Einwilligung gemäss DSGVO

Einwilligung gemäss DSGVO

10/2018

Einige Erwägungen und Erläuterungen gemäss DSGVO

 

1.    Einführung

2.    Einwilligung in Artikel 4 Absatz 11 der DS-GVO

3.    Elemente einer gültigen Einwilligung

4.    Einholen der ausdrücklichen Einwilligung

5.    Zusätzliche Bedingungen für das Einholen einer gültigen Einwilligung

 

 

1.    Einführung


Die vorliegenden Leitlinien bieten eine gründliche Analyse des Begriffes „Einwilligung“ in der Verordnung 2016/679, der Datenschutz-Grundverordnung (nachfolgend „DS-GVO“).

Die Einwilligung bleibt eine der sechs Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die in Artikel 6 der GS-GVO aufgeführt sind. Wenn Tätigkeiten in die Wege geleitet werden, die die Verarbeitung personenbezogener Daten umfassen, muss der Verantwortliche stets abwägen, welches die angemessene Grundlage für die Rechtmäßigkeit der geplanten Verarbeitung ist.

Generell kann die Einwilligung nur dann eine angemessene Grundlage für die Rechtmäßigkeit darstellen, wenn der betroffenen Person die Kontrolle und eine echte Wahl geboten werden, die angebotenen Bedingungen anzunehmen oder abzulehnen, ohne Nachteile zu erleiden. Wenn ein Verantwortlicher um Einwilligung ersucht, muss er prüfen, ob alle Voraussetzungen für das Einholen einer gültigen Einwilligung erfüllt sind. Wird die Einwilligung unter vollumfänglicher Einhaltung der DS-GVO eingeholt, gibt sie den betroffenen Personen die Kontrolle darüber, ob die sie betreffenden personenbezogenen Daten verarbeitet werden oder nicht. Andernfalls wird die Kontrolle der betroffenen Person illusorisch, und dann ist die Einwilligung eine ungültige Grundlage für die Verarbeitung, was die Verarbeitung rechtswidrig macht.

 

2.    Einwilligung in Artikel 4 Absatz 11 der DS-GVO


In Artikel 4 Absatz 11 der DS-GVO wird Einwilligung definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Das Grundkonzept der Einwilligung bleibt dem Konzept aus Richtlinie 95/46/EG ähnlich und gemäß Artikel 6 der DS-GVO ist die Einwilligung eine der Rechtsgrundlagen, auf die die Verarbeitung personenbezogener Daten gestützt werden muss. Neben der geänderten Definition in Artikel 4 Absatz 11 bietet die DS-GVO in Artikel 7 und in den Erwägungsgründen 32, 33, 42 und 43 zusätzliche Anleitung, wie der Verantwortliche vorgehen muss, um die wichtigsten Elemente der Einwilligungspflicht einzuhalten.

 

3.    Elemente einer gültigen Einwilligung


Artikel 4 Absatz 11 der DS-GVO legt fest, dass die Einwilligung einer betroffenen Person jede

  • freiwillig,
  • für den bestimmten Fall,
  • in Kenntnis der Sachlage und
  • unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung ist, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

In den folgenden Abschnitten wird analysiert, in welchem Maß der Wortlaut von Artikel 4 Absatz 11 die Verantwortlichen verpflichtet, ihre Ersuchen um Einwilligung oder ihre Einwilligungsformulare zu ändern, um die Einhaltung der DS-GVO sicherzustellen.

3.1.    Frei / freiwillig

Das Element „frei“ impliziert, dass die betroffenen Personen eine echte Wahl und die Kontrolle haben. Im Allgemeinen schreibt die DS-GVO vor, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt. Wenn die Einwilligung ein nicht verhandelbarer Teil von Geschäftsbedingungen ist, wird angenommen, dass die Einwilligung nicht freiwillig erteilt wurde. Entsprechend wird eine Einwilligung nicht als freiwillig angesehen, wenn die betroffene Person die Einwilligung nicht verweigern oder zurückziehen kann, ohne Nachteile zu erleiden. In der DS-GVO wird auch das Konzept des „Ungleichgewichts“ zwischen dem Verantwortlichen und der betroffenen Person berücksichtigt.

3.1.1.    Ungleichgewicht der Macht

In Erwägungsgrund 43 wird deutlich darauf hingewiesen, dass es unwahrscheinlich ist, dass sich Behörden für die Verarbeitung auf die Einwilligung stützen können, da häufig ein klares Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht, wenn es sich bei dem Verantwortlichen um eine Behörde handelt. Es ist auch eindeutig, dass die betroffene Person selten eine realistische Alternative zur Einwilligung in die Verarbeitungsbedingungen dieses Verantwortlichen hat. Die WP29 ist der Ansicht, dass es andere Rechtsgrundlagen gibt, die für die Tätigkeit einer Behörde grundsätzlich angemessener sind.

Unbeschadet dieser allgemeinen Überlegungen wird die Verwendung der Einwilligung als Rechtsgrundlage für die Datenverarbeitung durch Behörden im Rechtsrahmen der DS-GVO nicht vollständig ausgeschlossen.

