an den Grundsatz des „so viel wie nötig, so wenig wie möglich“ in Bezug auf die Anzahl der verarbeiteten Daten zu halten als es bei Einwilligungen der Fall ist. Stattdessen werden Einwilligungen häufig geradezu gegenteilig genutzt, nämlich um weiter zu gehen und Verarbeitungen über das (in Art. 6 Abs. 1 lit. b-f DSGVO) vorgeschriebene erforderliche Maß hinaus durchzuführen.
Ein Beispiel aus der Praxis
Als gutes Beispiel dafür können Kontaktformulare auf Websites angeführt werden. Neben den sogenannten Pflichtfeldern in der Eingabemaske, die ausgefüllt werden müssen, damit ein Anliegen bearbeitet werden kann, werden oftmals noch weitere Daten auf Basis einer Einwilligung im Formular abgefragt. Letztlich erfolgt die Angabe dieser Daten zwar freiwillig und das Formular kann (bzw. sollte!) auch nutzbar sein, wenn die entsprechenden Informationen nicht eingetragen werden. Allerdings stellt sich die Frage, aus welchem Grund Unternehmen diese freiwilligen Felder überhaupt anbieten bzw. welche Zielsetzung damit verfolgt wird.
Zweckbindung?
Zu bedenken gilt hier, dass Einwilligungen in eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. a DSGVO für einen oder mehrere Zwecke zu geben sind. Derartige Zwecke müssen – im Sinne des Zweckbindungsgrundsatzes nach Art. 5 Abs. 1 lit. b DSGVO – schon bei Erhebung der Daten festgelegt, eindeutig und legitim sein. Auch für die Erhebung zusätzlicher, freiwilliger Daten in Kontaktformularen sollte entsprechend mindestens ein Zweck definiert werden, der mit der Abfrage verfolgt wird. Zu beachten ist hierbei, dass sich nach dem definierten Zweck auch die Zulässigkeit dieser Abfrage selbst richtet. Denn wird als Zweck z. B. eine verbesserte Erreichbarkeit der Person, die ihr Anliegen über das Kontaktformular eingereicht hat, bestimmt, kann dies vielleicht die Abfrage weiterer Kommunikationsdaten, wie bspw. einer Telefonnummer ergänzend zu einer bereits erforderlich erhobenen E-Mail-Adresse, rechtfertigen. Die „wahllose“ Erhebung weiterer Informationen wie z. B. der Hobbies oder der Lieblingsfußballmannschaft fiele jedoch eindeutig nicht mehr unter den angegebenen Verarbeitungszweck. Wesentlich ist, dass die abgefragten personenbezogenen Daten stets zum definierten Zweck ihrer Verarbeitung passen.
Datenminimierung?
Eng mit dem Prinzip der Zweckbindung verknüpft und im Zusammenhang mit Einwilligungen ebenfalls schnell vergessen zu werden scheint auch ein weiterer Grundsatz im Datenschutzrecht, nämlich der der Datensparsamkeit bzw. Datenminimierung. Gem. Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Somit sollte sich auch wenn abgefragte Angaben zum vorab definierten Zweck passen, stets gefragt werden, ob tatsächlich alle diese Angaben zur Erfüllung dieses Zwecks erforderlich sind oder nicht. Bedarf es – sofern hier nicht nur ein diesbezügliches Eingabefeld existiert – bspw. wirklich mehrerer Telefonnummern und E-Mail-Adressen, um die Person zu kontaktieren? Oder, um ein anderes Beispiel aus der Praxis zu nennen: Müssen tatsächlich mehrere dutzend Tracking-Dienste auf einer Website eingesetzt werden, um die damit verfolgten Zwecke zu erreichen? Der „Zusatznutzen“ hinter dieser Vorgehensweise ist oftmals fraglich. Dem Prinzip der Datenminimierung wird damit jedenfalls nicht gedient.
Je mehr Daten, desto mehr Vorsicht ist geboten!
Dabei sollte sich stets eines vor Augen geführt werden: Je mehr Daten verarbeitet werden, desto größer ist letztlich das Risiko des dafür Verantwortlichen. Zu berücksichtigen ist auch, dass die weiteren Grundsätze bei der Verarbeitung von personenbezogenen Daten – wie die Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO) oder die Speicherbegrenzung (Art. 6 Abs. 1 lit. e DSGVO) – schwieriger umzusetzen sind, solange eine große Datenmenge verarbeitet wird. Außerdem wird mit Betroffenenanfragen, wie etwa Auskunftsansprüchen (Art. 15 DSGVO), wesentlich mehr Aufwand einhergehen, während sich das Potential für Fehler erhöht.
Des Weiteren sind dann die Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) für eine größere Anzahl an Daten sicherzustellen, wobei die zu treffenden technischen und organisatorischen Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus (Art. 32 DSGVO) auch den Umfang der Verarbeitung zu berücksichtigen haben.
Nur weil Art. 6 Abs. 1 lit. a DSGVO die Verarbeitung im Wortlaut nicht auf deren Erforderlichkeit beschränkt, kann nicht automatisch angenommen werden, dass grenzenlose Datenverarbeitungen problemlos möglich sind oder durchgeführt werden sollten. Die Grundsätze für die Verarbeitung von personenbezogenen Daten in Art. 5 Abs. 1 DSGVO geben am Ende anderes vor.
Anonymous
25. Januar 2022 @ 20:10
Mir ist heute https://www.wuv.de aufgefallen. In den Cookie-Einstellungen findet man mehrfach die standardmäßig aktive Option „Legitimes Interesse“ neben der Einwilligung. Also entweder es gibt ein legitimes Interesse, dann kann ich das nicht ablehnen, oder das auch nur eine Einwilligung unter anderer Bezeichnung. Ich kann mir nicht vorstellen, dass das so rechtmäßig ist. Hab ich in letzter Zeit schon häufiger gesehen.