Die Einwilligung ist eines der wichtigsten Instrumente des Datenschutzrechts: Sie gilt als Ausprägung des Rechts der informationellen Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und findet sich auch direkt in der Charta der Grundrechte der Europäischen Union (in Art. 8 Abs. 2 S. 1 GRCh) wieder. Nach der grundsätzlichen Auffassung soll jede Person befugt sein, über die Verarbeitung ihrer Daten selbst zu entscheiden – so auch das Bundesverfassungsgericht im sog. „Volkszählungsurteil“ aus dem Jahre 1983.
Ein weiteres Grundprinzip im Datenschutzrecht bildet nach der DSGVO der sog. Transparenzgedanke (Art. 5 Abs. 1 lit. a DSGVO), welcher sich u. a. in den Informationspflichten nach Art. 13 und Art. 14 DSGVO widerspiegelt und die betroffene Person bei Erhebung bzw. Weiterverarbeitung ihrer Daten zu anderen Zwecken umfassend hierüber aufklären soll. Der Transparenzgedanke zieht sich durch die gesamte Verordnung (siehe bspw. Art. 12 DSGVO) und ist auch für Einwilligungen wesentlich (siehe deren Kriterium der Informiertheit, Art. 4 Nr. 11 DSGVO).
Vor- und Nachteile der Einwilligung
Die Anforderungen an die datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO) gehen sogar noch hierüber hinaus, da sie gem. Art. 4 Nr. 11 DSGVO eine eindeutig bestätigende Handlung vorsehen „mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist [..]“.
Vor dem Hintergrund des Transparenzgedankens sollte bei Erhebung der Daten bzw. jedenfalls bei der Datenverarbeitung auf Grundlage der Einwilligung der betroffenen Person u. a. verständlich und klar sein, dass die Verarbeitung auf Grundlage der Einwilligung stattfindet, welche Zwecke verfolgt werden und mit welchen Instrumenten sie sich hiergegen wehren könnte. Denn die Datenschützerinnen und Datenschützer wissen, dass der Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO anders auszugestalten und an andere Folgen geknüpft ist als der Widerspruch gegen die Datenverarbeitung nach Art. 21 Abs. 1 bzw. 2 DSGVO (z. B. bei Briefwerbung oder sonstigen Marketingmaßnahmen, die auf ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden).
Die Realität sieht allerdings anders aus, wie ein Blick auf die Flut an „Cookie-Bannern“ im Internet verrät, durch die in Datenverarbeitungen – meist in Verhaltenstracking zu Werbezwecken – eingewilligt werden soll: Wird der komplexe Vorgang im Hintergrund der Website verständlich erklärt? Startet das Tracking tatsächlich erst nach dem Klick auf die Schaltfläche „Einverstanden“? Und lassen sich mit einem Klick der Cookie-Banner erneut öffnen und die konkreten Einstellungen ändern?
Indes wird über Sinn und Unsinn der Einwilligung schon seit Längerem diskutiert. Viele halten sie für ein probates Mittel, eine nahezu ausufernde Datenverarbeitung zu legitimieren und gar zu rechtfertigen, da die betroffene Person dadurch selbst bestimmte, welche Daten sie dem Verantwortlichen zur Verfügung stellt – und deshalb auch freiwillig mehr Daten der Person erhoben werden können. All dieses könnte sogar im vermeintlichen Interesse der Benutzerinnen und Benutzer sein, bspw. bei Profilen in sozialen Netzwerken oder auch innerhalb von Apps und Endgeräten, wenn für sie jeweils interessante Angebote angezeigt werden. Nahezu alles, was technisch möglich ist, könnte möglicherweise damit auch rechtlich möglich sein.
Andere Stimmen aus der Rechtswissenschaft widersprechen dieser Betrachtungsweise und erachten die Einwilligung in Datenverarbeitungen über Cookie-Banner als „nicht zielführend“ oder gar als diskriminierend. Letzteres könnte in der Tat berechtigterweise angenommen werden, wenn bestimmte Personengruppen auf Grund ihres Alters, des finanziellen Vermögens oder aber wegen Problemen mit dem Verständnis komplexer (fremdsprachiger) „Rechtstexte“ benachteiligt werden. Kurz gesagt: Viele Personen stimmen dem umfassenden Werbetracking einfach zu, da es ihnen entweder an Zeit, Geld oder aber an Wissen fehlt, um sich solchem zu entziehen.
Was wäre, wenn …?
Aufgrund der zuletzt genannten Gründe spricht vieles gegen die Wahl der Einwilligung zur Legitimation von Datenverarbeitungen. Stattdessen könnte eine Verarbeitung von personenbezogenen Daten auf eine der in Art. 6 bzw. Art. 9 DSGVO normierten Rechtsgrundlagen gestützt werden – oder aber dürfte andernfalls mangels Rechtsgrundlage gar nicht in diesem Umfang erfolgen.
