Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 49

Czcionka:

6. Verhältnis zu anderen Regelungen

Das nationale Recht sieht in zahlreichen bundes- und landesgesetzlichen Regelungen zur Einwilligung in die Verarbeitung personenbezogener Daten vor.60 Solange die nationalen Gesetzgeber durch Anpassungsgesetze diese Vorschriften nicht wegen der abschließenden Regelung in der DSGVO aufgehoben oder an die DSGVO angepasst haben, wird zu prüfen sein, ob sie aufgrund des Anwendungsvorrangs der DSGVO noch angewendet werden dürfen, was regelmäßig nicht der Fall sein wird. Soweit im BDSG beispielsweise in §§ 46 Nr. 17, 51 BDSG für den Bereich der Polizei und Justiz auf der Grundlage der RL (EU) 2016/680 Regelungen zur Einwilligung enthalten, bleiben diese aber von der DSGVO unberührt.

Problematisch ist das Verhältnis der DSGVO zu den §§ 22 und 23 KUG. Nach dem Bildnisschutz aus § 22 Satz 1 KUG ist das Verbreiten und das öffentliche Zurschaustellen von Fotografien und Videoaufnahmen nur mit Einwilligung der abgebildeten Person zulässig, wenn nicht die in § 23 KUG enthaltenen Ausnahmen zum Tragen kommen. Weil Fotografien oder Videoaufnahmen, auf denen Personen erkennbar sind, personenbezogene Daten enthalten, fällt schon das Aufnehmen von Fotografien und das Filmen grundsätzlich unter das Datenschutzrecht, sodass darauf die DSGVO anzuwenden ist, wenn die Aufnahmen nicht allein privaten Zwecken dienen (household exemption, Art. 2 Abs. 2 lit. c DSGVO). Fraglich ist, ob der § 23 KUG mit seinen Ausnahmen vom Verbreitungsverbot wegen eines Anwendungsvorrangs der DSGVO gar keine Anwendung mehr findet und sich die Erlaubnis für das Verbreiten ausschließlich aus einer Einwilligung (lit. a), aus einem Vertrag (lit. b) oder aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ergibt, wobei die Ausnahmeregelungen des unanwendbaren § 23 KUG bei der Abwägung der Interessen nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO doch entsprechend noch Berücksichtigung finden könnten.61 Wenn die DSGVO gegenüber dem mit dem Gesetz zur Anpassung des Datenschutzrechts62 nicht aufgehobenen KUG Anwendungsvorrang vor dem KUG genösse und dieses verdrängen würde, wäre der nationale Gesetzgeber aufgefordert, gem. Art. 85 Abs. 1 DSGVO das Datenschutzrecht mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen und das Aufnehmen und Verbreiten von Fotografien unter festzulegenden Voraussetzungen zu erlauben. Zwischenzeitlich schien es so – auch wegen eines Urteils des OLG Köln63 und einer Information des BMI –, dass sich gegenüber der bisherigen Rechtslage nicht viel geändert hätte. Wird lediglich für den privaten Gebrauch fotografiert und damit außerhalb des Anwendungsbereichs der DSGVO (Art. 2 Abs. 2 lit. c DSGVO), so ist das Allgemeine Persönlichkeitsrecht der aufgenommenen Person zu beachten. Ansonsten muss aus datenschutzrechtlicher Perspektive eine Erlaubnis gefunden werden. Diese kann sich gemäß dem Urteil des OLG Köln aus § 23 KUG eingeschränkt aber nur für den journalistischen Bereich der Bildberichterstattung ergeben – zur Herstellung praktischer Konkordanz zwischen Datenschutz und Äußerungs- und Kommunikationsfreiheit aufgrund der Öffnungsklausel des Art. 85 DSGVO. Damit ist eine Äußerung aus dem BMI auf dessen Webseite bedeutungslos, auf der es geheißen hatte, dass das KUG weiter gelte:

„Für die Veröffentlichung von Fotografien enthält das Kunsturhebergesetz (KunstUrhG) ergänzende Regelungen, die auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung fortbestehen. Das Kunsturhebergesetz stützt sich auf Artikel 85 Absatz 1 der Datenschutz-Grundverordnung, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Es steht nicht im Widerspruch zur Datenschutz-Grundverordnung, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der Datenschutz-Grundverordnung ein.“64

Weiter anwendbar sind die Vorschriften, die der Umsetzung der RL 2002/58/EG65 dienen. Zu ihnen gehört § 7 UWG, der die werbliche Ansprache über E-Mail, Telefax und Telefon verbietet bzw. von einer ausdrücklichen Einwilligung abhängig macht. Diese Richtlinie soll durch die ePrivacy-Verordnung abgelöst werden, für die derzeit nur Entwürfe vorliegen. Die künftige ePrivacy-Verordnung wird für ihren Anwendungsbereich entsprechende Regelungen treffen, die für die Einwilligung bei der elektronischen Kommunikation von Bedeutung sein werden und (übergangsweise) im TTDSG enthalten sind.

