Moje książki
MojeКoszykListy
Wszystkie 345 kategorii

Praxishandbuch DSGVO

Tekst
Książka w języku niemieckim
Autorzy:, , , , , , , , , , , , , ,
Z serii: Kommunikation & Recht
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Smartfon,
tabletKomputer,
laptopE-czytnik
Czcionka:Mniejsze АаWiększe Aa

III. Einwilligung der Betroffenen

243

Die Einwilligung ist ein wesentlicher Aspekt des Grundrechts auf Schutz personenbezogener Daten. Gemäß Art. 8 Abs. 2 S. 1 der Charta der Grundrechte der Europäischen Union dürfen personenbezogene Daten nur „... mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“. Unter den Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in der DSGVO ist die Einwilligung sicherlich diejenige, auf die im Rahmen des Gesetzgebungsverfahrens das größte Augenmerk gerichtet wurde.369

1. Überblick über die einschlägigen Regelungen

244

Welche Bedeutung der Verordnungsgeber der Einwilligung als Erlaubnis für die Datenverarbeitung beigemessen hat, zeigt sich am vergleichsweise großen Regelungsumfang des Konzepts der Einwilligung mit

 – einer grundlegenden Definition in Art. 4 Nr. 11 DSGVO,

 – einer Erwähnung im Katalog der Grundlagen für rechtmäßige Verarbeitungen in Art. 6 Abs. 1a DSGVO,

 – weiteren allgemeinen Bedingungen in Art. 7 DSGVO,

 – detaillierten Erläuterungen zur zulässigen Art und Weise der Erteilung in den Erwägungsgründen 32, 42 und 43,

 – einer Übergangsbestimmung für Alt-Einwilligungen in Erwägungsgrund 171,

 – zusätzlichen Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft in Art. 8 DSGVO (Erwägungsgrund 38) und

 – besonderen Anforderungen bei der Erteilung zum Zweck der Verarbeitung besonderer Kategorien personenbezogener Daten in Art. 9 Abs. 2a DSGVO, zum Zweck der ausschließlich auf einer automatisierten Entscheidung beruhenden Verarbeitung in Art. 22 Abs. 2c DSGVO und zum Zweck der Übermittlung in Drittländer in Art. 49 Abs. 1a DSGVO.

245

In der Systematik des Art. 6 Abs. 1 DSGVO nimmt die Einwilligung im Verhältnis zu den anderen genannten Legitimationsgrundlagen allerdings keine höherrangige, sondern eine gleichrangige Stellung ein.370

246

Spezielle Vorschriften zur Einwilligung im Rahmen elektronischer Kommunikation, u.a. zum Zwecke der Direktwerbung371 und beim Web Tracking/Einsatz von Cookies bzw. anderen Retargeting-Technologien,372 finden sich in der ePrivacy-Richtlinie 2002/58/EG.373 Die ins jeweilige nationale Recht transformierten Regelungen der ePrivacy-Richtlinie sollen künftig durch eine in der EU unmittelbar geltende ePrivacy-Verordnung ersetzt werden, die der DSGVO vorgeht. Das ePrivacy-Verordnungsgebungsverfahren auf Basis des ersten Entwurfs der EU-Kommission374 ist jedoch an einer Einigung auf eine gemeinsame Position im EU-Rat gescheitert.375 Zuletzt erwies sich im November 2020 ein Neuentwurf der deutschen Ratspräsidentschaft als nicht konsensfähig zwischen den EU-Mitgliedstaaten.376 Eine Öffnung für bereichsspezifische Bestimmungen der Mitgliedstaaten zur Datenverarbeitung im Beschäftigungskontext enthält § 88 DSGVO.

Nationale Regelungen in Deutschland

246a

Die Bestimmungen der ePrivacy-Richtlinie 2002/58/EG sind im deutschen Recht aktuell umgesetzt durch die §§ 91ff. TKG und zum Teil auch in den §§ 12ff. TMG sowie in § 7 Abs. 2 Nr. 2ff. UWG. Während § 7 Abs. 2 Nr. 2 und 3 UWG unverständlicherweise377 bislang nicht an die DSGVO angepasst wurden,378 will der deutsche Gesetzgeber die Datenschutz-Regelungen im TKG und TMG noch novellieren und nicht mehr auf eine in der EU einheitlich geltende ePrivacy-Regelung warten.379 Dabei soll auch das vom EuGH380 beanstandete Versäumnis der nicht ordnungsgemäßen Transformation des Einwilligungserfordernisses des Art. 5 Abs. 3 S. 1 der ePrivacy-Richtlinie 2002/58/EG in der Fassung 2009/136/EG für die Speicherung von bzw. den Zugriff auf Informationen im Endgerät eines Teilnehmers/Nutzers korrigiert werden. Die ungenügende Umsetzung hatte in Deutschland dazu geführt, dass die Aufsichtsbehörden den TMG-Datenschutz für unbeachtlich erklärten und stattdessen die DSGVO anwendeten.381 Sonderregelungen zur Einwilligung im Beschäftigungsverhältnis befinden sich in § 26 Abs. 2 und Abs. 3 BDSG.

