DSGVO - BDSG - TTDSG

a) Verständliche und leicht zugängliche Form

66

Auch im Internet können somit formularmäßige Einwilligungsklauseln verwendet werden, wenn diese Klauseln durch Hervorhebung leicht zugänglich (erkennbar) sind, Betroffene nicht durch missverständliche Überschriften (‚Datenschutzerklärung‘) über den tatsächlichen Inhalt getäuscht werden. Sinnvoll ist die Verwendung der Überschrift „Einwilligung in die Datenverarbeitung“.86 Die leichte Zugänglichkeit erfordert bei AGB, auf die bei Online-Geschäften vor Vertragserklärung hingewiesen werden muss,87 dass dem Nutzer auch ein Hinweis gegeben wird, dass in den AGB, die über einen Link zugänglich gemacht werden, auch eine Einwilligungserklärung enthalten ist. Es nützt keine grafisch hervorgehobene Einwilligungsklausel in den AGB, wenn der Nutzer nicht an anderer Stelle, die er beispielsweise bei einem Bestellvorgang vor Abgabe seiner zum Vertrag führenden Willenserklärung betrachten muss, auch auf die Einwilligungsklausel ausdrücklich hingewiesen wird. Die Verwendung von Dark Pattern mit dem Ziel, Nutzer zur Einwilligung in die Verwendung von Cookies auf einer Webseite zur Vermeidung zeitraubender Bearbeitung von Einwilligungserklärungen auf Unterseiten zu bewegen, stößt daher auf erhebliche Bedenken (siehe Art. 4 Rn. 318ff., Art. 6 Rn. 40).

67

Aktiviert die betroffene Person einen Link, um zu den AGB zu gelangen, wäre die Anforderung an eine leicht zugängliche Form nicht erfüllt, wenn die AGB dem Kunden auf der Internetseite in einem Scrollkasten geringer Größe zur Kenntnis gegeben werden, wenn jeweils nur sehr kleine Teile des gesamten AGB-Textes angesehen werden können. Diese Anforderung erhöht die Schwelle der Zulässigkeit von AGB-Einwilligungen über mobile Endgeräte erheblich, bei denen die Textmenge durch die Bildschirmgröße häufig stark limitiert ist und bei denen es Nutzer schnell als unzumutbar ansehen, längere Textpassagen zu lesen. Demzufolge müssen die AGB mit der Einwilligungserklärung auch sprachlich knapp und präzise formuliert werden.

b) Klare und einfache Sprache

68

Die vorgegebene Einwilligungserklärung ist so zu formulieren, dass sie für jedermann leicht verständlich ist. Es sollten keine spezifischen juristischen Fachbegriffe und keine verschachtelten Sätze verwendet werden.

69

Die Einwilligungserklärung ist in der Landessprache des Staates zu formulieren, an dessen Bewohner sich der Verantwortliche mit seinem Einwilligungsbegehren wendet. Wendet sich ein französischer Online-Shop in deutscher Sprache auch an Kundschaft aus Deutschland und eröffnet er dieser grenzüberschreitende Bestellmöglichkeiten, so müssen auch die AGB und die darin eingebundene Einwilligungserklärung in deutscher Sprache abgefasst sein.88 Das gilt für die übrigen Klauseln der AGB sowieso. Anderenfalls sind sie unwirksam und die Einwilligungserklärung wäre nicht DSGVO-konform. Anders wäre es zu beurteilen, wenn ein Nutzer aus Deutschland auf einer Webseite in Frankreich, die sich ausweislich der gewählten französischen Sprache nur an ein Publikum in Frankreich und vielleicht noch Belgien wendet, so trägt der Nutzer aus Deutschland das Sprachrisiko, wenn er auf dieser Seite die AGB akzeptiert und aufgrund der französischsprachigen Einwilligungserklärung eine Einwilligungserklärung abgibt. Ein anderes Ergebnis würde zu unangemessenen Pflichten für Online-Shops in den Mitgliedstaaten führen, die sich an ihren Heimatmarkt wenden. Bedient sich der Kunde der Bestellmöglichkeit auf einer nicht speziell für den deutschen Markt ausgerichteten Bestellmöglichkeit eines ausländischen Shop-Betreibers, sprechen gute Gründe dafür, als Voraussetzung für die Zumutbarkeit der Kenntnisnahme von AGB und für die Zulässigkeit einer fremdsprachigen Widerrufsbelehrung die Sprache ausreichen zu lassen, derer sich der Kunde bei ihrem Aufruf bedienen muss.89

