Information für die Einwilligung

Neben der Verarbeitung von Daten auf Grundlage einer gesetzlichen Erlaubnis besteht die Möglichkeit, darüber hinaus Daten mit Einwilligung des Betroffenen zu verarbeiten.

Hier „lohnt“ sich die Kommunikation über die Erfüllung der rechtlichen Pflichten hinaus. So kann sich der Bearbeiter nämlich die Erlaubnis für die Verarbeitung weiterer Daten und in zusätzlichen Kontexten erschließen, die er sonst nicht verarbeiten dürfte.

Für die Kommunikation mit dem Betroffenen im Hinblick auf seine Einwilligung sind daher zwei Aspekte zu beachten: Zum einen enthält die DSGVO diverse rechtliche Vorgaben, die für die Wirksamkeit der Einwilligung entscheidend sind und die umfangreiche Anforderungen an Art und Qualität der Kommunikation stellen. Zum anderen muss die Kommunikation auch unabhängig von diesen rechtlichen Vorgaben so erfolgen, dass sie beim Betroffenen das nötige Vertrauen weckt, um in eine Verarbeitung einzuwilligen. Ursprünglich als Instrument der informationellen Selbstbestimmung gedacht, wird die Einwilligung so zunehmend als Instrument zur Kommerzialisierung der eigenen persönlichen Daten (Daten im „Tausch“ gegen Leistung) genutzt.

Verfahren und Form der Einwilligung

Der Betroffene ist auf die Widerruflichkeit dieser Einwilligung sowie auf sein Widerspruchsrecht hinzuweisen. Auch diese Informationen müssen dem Nutzer jederzeit zum Abruf zur Verfügung stehen.

Die DSGVO enthält in Art. 4 Nr. 11 DSGVO eine Definition der Einwilligung. Neben einer ausdrücklichen Erklärung werden hier auch eindeutige, bestätigende Handlungen zugelassen. Ausgeschlossen soll hier angesichts des Erwägungsgrundes 32 die (nur) komplette Untätigkeit sein. So wird explizit erwähnt, dass Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit keine Einwilligung darstellen können. Möglich wären demnach aber die Einwilligung durch aktives Ankreuzen eines Formularkästchens durch Mausklick, die Einwilligung per Email, die mündliche Einwilligung, sowie nach Erwägungsgrund 32 im Vergleich zu den vorherigen Regelungen der E-Privacy-Richtlinie auch Einwilligung per Voreinstellungen im Browser, z.B. die Voreinstellung einer bestimmten Cookie-Policy.

Was die Form angeht, so sind durch die DSGVO also deutliche Vereinfachungen zu erkennen. Hier soll aber dringend auf die bisher noch geltende Rechtslage hingewiesen werden. Das noch geltende Datenschutzrecht sieht nämlich in § 4a Abs. 1 S. 3 BDSG noch grundsätzlich die schriftliche Einwilligung vor, sofern aufgrund der besonderen Umstände oder in den Fällen des § 13 TMG nicht eine andere Form angemessen ist. Im Hinblick auf die nun weitgehend formfreie und insbesondere auch mündlich mögliche Einwilligung ist aber auf Art. 7 Abs. 1 DSGVO hinzuweisen: Im Zweifel muss die Verantwortliche Stelle das Vorliegen einer Einwilligung beweisen können. Die elektronische oder schriftliche Form sollte aus Dokumentationsgesichtspunkten also den Regelfall darstellen.

Daneben ist sicherzustellen, dass die Einwilligung auch freiwillig, d.h. ohne Zwang, erfolgt. Dies adressiert die DSGVO insbesondere im Hinblick auf ein klares Ungleichgewicht der Vertragsparteien (ErwGr. 43 zur DSGVO) und bezüglich einer unnötigen Koppelung von Leistung und Einwilligung (Art. 7 Abs. 4 DSGVO). In der Zusammenschau dieser beiden Regelungen ist sicher davon auszugehen, dass unter Geltung der DSGVO nicht jede Koppelung von Leistung an eine nicht zwingend zur Erfüllung erforderliche Einwilligung gemeint sein kann. Dies wäre mit Blick auf die praktische Kommerzialisierung der Einwilligung im „Tausch“ gegen eine Dienstleistung auch kaum sachgerecht umsetzbar. Direkte Auswirkungen dieser Regelung dürften sich daher aller Voraussicht nach besonders auf Monopol-Anbieter in bestimmten Märkten beschränken.

Informiertheit als inhaltliche Anforderung

Damit ein Betroffener eine Einwilligung bewusst abgeben kann, muss er sich über die Datenverarbeitung, in die er einwilligt, im Klaren sein. Das Datenschutzrecht fordert nicht nur äußerlich einen entsprechenden rechtlichen Text oder eine vorhandene technische Beschreibung, sondern auch ein tatsächliches Verständnis beim Betroffenen. Juristen sprechen insoweit von der „Maßgeblichkeit des individuellen Empfängerhorizonts“. Es kommt also darauf an, dass der konkret einwilligende Betroffene informiert ist, nicht allein aber, dass die Einwilligungserklärung als solche informativ ist.

Besonderheiten bei der Einwilligung von Kindern

Die DSGVO stellt erstmals spezifische Anforderungen an die Einwilligung von Kindern, wenn auch nur im Kontext von Onlinediensten. Diese werden damit im Datenschutzkontext als besonders gefährdete Zielgruppe herausgehoben.

Dabei gelten die Besonderheiten laut Art. 8 Abs. 1 DSGVO nur, wenn ein Angebot von Diensten der Informationsgesellschaft einem Kind direkt gemacht wird. Dies ist als Beschränkung auf solche Dienste zu verstehen, deren Zielgruppe explizit Kinder sind. Nicht jede Seite, die möglicherweise auch von Kindern genutzt wird, muss also den Vorgaben genügen.

Wer „Kind“ ist, wird von der DSGVO nicht abschließend definiert. Personen, die das sechzehnte Lebensjahr vollendet haben, gelten dabei in jedem Fall als einwilligungsfähig. Ob in einigen Ländern von der Möglichkeit Gebrauch gemacht wird, diese Grenze bis zur Vollendung des dreizehnten Lebensjahres abzusenken, bleibt abzuwarten. Hier könnten auch wiederum komplizierte Folgeprobleme bezüglich der Bestimmung des anwendbaren mitgliedstaatlichen Rechts entstehen, die dem eigentlichen Harmonisierungsziel der DSGVO widersprechen.

Ist der Betroffene nach diesen Regelungen nicht selbst zur Einwilligung fähig, so muss sich die Verantwortliche Stelle nach Art. 8 Abs. 2 DSGVO vergewissern, dass die Einwilligung durch die Eltern oder mit deren Zustimmung erteilt wurde. Dabei sind angemessene Anstrengungen im Rahmen des technisch Möglichen verlangt.

Hinzuweisen ist hier noch auf eine in Erwägungsgrund 38 angesprochene spezielle Bereichsausnahme: Präventions- und Beratungsdienste sollen Kindern auch weiterhin ohne das Wissen der Eltern zu Verfügung gestellt werden können.

Richtet sich ein Angebot nur oder hauptsächlich an Kinder, so ergibt sich auch schon aus den sonstigen allgemeinen Kommunikationsvorschriften der DSGVO, dass die Sprache der rechtlich verlangten Mitteilungen konsumentengerecht, sprich hier kindgerecht sein muss.