Seit Jahren herrscht jedoch Uneinigkeit darüber, ob und inwiefern die datenschutzrechtliche Einwilligung neben den weiteren gesetzlichen Rechtsgrundlagen aus Art. 6 Abs. 1 b-f DSGVO parallel verwendet werden kann oder aber, ob das eine das andere ausschließt. Mit anderen Worten: Es kann entweder die Zustimmung der Person eingeholt werden, als sog. Einwilligungslösung, oder aber es muss eine andere Rechtsgrundlage einschlägig sein (z. B. die Datenverarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO oder auf Basis des „berechtigten Interesses“ gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO) – beides zusammen kann jedoch nicht zur Rechtfertigung der Datenverarbeitung genutzt werden.
Der Wortlaut aus Art. 6 Abs. 1 DSGVO lässt allerdings vermuten, dass sich der Verordnungsgeber offenbar auch vorstellen konnte, dass mehrere Rechtsgrundlagen gleichzeitig für dieselbe Datenverarbeitung herangezogen werden. Die Norm spricht von „mindestens einer der nachstehenden Bedingungen“; somit kann eine Datenverarbeitung auf mehrere Fundamente gestützt werden. Auch die Formulierung in Art. 17 Abs. 1 lit. b DSGVO zum Recht auf Löschung untermauert diese Interpretation. Demnach sind personenbezogene Daten unter folgender Voraussetzung zu löschen: „Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung“.
Dieser Kniff wirft aber Fragen auf: Schließlich könnte der gesamte Vorgang in datenschutzrechtlicher Hinsicht intransparent erscheinen, wenn eine Datenverarbeitung gleichzeitig auf mehrere Rechtsgrundlagen gestützt wird, die bisweilen an unterschiedliche Handlungen und Rechtsfolgen geknüpft sind, insbesondere, wenn die eine Rechtsgrundlage einer betroffenen Person die „Verteidigung“ gegen eine Datenverarbeitung ermöglicht, während die zweite Rechtsgrundlage keine solch einfache Möglichkeit beinhaltet. Verhindert dies, dass sich eine betroffene Person wirksam gegen Verarbeitungen wehren kann?
Unterschiede und Intransparenz
Die Einwilligung muss jederzeit mit Wirkung für die Zukunft widerrufbar sein (Art. 7 Abs 3 S. 1 u. 2 DSGVO), wobei der Widerruf so einfach sein muss wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO). Über allem schwebt das Schwert der „Freiwilligkeit“ der Abgabe der Zustimmung (Art. 4 Nr. 11 DSGVO), die vom Verantwortlichen zu beweisen wäre. Bei der Freiwilligkeit der Entscheidung bestehen allerdings oftmals erhebliche Zweifel, gerade wenn die Verarbeitung nicht hinreichend transparent erläutert wird.
Eine Datenverarbeitung auf Basis des berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) erfordert zunächst ohnehin eine Interessenabwägung, kann aber unter Umständen mit dem Widerspruch nach Art. 21 DSGVO gestoppt werden. In der Regel wird dieser Widerspruch aber weniger erfolgversprechend sein und überdies mehr Aufwand seitens der betroffenen Person erfordern. Einzig beim Werbewiderspruch sind die Hürden nicht allzu hoch gesetzt.
Andere Datenverarbeitungsvorgänge, die auf entsprechende Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO fußen, z. B. im Rahmen der Erfüllung eines Vertrages nach Art. 6 Abs. 1 S. 1 lit. b DSGVO, werden in der Regel noch schwerer von der betroffenen Person zu Fall gebracht werden können. Da bedarf es dann schon bspw. eines ausdrücklichen Löschbegehrens nach Art. 17 Abs. 1 DSGVO, welches der Verantwortliche oftmals – aus gesetzlich festgelegten Gründen – nicht erfüllen muss.
Die aufgezeigten Szenarien sollten die abstrakten Konsequenzen verdeutlichen. Schlussendlich wäre es daher begrüßenswert, wenn die betroffene Person vor der Datenverarbeitung erkennen kann, welche exakten Folgen und Möglichkeiten/Hürden für sie im Raum stehen, die wiederum eng an die konkrete Rechtsgrundlage geknüpft sind. Eine bloße Auflistung aller infrage kommender Normen aus der DSGVO wäre deshalb zu ungenau.
Ein Urteil aus Österreich
Die Diskussion findet vornehmlich in der Rechtswissenschaft statt, nahm aber vor Kurzem weiter Fahrt auf mit einem Urteil vom Bundesverwaltungsgericht aus Österreich (BVwG, Urteil vom 31.08.2021, Az.: W256 2227693-1/10E).
In diesem Urteil zeigten die Richter auf, dass nicht per se auszuschließen sei bei einer unwirksamen Einwilligung auf eine sonstige Rechtsgrundlage aus der DSGVO für eine Datenverarbeitung zurückzugreifen und selbige damit zu legitimieren. Die Einwilligung entfalte daher keine Sperrwirkung.