70

Sind in einem Mitgliedstaat mehrere Amtssprachen im selben geografischen Raum anerkannt, so sind die Einwilligungserklärungen auch in allen diesen Sprachen zu formulieren. In Deutschland ist die Amtssprache bundeseinheitlich deutsch. Auch wenn in manchen Bundesländern regional weitere Amtssprachen wie sorbisch, saterfriesisch, niederdeutsch oder dänisch als regionale Amtssprache neben der deutschen Sprache anerkannt sind, brauchen Einwilligungserklärungen gleichwohl nur in deutscher Sprache verfasst zu sein. Auch wenn ein nicht unbeträchtlicher Teil der Deutschen und der hier lebenden Ausländer die deutsche Sprache nicht verstehen, hat das für das Transparenzgebot nicht zur Folge, dass auch in Deutschland verbreitet gesprochene andere (Mutter-)Sprachen im Text der Einwilligungserklärung berücksichtigt werden müssten.90

71

Der Terminus „einfache Sprache“, die „leicht verständlich“ ist, darf nicht mit der nach § 11 Behindertengleichstellungsgesetz (BGG) geforderten deutschen Sprache für Menschen mit geringer Sprachkompetenz oder mit niedrigen Lesefähigkeiten verwechselt werden.91

c) Klare Unterscheidung von anderen Sachverhalten

72

Eine in den AGB enthaltene Klausel muss in drucktechnisch deutlicher Gestaltung besonders hervorgehoben werden, sodass der Betroffene leicht erkennen kann, dass er in die Verarbeitung von Daten einwilligt; die Einwilligung darf nicht im „Kleingedruckten“ versteckt werden.92 Die Einwilligungserklärung muss ihm gewissermaßen durch die hervorgehobene grafische Gestaltung sogleich „ins Auge springen“.93 Das gelingt durch Umrandung, farbige oder graue Unterlegung des Textes, die Verwendung von besonderen Schriften und Schriftgestaltungen (fett; kursiv) oder andere Gestaltungsmerkmale, die die Einwilligungserklärung deutlich hervorheben. Es wäre bei AGB, die elektronisch online gestellt werden, nicht zulässig, die Einwilligungserklärung an das Ende zu setzen, sodass der Nutzer erst scrollen müsste, bevor er zu der Einwilligungserklärung käme, mit der er dort möglicherweise gar nicht rechnete.

73

Die hier von Nr. 1 geforderten Bedingungen sind dem deutschen Datenschutzrecht bereits aus § 4a Abs. 1 Satz 4 BDSG a.F. und § 28 Abs. 3a Satz 2 BDSG a.F. bekannt, sodass insoweit auch auf die Kommentierung zu diesen außer Kraft getretenen Vorschriften verwiesen werden kann.94 Im Grunde haben diese für das BDSG a.F. noch wesentlichen Transparenzanforderungen unter der DSGVO eine geringere Bedeutung deshalb, weil der Verantwortliche an einem „Verstecken“ kein Interesse mehr haben kann, da die Einwilligungserklärung nunmehr durch eine bewusste und aktive Erklärung bzw. Handlung erfolgen muss. Der Verantwortliche wird nun ein Eigeninteresse daran haben, auf die Einwilligungserklärung aufmerksam zu machen und mit klaren Formulierungen die betroffene Person davon überzeugen wollen, dass die Einwilligung ihn zumindest nicht beeinträchtigen wird, um dadurch eine Erklärungshandlung zu erreichen.95

d) Unwirksamkeitsgebot (Art. 2 Satz 1)