2. Allgemeine Voraussetzungen der Einwilligung

247

In Art. 4 Nr. 11 DSGVO wird die Einwilligung definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Damit unterscheiden sich die allgemeinen Anforderungen an eine Einwilligung für die Verarbeitung personenbezogener Daten in der DSGVO nicht wesentlich von jenen ihrer Vorgängerregelung.382 Insbesondere konnte sich die Forderung der EU-Kommission und des Europäischen Parlaments nach einer Verschärfung der Einwilligungsvoraussetzungen dahingehend, dass die Willensbekundung nicht nur für die Verarbeitung sensibler Daten,383 die Unterwerfung unter automatisierte Entscheidungen im Einzelfall384 und für die Datenübermittlung in Drittländer,385 sondern stets „ausdrücklich“ zu erfolgen habe, in den Trilog-Verhandlungen nicht durchsetzen.386

a) Form der Willensbekundung

248

Erforderlich ist eine Erklärung oder eine sonstige eindeutige bestätigende Handlung, die das Einverständnis der betroffenen Person mit der Datenverarbeitung unmissverständlich zum Ausdruck bringt. Ein besonderes Formerfordernis besteht grundsätzlich nicht. Erwägungsgrund 32 zur DSGVO nennt beispielhaft schriftliche, elektronische oder mündliche Erklärungen neben Handlungen wie dem Mausklick (Anklicken eines Kästchens in Gestalt einer Checkbox auf einer Internetseite) oder der Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft, erkennt aber gleichzeitig andere, auch konkludente Einwilligungen durch Verhaltensweisen im jeweiligen Kontext an, mit denen eindeutig ein Einverständnis signalisiert wird. Untätigkeit, Stillschweigen oder bereits angekreuzte Checkboxen sollen dagegen nicht genügen.387

aa) Opt-out vs. Opt-in

249

Aus Erwägungsgrund 32 S. 3 zur DSGVO wird teilweise gefolgert, dass „Optout“-Formulare, in denen vorformulierte Einverständniserklärungen bei Nichtzustimmung aktiv gestrichen oder bereits angekreuzte Checkboxen deaktiviert werden müssen, an sich nicht die Anforderungen an wirksame Einwilligungen erfüllen können.388 Selbst die Betätigung einer Schaltfläche zur Teilnahme an einem Online-Gewinnspiel in Ansehung eines voreingestellten Ankreuzkästchens für die Speicherung von Cookies stellt nach Ansicht des EuGH keine wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO dar. Es fehle in dieser Konstellation an der erforderlichen aktiven, eindeutigen und unmissverständlichen Handlung, mit der der Betroffene sein Einverständnis gerade auch für den konkreten Fall der Cookie-Speicherung zum Ausdruck bringt.389 Unklar bleibe nämlich, ob der Betroffene das vorangekreuzte Kästchen überhaupt wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.390 Hieraus wird zum Teil geschlossen,391 dass der EuGH der Ansicht des Europäischen Datenschutzausschusses folge, wonach jegliche konkludenten oder impliziten Verhaltensweisen wie das einfache Fortfahren mit einer Dienstleistung oder die Weiternutzung einer Website generell keine wirksame Einwilligung begründen könnten.392 Richtig ist, dass das bloße Bestehenlassen einer voraktivierten Checkbox ebenso wenig wie alle anderen Formen der kompletten Untätigkeit als eindeutige Willensbekundung angesehen werden können. Andererseits darf bei der Normenauslegung nicht außer Acht gelassen werden, dass sich der Verordnungsgeber ganz bewusst dagegen entschieden hat, Einwilligungen nur noch in ausdrücklicher Form zu akzeptieren. Ausdrücklich ist eine Einwilligung, wenn sie mittels einer positiv bejahenden Handlung unmittelbar und spezifisch das Einverständnis zum Ausdruck bringt („Opt-in“).393