Auch im Beschäftigungskontext tritt ein Ungleichgewicht der Macht auf. Angesichts der Abhängigkeit, die sich aus dem Verhältnis Arbeitgeber/Arbeitnehmer ergibt, ist es unwahrscheinlich, dass die betroffene Person ihrem Arbeitgeber die Einwilligung in die Datenverarbeitung verweigern kann, ohne Angst zu haben oder wirklich Gefahr zu laufen, dass diese Weigerung zu Nachteilen führt. Es ist unwahrscheinlich, dass ein Arbeitnehmer/eine Arbeitnehmerin frei auf ein Ersuchen seines/ihres Arbeitgebers um Einwilligung beispielsweise in die Aktivierung von Überwachungssystemen wie einer Kameraüberwachung des Arbeitsplatzes oder das Ausfüllen von Bewertungsformularen antworten kann, ohne sich gedrängt zu fühlen, die Einwilligung zu erteilen. Deshalb sieht es die WP29 als problematisch an, wenn Arbeitgeber die personenbezogenen Daten ihrer derzeitigen oder zukünftigen Arbeitnehmer auf der Grundlage der Einwilligung verarbeiten, da es unwahrscheinlich ist, dass diese freiwillig erteilt wurde. Für die meisten dieser Fälle der Datenverarbeitung am Arbeitsplatz kann und sollte die Rechtsgrundlage aufgrund der Natur des Verhältnisses zwischen Arbeitgeber und Arbeitnehmer nicht die Einwilligung des Arbeitnehmers sein (Artikel 6 Absatz 1 Buchstabe a).

Das bedeutet jedoch nicht, dass sich Arbeitgeber nie auf die Einwilligung als Rechtsgrundlage für die Verarbeitung stützen können. Es kann Situationen geben, in denen der Arbeitgeber nachweisen kann, dass die Einwilligung tatsächlich freiwillig erteilt wird. Angesichts des Ungleichgewichts der Macht zwischen einem Arbeitgeber und seinen Angestellten können Arbeitnehmer ihre Einwilligung nur in Ausnahmefällen freiwillig geben, wenn es zu überhaupt keinen Nachteilen führt, ob sie ihre Einwilligung geben oder nicht.

Ein Ungleichgewicht der Macht ist nicht auf Behörden und Arbeitgeber beschränkt, sondern kann auch in anderen Situationen auftreten. Wie die WP29 in verschiedenen Stellungnahmen betont hat, kann eine Einwilligung nur dann gültig sein, wenn die betroffene Person eine tatsächliche Wahlmöglichkeit hat und kein Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlichen negativen Folgen (z. B. erhebliche Zusatzkosten) besteht, wenn sie die Einwilligung nicht erteilt. In Fällen, in denen Zwang oder Druck ausgeübt wird oder keine Möglichkeit zur Ausübung des freien Willens besteht, ist eine Einwilligung nicht frei.

 

3.1.2.    Konditionalität

Artikel 7 Absatz 4 der DS-GVO weist unter anderem darauf hin, dass eine Situation, in der die Einwilligung mit der Annahme von Vertragsbedingungen „gebündelt“ wird oder die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung mit dem Ersuchen um Einwilligung in eine Verarbeitung von personenbezogenen Daten „verknüpft“ wird, die für die Erfüllung des Vertrags nicht erforderlich sind, als in höchstem Maße unerwünscht angesehen wird. Wird die Einwilligung in einer solchen Situation erteilt, gilt sich als nicht freiwillig erteilt (Erwägungsgrund 43). Mit Artikel 7 Absatz 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind.

Der Zwang, in die Verwendung personenbezogener Daten über das unbedingt erforderliche Maß hinaus einzuwilligen, schränkt die Wahlmöglichkeiten der betroffenen Person ein und steht einer freiwillig erteilten Einwilligung im Wege.

Wenn der Verantwortliche die Erfüllung eines Vertrags mit dem Ersuchen um Einwilligung verknüpft, geht eine betroffene Person, die dem Verantwortlichen ihre personenbezogenen Daten nicht für die Verarbeitung zur Verfügung stellen möchte, folglich das Risiko ein, dass ihr Leistungen verwehrt werden, um die sie ersucht hat.

Zur Bewertung, ob eine solche Situation der Bündelung oder Verknüpfung vorliegt, muss festgestellt werden, welchen Umfang der Vertrag hat und welche Daten für die Erfüllung des Vertrags erforderlich wären. Gemäß der Stellungnahme 6/2014 der WP29 ist der Begriff „erforderlich für die Erfüllung eines Vertrags“ eng auszulegen. Die Verarbeitung muss für die Erfüllung des Vertrags mit jeder einzelnen betroffenen Person erforderlich sein. Dies kann beispielsweise die Verarbeitung der Anschrift der betroffenen Person umfassen, so dass online gekaufte Waren zugestellt werden können, oder die Verarbeitung von Kreditkartendetails zum Zwecke der Zahlungsdurchführung. Im Beschäftigungskontext kann dieser Rechtsgrund beispielsweise die Verarbeitung von Lohn- und Gehaltsinformationen sowie von Bankangaben gestatten, damit Löhne und Gehälter ausgezahlt werden können. Es muss eine direkte und objektive Verbindung zwischen der Verarbeitung der Daten und dem Zweck für die Erfüllung des Vertrags bestehen.

Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags vom Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.