74

Absatz 2 sieht die Unwirksamkeit der in die Allgemeinen Geschäftsbedingungen eingebetteten Einwilligungserklärung unabhängig von AGB-rechtlichen Erwägungen auch datenschutzrechtlich vor, wenn die Erklärung gegen Vorschriften der DSGVO verstoßen. Soweit eine Datenverarbeitung auf die unwirksame Einwilligung gestützt wird, ist sie unzulässig. Bereits erhobene Daten sind zu löschen. Erfolgte eine dann unzulässige Übermittlung, ist der Empfänger über die Unzulässigkeit der Verarbeitung zu informieren.

75

Liegt allerdings zusätzlich eine gesonderte Einwilligung vor, die nicht in einer gegen die DSGVO verstoßenden Weise in eine Erklärung zu einem anderen Sachverhalt eingebettet und als datenschutzkonforme Einwilligung wirksam ist, so bleibt die Verarbeitung der Daten zulässig. Das gilt auch, wenn eine gesetzliche Erlaubnis für die Datenverarbeitung etwa aus Art. 6 DSGVO vorliegt – und es einer Einwilligung daher gar nicht bedurft hätte. Auch wenn beim Betroffenen durch Verwendung einer (unwirksamen) Einwilligungserklärung die Annahme entstanden sein könnte, er allein könne mit seiner Einwilligung die Datenverarbeitung legitimieren, sodass sie dann unwirksam würde, wenn sich wegen Missachtung der Anforderungen aus der DSGVO die Unwirksamkeit der Einwilligungserklärung herausstellt, bleibt der Rückgriff des Verantwortlichen auf die gesetzliche Erlaubnis möglich.96 Der Rechtsgedanke der Bindung des Verantwortlichen an das geschaffene Vertrauen aus § 242 BGB macht bei Vorliegen einer gesetzlichen Erlaubnis die Datenverarbeitung nicht unzulässig.

3. Widerrufbarkeit (Abs. 3)

76

Eine einmal erteilte Einwilligung erlischt nicht automatisch durch Zeitablauf.97 Aus dem Wortlaut, den ErwG und den Materialien ergeben sich keine Hinweise darauf. Auch die Einwilligung in die werbliche Ansprache nach § 7 UWG ist unbefristet.98 Es muss sachliche Gründe geben, um eine Verarbeitung nicht mehr auf die erteilte Einwilligung stützen zu können. Das ist etwa der Fall, wenn der Zweck der Datenverarbeitung, für den die Einwilligung eingeholt wurde, und damit auch die rechtfertigende Wirkung der Einwilligung entfällt.99 Sie kann allerdings vom Einwilligenden befristet werden. Sie kann zudem ohne Angaben von Gründen widerrufen werden.

77

Wer die negativen Folgen der Verarbeitung seiner Daten zu spät erkennt oder sich aus anderen Gründen eines anderen besinnt, muss die Folgen der einst erteilten Einwilligung beseitigen und die Einwilligung für die Zukunft widerrufen können. Das Recht der freien Widerrufbarkeit der Einwilligung wird der betroffenen Person mit Art. 7 Abs. 3 DSGVO nun ausdrücklich eingeräumt.

78

Die Widerrufbarkeit gewährleistet, dass der Einzelne nicht unwiederbringlich seines Selbstbestimmungsrechts beraubt wird, sondern ihm ein „Weg zurück“ offensteht. Dieser actus contrarius zur Einwilligung war auch vor der DSGVO bereits allgemein anerkannt und nicht nur bei elektronischen Einwilligungserklärungen seit der BDSG-Novelle von 2009 mit dem neu eingefügten § 28 Abs. 3a Satz 1 BDSG a.F. möglich.

