Praxishandbuch DSGVO

Tekst

Autorzy:Jens Schefzig, Anna Zeiter, Carmen Heinemann, Cay Lennart Cornelius, Eva Gardyan-Eisenlohr, Flemming Moos, Ingo Braun, Laurenz Strassemeyer, Leif Rohwedder, Marian Arning, Per Meyerdierks, Stephan Hansen-Oest, Tina Gausling, Tobias Rothkegel, Ulrich Baumgartner

Z serii: Kommunikation & Recht

Recenzje

Przeczytaj fragment

Oznacz jako przeczytane

Jak czytać książkę po zakupie

Smartfon,
tablet Komputer,
laptop E-czytnik

Pobierz:
FB2
EPUB
iOS.EPUB
7 więcej

Rozmiar: 2210 str. 43 ilustracje
Kategoria: adwokatura Edytuj

Czcionka:Mniejsze АаWiększe Aa

g) Nachweisbarkeit

291

Art. 5 Abs. 2 DSGVO und Art. 7 Abs. 1 DSGVO erlegen dem Verantwortlichen eine Pflicht zum Nachweis der Einwilligung in die Verarbeitung der personenbezogenen Daten der betroffenen Person auf, sog. „Rechenschaftspflicht“. Der Verantwortliche muss technische und organisatorische Maßnahmen treffen, mittels derer die Einholung der Einwilligung unter Einhaltung der in diesem Kapitel beschriebenen Rechtsmäßigkeitsanforderungen vollständig dokumentiert wird, Art 24 Abs. 1 S. 1 DSGVO.

292

Die grundsätzliche Formfreiheit einer Einwilligung wird in der Praxis somit faktisch erheblich eingeschränkt. Einer bloß mündlich erteilten Einwilligung zu vertrauen, wäre ohne geeignete Beweissicherung fahrlässig. Es genügt vor diesem Hintergrund auch nicht, in einem Customer-Relationship-Management-System nur zu vermerken, dass eine Einwilligung zu einem bestimmten Zeitpunkt gegeben wurde. Der Systemeintrag sollte vielmehr von vornherein mit dem jeweiligen Beleg verknüpft werden. Das könnten sein:

– Scans der unterzeichneten Einwilligungserklärungen und Verweis auf den Fundort des jeweiligen Originals,

– unterzeichnete Vertragsurkunden mit enthaltenen (angekreuzten) Einwilligungsklauseln und Verweis auf den Fundort des jeweiligen Originals,

– mit vorheriger Zustimmung der betroffenen Person aufgezeichnete telefonische Einwilligungen („Voice Recordings“), ggf. schriftliche Bestätigung,

– Protokoll einer elektronisch ereilten Einwilligung.

292a

Weitere technisch-organisatorische Maßnahmen sind angebracht, wenn man den EuGH im „Orange România“-Urteil504 beim Wort nimmt. Danach soll es für den Nachweis einer Einwilligungserteilung nicht ausreichen, dass ein Vertrag mit einer angekreuzten Einwilligungsklausel unterzeichnet wird, „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Hielte man dies für relevant, müssten Verantwortliche Betroffene dazu anhalten, den Einwilligungstext laut vorzulesen und sich anschließend einem Verständnistest zu stellen. Der sorgfältige Beweissicherer würde diese Prozedere zumindest per Audioaufzeichnung dokumentieren. Hierfür wäre wiederum eine Einwilligung einzuholen, die ihrerseits dokumentiert werden müsste. Dass solche Anforderungen an den Beweis einer Einwilligung überzogen sind und auch nicht im Sinne des Datenschutzes sein können, liegt auf der Hand. Der Nachweis, dass ein Betroffener eine vorformulierte Einwilligung gelesen und verstanden hat, ist in der Praxis nicht zu führen. Zu berücksichtigen ist hier vielmehr der Rechtsgedanke, dass die Unterschrift einer Vertragsurkunde für deren Vollständigkeit und Richtigkeit streitet und etwa vor deutschen Gerichten auch den vollen Beweis dafür begründet, dass die im Vertrag enthaltenen Erklärungen von den Unterzeichnern abgegeben sind, §§ 416, 440 Abs. 2 ZPO. Es ist zu hoffen, dass der EuGH diese fehlgeleitete Rechtsprechung bei nächster Gelegenheit entsprechend korrigieren wird.

Praxishinweis

Wer offline im Rahmen von Vertragsformularen Einwilligungen einholt, sollte die Einwilligungsklausel:

– in hervorgehobener Weise unmittelbar vor das Unterschriftsfeld setzen505 und

– nicht vom eigenen Personal für den Betroffenen, sondern von diesem selbst ankreuzen lassen506 oder

– von den anderen Vertragserklärungen isoliert in einem gesonderten Dokument mit eigenem Unterschriftsfeld platzieren (optimale Variante) und – vorsichtshalber mit dem Hinweis versehen, ob die Einwilligung für die Vertragserfüllung erforderlich ist oder nicht.507

293

In Zeiten der Digitalisierung ist die elektronische Einholung von Einwilligungen von besonderer praktischer Bedeutung, aber mit Blick auf die Rechenschaftspflicht auch von hoher Fehleranfälligkeit geprägt. So reicht es nicht, aufzuzeigen, dass ein Nutzer mit einer IP-Adresse zu einem bestimmten Zeitpunkt eine Webseite besucht hat, auf der eine Einwilligung erteilt werden konnte.508 Voraussetzung für das Gelingen eines Nachweises und in Deutschland bisher auch für die Wirksamkeit elektronisch erklärter Einwilligungen509 ist vielmehr deren technische Protokollierung,510 d.h. die Speicherung von folgenden Parametern in einer Logdatei:

– Einwilligungstext und

– Anklicken einer Checkbox oder Schaltfläche und

– eingegebener Name des Einwilligenden oder ein sonstiges Identifikationsmerkmal und

– Eingabezeitpunkt („Timestamp“).