Die Wahl des Gesetzgebers, unter anderem die Konditionalität als Annahme für das Fehlen einer freien Einwilligung hervorzuheben, zeigt, dass das Auftreten der Konditionalität sorgfältig geprüft werden muss. Der Begriff „in größtmöglichem Umfang Rechnung tragen“ in Artikel 7 Absatz 4 legt nahe, dass der Verantwortliche besondere Sorgfalt walten lassen muss, wenn ein Vertrag (zu dem auch die Erbringung einer Dienstleistung zählen könnte) mit dem Ersuchen um Einwilligung in die Verarbeitung der mit diesem Vertrag verbundenen personenbezogenen Daten verknüpft ist.

Da der Wortlaut von Artikel 7 Absatz 4 nicht auf absolute Weise ausgelegt wird, kann es sehr begrenzten Raum für Fälle geben, in denen diese Konditionalität die Einwilligung nicht ungültig machen würde. Der Begriff „gilt als“ in Erwägungsgrund 43 zeigt jedoch deutlich, dass solche Fälle die absolute Ausnahme darstellen werden.

In Artikel 7 Absatz 4 liegt die Beweislast jedenfalls eindeutig beim Verantwortlichen. Diese spezifische Vorschrift spiegelt den generellen Grundsatz der Rechenschaftspflicht wider, der sich durch die gesamte DS-GVO zieht. Wenn Artikel 7 Absatz 4 jedoch Anwendung findet, wird es für den Verantwortlichen schwieriger, den Nachweis zu erbringen, dass die betroffene Person freiwillig eingewilligt hat.

Die WP29 vertritt die Ansicht, dass eine Einwilligung nicht als freiwillig erteilt angesehen werden kann, wenn ein Verantwortlicher argumentiert, dass eine Wahlmöglichkeit besteht zwischen seiner Dienstleistung, zu der die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke gehört und einer vergleichbaren Dienstleistung, die von einem anderen Verantwortlichen angeboten wird. In einem solchen Fall würde die Wahlmöglichkeit vom Verhalten anderer Markteilnehmer abhängig gemacht werden und davon ob eine betroffene Einzelperson die Dienstleistungen des anderen Verantwortlichen wirklich als gleichwertig ansehen würde. Dies würde darüber hinaus bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da ein Wettbewerber seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte. Die Verwendung dieses Arguments bedeutet folglich, dass die Einwilligung die Bedingungen der DS-GVO nicht einhält.

 

3.1.3.    Granularität

Eine Dienstleistung kann zahlreiche Verarbeitungsvorgänge für mehr als einen Zweck umfassen. In solchen Fällen sollten die betroffenen Personen frei wählen können, welchen Zweck sie annehmen, statt in ein Bündel an Verarbeitungszwecken einwilligen zu müssen. In einem gegebenen Fall können nach der DS-GVO mehrere Einwilligungen gerechtfertigt sein, um eine Dienstleistung anzubieten.

In Erwägungsgrund 43 wird klargestellt, dass eine Einwilligung nicht als freiwillig erteilt gilt, wenn der Prozess/das Verfahren für das Einholen der Einwilligung es betroffenen Personen nicht ermöglicht, zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten gesondert eine Einwilligung zu erteilen (d. h. nur für einige Verarbeitungsvorgänge und für andere nicht), obwohl dies in dem entsprechenden Fall angemessen wäre. In Erwägungsgrund 32 wird Folgendes festgestellt:

„Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.“

 

3.1.4.    Nachteil

Der Verantwortliche muss nachweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden (Erwägungsgrund 42). Er muss beispielsweise nachweisen, dass das Widerrufen der Einwilligung nicht zu Kosten für die betroffene Person führt und folglich zu einem eindeutigen Nachteil für diejenigen, die die Einwilligung widerrufen.

Andere Beispiele für Nachteile sind Täuschung, Einschüchterung, Nötigung oder beträchtliche negative Folgen, wenn die betroffene Person nicht einwilligt. Der Verantwortliche sollte nachweisen können, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie einwilligt oder nicht, und die Einwilligung widerrufen konnte, ohne Nachteile zu erleiden.

Wenn ein Verantwortlicher nachweisen kann, dass eine Dienstleistung die Möglichkeit umfasst, die Einwilligung ohne negative Folgen zu widerrufen, z. B. ohne dass die Erbringung der Dienstleistung zum Nachteil des Nutzers herabgestuft wird, kann das helfen, zu zeigen, dass die Einwilligung freiwillig erteilt wurde. Die DS-GVO schließt nicht alle Anreize aus, aber die Beweislast für den Nachweis, dass die Einwilligung unter allen Umständen freiwillig erteilt wurde, würde beim Verantwortlichen liegen.