250

Vor diesem Hintergrund ist im Sinne von Erwägungsgrund 32 S. 3 zur DSGVO „in dem jeweiligen Kontext“ auch bei zu deaktivierenden Voreinstellungen eine Verhaltensweise denkbar, die eine eindeutige mittelbare Zustimmung mit der Verarbeitung personenbezogener Daten signalisiert, nämlich wenn das Passieren solcher bereits angekreuzter Kästchen nicht mit Untätigkeit, sondern mit einer eindeutigen Handlung verbunden ist.394 Dies kann im jeweiligen Kontext auch nur die Betätigung einer Schaltfläche mit weiterem Erklärungsgehalt sein, jedenfalls soweit die damit gleichzeitig zu erteilende Einwilligung in dieser Form besonders hervorgehoben und direkt oberhalb der Schaltfläche platziert ist, so dass der betroffenen Person unzweifelhaft klar sein muss, dass sie ohne Opt-out auch die Verarbeitung ihrer personenbezogenen Daten akzeptiert, sobald sie die Schaltfläche betätigt.395 Denn dass eine Einwilligung in die Datenverarbeitung und die Willensbekundung in Bezug auf einen anderen Gegenstand wie etwa der Zustimmung zur Teilnahme an einem Gewinnspiel grundsätzlich Teil derselben Handlung sein können, wird von Art. 7 Abs. 2 S. 1 DSGVO klar und eindeutig vorausgesetzt. Diese Bestimmung übersieht Generalanwalt Szpunar, wenn er in seinen Schlussanträgen in der EuGH-Rechtssache „Planet49“ rechtsirrig pauschal das Gegenteil konstatiert.396 Fraglich ist, ob der EuGH in seinem Urteil dem gleichen Irrtum unterliegt397 und für konkludente Einwilligungen entgegen Art. 7 Abs. 2 S. 1 DSGVO in der Folge kein Anwendungsbereich verbliebe398 oder ob die Ausführungen des Gerichts DSGVO-konform dahingehend auszulegen sind, dass eine implizite Cookie-Einwilligung durch Betätigung einer Gewinnspielteilnahmeschaltfläche lediglich im entschiedenen Einzelfall nicht in Frage kam.399 Für Letzteres spricht, dass der EuGH die im „Planet49“-Urteil womöglich übersehene Bestimmung des Art. 7 Abs. 2 S. 1 DSGVO in einer nachfolgenden Entscheidung400 zu einer vorangekreuzten Einwilligung angewendet und damit gleichzeitig anerkannt hat, dass Einwilligungen jedenfalls im Grundsatz durch Handlungen zum Ausdruck gebracht werden können, die auch andere Erklärungsinhalte haben. Bei der praktischen Umsetzung dieser Rechtsprechung darf jedoch nicht außer Acht gelassen werden, dass der EuGH in diesen Konstellationen die Anforderungen an den Nachweis der Einwilligung derart überhöht, dass er faktisch kaum zu führen sein wird.401 Die Österreichische Datenschutzbehörde hält Aktionen mit Doppelfunktion wie die Unterschrift eines Vertrages, der eine Einwilligungsklausel enthält, generell nicht für unmissverständlich.402

 

Praxishinweis

Auch wenn von der Verordnung jenseits der geregelten Ausnahmefälle403 eine ausdrückliche Einwilligung nicht verlangt wird, empfiehlt es sich in der Praxis, vorsorglich ohne Ausnahme auf Opt-in zu setzen. Nur auf diese Weise lässt sich einer Diskussion über die Unmissverständlichkeit der Willensbekundung und damit dem Risiko der Unwirksamkeit der Einwilligung von vornherein aus dem Weg gehen.

bb) Besondere Formerfordernisse bei elektronischer Einholung

251

Bei elektronischer Einholung der Einwilligung, also etwa auf einer Internetseite, muss die „Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen“.404 Sie kann „für“ in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf erbrachte Dienstleistungen („Dienste der Informationsgesellschaft“)405 auch durch Auswahl technischer Einstellungen gegeben werden.406

