Einwilligung - Allgemeine Anforderungen
© SMI
In Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung findet sich die bisher in § 4 Absatz 1 Sächsisches Datenschutzgesetz geregelte Einwilligung des Betroffenen als Grundlage für die rechtmäßige Verarbeitung personenbezogener Daten. Die Einwilligung als Grundlage für die Datenverarbeitung war schon bislang für öffentliche Stellen eher von untergeordneter Bedeutung, da für diese der Vorbehalt des Gesetzes gilt. Die Grenzen zulässiger Datenverarbeitung durch öffentliche Stellen bestimmen sich in erster Linie nach den gesetzlich definierten Aufgaben. Im Rahmen dieser Aufgabenerfüllung dürfen die öffentlichen Stellen regelmäßig auf gesetzlicher Grundlage personenbezogene Daten verarbeiten. Eine Verarbeitung der personenbezogenen Daten über diese gesetzlich festgelegten Grenzen hinaus mittels Einwilligung kommt nur ausnahmsweise in Betracht. Dabei ist vor allem zu berücksichtigen, dass im Verhältnis zwischen öffentlicher Stelle und Bürger oftmals ein Ungleichgewicht besteht. Die Einwilligung kann in diesen Fällen nicht als freiwillig abgegeben gelten und daher auch nicht Grundlage für eine Verarbeitung sein (vgl. Erwägungsgrund 43 der Datenschutz-Grundverordnung). An diesen bereits bisher geltenden Grundsätzen ändert sich auch mit der Datenschutz-Grundverordnung nichts.
Bisher erteilte Einwilligungen wirken nach Erwägungsgrund 171 der Datenschutz-Grundverordnung fort. Sofern sie die Grundlage für eine Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a Datenschutz-Grundverordnung sein sollen, gilt dies jedoch nur, sofern sie auch der Art nach und inhaltlich den Bedingungen der Datenschutz-Grundverordnung entsprechen. Sofern dies nicht der Fall ist, können sie nicht als Einwilligung im Sinne des Artikels 6 Absatz 1 Buchstabe a in Verbindung mit Artikel 7 und 8 Datenschutz-Grundverordnung angesehen und eine künftige Verarbeitung nicht auf sie gestützt werden.
Die vorhandenen Einwilligungen sind somit auf ihre Wirksamkeit hin zu überprüfen. Dabei ist insbesondere von Bedeutung, ob auf Grundlage der neuen Anforderungen nach Artikel 7 Absatz 4 Datenschutz-Grundverordnung eine freiwillige Erklärung abgegeben, gemäß Artikel 7 Absatz 3 Satz 3 Datenschutz-Grundverordnung auf die Wirkung des Widerrufs für die Zukunft hingewiesen und dass die Altersgrenze für Einwilligungen nach Artikel 8 Absatz 1 Datenschutz-Grundverordnung berücksichtigt wurde. Die bisher geltenden Anforderungen an eine informierte Einwilligung müssen ebenso erfüllt sein wie die klare Benennung des Verantwortlichen und der Zwecke der Verarbeitung.
Wenn ein Verantwortlicher einen „Dienst der Informationsgesellschaft“ einem Minderjährigen unter 16 Jahren direkt unterbreitet, dann hat er gemäß Artikel 8 Absatz 1 Satz 1 Datenschutz-Grundverordnung für die Wirksamkeit der Einwilligung die Zustimmung der Eltern einzuholen. Ansonsten kommt es bei Einwilligungen von Minderjährigen in die Datenverarbeitung - wie bisher - auf die Einsichtsfähigkeit des Minderjährigen an.
Was unter „Dienst der Informationsgesellschaft“ zu verstehen ist, wird in Artikel 4 Nummer 25 Datenschutz-Grundverordnung festgelegt. Dort wird auf die Begriffsbestimmung in Artikel 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 Bezug genommen. Voraussetzung ist danach, dass das Angebot eine regelmäßig gegen Entgelt, elektronisch und im Fernabsatz auf individuellen Abruf eines Empfängers erbrachte Dienstleistung darstellt. Hierzu können beispielsweise an Kinder gerichtete soziale Netzwerke gehören. Als entgeltlich gelten diese Dienste bereits dann, wenn sie sich beispielsweise durch den Handel mit Nutzerdaten (quer-)finanzieren.