79

Absatz 3 Satz 2 macht klar, dass von dem Widerruf die nach Erteilung der Einwilligung erfolgte Datenverarbeitung rechtmäßig war. Der Widerruf wirkt ex nunc. Die aufgrund einer Einwilligung erhobenen und gespeicherten Daten sind, wenn nicht ausnahmsweise auch eine gesetzliche Erlaubnis vorliegt (dazu Art. 6 Rn. 47), ohne unangemessene Verzögerung zu löschen (Art. 17 Abs. 1 lit. b DSGVO; ErwG 65 Satz 1). Wurden die Daten an Dritte übermittelt, sind diese über den Widerruf und die Löschungspflicht zu informieren.

80

Bezog sich die Einwilligung auf verschiedene Phasen der Datenverarbeitung, so kann die Einwilligung auch in Bezug auf eine bestimmte Phase widerrufen werden. Hat die betroffene Person der Verarbeitung seiner Daten zu Werbezwecken und in die individuelle Ansprache über verschiedene Kommunikationswege (E-Mail, SMS, Telefon) pauschal eingewilligt, so kann er der Verwendung der Daten für die werbliche Ansprache durch Telefonanrufe widersprechen, sodass die Einwilligung in die Ansprache über andere Kommunikationswege zulässig bleibt. Den Umfang des Widerrufs bestimmt also der Widerrufende selbst.100

81

Wird der Widerruf erklärt, darf die Datenverarbeitung nur fortgesetzt werden, wenn (neben der widerrufenen Einwilligung) auch eine gesetzliche Erlaubnis vorlag. Der Widerruf schafft keinen Vertrauenstatbestand dahin, dass die Datenverarbeitung auch bei Vorliegen einer gesetzlichen Erlaubnis nach dem Rechtsgedanken der Bindung an das geschaffene Vertrauen aus § 242 BGB unzulässig würde. Auch wenn beim Betroffenen die Annahme besteht, er könne allein durch seine Einwilligung die Datenverarbeitung legitimieren, bleibt der Rückgriff auf die gesetzliche Erlaubnis möglich. Der Widerruf entfaltet keine Sperrwirkung, wenn eine gesetzliche Erlaubnis vorliegt.101 Auch Art. 17 Abs. 1 lit. b DSGVO macht dieses deutlich, wenn die Löschung nur für den Fall erfolgen muss, dass neben der widerrufenen Einwilligung nicht noch eine anderweitige Rechtsgrundlage für die Verarbeitung vorliegt, beispielsweise aus Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

82

Eine Ausnahme von der Löschungspflicht kann es nur geben, wenn die Daten – einschließlich Fotos und Filme (Videos) – nicht in zumutbarer Weise entfernt werden können. Das war der Fall bei einem Widerruf der Einwilligung eines Beschäftigten, in einem Werbefilm seines Arbeitgebers mitzuwirken und mit einem Gabelstapler im Hintergrund vorbeizufahren. Sein nach dem Ausscheiden aus dem Unternehmen erfolgter Widerruf verletzt die Gebote von Treu und Glauben und die in Vertragsverhältnissen zu berücksichtigenden entgegenstehenden Interessen der anderen Vertragspartei (§ 241 Abs. 2 BGB; Pflicht zur gegenseitigen Rücksichtnahme). Die mit erheblichen Produktionskosten hergestellten Filmaufnahmen müssten gelöscht werden, wenn dem Widerruf stattgegeben werden müsste. Der Widerruf der Einwilligung kann in solchen seltenen Sondersituationen nicht dazu führen, dass der Film nicht mehr öffentlich gezeigt werden darf.102

83

In solchen Fällen sollte ähnlich wie beim Widerspruchsrecht nach Art. 21 Abs. 1 Satz 2 DSGVO der Widerruf ausgeschlossen sein, wenn „zwingende schutzwürdige Gründe für die Verarbeitung“ vorliegen und nachgewiesen werden können. Erforderlich wäre in derartigen Sondersituationen folglich eine Interessenabwägung, die in besonderen Fällen auch dazu führen kann, dass ein Widerruf der Einwilligung nicht zu einer Löschung der Daten führt. Voraussetzung ist, dass die Fortsetzung der Verarbeitung aus der Sicht der betroffenen Person keine schwerwiegende Verletzung seiner Persönlichkeitsrechte mit sich bringt und andererseits für die Verantwortlichen die Löschung unverhältnismäßig wäre.103