 

3.2.    Für bestimmte Zwecke

Artikel 6 Absatz 1 Buchstabe a bestätigt, dass die Einwilligung der betroffenen Person für „einen oder mehrere bestimmte“ Zwecke gegeben werden muss und dass eine betroffene Person in Bezug auf jeden dieser Zwecke eine Wahlmöglichkeit haben muss.  Mit der Forderung, dass die Einwilligung für einen „bestimmten“ Zweck sein muss, soll ein gewisses Maß an Kontrolle und Transparenz für die betroffene Person sichergestellt werden. Diese Anforderung wurde durch die DS-GVO nicht geändert und bleibt eng mit dem Erfordernis der Einwilligung „in Kenntnis der Sachlage“ verknüpft. Gleichzeitig muss sie in Übereinstimmung mit der Forderung nach „Granularität“ ausgelegt werden, um eine „freie“ Einwilligung zu erhalten. Zusammenfassend ist Folgendes von Seiten des Verantwortlichen erforderlich, damit dem Element „bestimmte Zwecke“ entsprochen wird:

  1. Zweckbestimmung als Schutz vor einer schleichenden Ausweitung der Zweckbestimmung;
  2. Granularität bei Ersuchen um Einwilligung und
  3. klare Trennung zwischen Informationen im Zusammenhang mit dem Einholen der Einwilligung in die Datenerarbeitung und Informationen zu anderen Angelegenheiten.

 

3.3.    In Kenntnis der Sachlage

Die DS-GVO verstärkt das Erfordernis, dass die Einwilligung in Kenntnis der Sachlage erfolgen muss. Basierend auf Artikel 5 der DS-GVO ist das Erfordernis von Transparenz einer des wesentlichen Grundsätze, die eng mit den Grundsätzen der Verarbeitung nach Treu und Glauben und der Rechtmäßigkeit verknüpft sind. Es ist von grundlegender Bedeutung, den betroffenen Personen Informationen bereitzustellen, bevor ihre Einwilligung eingeholt wird, um es ihnen zu ermöglichen, Entscheidungen in Kenntnis der Sachlage zu treffen, zu verstehen, in was sie einwilligen und beispielsweise ihr Recht auszuüben, ihre Einwilligung zu widerrufen. Wenn der Verantwortliche keine zugänglichen Informationen bereitstellt, wird die Kontrolle durch den Nutzer illusorisch und dann ist die Einwilligung eine ungültige Grundlage für die Verarbeitung. Wenn das Erfordernis der Einwilligung in Kenntnis der Sachlage nicht eingehalten wird, ist die Einwilligung ungültig und der Verantwortliche verstößt möglicherweise gegen Artikel 6 der DS- GVO.

 

3.3.1.    Mindestanforderungen an den Inhalt, damit die Einwilligung „in informierter Weise“ erfolgt

Damit eine Einwilligung in Kenntnis der Sachlage erfolgt, muss die betroffene Person über bestimmte Elemente informiert werden, die für die Entscheidungsfindung wesentlich sind. Deshalb vertritt die WP29 die Auffassung, dass mindestens die folgenden Informationen erforderlich sind, damit eine Einwilligung gültig ist:

  1. die Identität des Verantwortlichen,
  2. der Zweck jedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird,
  3. die (Art) Daten, die erhoben und verwendet werden,
  4. das Vorliegen des Rechts, die Einwilligung zu widerrufen,
  5. gegebenenfalls Informationen über die Verwendung der Daten für eine automatisierte Entscheidungsfindung gemäß Artikel 22 Absatz 2 Buchstabe c, und
  6. Angaben zu möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien gemäß Artikel 46.

 

3.3.2.    Wie Informationen bereitzustellen sind

Die DS-GVO schreibt nicht vor, in welcher Form die Informationen bereitzustellen sind, um das Erfordernis der Einwilligung in Kenntnis der Sachlage zu erfüllen. Das heißt, dass gültige Informationen auf verschiedene Weise vorgelegt werden können, beispielsweise als schriftliche oder mündliche Erklärungen oder als Audio- oder Videonachrichten. Die DS-GVO legt jedoch insbesondere in Artikel 7 Absatz 2 und in Erwägungsgrund 32 verschiedene Anforderungen im Hinblick auf eine Einwilligung in Kenntnis der Sachlage fest. Dies führt zu einem höheren Standard in Bezug auf die Klarheit und Zugänglichkeit von Informationen.

Verantwortliche sollten sicherstellen, dass sie beim Einholen der Einwilligung in allen Fällen eine klare und einfache Sprache verwenden. Dies bedeutet, dass die Nachricht für Durchschnittspersonen und nicht nur für Rechtsanwälte leicht zu verstehen sein sollte. Verantwortliche dürfen keine langen Datenschutzbestimmungen verwenden, die schwierig zu verstehen sind, oder Erklärungen, die mit juristischen Fachausdrücken gespickt sind. Die Einwilligung muss deutlich und von anderen Sachverhalten klar zu unterscheiden sein und in verständlicher und leicht zugänglicher Form erfolgen. Diese Anforderung bedeutet im Wesentlichen, dass die Informationen, die für das Treffen einer Entscheidung in Kenntnis der Sachlage maßgeblich sind, nicht in allgemeinen Geschäftsbedingungen versteckt werden dürfen.