294

Zusätzlich empfiehlt sich eine Verifikation der Identität des Einwilligenden durch ein sog. Double-Opt-in-Verfahren.511 Dabei wird der betroffenen Person je nach konkretem Kontakt eine E-Mail oder eine SMS mit der Bitte um Bestätigung der online gegebenen Einwilligung geschickt und diese erst nach einer entsprechenden Reaktion als erteilt angesehen.

h) Gültigkeitsdauer

295

Die Gültigkeitsdauer der Einwilligung ist nach der Verordnung nur durch einen Widerruf bzw. bei Einwilligungen für Direktwerbung auch durch einen Widerspruch gemäß Art. 21 Abs. 2 DSGVO begrenzt. Einige Entscheidungen deutscher Gerichte,512 die nach altem Recht einen Verfall durch bloßen Zeitablauf für möglich gehalten haben, waren offensichtlich weniger rechtsdogmatisch, sondern überwiegend vom gewünschten Ergebnis eines möglichst hohen Betroffenenschutzes auf dem Gebiet der Belästigung durch Werbung geleitet. Davon abgesehen gibt es aber keine Grundlage für die Annahme, dass einmal gegebene Einwilligungen im Grundsatz nicht unbefristet gelten.513 Wer dennoch weitere Vorsorge treffen möchte, sollte in eine vorformulierte Erklärung ausdrücklich aufnehmen, dass die Einwilligung „bis auf Widerruf“ erteilt wird. Der Europäische Datenschutzausschuss empfiehlt als überobligatorische „best practice“, die Einwilligung in angemessenen Zeitabständen zu erneuern.514 Aus verhaltensökonomischer Praktikersicht ist die Befolgung dieses Ratschlags jedoch keine allzu gute Idee. Denn wie Studien bewiesen haben, neigen Menschen in Entscheidungsprozessen irrationalerweise dazu, diejenige Option übermäßig zu bevorzugen, bei der sie keine aktive oder neue Entscheidung treffen müssen, sog. „Default Effect“ beziehungsweise „Status Quo Bias“.515 Die Wahl fiele somit bei einer Vielzahl der erneut Befragten auf ein Schweigen, mit dem die vormals noch in voller Kraft bestehende Einwilligung auf einen Schlag verloren wäre.

Checkliste Einwilligungserklärung 516

– Auf klare Überschriften achten: „Einwilligung“ statt „Datenschutz“;

– keinen Raum für Missverständnisse geben: Opt-in statt Opt-out;

– Einwilligungen wenn möglich nicht an die Vertragserfüllung koppeln: Gewissheit statt Zweifel in Bezug auf die Wahlfreiheit des Betroffenen;

– Raum für Einwilligungen in verschiedene Verarbeitungsvorgänge geben: gesonderte statt General-Zustimmung;

– einfache Sätze ohne Fremdwörter bilden: Klartext statt „Fachchinesisch“;

– eindeutige Formulierungen verwenden: „Ich bin einverstanden“ statt „Mir ist bekannt“;

– Information über die vier „großen W-Fragen“ der Betroffenen nicht vergessen: „Wer (?) will Welche Daten (?) Wofür (?) verwenden und kann ich Widerrufen (?)“;

– sich kurzfassen und wenn nötig mehrschichtige Hinweise geben, ohne die Informationen auf zu viele Detailebenen zu verteilen;

– an inhaltliche Teilbarkeit denken: thematisch gesonderte statt verbundener Klauseln;

– Einwilligungsinhalte nicht künstlich mit harmlos anmutenden Verarbeitungsvorgängen anreichern, die keiner Einwilligung bedürfen, und grafisch deutlich von Vertragserklärungen trennen;

– Einwilligungsklauseln auffällig unmittelbar vor dem Feld platzieren, mit dem der Betroffene seine Gesamterklärung abgibt (Unterschrift/Bestellbutton), oder besser noch gesondert unterschreiben/bestätigen lassen;

– Nachweise für die Erteilung der Einwilligung sichern.

3. Einwilligung von Kindern

296

Die Fähigkeit zur Einwilligung setzt das Bewusstsein der betroffenen Person über die betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten voraus. Das ergibt sich im Umkehrschluss aus Erwägungsgrund 38 S. 1 zur DSGVO, nach dem Kinder infolge möglicher Ermangelung dieses Bewusstsein besonderen Schutz verdienen.

a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten

297

Erwägungsgrund 38 S. 2 zur DSGVO fordert besonderen Schutz für Kinder insbesondere bei der Verwendung ihrer personenbezogenen Daten für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung bei der Nutzung von Diensten, die Kindern direkt angeboten werden. Auf die genannten Verarbeitungsvorgänge beschränken sich auch die besonderen Anforderungen an die Einwilligung von Kindern in § 8 DSGVO, dessen Anwendungsbereich darüber hinaus eingeengt ist auf Einwilligungen bei direkt an Kinder gerichtete Angebote von Diensten der Informationsgesellschaft. Darunter versteht man alle in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachten Dienstleistungen,517 die durch Illustration, Darstellung und Ansprache erkennbar auf Kinder ausgerichtet sind.518 Entscheidend ist damit, dass Kinder unmittelbar adressiert werden. Es reicht in diesem Sinne aus, wenn sich das Angebot sowohl an Erwachsene als auch an Kinder richtet, d.h. sog. Dual-Use-Services wie etwa die gängigen Social-Media-Seiten dürften vom Wortlaut der Norm, der keine Ausschließlichkeit verlangt, erfasst sein. Keine Anwendung findet die Bestimmung dagegen auf Dienste, die nach Seiteninhalt und Marketingkonzept nur Personen angeboten werden, die 18 Jahre oder älter sind.519 Außerdem nicht unter Art. 8 DSGVO fallen Angebote, die sich über die Eltern, also nur indirekt an Kinder wenden und nicht auf die direkte Interaktion mit Kindern selbst ausgerichtet sind. Entsprechende Beispiele sind Online-Shops für Spielwaren oder Kinderkleidung.520

