Jeder der sich bei sozialen Plattformen wie Facebook, Twitter & Co., bei einem Online-Shop oder schlichtweg für einen Newsletter registriert, hat schon einmal eine Einwilligung erklärt. Die Einwilligung ist ein bedeutendes Rechtsinstrument, der insbesondere in der digitalen Wirtschaft eine besondere Bedeutung zukommt. Umso wichtiger ist es, sich frühzeitig mit den Neuerungen auseinanderzusetzen, die mit der Einführung der DSGVO einhergehen.
In der Datenschutzgrundverordnung widmen sich vor allem Art. 4 Nr. 11 DSGVO, Art. 6 Abs. 1 lit.a DSGVO, Art. 7 DSGVO und Art.8 DSGVO den Anforderungen der DSGVO.
Bestimmtheit, Information und Transparenz der Einwilligung
Pauschaleinwilligungen für unbekannte Anwendungsfälle sind weder nach dem BDSG, noch nach den künftigen Regelungen der DSGVO erlaubt. Vielmehr muss sich die Einwilligung auf einen oder mehrere bestimmte Anwendungsfälle beziehen und die Verarbeitungszwecke konkret benennen. Art. 7 Abs. 2 DSGVO fordert speziell für den Fall, dass die Einwilligung weitere – ggf. themenfremde – Sachverhalte abdeckt, dass das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache abgefasst wird, die es ermöglicht, die Anwendungsfälle klar zu unterscheiden. Das „Unterjubeln“ von Einwilligungserklärungen wird damit unterbunden.
Die Abgabe der Einwilligungserklärung muss so beschaffen sein, dass die einwilligende Person vollumfänglich darüber informiert wird, dass sie eine Einwilligung abgibt und welchen Umfang die Einwilligung hat. Dazu gehört insbesondere auch ein Hinweis darauf, dass die Einwilligung widerrufen werden kann, jedoch mit Wirkung erst ab Widerruf.
Freiwilligkeit der Einwilligung und Kopplungsverbot
Der Einwilligende muss nach Erwägungsgrund 42 der Datenschutzgrundverordnung eine echte oder freie Wahl haben, die Einwilligung zu erteilen, zu verweigern oder ggf. zurückzuziehen. Er muss in die Lage versetzt werden eine eigene Abwägungsentscheidung zu treffen, ohne hierdurch in einer Form benachteiligt zu werden.
In Erwägungsgrund 43 führt der europäische Gesetzgeber auch gleich mehrere Fälle auf, in denen es an der Freiwilligkeit einer Einwilligung fehlen wird. So gilt eine Einwilligung bspw. dann nicht als freiwillig erteilt, wenn für unterschiedliche Datenverarbeitungsvorgänge nicht auch eine gesonderte Einwilligung erteilt wurde, obwohl dies die Komplexität des Einzelfalles gebietet. Auch ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen kann dazu führen, dass es an dem Erfordernis der Freiwilligkeit fehlt.
Mit dem Erfordernis der Freiwilligkeit ist auch das (strengen) Kopplungsverbot nach Art. 7 Abs. 4 DSGVO verknüpft. „In größtmöglichem Umfang“ muss bei der Erteilung einer Einwilligung dem Umstand Rechnung getragen werden, ob bspw. die Erfüllung eines Vertrages von der Einwilligung abhängig gemacht wird. Es empfiehlt sich angesichts dessen sorgfältig zu analysieren, welche Verarbeitungen für den in Anspruch genommenen Dienst erforderlich sind und welche lediglich nützlich sind. Ist eine Verarbeitung lediglich nützlich, sollte darauf verzichtet werden, die Einwilligung an die Vertragserfüllung zu koppeln.
Sind Einwilligung über Opt-Out-Lösungen noch möglich?
Die Einwilligung und alle im Rahmen des Einwilligungsprozesses kommunizierten Informationen müssen in einer verständlichen Sprache übermittelt und leicht zugänglich sein. Durch eine eindeutige, unmissverständliche Willensbekundung kann der Einwilligende dann die Einwilligung erteilen, Art. 4 Nr. 11 DSGVO. Bislang konnte dies – so die BGH-Rechtsprechung – auch durch bloße Opt-Out Erklärungen erfolgen.
