DSGVO - BDSG - TTDSG

1. Einwilligung (lit. a)

24

An erster Stelle der Erlaubnistatbestände, aber keineswegs mehr so besonders hervorgehoben, wie es in § 4 Abs. 1 BDSG a.F. der Fall war,34 steht die Einwilligung, die als „Schlüssel zu einem unbegrenzten Datenzugang“ angesehen wird.35 Es lässt sich keineswegs aus der Reihenfolge der Buchstaben a bis f eine Rangfolge der Erlaubnistatbestände ablesen,36 zumal für nicht-öffentliche Verantwortliche neben dem Erlaubnistatbestand aus Buchstabe b (Vorvertragliche Maßnahmen; zur Vertragserfüllung) die Erlaubnis nach einer Interessenabwägung gemäß Buchstabe f von herausragender Bedeutung sein dürfte. Dieser Erlaubnistatbestand der Interessenabwägung wird auch als Generalklausel37 bezeichnet und der Vorzug vor einer Einwilligungslösung gegeben, zumal die Einwilligung jederzeit widerrufbar ist. Gleichwohl sollte aus der Relevanz der Norm keine Rangfolge abgeleitet werden.

25

Das bislang aus dem Allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) abgeleitete und nun auch aus Art. 8 GRCh folgende Datenschutzgrundrecht (Informationelles Selbstbestimmungsrecht) gewährleistet dem Einzelnen ein umfassendes Selbstbestimmungsrecht darüber, wer welche Daten über ihn zu welchem Zweck erhalten soll.38 Art. 8 Abs. 2 Satz 1 GRCh betont, dass jeder über den Umgang mit personenbezogenen Daten selbst bestimmt und in die Datenverarbeitung einwilligen kann. Die Einwilligung ist daher ein „zentrales Instrument“ des Schutzes der Persönlichkeit. Es ist nicht zu verkennen, dass die Grundrechtsträger gemeinschaftsgebundene Individuen sind. Das Bundesverfassungsgericht hatte deshalb bereits im Volkszählungsurteil39 hervorgehoben, dass dieses Selbstbestimmungsrecht nicht schrankenlos gewährt wird, sondern auch ohne Einwilligung aufgrund einer verfassungsmäßigen gesetzlichen Erlaubnis personenbezogene Daten verarbeitet werden dürfen (Rn. 26).

26

Eine schrankenlose Selbstbestimmung des Betroffenen mit einer uneingeschränkten Verfügung über seine personenbezogenen Daten im öffentlichen und nicht-öffentlichen Bereich gibt es nicht. Auch das Recht auf informationelle Selbstbestimmung wird nicht schrankenlos gewährt. Das BVerfG hob dies in seinem Volkszählungsurteil hervor und betonte, dass der Einzelne kein Recht im Sinne einer absoluten, unbeschränkbaren Herrschaft über „seine“ Daten hat, sondern dieser vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit sei. Information, auch soweit sie personenbezogen ist, stelle ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden könne.40 Im Sinne der Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person müsse daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen.

27

Mit dieser Einschränkung umfasst der Grundrechtsschutz die Befugnis des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Die Erteilung einer Einwilligung erweist sich so als Grundrechtsausübung und nicht etwa als Grundrechtsverzicht. Mit Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO und der darin vorgesehenen Möglichkeit, durch Einwilligung eine Erlaubnis in die Verarbeitung der personenbezogenen Daten zu schaffen, wird dieses Selbstbestimmungsrecht zum Ausdruck gebracht (Art. 7 Rn. 1).

28

Der europäische Gesetzgeber und – im Rahmen der Öffnungsklauseln und ihrer Regulierungskompetenz – die mitgliedstaatlichen Gesetzgeber dürfen daher auch aus verfassungsrechtlicher Perspektive im Lichte des Art. 8 GRCh abwägen, ob datenschutzrechtliche Erlaubnistatbestände im überwiegenden Allgemeininteresse oder im objektiven Eigeninteresse der betroffenen Person auch eine Verarbeitung ohne Einwilligung der betroffenen Person zulassen dürfen. Wenn keine Erlaubnis aufgrund eines Gesetzes besteht, kann die Einwilligung als weitere Möglichkeit zur Legitimation einer Verarbeitung eingeholt werden. Die Datenethikkommission sieht in der datenschutzrechtlichen Einwilligung „einen zentralen Mechanismus zur Gewährleistung informationeller Selbstbestimmung im digitalen und analogen Bereich“.41