298

Kinder können in Datenverarbeitungen bei direkt an sie adressierten Angeboten von Fernabsatzdiensten nach § 8 Abs. 1 S. 1 DSGVO selbst einwilligen, wenn sie das 16. Lebensjahr vollendet haben.521 Bei vorformulierten Einwilligungen muss die Wortwahl, die Tonalität und der Sprachstil der kindlichen Zielgruppe angepasst werden.522

Beispiel

Ein nützliches Beispiel für kindgerechte Sprache als Alternative zu den juristischen Formulierungen der Originalfassung bietet die kinderfreundliche Version der UN-Kinderrechtskonvention.523

299

Die Überprüfung des Alters sollte nach Auffassung des Europäischen Datenschutzausschusses nicht zu einer übermäßigen Datenverarbeitung führen. So kann es insbesondere in Situationen mit geringem Risiko angemessen sein, von einem neuen Abonnenten eines Dienstes die Angabe seines Geburtsjahres oder das Ausfüllen eines Formulars zu fordern, in dem dieser erklärt, nicht unter 16 Jahre alt zu sein, und nur bei Zweifeln in eine Altersüberprüfung überzugehen.524 Bei Kindern jüngeren Alters bedarf es der Einwilligung durch den gesetzlichen Vertreter („Träger der elterlichen Verantwortung“) oder dessen Zustimmung, Art. 8 Abs. 1 S. 2 DSGVO.

b) Vergewisserungspflicht des Verantwortlichen

300

Den Verantwortlichen trifft nach Art. 8 Abs. 2 DSGVO die Pflicht, „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ zu unternehmen, um sich zu vergewissern, dass die erteilte Einwilligung tatsächlich vom gesetzlichen Vertreter des Kindes stammt oder mit seiner Zustimmung erfolgte. Auch insofern gilt, dass die Anforderungen umso höher sind, je größer das Risiko der Datenverarbeitung ist, und umgekehrt, so dass in Fällen mit geringem Risiko die Überprüfung der elterlichen Verantwortung per E-Mail ausreichen kann.525 In diesem Rahmen dürfte auf der einen Seite eine bloße Bestätigung des Nutzers über das Einverständnis des Erziehungsberechtigten in den AGB oder über eine Checkbox grundsätzlich nicht ausreichen,526 während auf der anderen Seite ein Medienbruch, etwa in Gestalt einer unterschriebenen Einwilligung, unangemessen erscheint.527 Verstöße gegen Art. 8 DSGVO können mit Bußgeldern von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden.528 Der Europäische Datenschutzausschuss erkennt die Schwierigkeit der Verifikation des Alters bzw. der Zustimmung der Erziehungsberechtigten ausdrücklich an und billigt entsprechende Berücksichtigung im Rahmen der Bestimmung der angemessenen Anstrengungen zu, ohne die Verantwortlichen allerdings aus ihrer Pflicht zu entlassen, ihre Prozesse und die verfügbare Technologie ständig zu überprüfen.529 In der Praxis empfiehlt sich nach derzeitigem Stand der Technik die Einhaltung mindestens folgender Prüfschritte:

– einfache Altersabfrage im ersten Schritt;530

– bei unter 16-jährigen im zweiten Schritt Vergewisserung über die Einwilligung/Zustimmung des Trägers der elterlichen Verantwortung;

– Einsatz praktikabler Vergewisserungsmethoden:– Double-Opt-in-Verfahren531 über die E-Mail-Adresse des Erziehungsberechtigten;532– verifizierte Kredit-/Debitkartenzahlung des Erziehungsberechtigten bei kostenpflichtigen Diensten;533– Web-Ident-Verfahren durch Videotelefonat mit Erziehungsberechtigtem.

301

Gemäß Art. 17 Abs. 1f DSGVO kann die betroffene Person vom Verantwortlichen die Löschung der auf der Grundlage der Einwilligung nach Art. 8 Abs. 1 DSGVO gespeicherten personenbezogenen Daten verlangen.

302

Weiterhin nach nationalem Recht beurteilen sich die Gültigkeit, das Zustandekommen und die Rechtsfolgen eines Vertrages in Bezug auf Kinder, Art. 8 Abs. 3 DSGVO. Entsprechendes dürfte in Abwesenheit weiterer DSGVO-Regelungen auch für Konstellationen gelten, in denen Einwilligungen von Kindern jenseits von Diensten der Informationsgesellschaft eingeholt werden. Wer aber angesichts immer komplexer werdender Datenverarbeitungsvorgänge nicht auf die Einsichtsfähigkeit von 14-jährigen vertraut, wendet im Zweifel auch in diesem Umfeld mindestens die Altersgrenze des Art. 8 Abs. 1 DSGVO an.534

4. Einwilligung bei sensiblen Datenkategorien

303

Eine Einwilligung kann wie schon nach der Datenschutzrichtlinie535 als Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) dienen, Art. 9 Abs. 2a DSGVO.536 Über die allgemeinen Anforderungen der Art. 4 Nr. 11 und Art. 7 DSGVO hinaus muss die Einwilligung ausdrücklich537 erfolgen. Die betroffene Person muss demnach per Opt-in der Verarbeitung der jeweils konkret zu nennenden besonderen Datenkategorie zustimmen. Von der Rechtsprechung zu klären ist die Frage, ob aufgrund der im Vergleich zur Datenschutzrichtlinie höheren Anforderungen an die allgemeine Einwilligung in der DSGVO538 womöglich zusätzliche Anstrengungen für den Erhalt einer ausdrücklichen Einwilligung vom Verantwortlichen unternommen werden müssen, etwa im Sinne eines „Confirmed Opt-ins“, d.h. einer nochmaligen Bestätigung einer aktiv bereits gegebenen Zustimmung.539

Klauselmuster540

304

Ich bin einverstanden, dass die Versicherung XY die von mir in diesem Antrag und künftig mitgeteilten Gesundheitsdaten verarbeitet*, soweit dies zur Antragsprüfung und zur Erfüllung des Versicherungsvertrages erforderlich ist. Meine Einwilligung gilt bis auf Widerruf, den ich jederzeit mit Wirkung für die Zukunft, z.B. per E-Mail unter widerruf@versicherung-xy.de erklären kann. Die Antragsprüfung und Begründung des Versicherungsvertrages werden bei Nichterteilung oder Widerruf der Einwilligung gegebenenfalls unmöglich. Weitere Informationen zur Verarbeitung personenbezogener Daten durch die Versicherung XY sowie zu meinen Rechten als betroffene Person finde ich unter [...].