So heißt es im Urteil:
„Dass im Falle einer ungültigen Einwilligung generell ein Rückgriff auf sonstige Erlaubnistatbestände des Art 6 DSGVO bei fehlender vorangehender Information der betroffenen Person nicht möglich wäre, kann letztlich aber auch den von der belangten Behörde zitierten Leitlinien der Art 29 Datenschutzgruppe und auch der dazu ergangenen Literatur nicht entnommen werden (u.a. Buchner/Kühling, in Kühling/Buchner (Hrsg), DSGVO Art 7 Rz 18; Schantz in Simitis, Hornung, Spiecker (Hrsg.), Datenschutzrecht, Art. 6 Abs. 1 Rz 12). Vielmehr wird darin ausschließlich auf die Konstellation des Widerrufes einer Einwilligungserklärung und den daraus (allein) auf die Interessensabwägung des Art 6 Abs 1 lit f DSGVO ausschlagenden Umstand, dass sich der Betroffene in diesem Fall eine weitere Verarbeitung seiner Daten aufgrund der ihm mit seiner Einwilligungserklärung suggerierten Entscheidungsgewalt eben nicht (mehr) erwarte, Bezug genommen. Damit wird aber weder eine Aussage für die sonstigen allenfalls in Betracht kommenden Erlaubnistatbestände des Art 6 DSGVO, noch für den – hier vorliegenden – Fall einer (vermeintlich) dem Betroffenen nicht einmal ausreichend bewusst gemachten und damit auch gar keine Erwartungen auslösenden Einwilligungserklärung getroffen.“
Das Urteil ist offenbar von der Vorstellung getragen, das eine schließe eben nicht das andere aus, ohne nun den konkreten Fall diesbezüglich zu entscheiden; sondern der Verantwortliche habe grundsätzlich die Möglichkeit, eine andere Rechtsgrundlage heranzuziehen. Im Übrigen wirke sich auch der Verstoß gegen die Informationspflichten hierauf nicht aus.
Mögliche Folgen
Dieser Ansicht folgend, könnten findige Unternehmen nun ein Konzept entwerfen, wonach eine Datenverarbeitung, bspw. von Kunden oder Websitebesuchenden, sowohl (und primär) auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) als auch (parallel noch) auf die Grundlage des berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) gestützt werden, um sich jedenfalls für den Fall abzusichern, dass Zweifel an der Einwilligung bestünden. Denn die Wahl der Einwilligung, selbst wenn diese fehlerhaft ist, würde dieser Ansicht folgend zu keiner Sperrwirkung für andere Rechtsgrundlagen führen – so in etwa das zitierte Gericht aus Österreich.
Damit würde aber ein unklares Bild der tatsächlichen Rechtmäßigkeit entstehen, das auch alle betroffenen Personen benachteiligt, indem sie dadurch möglicherweise in ihren „Betroffenenrechten“ eingeschränkt wären. Denn wird der Auffassung des Gerichts aus Österreich gefolgt, müsste bspw. ein Widerruf der Einwilligung nicht mehr zwangsläufig zu einer Löschung der Daten führen, welche u. a. auf Basis der Einwilligung verarbeitet werden, da noch eine andere Rechtsgrundlage zur Rechtfertigung dieser Verarbeitung bestünde. Das Widerrufsrecht liefe somit ins Leere. Gleichzeitig würde entgegen des Grundsatzes von „Treu und Glauben“ (Art. 5 Abs. 1 lit. a DSGVO) gehandelt, wenn die Person auf die Rechtsgrundlage der Einwilligung und die Möglichkeit des Widerrufs vertraut hat. Zudem bestünden weiterhin Zweifel an der Transparenz der Datenverarbeitung, wenn Rechtsgrundlagen und Rechtsfolgen unklar sind.
Empfehlung
Unternehmen sollten weiterhin prüfen und eindeutig festlegen, auf welche konkrete Rechtsgrundlage die Datenverarbeitung gestützt wird und welche Rechtsfolgen bestehen. Dieses dürfte jedenfalls von den Aufsichtsbehörden gefordert werden. An die Verarbeitungstätigkeiten sollten ohnehin klare Prozesse geknüpft sein, die sowohl ein Löschkonzept als auch die Organisation von Betroffenenanfragen betreffen. Auch derartige Prozesse könnten dann fehlerhaft sein, wenn nicht einmal die Rechtsgrundlage für die Verarbeitung eindeutig ist.
Im Übrigen wäre es ohnehin problematisch, wenn ein derart gewichtiges Instrument, wie das der datenschutzrechtlichen Einwilligung, unterlaufen werden könnte, indem der Verantwortliche beim Widerruf der Datenverarbeitung eine weitere Rechtsgrundlage heranzieht.
Wer mehr zu diesem Thema nachlesen möchte, dem sei ein guter Fachaufsatz hierzu ans Herz gelegt: Veil, NJW 2018, S. 3337.