Die datenschutzrechtlichen Vorschriften der bereits 2017 an die DSGVO angepassten und mit dem 25.5.2018 in Kraft getretenen Datenschutzvorschriften des Sozialrechts, insbesondere die § 35 SGB I und §§ 67ff. SGB X gelten aufgrund von Öffnungsklauseln (Art. 1 Abs. 2; Art. 6 Abs. 2 und 3; Art. 23 DSGVO) weiter.66

II. Voraussetzungen einer wirksamen Einwilligung nach Art. 7 DSGVO
1. Nachweis der erfolgten Einwilligung (Abs. 1)

Unbeschadet der sich aus den allgemeinen Grundsätzen zur materiellen Beweislast nach deutschem Zivilprozessrecht bzw. nach dem Verwaltungs- und Verwaltungsgerichtsverfahren ergebenden Anforderungen obliegt es gem. Art. 7 Abs. 1 DSGVO dem Verantwortlichen, das Vorliegen einer Einwilligung nachzuweisen, wenn er sich bei der Verarbeitung personenbezogener Daten nicht auf eine gesetzliche Erlaubnis stützen kann, sondern die Verarbeitung durch Einholen einer Einwilligung legitimiert. Die Beweislast, dass eine Einwilligung erteilt wurde, liegt damit bei dem Verantwortlichen.67 Kann die Einwilligung nicht oder nicht in der Form und unter den Bedingungen, die sich aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO ergeben, nachgewiesen werden, ist die Verarbeitung der personenbezogenen Daten für den Zweck, für den eine Einwilligungserklärung mangels eines sonstigen Erlaubnistatbestandes vorliegen müsste, unzulässig. ErwG 42 führt aus, dass der Verantwortliche nachweisen können sollte, „dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat“.

Der Verantwortliche hat deshalb nachzuweisen, in welcher Weise und aufgrund welcher vor Beginn der Verarbeitung erfolgten Erklärung oder aktiven Handlung die betroffene Person die Einwilligung vornahm.

Es muss nachweisbar sein, dass die Erklärung vorab erfolgte (Art. 6 Abs. 1 lit. a DSGVO („hat ... gegeben“). Die Einwilligung ist eine Zustimmung, die einer künftigen Verarbeitung zur Zulässigkeit verhelfen soll. Sie kann also eine ursprünglich gesetzlich nicht erlaubte oder ohne vorherige Einwilligung erfolgte Verarbeitung nicht rückwirkend legitimieren.68

Außerdem ist nachzuweisen, was der Inhalt der Einwilligung ist, in welche Verarbeitung welcher Daten zu welchem Zweck eingewilligt wurde. Des Weiteren ist der Nachweis zu erbringen, dass der betroffenen Person vor Erteilung ihrer Einwilligung alle erforderlichen Informationen gegeben wurden, damit die einwilligende Person die Entscheidung auf der Basis hinreichender Informationen über Risiken und Folgen der Einwilligung erkennen konnte. Zu protokollieren und zu dokumentieren sind demnach nicht nur der Inhalt der Erklärung, sondern auch das Verfahren, wie die Erklärung zustande kam einschließlich der Angabe, welche Informationen über den Umfang und den Zweck der Datenverarbeitung sowie das Widerrufsrecht der betroffenen Person vor Abgabe der Erklärung zur Entscheidungsfindung gegeben wurden.69