252

Unklar ist, welcher praktisch relevante Anwendungsfall in Betracht kommt, wenn von einer Einwilligung „für“ einen Dienst die Rede ist. Die Formulierungen legen nahe, dass die Koppelung eines Dienstes mit einer Einwilligung in die Verarbeitung personenbezogener Daten gemeint ist. Wenn die Datenverarbeitung für den Dienst aber erforderlich ist, bleibt für eine Einwilligung angesichts der bereits gegebenen Erlaubnis nach Art. 6 Abs. 1b und der Anforderungen an Koppelungen gemäß Art. 7 Abs. 2 und Erwägungsgrund S. 2 Alt. 2 DSGVO wenig Raum.407

253

Mehr praktische Relevanz hat Erwägungsgrund 32 S. 6 zur DSGVO, wenn man ihn teleologisch dergestalt interpretiert, dass im Rahmen der Zustimmung zur Nutzung eines Dienstes, etwa beim Aufruf einer Internetseite oder Bestellung einer App, dieser Dienst nicht unnötig unterbrochen werden darf und technische Einstellungen ausreichen, um eine Einwilligung für andere Zwecke als die Diensterbringung einzuholen, z.B. für das Setzen von Retargeting-Cookies zu Werbezwecken. Als Beispiel für unnötige Unterbrechungen könnten in diesem Sinne Pop-up Fenster angesehen werden.408 Dies jedenfalls dann, wenn sie den Nutzer zu einer Entscheidung zwingen, ohne die eine Fortsetzung des Dienstes nicht möglich oder wesentlich erschwert ist.

Praxishinweis

Wer in der Praxis vor die Wahl gestellt ist, entweder Zweifel an der Eindeutigkeit einer elektronisch abgefragten Einwilligung in Kauf zu nehmen oder einen Dienst wie eine Website zu unterbrechen, sollte sich für Letzteres entscheiden. Denn zum einen handelt es sich bei dem Verbot unnötiger Unterbrechungen nur um einen rechtlich unverbindlichen Erwägungsgrund.409 Und zum zweiten lässt sich mit dem Europäischen Datenschutzausschuss sehr gut argumentieren, dass es sich nicht um eine „unnötige Unterbrechung“ handelt, wenn damit die Wirksamkeit der Aufforderung zur Einwilligungserteilung sichergestellt wird.410 Bei einer Website sollte ein Einwilligungs-Banner jedoch nicht den Zugriff auf das Impressum und die Datenschutzhinweise blockieren.411

254

Eine Einwilligung durch Auswahl technischer Einstellungen412 kommt nur in Betracht, wenn die betroffene Person aktiv eine Auswahl trifft, z.B. durch Betätigen einer entsprechenden Optionsschaltfläche beim erstmaligen Starten einer App. Das bloße Dulden voreingestellter Einverständnisse reicht dagegen mangels eindeutiger Handlung nicht. Soweit zusätzlich eine klare und knappe Form gefordert wird, dürften solche Einwilligungskonzepte schwieriger umzusetzen sein, in denen umfangreiche Erklärungstexte auf zu viele Ebenen verteilt werden.413 Hier ist im Zweifel Kürzung auf das Wesentliche gefragt.414

cc) Besondere Formerfordernisse im Beschäftigungskontext

255

Die Öffnungsklausel in § 88 DSGVO ermöglicht es den Mitgliedstaaten, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorzusehen. Damit sind national auch im Vergleich zur DSGVO strengere Formerfordernisse für Einwilligungen in Beschäftigungsverhältnissen, etwa die Schriftform denkbar.415 Für eine entsprechende Mindeststatt einer Vollharmonisierung des Beschäftigtendatenschutzes in der EU spricht, dass die in den Trilog-Verhandlungen für § 88 DSGVO vorgeschlagene Verweisung der Mitgliedstaaten in die „Grenzen dieser Verordnung“ am Ende nicht übernommen wurde.416

Nationale Regelungen in Deutschland

256

Der deutsche Gesetzgeber hat von der Befugnis nach § 88 DSGVO Gebrauch gemacht. Gemäß § 26 Abs. 2 S. 3 BDSG hat die Einwilligung Beschäftigter in die Verarbeitung personenbezogener Daten in Deutschland schriftlich oder elektronisch zu erfolgen, „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Laut Gesetzesbegründung soll es für eine „elektronische Einwilligung“ beispielsweise genügen, dass der Arbeitgeber sie als E-Mail abspeichert.417 Daraus wird deutlich, dass der Gesetzgeber nicht die qualifizierte elektronische Signatur des § 126a BGB, sondern eher das in der digitalen Praxis sehr viel relevantere elektronische Verfahren gemäß § 94 TKG bzw. § 13 Abs. 2 TMG bzw. § 28 Abs. 3a S. 1 BDSG a.F. im Blick gehabt haben dürfte, ohne dabei die überholten Anforderungen der jederzeitigen Abrufbarkeit des Inhalts sowie die – aus Nachweiszwecken allerdings weiterhin ratsame418 – Protokollierung der Einwilligung zu erneuern. Es reicht deshalb jeder dauerhaft gespeicherte, nachträglicher Manipulation entzogene Nachweis des Konsenses, der den Aussteller erkennen lässt.419 Ausnahmen von diesem Formerfordernis kommen umso eher in Betracht, je weniger eingreifend die Datenverarbeitung ist, für die um Einwilligung ersucht wird.