* „Verarbeiten“ bedeutet jeder ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten im Sinne von Art. 4 Nr. 2 DSGVO wie z.B. das Erheben, die Speicherung oder die Verwendung, nicht jedoch die Übermittlung. Die Versicherung XY wird ihre personenbezogenen Daten ohne Ihre gesonderte oder eine gesetzliche Erlaubnis nicht an Dritte übermitteln.

5. Wirksamkeit von Alt-Einwilligungen

305

Für die unternehmerische Praxis ist die Frage von großer Bedeutung, inwieweit auch nach Beginn der Geltung der DSGVO541 noch auf die Wirksamkeit von Einwilligungen in die Datenverarbeitung vertraut werden kann, die im Einklang mit der Datenschutzrichtlinie 95/46/EG eingeholt worden sind. Eine vage Antwort gibt Erwägungsgrund 171 S. 2 zur DSGVO, nach dem eine erneute Erteilung einer Einwilligung nicht erforderlich ist, „wenn die Art der bereits erteilten Einwilligungen den Bedingungen dieser Verordnung entspricht“. Nach dem Wortlaut des Erwägungsgrundes 171 S. 2 zur DSGVO müssten Alt-Einwilligungen somit sämtliche Wirksamkeitsvoraussetzungen gemäß den Vorschriften der DSGVO erfüllen, damit sie am 25.5.2018 nicht ihre Geltung verloren haben.

Praxishinweis

In der Praxis empfiehlt es sich, Alt-Einwilligungen zu erneuern, wenn diese:

– ohne geeignete Nachweise wie z.B. Logfiles bei elektronischer Abfrage eingeholt wurden;542

– ohne implementiertes und kommuniziertes Verfahren für den einfachen Widerruf der Einwilligung nachgesucht wurden;543

– nicht eindeutig und aktiv zum Ausdruck gebracht wurden, z.B. bei bereits angekreuzten Checkboxen;544

– an den Abschluss eines Vertrages gekoppelt wurden, obwohl sie für die Vertragserfüllung nicht erforderlich waren;545

– von einem Kind erteilt wurde, welches das 16. Lebensjahr noch nicht vollendet hatte, soweit im nationalen Recht nichts anderes bestimmt ist, Art. 8 Abs. 1 i.V.m. Erwägungsgrund 38 zur DSGVO.546

306

Für den Fortbestand von Alt-Einwilligungen ist es hingegen unschädlich, wenn lediglich die erweiterten Informationspflichten gemäß Art. 13 und 14 DSGVO nicht beachtet wurden, soweit deren Erfüllung nicht als Bedingung für eine gültige Einwilligung in Kenntnis der Sachlage angesehen wird.547