Die Datenschutz-Grundverordnung beschreibt in Artikel 7 unabdingbare Voraussetzungen für die Einwilligung. Darüber hinaus finden sich in zahlreichen Erwägungsgründen (32, 33, 38, 42, 43) Erläuterungen, um die Regelungen entsprechend auslegen und anwenden zu können. Die wichtigsten Anforderungen an eine rechtsgültige Einwilligung, die bisher in § 4 Absatz 3 bis 5 Sächsisches Datenschutzgesetz geregelt wurden, haben sich jedoch im Wesentlichen nicht geändert. Diese sind:
Die Abgabe der Einwilligungserklärung der betroffenen Person muss gemäß Artikel 7 Absatz 4 Datenschutz-Grundverordnung freiwillig erfolgen, das heißt, ohne jeden Druck oder Zwang. Die betroffene Person muss in der Lage sein, eine echte freie Wahl zu treffen, d. h., sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidungskraft eingeschränkt werden. In Erwägungsgrund 43 finden sich nähere Ausführungen zu der Frage, wann eine Einwilligung als freiwillig anzusehen ist und wann nicht. Gerade wenn es sich bei dem Verantwortlichen um eine Behörde handelt, wird oft ein Ungleichgewicht zwischen der betroffenen Person und der Behörde bestehen. In diesen Fällen kann nicht von einer freiwilligen Einwilligung ausgegangen werden.
Neu ist die ausdrückliche Einführung eines allgemeinen Kopplungsverbotes. Danach gilt gemäß Erwägungsgrund 43 eine Einwilligung als nicht freiwillig erteilt, wenn zu verschiedenen Datenverarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung abhängig gemacht werden, obwohl dies dafür gar nicht erforderlich ist. Dies widersprach aber schon nach bisheriger Auffassung dem Grundsatz der Freiwilligkeit.
In Bezug auf die Informiertheit greift die Datenschutz-Grundverordnung die bereits aus § 4 Absatz 3 Sächsisches Datenschutzgesetz bekannten Grundsätze auf (vgl. insbesondere Artikel 4 Nummer 11 Datenschutz-Grundverordnung). Die betroffene Person muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck wie auch den Umfang der Verarbeitung seiner personenbezogenen Daten im Einzelnen informiert werden, damit sie für den konkreten Fall und in Kenntnis der Sachlage einwilligen kann. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein. Der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Auch in Erwägungsgrund 32 wird darauf hingewiesen, dass sich eine Einwilligung nur auf die jeweils angegebenen Verarbeitungszwecke bezieht und für sämtliche Verarbeitungszwecke eine Einwilligung abgegeben werden soll.
Wie bisher kann die Einwilligungserklärung schriftlich oder elektronisch abgegeben werden. Die Datenschutz-Grundverordnung geht aber nicht mehr von einem grundsätzlichen Schriftformerfordernis aus. Zulässig wäre auch eine mündliche Einwilligungserklärung. Allerdings wird durch Artikel 7 Absatz 1 Datenschutz-Grundverordnung die Nachweisbarkeit der Einwilligung (Rechenschaftspflicht) durch den Verantwortlichen gefordert. Bei einer nur mündlichen Einwilligung wird dieser Nachweis nur schwer zu führen sein. Daher wird empfohlen, die Einwilligung wie bisher schriftlich oder elektronisch einzuholen.
In Erwägungsgrund 32 wird dabei klargestellt, dass die Einwilligung nur durch eine eindeutige Handlung zustande kommen soll, die auch in elektronischer Form erfolgen kann. Damit ist regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z. B. Setzen eines Häkchens) notwendig, andere Varianten wie eine stillschweigende Zustimmung oder Opt-Out (z. B. Entfernen eines Häkchens) sind dagegen nicht mehr möglich.
Wenn die Einwilligung zusammen mit anderen Erklärungen abgegeben werden soll, so muss die Einwilligungserklärung gemäß Artikel 7 Absatz 2 Datenschutz-Grundverordnung „in verständlicher und leicht zugänglicher Form“ und in „einer klaren und einfachen Sprache“ erfolgen. Für den Betroffenen muss sich die Einwilligungserklärung klar von anderen Erklärungen unterscheiden können. Daraus folgt, dass die Einwilligung deutlich hervorzuheben ist (z. B. durch Fettdruck, Rahmung, farbliche Hervorhebung).
Im Falle der Verarbeitung von besonders sensiblen Arten von personenbezogenen Daten muss sich die Einwilligung ausdrücklich auf diese beziehen, Artikel 9 Absatz 2 Buchstabe a Datenschutz-Grundverordnung.
Die Datenschutz-Grundverordnung bestimmt in Artikel 7 Absatz 3, dass die betroffene Person ein Recht zum Widerruf ihrer Einwilligung hat, sie vor Abgabe der Einwilligung über ihr Widerrufsrecht aufgeklärt werden muss und der Widerruf der Einwilligung genauso leicht möglich sein muss wie die Abgabe selbst.
Nach der Datenschutz-Grundverordnung nicht mehr ausdrücklich gefordert ist ein Hinweis auf die Folgen der Verweigerung einer Einwilligung. Eine Aufnahme dieses Hinweises ist aber bereits aus Gründen der Transparenz und als wesentliches Kriterium für die Entscheidung des Betroffenen, ob er die Einwilligung erteilt, geboten.
Eine Einwilligung, die nicht den o. g. Anforderungen entspricht, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Wenn sich die Einwilligung als unwirksam erweist oder der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen kann, so ist die Verarbeitung der Daten rechtswidrig.