29

Die Einwilligung setzt die selbstbestimmte, freie Entscheidung der betroffenen Person voraus, ob sie personenbezogene Daten über sich zur Verfügung stellen will und welche Daten zu welchem Zweck und an welchem Verarbeitungsort verarbeitet werden dürfen. So kann die Einwilligung in die Verarbeitung eingeschränkt, von Bedingungen abhängig gemacht oder befristet werden.

a) Einwilligungsfähigkeit

30

Eine Einwilligung kann nur von solchen betroffenen Personen erteilt werden, die die erforderliche Einsichtsfähigkeit besitzen. Nur dann, wenn eine Einwilligung von einem Kind gefordert wird, das das 16. Lebensjahr noch nicht vollendet hat, und zudem die Einwilligungserklärung gegenüber einem Dienst der Informationsgesellschaft abgegeben werden soll, der ein Angebot (auch) einem Kind gegenüber macht, so sind die Anforderungen aus Art. 8 DSGVO zu beachten (Art. 8 Rn. 13ff.).42 Ist das nicht der Fall, findet Art. 8 DSGVO mit der Folge keine Anwendung, dass eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a i.V.m. Art. 7 DSGVO einzuholen ist oder sich die Erlaubnis nach einer das Alter des Kindes berücksichtigenden Abwägung gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ergibt.43

31

Werden Daten von Kindern nicht von einem Dienst der Informationsgesellschaft verarbeitet, kommt es auf die Einsichtsfähigkeit an. Volljährigkeit ist nicht Voraussetzung. Die Einsichtsfähigkeit hinsichtlich möglicher Folgen einer Datenverarbeitung kann bei 16 Jahre alten Jugendlichen angenommen werden. Bei Jüngeren ist sie im Einzelfall der bezweckten Verarbeitung – also nicht gesondert im Fall eines betroffenen Jugendlichen – festzustellen. Im Einzelfall kann auch hinterfragt werden, ob die Einsichtsfähigkeit im hohen Alter noch besteht;44 hier wäre der Anknüpfungspunkt in sehr seltenen Fällen dann aber das Individuum, wobei zu bedenken ist, dass von Verantwortlichen häufig weder das Alter erfragt wird, noch die individuelle Einsichtsfähigkeit prüfbar ist.

b) Freiwilligkeit

32

Die Einwilligung erfordert gemäß Art. 4 Nr. 11 DSGVO eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (siehe auch Art. 4 Rn. 302). Freiwillig erfolgt die Einwilligungserklärung, wenn sie ohne jeden Zwang oder Druck abgegeben wurde und die betroffene Person bei einer Verweigerung der Einwilligung oder einen Widerruf keine Nachteile befürchten muss (Art. 7 Rn. 88ff.).45 Sachwidrige Kopplungen der Einwilligung mit anderen Erklärungen sind deshalb unzulässig (Art. 7 Rn. 94ff.).

33

Eine Freiwilligkeit läge auch dann nicht vor, wenn zwar nicht vom Verantwortlichen, sondern von Dritten ein gesellschaftlicher Druck ausgeübt würde, der sich zu einem sozialen Zwang ausweiten könnte. So wurde erwogen, ob die „Publicity Kampagne“ zur Nutzung der Corona-Warn-App (CWA) zu einer „faktischen sozialen Ächtung“ führen könnte, wenn die CWA nicht heruntergeladen würde.46 Würde man eine solche Zwangssituation bejahen, würde sie die Freiwilligkeit aufheben. Einen so starken Druck gab und gibt es bei der CWA allerdings nicht, sondern es wird vielmehr öffentlich stets auf die Freiwilligkeit der Nutzung hingewiesen. Auch Arbeitgeber dürfen die Nutzung der CWA nicht verlangen oder gar zur Voraussetzung für ein Betreten des Arbeitsplatzes machen. Im Übrigen findet bei einem Herunterladen einer App – abgesehen von den einem App Store bei der Installation übermittelten Daten – noch keine Datenverarbeitung statt, deren Rechtmäßigkeit einer Einwilligung bedürfte. Eine Datenverarbeitung durch die CWA auf der Grundlage einer Einwilligung wäre allenfalls bei einer Infektionsmeldung zu prüfen.47