369 Vgl. Albrecht, CR 2016, 88, 91. 370 So etwa auch: Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien; Ehrmann/Selmayr/Heckmann/Paschke, Art. 7 DSGVO Rn. 17; Piltz, K&R 2016, 557, 562; a.A. wohl Paal/Pauly/Frenzel, Art. 7 DSGVO Rn. 1. 371 Siehe dazu auch Kap. 17 B Rn. 140ff. 372 Siehe Einzelheiten in Kap. 17 A Rn. 1ff. 373 Vgl. Art. 95 DSGVO. 374 COM (2017) 10 final, 2017/0003 (COD). 375 Vgl. Dossier des EU-Rats, https://bit.ly/2Q4587x, zuletzt abgerufen am 11.1.2021. 376 https://bit.ly/37XpOXK, zuletzt abgerufen am 11.1.2021. Ob es der nachfolgenden portugiesischen EU-Ratspräsidentschaft gelungen ist, einen Kompromiss zu erzielen, war bei Verfassen dieses Kapitels noch offen. 377 Beide Vorschriften sehen als Rechtfertigung für Direktwerbung eine „ausdrückliche“ Einwilligung vor, die gemäß Art. 2 S. 2f, Erwägungsgrund 17 der ePrivacy-Richtlinie 2002/58 i.V.m. Art. 94 Abs. 2 S. 1, Art. 4 Nr. 11 DSGVO im nationalen Recht nicht verlangt werden kann, vgl. auch EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 47, 50 – Planet49; BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540 – Cookie-Einwilligung II; Köhler/Bornkamm/Feddersen/Köhler, § 7 UWG Rn. 149, 149e; Kühling/Buchner/Kühling/Raab, Art. 95 DSGVO Rn. 7. Das Wort „ausdrückliche“ muss daher jeweils gestrichen bzw. weggedacht werden. Einzelheiten siehe Kap. 17 B Rn. 148. 378 Eine Änderung des UWG wurde auch im 2. DSAnpUG-EU vergessen, https://bit.ly/2Q7ldcC, zuletzt abgerufen am 11.1.2021. 379 Das Gesetzgebungsverfahren war bei Verfassen dieses Kapitels noch nicht abgeschlossen. Unter https://bit.ly/3sqJ3Bb ist der Bearbeitungsstand eines Referentenentwurfs vom 12.1.2021 für ein „Telekommunikations-Telemedien-Datenschutz-Gesetz – TTDSG“, zuletzt abgerufen am 15.1.2021, veröffentlicht worden. 380 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705 – Planet49. 381 Vgl. Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, S. 6. 382 In Art. 2h RL 95/46/EG ist die Einwilligung definiert als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Art. 7a RL 95/46/EG verlangt zusätzlich, dass die Einwilligung „ohne jeden Zweifel“ gegeben wurde. 383 Siehe dazu Rn. 303ff. 384 Vgl. Art. 22 Abs. 2c DSGVO. 385 Vgl. Art. 49 Abs. 1a DSGVO. 386 Vgl. Albrecht, CR 2016, 88, 91. 387 Erwägungsgrund 32 S. 3 DSGVO. 388 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705 – Planet49; BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540 – Cookie-Einwilligung II; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 77ff..; Ehrmann/Selmayr/Heckmann/Paschke, Art. 7 DSGVO Rn. 20; vgl. zur Aufsichtspraxis in Deutschland auch Datenschutzkonferenz, Kurzpapier Nr. 20 Einwilligung nach der DSGVO, https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf, S. 1. 389 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 59ff. – Planet49. 390 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 55 – Planet49. 391 Datenschutzkonferenz, Kurzpapier Nr. 20, S. 1; Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, S. 8, zuletzt abgerufen am 11.1.2021. 392 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 81, 84, 86. 393 Vgl. Köhler/Bornkamm/Köhler, § 7 UWG Rn. 145a; BGH, Urt. v. 16.7.2008 – VIII ZR 348/06, K&R 32008, 678 – PAYBACK; vgl. zu etwaigen weiteren Anforderungen auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 92ff.. 394 So im Ergebnis auch Piltz, CR 2016, 557, 563, und Krohm, ZD 2016, 368, 372. 395 Vgl. Krohm, ZD 2016, 368, 372; a.A. wohl Österreichische Datenschutzbehörde, dsb Newsletter 4/2020, S. 1, 2, https://bit.ly/2LdnraN, zuletzt abgerufen am 11.2.2021 396 Schlussanträge des GA Maciej Szpunar v. 21.3.2019 i.S. C-673/17, Rn. 89, https://bit.ly/2tiZ3ex, zuletzt abgerufen am 11.1.2021. 397 Darauf könnten die pauschalen Ausführungen des EuGH in Rn. 58–60 des Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705 – Planet49, hindeuten. 398 So Hanloser, https://bit.ly/35iT9rc, zuletzt abgerufen am 11.1.2021. 399 So wohl Moos/Rothkegel, MMR 2019, 736, 738. 400 EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 401 Siehe Einzelheiten unter Rn. 292. 402 Österreichische Datenschutzbehörde, dsb Newsletter 4/2020, S. 1, 2, https://bit.ly/2LdnraN, zuletzt abgerufen am 11.2.2021. 403 Vgl. Art. 9 Abs. 2a, Art. 22 Abs. 2c und Art. 49 Abs. 1a DSGVO. 404 Erwägungsgrund 32 S. 6 DSGVO. 405 Definition gem. Art. 2a der eCommerce-Richtlinie 2000/31/EG i.V.m. Art. 1 Nr. 2 RL 98/34/EG in der Fassung der RL 98/48/EG. 406 Erwägungsgrund 32 S. 6 DSGVO. 407 Vgl. BayLDA, Verarbeitung personenbezogener Daten für Werbung, https://www.lda.bayern.de/media/baylda_ds-gvo_12_advertising.pdf. 408 Vgl. Härting, Teil B. III. Rn. 362f.; Gola/Schulz, Art. 7 DSGVO Rn. 47. 409 Vgl. EuGH, Urt. v. 19.11.1998 – C-162/97, Rn. 54 – Nilsson; EuGH, Urt. v. 24.11.2005 – C-136/04, Rn. 32 – Deutsches Milch-Kontor. 410 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 82; ähnlich Moos/Rothkegel, MMR 2019, 736, 738. 411 So jedenfalls die Ansicht der deutschen Aufsichtsbehörden, vgl. Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, S. 9. 412 Fraglich ist, ob auch Browsereinstellungen umfasst sind, nachdem der entsprechende Entwurf des Europäischen Rats im Trilog nicht aufgegriffen wurde, vgl. Spindler, DB 2016, 937, 940. 413 Eine entsprechende Fragmentierung von Informationen hat etwa die französische Aufsichtsbehörde CNIL im Rahmen eines Bußgeldverfahrens gegen die Google LLC beanstandet, https://bit.ly/36jxn82, zuletzt abgerufen am 11.1.2021. 