Artikel 7 Absatz 2 geht auf vorformulierte, schriftliche Einwilligungserklärungen ein, die noch andere Sachverhalte betreffen. Wird im Rahmen eines Vertrags (in Schriftform) um Einwilligung ersucht, sollte das Ersuchen um Einwilligung von den anderen Sachverhalten klar zu unterscheiden sein. Enthält der schriftliche Vertrag viele Aspekte, die mit der Frage der Einwilligung in die Verwendung der personenbezogenen Daten nicht in Zusammenhang stehen, sollte die Frage der Einwilligung entweder in einem anderen Dokument oder auf eine Weise behandelt werden, die sich deutlich abhebt. Erfolgt die Aufforderung zur Einwilligung auf elektronischem Weg, gilt entsprechend, dass diese gemäß Erwägungsgrund 32 in gesonderter und klarer Form erfolgen muss und nicht einfach ein Absatz in den Geschäftsbedingungen sein kann.39 Es kann gegebenenfalls erwogen werden, die Informationen mehrschichtig zu präsentieren, um auf kleine Bildschirme oder Situationen Rücksicht zu nehmen, in denen nur begrenzt Platz für Informationen zur Verfügung steht, und um eine übermäßige Störung der Nutzererfahrung oder des Produktdesigns zu vermeiden.

Ein Verantwortlicher, der sich auf die Einwilligung einer betroffenen Person verlässt, muss auch mit den getrennten Informationspflichten umgehen, die in den Artikeln 13 und 14 niedergelegt sind, um die DS-GVO einzuhalten. In der Praxis kann die Einhaltung der Informationspflichten und des Erfordernisses der Einwilligung in Kenntnis der Sachlage in vielen Fällen zu einem integrierten Ansatz führen. Dieser Abschnitt wurde jedoch in dem Verständnis verfasst, dass eine gültige Einwilligung „in Kenntnis der Sachlage“ vorliegen kann, selbst wenn nicht alle Elemente der Artikel 13 und/oder 14 beim Einholen der Einwilligung genannt werden (diese Punkte sollten selbstverständlich an anderen Stellen genannt werden, wie z. B. in der Datenschutzerklärung eines Unternehmens). Die WP29 hat gesonderte Leitlinien zur Vorgabe der Transparenz herausgegeben.

 

3.4.    Unmissverständlich abgegebene Willensbekundung

Die DS-GVO macht deutlich, dass eine Einwilligung eine Erklärung oder eine eindeutige bestätigende Handlung von Seiten der betroffenen Person erfordert, was bedeutet, dass die Einwilligung stets durch eine aktive Handlung oder Erklärung erteilt werden muss. Es muss offensichtlich sein, dass die betroffene Person in diese bestimmte Verarbeitung eingewilligt hat.

In Artikel 2 Buchstabe h der Richtlinie 95/46/EG wird Einwilligung beschrieben als „Willensbekundung, [...] mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“ Artikel 4 Absatz 11 der DS-GVO baut auf dieser Definition auf, indem er in Übereinstimmung mit den vorher herausgegebenen Leitlinien der WP29 klargestellt, dass eine gültige Einwilligung eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfordert.

Eine „eindeutig bestätigende Handlung“ bedeutet, dass die betroffene Person eine bewusste Handlung zur Einwilligung in die bestimmte Verarbeitung vorgenommen haben muss.  In Erwägungsgrund 32 wird dies näher dargelegt. Eine Einwilligung kann durch eine schriftliche oder (aufgezeichnete) mündliche Erklärung, die auch elektronisch erfolgen kann, eingeholt werden.

Unbeschadet des bestehenden (innerstaatlichen) Vertragsrechts kann eine Einwilligung durch eine aufgezeichnete mündliche Erklärung erhalten werden, auch wenn hier auf die Informationen zu achten ist, die der betroffenen Person zur Verfügung stehen, bevor sie ihre Einwilligung erteilt. Die Verwendung bereits angekreuzter Kästchen ist gemäß der DS-GVO ungültig. Stillschweigen oder Untätigkeit der betroffenen Person sowie das einfache Fortfahren mit einer Dienstleistung können nicht als wirksamer Hinweis auf eine Wahlmöglichkeit angesehen werden.

Ein Verantwortlicher muss auch beachten, dass eine Einwilligung nicht durch denselben Vorgang erteilt werden kann, mit dem einem Vertrag oder den allgemeinen Geschäftsbedingungen einer Dienstleistung zugestimmt wird. Eine pauschale Annahme der allgemeinen Geschäftsbedingungen kann nicht als eindeutige bestätigende Handlung in die Einwilligung der Verwendung personenbezogener Daten gesehen werden. Die DS-GVO erlaubt es den Verantwortlichen nicht, bereits angekreuzte Kästchen oder Opt-out-Konstruktionen zu verwenden, die ein Handeln der betroffenen Person erfordern, um eine Zustimmung zu verhindern (zum Beispiel „Opt-out- Kästchen“).

Erfolgt die Aufforderung zur Einwilligung auf elektronischem Weg, so sollte die Aufforderung zur Einwilligung ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. Wenn eine weniger beeinträchtigende oder störende Methode zu Unklarheiten führen würde, kann eine aktive bestätigende Handlung erforderlich sein, mit der die betroffene Person ihre Einwilligung zeigt. Folglich kann es erforderlich sein, dass eine Aufforderung zur Einwilligung den Dienst in einem gewissen Maß unterbricht, damit die Aufforderung wirksam wird.

Es ist den Verantwortlichen jedoch im Rahmen der Vorschriften der DS-GVO freigestellt, einen Einwilligungsablauf zu entwickeln, der zu ihrer Organisation passt. In dieser Hinsicht kann eine physische Handlung als eindeutige bestätigende Handlung angesehen werden, die mit der DS-GVO konform ist.