34

Die Frage nach der Freiwilligkeit stellt sich eher bei der Luca-App, die der besseren Nachverfolgung der Covid19-Infektionskette dienen soll; weil die Nutzung der App als Voraussetzung für das Betreten von Geschäften, Gastronomiebetrieben und Freizeiteinrichtungen gemacht wird, ist der Druck erheblich größer, eine Einwilligung zu erteilen, weil mit ihrer Nutzung „positive Anreize für individuelle Personen“ gesetzt werden.48 Es müsste dann sogar eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sein, weil Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten gehören. Eine schon für die CWA geforderte Regulierung mit einer gesetzlichen Erlaubnis gibt es auch für die Luca-App nur teilweise in Corona-Schutz-Verordnungen. So hat die Sächsische Corona-Schutz-Verordnung vom 10.6.2021 in § 6 Abs. 7 und 8 Einrichtungen verpflichtet, vorrangig digitale Systeme für die Kontaktnachverfolgung zu verwenden, mit denen ausschließlich für den genannten Zweck Name, Telefonnummer oder E-Mail-Adresse und Anschrift der Besucher sowie Zeitraum und Ort des Besuchs verarbeitet werden dürfen.49 Soweit keine Regelungen zur digitalen Erfassung von Kontaktverfolgungsdaten erfolgen, enthalten die Verordnungen der Länder Verpflichtungen, Besucherdaten in analogen Listen zu erfassen und zu dokumentieren. Eine Verpflichtung des Gastes, die Luca-App zu nutzen, folgt daraus nicht. Wenn sie eingesetzt wird, willigt die betroffene Person in die Verarbeitung ihrer personenbezogenen Gesundheitsdaten ein, weil die zunächst verschlüsselten Daten von den Gesundheitsämtern entschlüsselt werden dürfen und dann eine Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt.50

35

Aus dem Normtext von Art. 6 Abs. 1 UAbs 1 lit. a DSGVO ergibt sich nicht ausdrücklich, dass eine Einwilligung als Rechtsgrundlage für die Datenverarbeitung einer öffentlichen Stelle regelmäßig nicht in Betracht kommt. Aus Art. 7 Abs. 4 DSGVO folgt allerdings, dass eine Einwilligung freiwillig erklärt werden muss. Es ist festzustellen, ob die Freiwilligkeit als Tatbestandsmerkmal gegeben oder die Einwilligung unwirksam ist, weil es etwa dann an der Freiwilligkeit fehlt, „wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“. Als Regelbeispiel für ein solches Ungleichgewicht sieht ErwG 43 die Situation, in der „es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“ (siehe Art. 7 Rn. 22ff.).

36

Im Übrigen darf eine öffentliche Stelle personenbezogene Daten nur im Rahmen ihrer Aufgabenzuweisung verarbeiten. Soweit eine Eingriffserlaubnis fehlt, ist eine Legitimation der hoheitlichen Datenverarbeitung durch Einwilligung außerhalb der mit Vorbehalt eines formellen Gesetzes handelnden Eingriffsverwaltung nur sehr bedingt möglich, sie wird eine Ausnahme sein, die als Ausnahme von der Regel gut zu begründen ist (siehe Art. 7 Rn. 22ff.).51

b) Transparenz

37

Zu den Grundsätzen einer rechtmäßigen Datenverarbeitung gehört nach Art. 5 Abs. 1 lit. a DSGVO auch, dass die für den Betroffenen zum Nachvollziehen der Verarbeitungsvorgänge erforderliche Transparenz rechtzeitig hergestellt wird. Das gilt in besonderer Weise dann, wenn die betroffene Person erst durch ihre Einwilligungserklärung eine rechtmäßige Datenverarbeitung ermöglicht. Er muss daher wissen, welche Daten zu welchem Zweck wie lange gespeichert werden (informierte Einwilligung).52 Es ist also gerade bei der Einwilligung eine Voraussetzung ihrer Wirksamkeit, dass über die Datenverarbeitungsvorgänge Transparenz hergestellt wurde, bevor die Einwilligung der betroffenen Person nach einer Abwägung und einer Bewertung etwaiger für sie und ihre Persönlichkeitsrechte entstehenden Risiken der Datenverarbeitung erklärt wird (siehe Art. 7 Rn. 47).

38

Zu den Informationen, die der betroffenen Person vor dessen Einwilligungserklärung gegeben werden müssen, gehören aufgrund der Transparenzpflichten nach Art. 12 und 13 DSGVO alle für die Entscheidung, ob eine Einwilligung erfolgen soll, wesentlichen dort genannten Angaben. Diese entscheidungserheblichen Informationen sind „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1 DSGVO).