414 Vgl. entsprechende Lösungsvorschläge bei Pohlmann/Kipker, DuD 2016, 378, 379ff. 415 A.A. Ehmann/Selmayr/Selk, Art. 88 DSGVO Rn. 76; Kühling/Buchner/Maschmann, Art. 88 DSGVO Rn. 30ff. 416 Vgl. Paal/Pauly/Pauly, Art. 88 DSGVO Rn. 4; Thüsing, NZA 2019, 1399, 1400 m.w.N. 417 BT-Drs. 19/11181, S. 19. 418 Siehe Einzelheiten zu den Nachweispflichten und -möglichkeiten unter Rn. 292ff. 419 Thüsing, NZA 2019, 1399, 1401. 420 Erwägungsgrund 42 S. 5 DSGVO. 421 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 46ff.; BGH, Urt. v. 16.7.2008 – VIII ZR 348/06, K&R 32008, 678 – PAYBACK (noch zur alten Rechtslage). 422 Art. 7 Abs. 4 und Erwägungsgrund 43 S. 2 Alt. 2 DSGVO. 423 Erwägungsgrund 43 S. 2 Alt. 3 DSGVO. 424 Erwägungsgrund 43 S. 1 DSGVO. 425 Art. 15 und 16 der EU-Grundrechtecharta. 426 Art. 6 der EU-Grundrechtecharta. 427 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 26. 428 Europäischer Datenschutzausschuss, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, V.2 Rn. 54. 429 So der Europäische Datenschutzausschuss, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, V.2 Rn. 22, 32, 36. 430 RL 2019/770. 431 Art. 3 Abs. 8 der RL 2019/770. 432 Staudenmayer, NJW 2019, 2497, 2498. 433 Vgl. Erwägungsgrund 24 RL 2019/770. Entsprechende Geschäftsmodelle scheinen die deutschen Aufsichtsbehörden auch datenschutzrechtlich anzuerkennen, soweit sie lediglich eine klare und verständliche Darstellung der vertraglich ausbedungenen Gegenleistung bei Vertragsschluss fordern, vgl. Datenschutzkonferenz, Kurzpapier Nr. 3, S. 2. Womöglich ist diese Auffassung mittlerweile aber überholt. 434 So auch Kühling/Buchner/Buchner/Kühling, Art. 7 DSGVO Rn. 46ff.; Ehrmann/Selmayr/Heckmann/Paschke, Art. 7 DSGVO Rn. 94ff.; Gola/Schultz, Art. 7 DSGVO Rn. 24ff.; Plath/Plath, Art. 7 DSGVO Rn. 15; Paal/Pauly/Frenzel, Art. 7 DSGVO Rn. 18; Engeler, ZD 2018, 55, 59; Generalanwalt beim EuGH Szpunar, Schlussanträge v. 21.3.2019 in der Rs. C 673/17 – Planet49; Österreichische Datenschutzbehörde, Bescheid v. 30.11.2018, https://bit.ly/2JIBVyL, zuletzt abgerufen am 11.1.2021; Niederländische Datenschutzbehörde, Nachricht v. 7.3.2019, https://bit.ly/3ohbFKL, zuletzt abgerufen am 11.1.2021. Differenzierend: Taeger/Gabel/Taeger, Art. 7 DSGVO Rn. 85ff.; a.A. BeckOK-DS/Stemmer, Art. 7 DSGVO Rn. 40ff.; Härting, Teil B. III. Rn. 395; Dammann, ZD 2016, 307, 11. Für ein Regel-/Ausnahmeverhältnis OGH Wien, Urt. v. 31.8.2018 – 6 Ob140/18h, BeckRS 2018, 30960. 435 Mit der Formulierung „unter anderem die Erfüllung eines Vertrages“ sind in erster Linie Vertragsschlüsse, aber wohl auch andere ähnliche Zwangssachverhalte gemeint, vgl. Gola/Schulz, Art. 7 Art. 7 DSGVO Rn. 24f. 436 So etwa auch Gola/Schulz, Art. 7 DSGVO Rn. 27; a.A. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 38. 437 OLG Frankfurt am Main, Urt. v. 27.6.2019 – 6 U 6/19, ZD 2019, 507. 438 Generalanwalt beim EuGH Szpunar, Schlussanträge v. 21.3.2019 in der Rs. C 673/17 – PLANET49. Der EuGH hat diese Frage mangels Entscheidungserheblichkeit offengelassen. 439 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V.1.1 Rn. 46ff., 114. 440 So etwa in Fällen des Art. 9 DSGVO oder des Art. 13 der ePrivacy-Richtlinie 2002/58/EG. 441 Vgl. die Rechtsprechung des BGH (Urt. v. 16.7.2008 – VIII ZR 348/06, K&R 32008, 678 – Payback; Beschl. v. 14.4.2011 – I ZR 38/10) zum angeblich aus der ePrivacy-Richtlinie 2002/58/EG abzuleitenden Erfordernis der gesonderten Einwilligung für E-Mail- bzw. Telefonwerbung. 442 Erwägungsgrund 43 S. 2. 443 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 42ff., 57. 444 So auch Schantz, NJW 2016, 1841, 1845; Richter, PinG 2016, 185, und Buchner, DuD 2016, 155, 158. 445 Kettner/Thorun/Spindler, Innovatives Datenschutz-Einwilligungsmanagement, S. 48, 71, https://bit.ly/38kcMnx, zuletzt abgerufen am 11.1.2021. 446 Erwägungsgrund 32 S. 6, siehe oben Rn. 251. 447 Anerkannt und ebenfalls empfohlen von Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 69, und der Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 8, 24 (vom EDSA bestätigt), und der französischen Aufsichtsbehörde CNIL, Draft Recommendation Cookies and other trackers, https://bit.ly/31aZaG1, zuletzt abgerufen am 11.1.2021, S. 12. 448 Ähnlich Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 17ff. mit weiteren Beispielen. 449 Vgl. Erwägungsgrund 34 S. 2 im Vorschlag der Europäischen Kommission v. 25.1.2012, KOM(2012) 11 endgültig, 2012/0011 (COD). 450 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 21. 451 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 22f., und zum früheren Recht in Deutschland schon BAG, Urt. v. 11.12.2014 – 8 AZR 1010/13. 452 BT-Drs. 1811325, S. 96. 453 BT-Drs. 1811325, S. 97. 454 So auch Laue/Kremer/Kremer, § 2 Rn. 20; vgl. aber bei mangelnden Alternativen im Versicherungswesen BVerfG, Beschl. v. 23.10.2006 – 1 BvR 2027/02. 455 So aber Härting, Teil B. III. Rn. 401. 456 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 13. 457 Art. 4 Nr. 11 DSGVO. 458 Erwägungsgrund 32 S. 1. 459 Vgl. Art. 2h RL 95/46/EG. 460 Erwägungsgrund 32 S. 4f. 461 Vgl. schon Art.-29-Datenschutzgruppe, WP 187, S. 20f. 462 Vgl. Art. 6 Abs. 1a, Erwägungsgrund 42 S. 4. 463 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 65. 464 Vgl. Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 83; Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 64; EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România; Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 8 (vom EDSA bestätigt) sowie schon Art.-29-Datenschutzgruppe, WP 187, S. 23. 465 EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 466 So auch Krohm, ZD 2016, 368, 373; a.A. Härting, Teil B. III. Rn. 368, der stets eine Aufzählung aller konkreten Arten von Daten und Datenbeständen fordert. 467 So auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 64, 72; Moos/Rothkegel, MMR 2019, 736, 740. 468 EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 469 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 67. 470 Vgl. auch die Transparenz-Leitlinien der Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 6ff. (vom EDSA bestätigt) und die verhaltenswissenschaftliche Perspektive bei Kettner/Thorun/Spindler, Innovatives Datenschutz-Einwilligungsmanagement, S. 43ff., https://bit.ly/38kcMnx, zuletzt abgerufen am 11.1.2021. 471 Vor diesem Hintergrund wird der Mehrebenenansatz ausdrücklich auch vom EDSA empfohlen, vgl. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f. (vom EDSA bestätigt). 472 Missverständlich insoweit EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România, siehe Rn. 292. 473 OLG Frankfurt/Main, Urt. v. 17.12.2015 – 6 U 30/15, bestätigt durch BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540 – Cookie-Einwilligung II; vgl. auch Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 86, und Pollmann/Kipker, DuD 2016, 378, 379, die eine vollständige Informiertheit infolge zunehmender Komplexität der Datenverarbeitung im Internet für unrealistisch halten. 474 Vgl. Kettner/Thorun/Spindler, Innovatives Datenschutz-Einwilligungsmanagement, S. 106, https://bit.ly/38kcMnx, zuletzt abgerufen am 11.1.2021. 475 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06, K&R 32008, 678 – Payback; BGH, Urt. v. 25.10.2012 – I ZR 169/10 – Einwilligung in Werbeanrufe II; hinsichtlich dieser Voraussetzung kritisch Köhler/Bornkamm/Köhler, § 7 UWG Rn. 152. 476 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Klement, Datenschutzrecht, Art. 7 DSGVO Rn. 80f. 477 Erwägungsgrund 42 S. 3 DSGVO; Art. 5 RL 93/13/EWG; für Deutschland vgl. § 307 BGB; siehe Einzelheiten dazu oben unter Rn. 275. 478 Erwägungsgrund 42 S. 4 DSGVO; Art. 3 RL 93/13/EWG; für Deutschland vgl. auch § 307 BGB. 479 Siehe Kap. 17 B Rn. 144 zu Beispielen aus der deutschen AGB-Rechtsprechung über Werbeeinwilligungen auf der Schnittstelle von Datenschutz- und Wettbewerbsrecht. 480 Vgl. BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540 – Cookie-Einwilligung II. Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3749, und Schantz, NJW 2016, 1841, 1844, sehen jeweils einen umfassenden Prüfungsmaßstab über die DSGVO hinaus. 481 Art. 5 S. 2 RL 93/13/EWG und § 305c Abs. 2 BGB. 482 Insoweit missverständlich EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 58–60 – Planet49; siehe dazu oben Rn. 250; a.A. contra legem wohl Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 81, und Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, V. 2 Rn. 20, und Österreichische Datenschutzbehörde, dsb Newsletter 4/2020, S. 1, 2, https://bit.ly/2LdnraN, zuletzt abgerufen am 11.2.2021. 483 EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 484 Vgl. § 4a Abs. 1 S. 4 BDSG a.F. 485 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 71; Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 85. 486 Vgl. § 305c Abs. 1 BGB, der im deutschen AGB-Recht eine Ausprägung des Transparenzgebots nach Art. 5 S. 1 RL 93/13/EWG darstellt. 487 Im Ergebnis so auch Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 85. 488 Erwägungsgrund 32 S. 1; so auch Laue/Kremer/Kremer, § 2 Rn. 8. 489 Art. 7 Abs. 2 S. 2 DSGVO; Art. 6 Abs. 1 RL 93/13/EWG, in Deutschland umgesetzt durch §§ 306ff. BGB. 490 EuGH, Urt. v. 30.5.2013 – C-488/11. 491 St. Rspr. des BGH, vgl. etwa BGH, Urt. v. 26.2.2009 – Xa ZR 141/07; MüKo-BGB/Basedow; § 306 Rn. 22f. m.w.N. 492 Vgl. MüKo-BGB/Basedow; § 306 Rn. 10. 493 Siehe oben Rn. 257. 494 Vgl. Albrecht/Jotzo, Teil 3 Rn. 41 und Teil 4 Rn. 8. Gegen eine Bedingung: Ehrmann/Selmayr/Heckmann/Paschke, Art. 7 DSGVO Rn. 89. 495 Art. 83 DSGVO. 496 Vgl. Art. 3 Abs. 8 der Richtlinie 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen. 497 Vgl. Spindler, DB 2016, 937, 940. 498 Vgl. Krohm, ZD 2016, 368, 373; OLG Frankfurt/Main, Urt. v. 15.11.2004 – 23 O 155/03; zweifelnd: Tavanti, RDV 2016, 231, 238. Dagegen Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 26, 114. 499 Vgl. Paal/Pauly/Frenzel, Art. 7 DSGVO Rn. 7. 500 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 123; Österreichische Datenschutzbehörde, dsb Newsletter 4/2020, S. 1, 2, https://bit.ly/2LdnraN, zuletzt abgerufen am 11.2.2021. 501 So auch Tinnefeld/Conrad, ZD 2018, 391, 393. 502 A. A. in einer über die Grenze des Wortlauts hinausgehenden Auslegung: Plath/Kamlah, Art. 13 DSGVO Rn. 20. 503 Siehe weitere Beispiele bei Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 114f. 504 Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027. 