Die Verantwortlichen sollten die Einwilligungsmechanismen so konzipieren, dass sie für die betroffenen Personen verständlich sind. Die Verantwortlichen müssen Unklarheiten vermeiden und sicherstellen, dass die Handlung, mit der die Einwilligung erteilt wird, von anderen Handlungen unterschieden werden kann. Wenn die gewöhnliche Nutzung der Website schlicht weitergeführt wird, ist dies deshalb kein Verhalten, aus dem ein Hinweis der betroffenen Person geschlossen werden könnte, dass sie ihre Einwilligung zu einem vorgeschlagenen Verarbeitungsvorgang zum Ausdruck bringen möchte.

Im digitalen Kontext benötigen viele Dienstleistungen personenbezogene Daten, um funktionieren zu können. Folglich erhalten die betroffenen Personen zahlreiche Einwilligungsaufforderungen, die jeden Tag durch Anklicken oder Wischen beantwortet werden müssen. Das kann zu einem gewissen Maß an Müdigkeit gegenüber dem Anklicken führen: wenn die betroffenen Personen zu häufig mit dem Einwilligungsmechanismus konfrontiert werden, nimmt seine warnende Wirkung ab.

Dies führt zu einer Situation, in der Ersuchen um Einwilligung nicht mehr gelesen werden. Dies stellt insbesondere für die betroffenen Personen ein Risiko dar, da üblicherweise um Einwilligung in Vorgänge ersucht wird, die ohne Einwilligung grundsätzlich rechtswidrig sind. Die DS-GVO verpflichtet die Verantwortlichen dazu, Wege zu finden, um dieses Problem zu lösen.

Ein häufig erwähntes Beispiel, wie dies im Online-Umfeld erreicht werden könnte, ist das Einholen der Einwilligung von den Internetnutzern durch die Browser-Einstellungen. Diese Einstellungen sollten im Einklang mit den Bedingungen der DS-GVO für eine gültige Einwilligung entwickelt werden, beispielsweise, dass die Einwilligung für jeden geplanten Zweck granular zu sein hat und dass zu den bereit zu stellenden Informationen der Name des Verantwortlichen zählen sollte.

Die Einwilligung muss auf jeden Fall eingeholt werden, bevor der Verantwortliche mit der Verarbeitung der personenbezogenen Daten beginnt, für die die Einwilligung benötigt wird. Die WP29 hat in früheren Stellungnahmen durchgängig die Meinung vertreten, dass die Einwilligung vor Beginn der Verarbeitungstätigkeit erteilt werden sollte. Obwohl die DS-GVO in Artikel 4 Absatz 11 nicht wortwörtlich vorschreibt, dass die Einwilligung vor Beginn der Verarbeitungstätigkeit eingeholt werden muss, wird es eindeutig impliziert. Die Überschrift von Artikel 6 Absatz 1 und der Wortlaut „hat gegeben“ in Artikel 6 Absatz 1 Buchstabe a unterstützen diese Auslegung. Die logische Folgerung aus Artikel 6 und Erwägungsgrund 40 ist, dass vor Beginn der Verarbeitungstätigkeit eine gültige Rechtsgrundlage vorliegen muss. Folglich sollte die Einwilligung vor Beginn der Verarbeitungstätigkeit vorliegen. Grundsätzlich kann es ausreichen, die betroffene Person einmalig um ihre Einwilligung zu ersuchen. Die Verantwortlichen müssen jedoch eine neue ausdrückliche Einwilligung einholen, wenn sich die Zwecke der Datenverarbeitung ändern, nachdem die Einwilligung eingeholt wurde oder wenn ein zusätzlicher Zweck vorgesehen wird.

 

4.    Einholen der ausdrücklichen Einwilligung


Eine ausdrückliche Einwilligung ist in bestimmten Situationen erforderlich, in denen ein ernstes Datenschutzrisiko auftritt, wenn also ein hohes Maß an individueller Kontrolle über personenbezogene Daten für angebracht gehalten wird. In der DS-GVO spielt die ausdrückliche Einwilligung eine Rolle in Artikel 9 über die Verarbeitung besonderer Kategorien personenbezogener Daten, den Bestimmungen zur Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation in Artikel 49 und in Artikel 22 über automatisierte Entscheidungen im Einzelfall einschließlich Profiling.

Die DS-GVO schreibt vor, dass eine „Erklärung oder eindeutige bestätigende Handlung“ die Voraussetzung für eine „ordnungsgemäße“ Einwilligung ist. Da die Anforderung einer „ordnungsgemäßen“ Einwilligung in der DS-GVO bereits einen höheren Standard einnimmt, als das Erfordernis der Einwilligung in der Richtlinie 95/46/EG, muss geklärt werden, welche zusätzlichen Anstrengungen ein Verantwortlicher unternehmen sollte, um eine ausdrückliche Einwilligung der betroffenen Person im Sinne der DS-GVO zu erhalten.

Der Begriff ausdrücklich bezieht sich darauf, wie die betroffene Person ihre Einwilligung zum Ausdruck bringt. Er bedeutet, dass die betroffene Person eine ausdrückliche Einwilligungserklärung abgeben muss. Ein offensichtlicher Weg zum Einholen einer ausdrücklichen Einwilligung wäre, dass die Einwilligung in einer schriftlichen Erklärung ausdrücklich bestätigt wird. Der Verantwortliche könnte gegebenenfalls sicherstellen, dass die Erklärung von der betroffenen Person unterzeichnet wird, um alle möglichen Zweifel und einen möglicherweise fehlenden Nachweis für die Zukunft aus dem Weg zu räumen.