39

Die vor der Einwilligungserklärung zu erteilenden Informationen sind an keine Form gebunden. Sie können entsprechend Art. 12 Abs. 1 Satz 2 DSGVO „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ erfolgen. Sie können sogar mündlich erteilt werden, falls die betroffene Person dies verlangt (entsprechend Art. 12 Abs. 1 Satz 3 DSGVO). Dabei ist vom Verantwortlichen allerdings zu beachten, dass er die Voraussetzungen der Rechtmäßigkeit nachweisen können muss. Dazu gehört auch, dass er im Fall der Einwilligung belegen können muss, dass die betroffene Person vor Abgabe ihrer Einwilligungserklärung alle erforderlichen Informationen in der gebotenen Form erhalten hat; deshalb empfiehlt sich eine mündliche Information über die zu verarbeitenden Daten und die damit verfolgten Zwecke der mit einer Einwilligung legitimierten Datenverarbeitung nicht. Die strengen Anforderungen sind essenziell, um sichergehen zu können, dass die betroffenen Personen sich der Risiken der durch die Einwilligung legitimierten Datenverarbeitung bewusst sind und eine vernünftige Abwägung treffen können. Andererseits dürfen die Anforderungen auch nicht höher sein, weil dadurch der gegenteilige Effekt eintreten könnte und die Gewährleistung der Selbstbestimmung in einer Beschränkung des Selbstbestimmungsrechts umschlagen könnte.53 Eine solche Ausnahme54 wird diskutiert, wenn pandemiebedingt Präsenzprüfungen durch Online-Prüfungen (online-Proctoring) ersetzt werden müssen, um Täuschungen vorzubeugen oder ex post festzustellen. Kommt eine Erlaubnis nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO nicht in Betracht (siehe Rn. 100), kann die Einwilligung in die Verarbeitung bei dieser Prüfungsform erwogen werden, wobei wegen des Unterordungsverhältnisses und der deshalb fehlenden Freiwilligkeit eine Einwilligung eher nur dann in Betracht kommt, wenn den betroffenen Personen eine weniger eingriffsintensive alternative Prüfungsform angeboten wird.

40

An der erforderlichen Transparenz fehlt es dann, wenn die Information über die Bedeutung und Folgen der Einwilligung in einer Weise dargeboten wird, dass die betroffene Person sie als Belästigung empfindet und sie nicht zur Kenntnis nimmt. Es gibt zahlreiche Beispiele von Webseiten, die von den Nutzern erwarten, dass sie sich durch ein Labyrinth von Seiten klicken müssen, um sich umfassend zu informieren. Häufig sind die Seiten nach einem Klick auf den „Weiter“-Button jeweils anders aufgebaut, sodass Nutzer sich immer wieder neu orientieren müssen, wo sie wesentliche Informationen finden und wie sie auf die Folgeseite kommen. Die Datenethikkommission machte in ihrem Gutachten auf das Phänomen der Dark Patterns aufmerksam, „die geeignet sind, einen Nutzer über bestimmte Punkte zu täuschen und/oder ihn manipulativ zu veranlassen, eine bestimmte – möglicherweise auch wirtschaftlich relevante – Entscheidung zu treffen“ (siehe Art. 4 Rn. 318ff.).55 Das Design derartiger mit Dark Patterns arbeitenden Webseiten ist darauf angelegt, die überforderten und sich belästigt fühlenden Nutzer zu einer Einwilligung zu bewegen, um den komplexen Prozess der sukzessiven und zermürbenden Einholung von Informationen zu vermeiden („Benutzeroberflächendesign zur Manipulation von Verbrauchern“56). Bei den sogenannten Cookie-Bannern ist der Einsatz von Consent Management Platforms (CMP) verbreitet.57 Diese kritikwürdige Methode ist geeignet, die Einwilligungslösung zu diskreditieren und der damit nicht ganz von der Hand zu weisenden Kritik, es handele sich bei ihr um einen „formalisierten Akt, der beim Nutzer nur die Illusion der Kontrolle über ‚seine‘ Daten nährt“,58 Vorschub zu leisten.59 Mit dem Einsatz von Personal Information Management-Systemen (PIMS) wird die Erwartung verbunden, dass Nutzer mit weniger Aufwand nicht gewünschtes Tracking verhindern können (siehe § 26 TTDSG Rn. 3ff.).60

41

Nach den Entscheidungen von EuGH61 und BGH62 zum Erfordernis der Einwilligung in das Setzen sog. Cookie-Banner, die nicht aus technischen Gründen erforderlich sind,63 sondern der Analyse des Nutzerverhaltens dienen, sind die Anforderungen an die Einwilligung näher konturiert.64 Eine erhebliche Rolle spielt dabei die Transparenz, weil Nutzer die Zwecke und Auswirkungen der teilweise mehreren hundert Cookies von Drittanbietern nicht überschauen können. Mit dem TTDSG wurden die Einwilligungsanforderungen in das Setzen von Cookie-Bannern neu und spezifisch reguliert.65

c) Formerfordernis

42

Kommission und Parlament hatten eine Formulierung angestrebt, nach der die Einwilligung eine „explizite Willensbekundung“ sein müsse; es bedürfte danach einer entsprechenden Erklärung oder sonstigen eindeutigen Handlung, aus der sich der Wille der betroffenen Person ergibt, dass sie der Verarbeitung der sich auf sie beziehenden Daten zustimmt. In Art. 7 lit. a DSRl war verlangt worden, dass die Erklärung „ohne jeden Zweifel“ eine Einwilligung erkennen lassen muss. Letztlich wurde die Formulierung verabschiedet, dass eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ vorliegen müsse.