Der Nachweis wird dann problemlos möglich sein, wenn die Einwilligung schriftlich auf einer Bestellkarte oder einem unterzeichneten Formular oder in Textform in einer E-Mail erklärt wurde. Das lässt sich dokumentieren, sodass die Transparenz im Sinne des Art. 5 Abs. 1 lit. a DSGVO jederzeit hergestellt werden kann. Wird die Einwilligung elektronisch erklärt, wird das Double-opt-in-Verfahren akzeptiert, das eine Protokollierung ermöglicht.70 Dabei wird nach einer elektronischen Einwilligungserklärung der Erklärende mit einer an die von diesem angegebenen E-Mail-Adresse aufgefordert, die erfolgte Einwilligung zu bestätigen. Dadurch wird verhindert, dass die Einwilligungserklärung von einem Dritten unter einer fremden E-Mail abgegeben wird. Eine Einwilligungserklärung kann aber auch formlos durch eine „eindeutige, bestätigende Handlung“ erfolgen. Sie kann mündlich am Telefon oder in einem Geschäft erklärt werden – was für die Nachweispflicht herausfordernde Szenarien sein dürften und eine Bestätigung in Textform im Nachgang angeraten sein lässt – oder durch Einwurf einer Visitenkarte in einer bei einer Konferenz für diejenigen aufgestellten Box, die regelmäßig Newsletter des Veranstalters erhalten möchten.71 Diese Vorgänge wären zu protokollieren.

Transparenz und Nachweispflicht sollen es dem Betroffenen ermöglichen, selbst zu kontrollieren, wann er in welcher Weise seine Einwilligung erteilte.72 Auch die Aufsichtsbehörde soll durch die Rechenschaftspflicht eine Unterstützung erhalten, wenn sie die Rechtmäßigkeit von sich aus kontrolliert oder einem Hinweis eines Betroffenen nachgeht, der vorträgt, keine Einwilligung erteilt zu haben.

An die Form der Nachweisbarkeit stellt Art. 7 Abs. 1 DSGVO keine Anforderung; weder wird Schriftlichkeit noch Textform verlangt. Allerdings wird es schwierig sein, konkludente Einwilligungen nachweisen zu können, sodass diese Form der Einwilligung kaum eine Rolle spielen dürfte. Die Auswahl der technischen Mittel zur Protokollierung und Dokumentation ist dem Verantwortlichen überlassen. Kleine und Mittlere Unternehmen werden einfachere, aber gleichwohl wirksame Lösungen finden, als große Konzerne, die etwa bestehende Risikomanagement- oder Compliance-Systeme nutzen können, um die datenschutzrechtliche Accountability zu integrieren. Außerdem gibt es bereits am Markt entsprechende Softwarelösungen.

2. Formularmäßige Einwilligung (Abs. 2)

Es steht dem Einzelnen frei, Daten über sich anderen gegenüber zu offenbaren. Es ist grundsätzlich auch möglich, dass jemand eine vertragliche Verpflichtung oder Obliegenheit eingeht, einem (künftigen) Vertragspartner Informationen über die eigene Person mitzuteilen oder Dritte zu Mitteilungen über ihn zu ermächtigen, ohne dass diese Daten für die Erfüllung vertraglicher Leistungspflichten erforderlich wären. Eine solche aus der Selbstbestimmung abgeleitete Erklärung, mit der personenbezogene Daten über die eigene Person einem anderen zur Verfügung gestellt werden, an denen der Vertragspartner ein Interesse hat, kann in Privatrechtsbeziehungen auch im Rahmen eines Vertrags zusammen mit anderen Erklärungen abgegeben werden. Die Einwilligungserklärung darf von der anderen Seite vorgegeben werden. Vorformulierte Datenschutzerklärungen und Einwilligungserklärungen können auch für sich bereits Allgemeine Geschäftsbedingungen darstellen, die der Überprüfung durch eine Inhaltskontrolle zugänglich sind, insbesondere hinsichtlich des Verbots der überraschenden Klauseln und des Transparenzgebots (§§ 305c, 307 Abs. 1 Satz 2 BGB).73 Zum Schutz der betroffenen Person müssen bei formularmäßigen Einwilligungen allerdings die Voraussetzungen aus Art. 7 Abs. 2 DSGVO beachtet werden.

Gibt die betroffene Person ihre Einwilligungserklärung schriftlich zusammen mit Erklärungen ab, die noch andere Sachverhalte betreffen, so muss in dem vorformulierten Vertragsangebot „das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist“ (Art. 7 Abs. 2 DSGVO). Schon die Definition der Einwilligung durch Art. 4 Nr. 11 DSGVO stellt klar, dass die Willensbekundung „unmissverständlich“ abzugeben ist. Sie darf keineswegs in verschleiernder Absicht in anderen Vertragserklärungen versteckt sein.