b) Freiwilligkeit

257

Freiwillig ist die Einwilligung, wenn der Betroffene zwanglos eine echte oder freie Wahl hat, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.420 Dafür darf kein Risiko einer Täuschung, Einschüchterung, Nötigung, beträchtlicher negativer Folgen oder einer Verleitung zur Datenpreisgabe durch übermäßige Anreize finanzieller oder sonstiger Natur bestehen, und zwar nicht nur mit Blick auf die Erteilung der Einwilligung, sondern auch hinsichtlich der Möglichkeit, sie jederzeit zu widerrufen.421

258

Als weitere Indizien, die eine Wahlfreiheit in diesem Sinne ausschließen können, nennt die Verordnung:

 – die Koppelung an einen Vertrag, für dessen Erfüllung die Verarbeitung der von der Einwilligung umfassten personenbezogenen Daten nicht erforderlich ist,422

 – den Umstand, dass in verschiedene Verarbeitungsvorgänge nicht gesondert eingewilligt werden kann, obwohl dies im Einzelfall angebracht ist,423 sowie

 – ein klares Ungleichgewicht zwischen betroffener Person und Verantwortlichem.424

aa) Koppelungsverbot

259

Erwägungsgrund 42 S. 2 Alt. 2 zur DSGVO enthält eine Vermutung, dass eine Einwilligung nicht als freiwillig erteilt „gilt“, wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig gemacht wird, obwohl diese für die Erfüllung nicht erforderlich ist. Diese Formulierung steht jedoch im Widerspruch zum maßgeblichen Art. 7 Abs. 4 DSGVO, wonach diesem Umstand bei der Beurteilung der Freiwilligkeit nur „in größtmöglichem Umfang Rechnung getragen“ werden müsse. Eine Lösung des Konflikts bietet die grundrechtskonforme Auslegung der Verordnung. Danach würde ein absolutes Koppelungsverbot nicht nur die Grundfreiheiten der Verantwortlichen, sich beruflich und unternehmerisch frei zu entfalten,425 über Gebühr beeinträchtigen, sondern auch die Hoheit der Betroffenen, über die eigenen personenbezogenen Daten frei bestimmen und dadurch insbesondere innovative datengetriebene bzw. werbefinanzierte Geschäftsmodelle in Anspruch nehmen zu können.426

260

Zu weitgehend ist daher die Interpretation des Europäischen Datenschutzausschusses, nach der Art. 7 Abs. 4 DSGVO sicherstelle, dass die Verarbeitung personenbezogener Daten, um deren Einwilligung ersucht wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden könne,427 weil personenbezogene Daten generell nicht als handelsfähige Ware anzusehen seien.428 Bestimmt man darüber hinaus das zur Vertragserfüllung Erforderliche aus objektiver Sicht eines vernünftigen Betroffenen ohne gleichrangige Berücksichtigung des Geschäftsmodells des Verantwortlichen,429 liegt die übermäßige Einschränkung der Vertragsautonomie auf der Hand: Telekommunikationsanbieter könnten zum Beispiel einen allein durch E-Mail-Werbung finanzierten Mobilfunktarif nicht anbieten und Betroffene diesen nicht unentgeltlich in Anspruch nehmen, weil die Einwilligung in elektronische Direktwerbung für die Erbringung von Telekommunikationsdienstleistungen objektiv nicht erforderlich ist.