43

Eine eindeutige Handlung wäre nach ErwG 32 auch das Anklicken einer Checkbox. Eine Einwilligung durch Schweigen oder Untätigkeit, etwa durch das Unterlassen des Entfernens eines voreingestellten Häkchens in einer Checkbox vor dem Text einer Einwilligungserklärung (opt-out), wäre nicht wirksam (siehe auch Art. 7 Rn. 33f., 38f.), weil damit keine „eindeutige bestätigende Handlung“ erfolgt.

d) Verarbeitung besonderer Kategorien personenbezogener Daten

44

Soll in eine Verarbeitung von besonderen Kategorien personenbezogener Daten, wie sie in Art. 9 Abs. 1 DSGVO aufgeführt sind, eingewilligt werden, so bedarf es einer „ausdrücklichen“ Einwilligung (Art. 9 Rn. 18). Auch die bei fehlender gesetzlicher Erlaubnis unzulässige automatisierte Entscheidung im Einzelfall (Art. 22 Abs. 1 DSGVO) kann mit einer „ausdrücklichen Einwilligung“ gemäß Art. 22 Abs. 2 lit. c DSGVO zulässig werden (Art. 22 Rn. 62ff.). Auch bei der möglicherweise mit besonderen Risiken verbundenen Übermittlung personenbezogener Daten in ein Drittland besteht für den Verantwortlichen die Möglichkeit, die Übermittlung bei Fehlen eines Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO oder geeigneter Garantien nach Art. 46 DSGVO auf eine Einwilligung zu stützen, die allerdings ebenfalls „ausdrücklich“ erfolgen muss. Art. 49 Abs. 1 lit. a DSGVO sieht als diesbezügliche Bedingung vor, dass „die betroffene Person ... in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt (hat), nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.

e) Zweckbindung

45

Die Einwilligung muss sich auf „einen oder mehrere bestimmte Zwecke“ beziehen (Bestimmtheitsgrundsatz). Insofern ist der Verantwortliche einer Zweckbindung unterworfen. Unzulässig sind demnach alle mit dem Ursprungszweck inkompatiblen Weiterverarbeitungen (Art. 6 Abs. 4 DSGVO), wenn für den neuen Zweck keine eigene Verarbeitungserlaubnis besteht. So dürfen durch eine Einwilligung erlangte Daten nicht für einen anderen Zweck ohne eine diese Zweckänderung legitimierende erweiternde Einwilligung verarbeitet werden (Art. 7 Rn. 140). Es können aber mehrere Zwecke verfolgt werden, in deren Verarbeitung durch eine umfassende Erklärung eingewilligt werden kann.

46

Eine Ausnahme bildet insofern nur die wissenschaftliche, speziell auch die klinische Forschung, bei der der Zweck bei der Einholung einer Einwilligung unter Umständen noch nicht präzise benannt werden kann. Daher sehen die DSGVO und das BDSG hier Privilegierungen vor, die nach § 27 BDSG auch dazu führen können, dass eine Einwilligung nicht eingeholt werden muss (näher dazu Art. 7 Rn. 138, Art. 9 und § 27 BDSG Rn. 4); die Erlaubnis ergibt sich dann aus § 27 BDSG. Wenn eine Einwilligung eingeholt wird, muss der konkrete Forschungszweck nicht genannt werden; die Angabe des wissenschaftlichen Forschungsbereiches genügt in diesen Fällen. Die Notwendigkeit der Privilegierung erkennt auch der ErwG 33 an, weil der Zweck der Datenverarbeitung, in die gem. Art. 9 Abs. 2 lit. a DSGVO eingewilligt werden soll, „zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden“ kann. Dabei muss die Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung gesichert sein (siehe dazu Art. 7 Rn. 139ff., insbes. Rn. 148). Die Öffnungsklausel für die privilegierende wissenschaftliche und historische Forschung und für die Verarbeitung zu statistischen Zwecken findet sich in Art. 9 Abs. 2 lit. j DSGVO.