Die DSGVO schränkt diese Praxis jedoch ein. Zwar ist grundsätzlich jede Form von Erklärung oder Handlung wirksam, aus der sich eindeutig ergibt, dass die Person mit der Verarbeitung der Daten einverstanden ist. In Erwägungsgrund 32 führt der europäische Gesetzgeber jedoch aus, dass Stillschweigen, bereits angekreuzte Kästchen (Opt-Out) oder Untätigkeit der betroffenen Personen ausdrücklich keine Einwilligung darstellen. Ihnen fehlt das Element des eindeutigen, bestätigenden Einverständnisses.
Es besteht daher künftig keine Möglichkeit mehr Einwilligungen über sog. Opt-Outs einzuholen.
Gelten bislang rechtswirksam erteilte Einwilligungen fort?
Da Unternehmen bereits in der Vergangenheit Erlaubnis zur Datenverarbeitung eingeholt haben, drängt die Frage, ob die bestehenden Erklärungen auch mit der Einführung der DSGVO noch Bestand haben und fortgelten. Bereits im September 2016 hat sich hierzu der Düsseldorfer Kreis geäußert und mit Verweis auf den Erwägungsgrund 171, Satz 3 herausgestellt, dass eine erneute Einwilligung in die Datenverarbeitung nicht erforderlich ist, soweit die Erfordernisse der Richtlinie 95/46/EG bereits eingehalten wurden.
Anderes gilt nur, wenn die erteilte Einwilligung den Grundsatz der Freiwilligkeit (s.o.) und/oder die Altersgrenze nicht beachtet haben.
Besondere Anforderungen bei Einwilligungen von Kindern
Mit Art.8 DSGVO widmet sich der europäische Gesetzgeber detailliert den Anforderungen an Einwilligungen von Kindern, wenn diese einen Dienst der Informationsgesellschaft nutzen. Unter den sperrigen Begriff der „Dienst Informationsgesellschaft“ fallen in erster Linie Soziale Netzwerke wie z.B. Twitter, Facebook, Instagram. Erfasst sind darüber hinaus aber auch Online-Shops oder einfache Informationsportale.
a) Altersgrenze
Die DSGVO legt in Art. 8 Abs.1 DSGVO die Altersgrenze für die Einwilligungsfähigkeit eines Kindes auf 16 Jahre fest. Datenverarbeitungen von personenbezogener Daten jüngerer Kinder sind hingegen nur rechtmäßig, wenn die Erziehungsberechtigten die Zustimmung erteilt haben.
Der nationale Gesetzgeber kann diese Altersgrenze bis zu 13 Jahren herabsetzen – hier liegt dann jedoch die absolute Grenze. Bislang scheint der deutsche Gesetzgeber hiervon jedoch keinen Gebrauch zu machen.
b) Dokumentationspflicht
Um sicherzustellen, dass die Einwilligung durch die Erziehungsberechtigten oder mit dessen Zustimmung erteilt wurde, hat der Verantwortliche nach „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen“ (Art. 8 Asb. 2 DSGVO).
Im Streitfall obliegt es dem Verantwortlichen die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung gesetzlicher Vorgaben nachzuweisen. Ihn treffen daher entsprechende Nachweis- und Dokumentationspflichten.
c) Klarstellung des Art. 8 Abs. 3 DSGVO
Art. 8 Abs. 3 DSGVO stellt klar, dass die Regelung des Art. 8 Abs. 1 DSGVO das allgemeine Vertragsrecht der Mitgliedstaaten unberührt lässt. Das Zustandekommen eines Vertrages mit Minderjährigen bestimmt sich daher auch nach dem 28. Mai 2018 nach den Regelungen des BGB.
Fazit
Weitgehend stimmen die bekannten Regelungen des BDSG mit denen der DSGVO überein. Gleichwohl sind Regelungen der DSGVO detaillierter und stellenweise strenger. Bei der Anpassung der Dokumente und Prozesse sollte daher ein besonderes Augenmerk auf das strenge Kopplungsverbot und die besonderen Anforderungen für Einwilligungen von Kinder gelegt werden.
Brauchen Sie Unterstützung bei der Umsetzung der DSGVO oder stellen sich ihrerseits weitere Fragen? Gerne können Sie sich per Kontaktformular, XING-Profil oder per Telefon an mich wenden.