505 Diese Platzierung hat aus Sicht des Verantwortlichen zugleich den willkommenen Effekt, dass eine Einwilligung aus verhaltenswissenschaftlicher Perspektive am Ende eines Bestellprozesses bereitwilliger gegeben wird als am Anfang, vgl. Kettner/Thorun/Spindler, Innovatives Datenschutz-Einwilligungsmanagement, S. 48, https://bit.ly/38kcMnx, zuletzt abgerufen am 11.1.2021. Kritisch dagegen Österreichische Datenschutzbehörde, dsb Newsletter 4/2020, S. 1, 2, https://bit.ly/2LdnraN, zuletzt abgerufen am 11.2.2021. 506 Sonst ist die Beweisführung deutlich erschwert, vgl. EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 507 Konsequenz aus EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027 – Orange România. 508 Vgl. BGH, Urt. v. 10.2.2011 – I ZR 164/09, K&R 2011, 587 – Double-Opt-in-Verfahren. 509 § 13 Abs. 2 Nr. 2 TMG; § 94 TKG; § 28 Abs. 3a BDSG a.F. 510 So auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 108, und Datenschutzkonferenz, Kurzpapier Nr. 20, S. 2. 511 So auch Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung, S. 9. Die Österreichische Datenschutzbehörde sieht in der Verwendung eines Single-Opt-in- statt eines Double-Opt-in-Verfahrens sogar einen Verstoß gegen Art. 32 DSGVO, https://bit.ly/2GZYTMw, zuletzt abgerufen am 11.1.2021. 512 Vgl. LG München I, Urt. v. 8.4.2010 – 17 HK O 138/10; LG Stuttgart, Urt. v. 13.8.2006 – 38 O 17/06. 513 So auch Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 110; Gola/Schultz, Art. 7 DSGVO Rn. 58, und BGH, Urt. v. 1.2.2018 – III ZR 196/17, GRUR 2018, 545. Unverständlich daher die Hinweise der Datenschutzkonferenz auf die durch Gesetzgebung und höchstrichterliche Rechtsprechung überholte zivilrechtliche Instanzrechtsprechung zum vermeintlichen Verfall von Einwilligungen, Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung, S. 10. 514 Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 111. 515 Vgl. Jachimowicz/Duncan/Weber/Johnson, When and why defaults influence decisions: a meta-analysis of default effects, https://bit.ly/372dOS9; Samuelson/Zeckhauser, Status Quo Bias in Decision Making, https://bit.ly/38p9MWV; Kettner/Thorun/Spindler, Innovatives Datenschutz-Einwilligungsmanagement, S. 48, 102ff., https://bit.ly/38kcMnx, alle zuletzt abgerufen am 11.1.2021. 516 Klauselmuster für eine Einwilligung finden sich bei Verarbeitung von sensiblen Daten unter Rn. 304 und für eine Werbeeinwilligung in Kap. 17 B Rn. 150. 517 Art. 4 Nr. 25 DSGVO i.V.m. Art. 1 Abs. 1b RL 2015/1535/EU. 518 Vgl. Gola/Schulz, ZD 2013, 475, 478; Laue/Kremer/Kremer, § 2 Rn. 57 sowie die Beispiele bei Möhrke-Sobolewski/Klas, K&R 2016, 373. 519 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 130. 520 So auch Taeger/Gabel/Taeger, Art. 8 DSGVO Rn. 18; Gola/Schulz, ZD 2013, 475, 478; Laue/Kremer/Kremer, § 2 Rn. 57; a.A. wohl Paal/Pauly/Frenzel; Art. 8 DSGVO Rn. 7. 521 Nach Art. 8 Abs. 1 S. 3 DSGVO können die Mitgliedstaaten durch Rechtsvorschrift auch eine niedrigere Altersgrenze festlegen, die jedoch nicht unter dem vollendeten 13. Lebensjahr liegen darf. Deutschland hat von dieser Befugnis keinen Gebrauch gemacht. 522 Vgl. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 12. 523 Siehe https://bit.ly/3XXb, zuletzt abgerufen am 11.1.2021. 524 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 137ff. 525 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 137ff. 526 So auch Paal/Pauly/Frenzel, Art. 8 DSGVO Rn. 13, und Möhrke-Sobolewski/Klas, K&R 2016, 373, 377; a.A. Plath/Plath, Art. 8 DSGVO Rn. 11. 527 So auch Gola/Schulz, ZD 2013, 475, 479. 528 Art. 83 Abs. 4a DSGVO. 529 Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 146. 530 Vgl. Gola/Schulz, ZD 2013, 475, 479, die ein Altersverifikationssystem mit überzeugenden Argumenten für nicht erforderlich halten. 531 Siehe oben Rn. 294. 532 Ggf. unter Inkaufnahme des Risikos von eigens eingerichteten Fake-Adressen, vgl. Gola/Schulz, ZD 2013, 475, 480; Paal/Pauly/Frenzel, Art. 8 DSGVO Rn. 13; Möhrke-Sobolewski/Klas, K&R 2016, 373, 377. 533 Vgl. Rauda, MMR 2017, 15, 18, der weitere Beispiele in Anlehnung an den US Children Online Privacy Protection Act gibt. 534 Vgl. Laue/Kremer/Kremer, § 2 Rn. 64, und Härting, Teil B. III. Rn. 415, der zur zusätzlichen Einholung der Einwilligung des Erziehungsberechtigten bei allen Minderjährigen rät. 535 Vgl. Art. 8 Abs. 2a RL 95/46/EG. 536 Siehe zur Verarbeitung besonderer Kategorien personenbezogener Daten im Übrigen Rn. 159ff. 537 Zum Begriff im Allgemeinen siehe oben Rn. 257. 538 Vgl. EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 61 – Planet49. 539 Diese Ansicht scheint zumindest der Europäische Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 98, zu vertreten. 540 In Anlehnung an ein Muster des Düsseldorfer Kreises für eine Einwilligungserklärung in der Versicherungswirtschaft v. 17.1.2012, https://bit.ly/2NqyMCq, zuletzt abgerufen am 11.1.2021, S. 2. 541 Gemäß Art. 99 Abs. 2 DSGVO gilt die DSGVO seit dem 25.5.2018. 542 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 167. 543 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 168. 544 Vgl. Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 167. 545 Vgl. Düsseldorfer Kreis, Beschl. v. 13./14.9.2016, https://bit.ly/2FRDUel, zuletzt abgerufen am 11.1.2021. 546 Vgl. Düsseldorfer Kreis, Beschl. v. 13./14.9.2016, https://bit.ly/2FRDUel, zuletzt abgerufen am 11.1.2021. 547 So Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, V. 1.1 Rn. 169, und Düsseldorfer Kreis, Beschl. v. 13./14.9.2016, https://bit.ly/2FRDUel, zuletzt abgerufen am 11.1.2021.

Poprzedni 1 ...22 232425 26 ...33 Kolejny