Eine solche unterzeichnete Einwilligung ist jedoch nicht der einzige Weg, eine ausdrückliche Einwilligung zu erhalten und es kann nicht gesagt werden, dass die DS-GVO in allen Situationen, die einer gültigen, ausdrücklichen Einwilligung bedürfen, schriftliche und unterschriebene Erklärungen vorschreibt. Im digitalen oder Online-Kontext beispielsweise kann eine betroffene Person die erforderliche Erklärung durch Ausfüllen eines elektronischen Formulars, Senden einer E-Mail, Hochladen eines eingescannten Dokuments, das von der betroffenen Person unterzeichnet wurde oder durch Verwenden einer elektronischen Signatur erteilen. Theoretisch kann auch die Verwendung mündlicher Erklärungen ausreichen, um eine gültige, ausdrückliche Einwilligung zu erhalten; es kann jedoch für den Verantwortlichen schwierig sein, den Nachweis zu erbringen, dass zum Zeitpunkt der Aufzeichnung der Erklärung alle Bedingungen für eine gültige, ausdrückliche Einwilligung erfüllt waren.

Auch mit einer zweistufigen Überprüfung der Einwilligung kann sichergestellt werden, dass die Einwilligung gültig ist. Eine betroffene Person erhält beispielsweise eine E-Mail, in der sie auf die Absicht des Verantwortlichen hingewiesen wird, eine Akte zu verarbeiten, die medizinische Daten enthält. Der Verantwortliche erklärt in der E-Mail, dass er um die Einwilligung in die Verwendung eines bestimmten Satzes an Informationen für einen speziellen Zweck ersucht. Wenn die betroffene Person in die Verwendung dieser Daten einwilligt, bittet der Verantwortliche sie um eine Antwort per E-Mail, die die Erklärung „Ich willige ein“ enthält. Nachdem die Antwort gesendet ist, erhält die betroffene Person einen Bestätigungslink, der angeklickt werden muss oder eine SMS- Nachricht, mit einem Bestätigungscode, um die Vereinbarung zu bestätigen.

Artikel 9 Absatz 2 erkennt „für die Erfüllung eines Vertrags erforderlich“ nicht als eine Ausnahme von dem allgemeinen Verbot an, besondere Kategorien von Daten zu verarbeiten. Deshalb sollten Verantwortliche und Mitgliedstaaten, die mit dieser Situation umgehen, die spezifischen Ausnahmen in Artikel 9 Absatz 2 Buchstaben b bis j prüfen. Sollte keine der Ausnahmen in b bis j Anwendung finden, bleibt das Einholen einer ausdrücklichen Einwilligung in Übereinstimmung mit den in der DS-GVO niedergelegten Bedingungen für eine gültige Einwilligung die einzige mögliche rechtmäßige Ausnahme zur Verarbeitung solcher Daten.

 

5.    Zusätzliche Bedingungen für das Einholen einer gültigen Einwilligung


Die DS-GVO führt Anforderungen ein, dass Verantwortliche zusätzliche Vorkehrungen treffen müssen, um sicherzustellen, dass sie eine gültige Einwilligung erhalten, diese aufrechterhalten und nachweisen können. Artikel 7 der DS-GVO legt diese zusätzlichen Bedingungen für eine gültige Einwilligung fest, die besondere Bestimmungen zur Aufzeichnung der Einwilligung und dem Recht auf einfaches Widerrufen der Einwilligung enthalten. Artikel 7 findet auch auf die Einwilligung Anwendung, auf die in anderen Artikeln der DS-GVO verwiesen wird, wie beispielsweise Artikel 8 und 9. Unten wird weitere Anleitung zu der zusätzlichen Anforderung gegeben, eine gültige Einwilligung nachzuweisen und zum Widerruf eine Einwilligung.

5.1.    Nachweis der Einwilligung

In Artikel 7 Absatz 1 der DS-GVO wird die ausdrückliche Verpflichtung des Verantwortlichen deutlich dargelegt, die Einwilligung der betroffenen Person nachzuweisen. Nach Artikel 7 Absatz 1 liegt die Beweislast beim Verantwortlichen.

Erwägungsgrund 42 stellt fest: „Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat.“

Es steht den Verantwortlichen frei, Methoden zu entwickeln, um diese Bestimmung auf eine Weise einzuhalten, die zu ihren täglichen Geschäftstätigkeiten passt. Gleichzeitig sollte die Pflicht zur Erbringung des Nachweises, dass der Verantwortliche eine gültige Einwilligung eingeholt hat, nicht an sich zu einer übermäßigen Erhöhung des Datenverarbeitungsvolumens führen. Das bedeutet, dass die Verantwortlichen über ausreichend Daten verfügen sollten, um eine Verbindung zu der Verarbeitung aufzeigen zu können (um zu zeigen, dass eine Einwilligung erhalten wurde). Sie sollten jedoch nicht mehr Informationen erheben, als erforderlich ist.