Unternehmen machen gern von der Möglichkeit Gebrauch, über eine Einwilligung die Erlaubnis zu erhalten, Daten über das gesetzlich Zulässige hinaus erheben und verwenden zu dürfen. Die betroffene Person kann einem konkreten weiteren Verwendungszweck einseitig zustimmen. Unverkennbar nimmt es zu, Verbrauchern im Rahmen von Kundenbindungssystemen Vergünstigungen oder besondere Leistungen anzubieten, wenn sie einer vertraglich nicht erforderlichen Verarbeitung oder Nutzung ihrer Daten zustimmen. Zahlreiche Dienstleister im Internet und bei der Telekommunikation machen die kostenlose Nutzung ihres Angebots von der Hergabe personenbezogener Nutzerdaten zumeist für werbliche Zwecke abhängig. Diese Entwicklung der Kommerzialisierung der Selbstbestimmung wird unter dem Stichwort von dem Tauschmodell „Leistung gegen Einwilligung“ oder „Zahlen mit Daten“ kritisch gesehen.74 Es heißt, die Einwilligung rücke mehr und mehr in das Zentrum vertraglicher Austauschverhältnisse und werde zu einer Hauptleistung im gegenseitigen Vertrag.75 Diese Entwicklung ist auch unter dem Gesichtspunkt des Kopplungsverbotes zu betrachten (siehe Rn. 96).

Bei Vertragsbeziehungen erfolgt eine Zustimmung häufig über Vertragsklauseln zusammen mit anderen Erklärungen. Das entspricht einer verbreiteten Forderung, dass der Gesetzgeber davon absehen sollte, die Vielzahl von Interessenkollisionen selbst regeln zu wollen, sondern „den Interessenausgleich soweit wie möglich dem privatautonomen Aushandeln der Beteiligten selbst zu überlassen“.76 Besonders bei Massengeschäften, denen AGB zugrunde gelegt werden, besteht aber die Gefahr der Fremdbestimmung, wenn mangels gesetzlicher Erlaubnis durch vorformulierte Klauseln die Datenlage und Datenverwendungsmöglichkeit im ausschließlich eigenen Interesse des Verwenders verbessert werden sollen.77 Liegt ein einseitiges Machtgefälle vor, das ohne Interessenabwägung und unter Verletzung wesentlicher Grundgedanken des Datenschutzrechts mittels Einwilligungserklärung einen rechtmäßigen Zustand herbeiführen soll, so kann eine Einwilligungserklärung auch im Lichte des § 307 Abs. 2 Nr. 1 BGB unzulässig und unwirksam sein. Der BGH geht jedenfalls davon aus, dass eine vorformulierte Einwilligungserklärung an den §§ 305ff. BGB zu messen ist.78

So können etwa Versicherungsunternehmen Daten über eine Schweigepflichtentbindung nicht durch vorformulierte Einwilligungserklärungen erlangen. Das Bundesverfassungsgericht sah das Recht auf Informationelle Selbstbestimmung dann verletzt, wenn in Versicherungsverträgen eine generelle Pflicht zur Schweigepflichtentbindung enthalten ist, um Feststellungen treffen zu können, ob ein Versicherungsfall vorliegt.79 Als unzulässig ist nach dem vergleichbaren früheren Recht von der Rechtsprechung auch eine Klausel angesehen worden, wonach Informationen aus dem Vertragsverhältnis an Dritte weitergegeben werden können, ohne dass auf den Zweck der Speicherung seiner Daten und deren Übermittlung hingewiesen wird und die Klausel pauschal die Weitergabe von Informationen zulässt, ohne dass im Einzelfall noch eine Interessenabwägung stattfindet.80

Abgesehen von derartigen besonderen Lagen ist eine Einwilligung nach Art. 7 Abs. 2 DSGVO datenschutzrechtlich wirksam, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird. Es ist nicht erforderlich, dass der Betroffene seine Einwilligung gesondert erklärt, indem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt („Opt-in“-Erklärung).

Der Verordnungsgeber akzeptiert grundsätzlich, dass Einwilligungserklärungen mit Vertragserklärungen in gedruckten oder elektronischen Allgemeinen Geschäftsbedingungen verknüpft werden. Er sieht aber das Problem, dass Klauselwerke von Betroffenen insbesondere bei alltäglichen Massengeschäften sehr häufig nicht zur Kenntnis genommen oder gar gelesen werden. Deshalb fordert Art. 7 Abs. 2 DSGVO, dass die Erklärung

1. in verständlicher und leicht zugänglicher Form und

2. in klarer und einfacher Sprache erfolgt und

3. von den anderen Sachverhalten klar zu unterscheiden ist.