84

Nach Art. 7 Abs. 3 Satz 3 DSGVO ist der Betroffene vor Abgabe seiner Willenserklärung darüber zu informieren („in Kenntnis zu setzen“), dass er das Recht hat, seine Einwilligung jederzeit zu widerrufen. Aus der Formulierung in Satz 3, wonach die betroffene Person „hiervon“ in Kenntnis zu setzen ist, muss geschlossen werden, dass sich diese Verpflichtung zur Information des Betroffenen sowohl auf Satz 1 als auch Satz 2 erstreckt, die betroffene Person also nicht nur auf das Widerrufsrecht, sondern auch auf die Rechtsfolge des Widerrufs hinzuweisen ist, dass die Datenverarbeitung bis zur Erklärung des Widerrufs rechtmäßig bleibt. Dafür spricht auch, dass der Verantwortliche gem. Art. 13 Abs. 2 lit. c DSGVO verpflichtet ist, zum Zeitpunkt der Erhebung von Daten bei der betroffenen Person dieser Person Informationen darüber zur Verfügung zu stellen hat, dass die Einwilligung jederzeit widerrufbar ist, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Diese Verpflichtung trifft den Verantwortlichen nach Art. 14 Abs. 2 lit. d DSGVO auch dann, wenn die Daten bei einem Dritten erhoben werden. So, wie auch die mit Erklärungen zu anderen Sachverhalten verknüpfte vorformulierte Einwilligungserklärung die Transparenzanforderungen des Art. 7 Abs. 1 DSGVO zu beachten hat, sind gem. Art. 12 Abs. 1 DSGVO auch „alle Informationen gemäß den Artikeln 13 und 14 ..., in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

85

Erfolgt diese Aufklärung als eine der Bedingung für die Wirksamkeit der Einwilligung nicht, ist die Einwilligung unwirksam.104 Das Gegenteil kann nicht daraus geschlossen werden, dass in Absatz 3 eine Rechtsfolge für den Fall des Fehlens der Belehrung nicht ausdrücklich formuliert wird, während dieses in Absatz 2 für den Fall des Verstoßes gegen das Transparenz- und Trennungsgebot der Fall ist.105

86

Zu der Form, in der der Hinweis zu geben ist, äußert sich Absatz 3 nicht. Um Rechenschaft ablegen zu können, dass der Hinweis erteilt wurde, sollte sie in Textform erfolgen. Das bedeutet, dass diese Hinweise nicht nur in gedruckter Form, sondern auch mit einer E-Mail oder über eine speicherbare Information auf der Webseite des Verantwortlichen gegeben werden können. Das ist auch in § 26 Abs. 2 Satz 4 BDSG ausdrücklich im Wortlaut für die Einwilligung von Beschäftigten vorgesehen, die vom Arbeitgeber über den Zweck der Datenverarbeitung und das Widerrufsrecht in Textform aufzuklären sind.

87

Es dürfen vor der Widerrufserklärung keine Hürden aufgebaut und sie unnötig erschwert werden, etwa um den Widerruf zu vermeiden. Deshalb bestimmt Art. 7 Abs. 3 Satz 4 DSGVO, dass der Widerruf (mindestens) so einfach wie die Erteilung der Einwilligung sein muss. Aus dem Wortlaut ergibt sich aber nicht, dass der Widerruf seitens des Verantwortlichen an die Form der Einwilligung auch beim Widerruf gebunden werden muss. Erfolgte der Widerruf in Schriftform (hier gemeint im Sinne des § 126 BGB), kann der Verantwortliche nicht vorsehen, dass der Widerruf dann ebenfalls in der Schriftform erfolgen muss. Die Intention der Regelung geht dahin, dass gegenüber der Einwilligungserklärung keine höheren Anforderungen an den Widerruf gestellt werden dürfen. Es folgt daraus keineswegs, dass eine Widerrufserklärung nicht in einer für die betroffene Person einfacheren Weise möglich sein kann.106