261

Die Betroffenen fragen solche Produkte in der Realität aber nach und sie sind, vor die Wahl gestellt, auch bereit, mit ihren personenbezogenen Daten anstatt mit Geld zu bezahlen. Das hat mit Zwang nichts zu tun, sondern ist Ausdruck der Selbstbestimmung mündiger Verbraucher, die ihren Niederschlag auch in Art. 3 Abs. 1 S. 2 der EU-Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen430 gefunden hat. Dort wird die Bereitstellung von personenbezogenen Daten oder die Zusage von deren Bereitstellung als Gegenleistung für digitale Inhalte oder Dienstleistungen anstelle einer Geldzahlung anerkannt, auch wenn die Formulierungen im Richtlinientext und den Erwägungsgründen davon geprägt sind, diesen Umstand möglichst nicht beim Namen zu nennen. Das und der erklärte Vorrang der DSGVO431 sind als Kompromissergebnis der kontroversen Diskussionen im EU-Parlament und EU-Rat zu verstehen,432 die letztlich doch in der Erkenntnis gemündet haben, dass datengetriebene Geschäftsmodelle in verschiedenen Formen in einem erheblichen Teil des Marktes auftreten und somit Regelungsbedarf für vertragliche Rechtsbehelfe der Verbraucher in diesem Zusammenhang besteht.433

262

Aus diesen Gründen ist das Koppelungsverbot der DSGVO nach hier vertretener Auffassung eingeschränkt zu verstehen.434 Es greift nach dieser Normauslegung erst, wenn die Ablehnung vertraglicher oder vertragsähnlicher435 Angebote wegen Verweigerung oder Widerrufs der Einwilligung einen wesentlichen Nachteil im Sinne eines Zwangs begründen würde, der die Rationalität der Entscheidung ausschaltet und Selbstbestimmung in Fremdbestimmung verkehrt Ob dies zutrifft, ist wertend im Einzelfall zu betrachten und kann etwa vorliegen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.436 Ein bloßes Anlocken durch Versprechen einer Vergünstigung wie etwa der Teilnahme an einem Gewinnspiel soll nach Ansicht des OLG Frankfurt am Main jedenfalls nicht ausreichen, weil der Verbraucher selbst entscheiden könne und müsse, ob ihm die Teilnahme die Preisgabe seiner Daten wert ist.437 Auch für den Generalanwalt beim EuGH Szpunar ist eine solche Koppelung unbedenklich. Nach seiner Auffassung bestehe in dieser Konstellation die Hauptpflicht des Teilnehmers darin, seine personenbezogenen Daten zur Verfügung zu stellen, so dass die Verarbeitung für die Teilnahme am Gewinnspiel erforderlich im Sinne des Art. 7 Abs. 4 DSGVO sei.438

 

Praxishinweis

Es ist dennoch Vorsicht bei Anreizen für Einwilligungen geboten. Der Europäische Datenschutzausschuss fordert für einen Nachteil im Sinne des Erwägungsgrunds 42 S. 5 zur DSGVO zwar einerseits „beträchtliche“ negative Folgen, lässt auf der anderen Seite aber offenbar jegliche unvorteilhafte Auswirkung bei Verweigerung oder Widerruf der Einwilligung genügen, um deren Freiwilligkeit in Frage zu stellen. So soll etwa ein beachtlicher Nachteil schon vorliegen, wenn der betroffenen Person überhaupt Kosten entstehen oder ein Vorteil wie ein Preisnachlass nicht (weiter-)gewährt wird.439 Auch wenn bloße Unannehmlichkeiten in der Realität regelmäßig kaum geeignet sein dürften, bei betroffenen Personen Zwang hervorzurufen, ist vor höchstrichterlicher Klärung nicht zu erwarten, dass die nationalen Aufsichtsbehörden von diesem weiten Verständnis des Nachteilsbegriffs erheblich abweichen werden. Um die Wirksamkeit eingeholter Einwilligungen nicht zu gefährden, ist es daher ratsam, auf Anreize vorerst komplett zu verzichten oder bei etwas mehr Risikobereitschaft entsprechend gewonnene Einwilligungen im Rahmen der Dokumentation zumindest zu kennzeichnen, damit sie identifiziert werden können, falls rechtskräftig festgestellt würde, dass man sich auf sie mangels Freiwilligkeit nicht mehr berufen darf. Im Übrigen sollten Vertragsschlüsse möglichst nicht von Einwilligungen in die Datenverarbeitung abhängig gemacht werden. Wenn die Datenverarbeitung für einen Vertrag erforderlich ist, existiert mit Art. 6 Abs. 1b DSGVO in der Regel bereits eine hinreichende Erlaubnis. Etwas anderes gilt nur, wenn die Möglichkeit, die Datenverarbeitung allein über vertragliche Erforderlichkeit zu rechtfertigen, fehlt.440