Es ist folglich Transparenz in gestalterischer und sprachlich-inhaltlicher Hinsicht herzustellen.

Die unter 1. und 2. formulierten Anforderungen sind im Kontext des Absatzes 2 zu verstehen, also zunächst nur auf Sachverhalte bezogen, bei denen die Einwilligungserklärung zusammen mit Erklärungen zu anderen Sachverhalten verbunden ist. Dennoch sollte der Verantwortliche auch dann, wenn die Einwilligungserklärung nicht mit anderen Sachverhalten zusammen formuliert wird, sondern für sich als „Einwilligung in die Datenverarbeitung“ vorgelegt wird, um eine Erklärung in verständlicher und leicht zugänglicher Form sowie um eine klare und einfache Sprache bemüht sein.

Ausführlich formuliert ErwG 39, welche Anforderungen darunter zu verstehen sind. Danach muss Transparenz darüber hergestellt werden, dass personenbezogene Daten über die betroffene Person erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden sollen. Es muss deutlich werden, „in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden“.

Das gelingt nach ErwG 39 nur, wenn „alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“. Es muss für Betroffene die Identität des Verantwortlichen offengelegt werden, und es müssen transparent „die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten“, beschrieben werden. Weil dies nicht immer gelingt, wies auch die Datenethikkommission der Bundesregierung in ihrem Gutachten vom 23.10.2019 darauf hin, dass „der Einzelne durch Anzahl und Komplexität der ihm abverlangten Entscheidungen bezüglich einer datenschutzrechtlichen Einwilligung ebenso wie durch die Unabschätzbarkeit aller Auswirkungen einer Datenverarbeitung systematisch überfordert wird“.81

Der ErwG 39 erhellt die Erwartung des Verordnungsgebers, dass die betroffenen Personen „über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können“. Ergänzend wird nach ErwG 42 erwartet, dass „insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache ... Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt“.

Dabei nimmt ErwG 42 Bezug auf die Richtlinie 93/13/EWG über missbräuchliche Klauseln in Verbraucherverträgen,82 nach der bereits die von den Mitgliedstaaten umzusetzende Anforderung des AGB-Rechts bestand, dass die „vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden“. Damit wird diese Anforderung auch einer Inhaltskontrolle nach §§ 307ff. BGB unterziehbar. Unvereinbar sind damit lange, von dem Lesen abschreckende Texte, die möglicherweise noch mit weiteren für die Transparenz wesentlichen Informationen an anderer Stelle verlinkt sind (Facebook-Einwilligung), ebenso wenig, wie unvollständige One-Pager.83

Wird die schriftliche Einwilligung zusammen mit anderen Erklärungen abgegeben, so ist auch darüber zu informieren, „wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen“ (ErwG 42). Um Missverständnisse zu vermeiden, ist hier darauf hinzuweisen, dass dann, wenn in der DSGVO von Schriftlichkeit die Rede ist, damit keineswegs die Schriftform nach § 126 BGB gefordert ist. Vielmehr sind damit Erklärungen gemeint, die in irgendeiner Form verkörperbar sind. Das schließt etwa auch die elektronische Form (§ 126a BGB) oder die Textform (§ 126a BGB) mit ein. Auch das Setzen eines Häkchens in einer tick box vor einer vorformulierten Online-Erklärung des Verwenders der Einwilligungsklausel wäre damit eine schriftliche Einwilligung. Damit sind die Anforderungen geringer als nach § 4a BDSG a.F., der für den Regelfall die Schriftform für die Einwilligungserklärung verlangte, um die mit diesem Formerfordernis verbundene Warn- und Beweisfunktion wirksam werden zu lassen.84 Ob mit der Übernahme des Begriffs „Schriftform“ aus der Datenschutzrichtlinie eine europarechtskonforme Auslegung dazu führen musste, dass darunter nicht die des § 126 BGB zu verstehen ist, sondern eine europarechtsspezifische Form, die auch die Textform einschließt, kann nun dahinstehen, weil jedenfalls Art. 7 DSGVO keine Schriftform verlangt.85