4. Freiwilligkeit (Abs. 4)
a) Allgemeine Anforderungen an die Freiwilligkeit

88

In § 4a BDSG a.F. wurde als Voraussetzung der Wirksamkeit der Einwilligung durch Auslegung des Tatbestandsmerkmals klargestellt, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht.107 Die Freiwilligkeit galt als immanentes Tatbestandsmerkmal der Einwilligung. Die Legaldefinition des Art. 4 Nr. 11 DSGVO setzt dagegen die Freiwilligkeit als Merkmal der Einwilligung nun auch im Normtext ausdrücklich voraus. Nach dieser Legaldefinition muss die zur Einwilligung führende Erklärung oder eindeutige bestätigende Handlung u.a. „eine freiwillige Willensbekundung“ sein. Freiwillig erfolgt die Willensbekundung nur dann, wenn kein Druck oder Zwang (im Sinne von „freely given“) ausgeübt wurde, um die betroffene Person zu einer Einwilligung zu bewegen. ErwG 42 erläutert, dass davon ausgegangen werden sollte, dass die betroffene Personen dann „ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

89

Die Art.-29-Datenschutzgruppe definierte Freiwilligkeit als die Möglichkeit des Betroffenen, eine echte Wahl zu treffen, d.h. im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt zu werden und eine realistische Möglichkeit zur Verweigerung oder zum Widerruf der Einwilligung zu haben, ohne dadurch einen Nachteil zu erleiden.108 In den Einzelfällen der Praxis erweist sich diese Definition als noch konkretisierungsbedürftig.

90

ErwG 43 verlangt als Voraussetzung einer einwilligungsbasierten Erhebung oder Verwendung die „vorhergehende freie Zustimmung auf der Grundlage einer vorangegangenen umfassenden Information über die erhebende und verantwortliche Stelle, die Art der Daten und den Zweck sowie alle weiteren für eine Entscheidungsfindung relevanten und hinreichend bestimmten Informationen“.

91

Wird die Einwilligung im Zusammenhang mit der Gewährung staatlicher Leistungen erteilt, kann von Freiwilligkeit nur die Rede sein, wenn die staatliche Leistung bei Versagen der Einwilligung nicht gefährdet ist. Dazu äußert sich auch der ErwG 43: „Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern.“

92

Die Steuerungsfähigkeit eines Betroffenen besteht beispielsweise dann nicht mehr, wenn sich ein Drogenabhängiger an eine Drogenhilfeeinrichtung wendet, die erwartet, dass im Interesse der vom Leistungsträger geforderten Qualitätssicherung mehr als die für die Leistungserbringung an den Leistungsträger zwingend erforderlichen Daten auf Grundlage einer Einwilligung übermittelt werden sollen. Die besondere Notlage des betroffenen Drogenabhängigen würde hier dazu führen, dass eine nur mit dem Ziel, dringend benötigte Hilfe zu erhalten, gegebene Einwilligung in eine umfassende Übermittlung von besonders sensitiven Explorationsdaten unwirksam wäre.109

93

Ist der Druck gegeben, eine Leistung erlangen zu wollen, die nur bei Einwilligung in eine Datenverwendung erbracht wird, kann von Freiwilligkeit also nicht mehr die Rede sein; die Kopplung einer Leistung an die Zustimmung in eine Datenerhebung oder -verwendung ist dann generell unwirksam. Nochmals: Macht eine Behörde eine Leistungszusage davon abhängig, dass ihr im Gegenzug vom Betroffenen eine Einwilligung in eine mit dem Leistungsbezug in keinem Zusammenhang stehende Datenverarbeitung erteilt wird, ist die Einwilligung unzulässig und unwirksam.110