 

5.2.    Widerruf der Einwilligung

Dem Widerruf der Einwilligung wird in der DS-GVO eine herausragende Stellung eingeräumt. Die Bestimmungen und Erwägungsgründe in der DS-GVO zum Widerruf der Einwilligung können als Kodifizierung der bestehenden Auslegung dieser Angelegenheit in den Stellungnahmen der WP29 angesehen werden.

Artikel 7 Absatz 3 der DS-GVO schreibt vor, dass der Verantwortliche sicherstellen muss, dass die betroffene Person die Einwilligung jederzeit widerrufen kann und dass der Widerruf der Einwilligung so einfach sein muss wie die Erteilung der Einwilligung. Die DS-GVO legt nicht fest, dass das Erteilen und Widerrufen der Einwilligung immer durch dieselbe Handlung erfolgen muss.

Wird die Einwilligung jedoch mit Hilfe elektronischer Mittel lediglich durch einen Mausklick, Wischvorgang oder Tastenanschlag erteilt, müssen die betroffenen Personen in der Praxis die Möglichkeit haben, die Einwilligung genauso einfach zu widerrufen. Wird die Einwilligung über eine dienstleistungsspezifische Nutzerschnittfläche (beispielsweise über eine Website, eine App, ein Konto, in das sich der Nutzer einloggt, die Schnittstelle eines Gerätes des Internet der Dinge oder eine E-Mail) erteilt, muss die betroffene Person ohne jeden Zweifel die Möglichkeit haben, ihre Einwilligung über dieselbe elektronische Schnittstelle zu widerrufen, da das Wechseln zu einer anderen Schnittstelle nur um die Einwilligung zu widerrufen, eine unangemessene Anstrengung erforderlich machen würde. Darüber hinaus sollte die betroffene Person ihre Einwilligung widerrufen können, ohne Nachteile zu erleiden. Das bedeutet unter anderem, dass der Verantwortliche einen Widerruf gebührenfrei und ohne Absenkung des Leistungsniveaus ermöglichen muss.

In der DS-GVO wird die Möglichkeit eines einfachen Widerrufs als notwendiger Aspekt einer gültigen Einwilligung genannt. Wenn das Widerrufsrecht nicht die Anforderungen der DS-GVO erfüllt, hält der Einwilligungsmechanismus des Verantwortlichen die DS-GVO nicht ein. Wie in Abschnitt 3.1 zur Bedingung der Einwilligung in Kenntnis der Sachlage erwähnt wurde, muss der Verantwortliche die betroffene Person über das Recht auf Widerruf der Einwilligung vor der tatsächlichen Abgabe der Einwilligung gemäß Artikel 7 Absatz 3 der DS-GVO in Kenntnis setzen. Zusätzlich muss der Verantwortliche die betroffenen Personen als Teil der Pflicht zur Transparenz darüber informieren, wie sie ihre Rechte geltend machen können.

Wenn die Einwilligung widerrufen wird, gilt als allgemeine Regel, dass alle Datenverarbeitungsvorgänge, die auf der Einwilligung beruhten und vor dem Widerruf der Einwilligung - und in Einklang mit der DS-GVO - stattfanden, rechtmäßig bleiben, der Verantwortliche aber die betroffenen Verarbeitungstätigkeiten einstellen muss. Wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten fehlt (z. B. weitere Speicherung), sollten sie von dem Verantwortlichen gelöscht werden.

Wie weiter vorne in den vorliegenden Leitlinien erwähnt wurde, ist es wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. Unternehmen benötigen personenbezogene Daten häufig für verschiedene Zwecke und die Verarbeitung stützt sich auf mehr als eine Rechtsgrundlage. So kann die Verarbeitung von Kundendaten auf einem Vertrag und einer Einwilligung basieren. Folglich bedeutet der Widerruf der Einwilligung nicht, dass der Verantwortliche Daten löschen muss, die für einen Zweck verarbeitet werden, der auf der Erfüllung des Vertrags mit der betroffenen Person beruht. Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.

Angenommen, die fortgesetzte Speicherung wird durch einen anderen Zweck gerechtfertigt, sind Verantwortliche zur Löschung der Daten verpflichtet, die auf der Grundlage einer Einwilligung verarbeitet werden, wenn diese Einwilligung widerrufen wird.
Außer dieser Situation, die von Artikel 17 Absatz 1 Buchstabe b abgedeckt ist, kann eine betroffene Einzelperson die Löschung anderer sie betreffender Daten fordern, die basierend auf einer anderen Rechtsgrundlage verarbeitet werden, z. B. auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b. Verantwortliche müssen bewerten, ob die fortgesetzte Verarbeitung der betroffenen Daten angemessen ist, selbst wenn die betroffene Person die Löschung der Daten nicht verlangt hat.

In Fällen, in denen die betroffene Person ihre Einwilligung widerruft und der Verantwortliche die personenbezogenen Daten basierend auf einer anderen Rechtsgrundlage weiterverarbeiten möchte, kann er nicht stillschweigend von der Einwilligung (die widerrufen wurde) zu einer anderen Rechtsgrundlage wechseln. Die betroffene Person muss gemäß den Informationsanforderungen in Artikel 13 und 14 und nach dem allgemeinen Grundsatz der Transparenz über jede Änderung der Rechtsgrundlage informiert werden.

ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051