Vorwort
Im 5. Teil unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?” geht es um die Einwilligung.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.
Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 5: Einwilligung bietet keine ultimative Sicherheit
Vor einigen Wochen bin ich in einen Verein eingetreten und habe in diesem Zusammenhang meine Einwilligung zur Verarbeitung meiner personenbezogenen Daten erteilen müssen. Aus datenschutzrechtlicher Sicht keine gute Idee des Vereins.
Vereine verarbeiten wie Unternehmen, Schulen und Behörden personenbezogene Daten. Das macht sie alle zu Verantwortlichen im Sinne der DSGVO. Für jede Verarbeitungstätigkeit brauchen sie eine Rechtsgrundlage. Die Rechtsgrundlagen stehen in Art. 6 Abs. 1 DSGVO, aber bereits lit. a der Vorschrift ist die Einwilligung. Warum also noch lit. b bis f lesen? Wenn ich die Einwilligung der betroffenen Personen habe, dann bin ich als Verantwortlicher doch auf der sicheren Seite – oder?
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Für konkrete Fragen wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.
Art. 6 Abs. 1 lit. a DSGVO: Die Einwilligung als Königin der Rechtsgrundlagen?
Die Einwilligung berücksichtigt den ausdrücklichen Willen der betroffenen Person, den diese freiwillig und nach umfassender Information ausdrückt. Wenn diese die Verarbeitung wünscht, dann darf der Verantwortliche selbstverständlich verarbeiten. Es ist daher nachvollziehbar, dass man die Einwilligung für die Königin der Rechtsgrundlagen hält. Dazu passt, dass sie im Gesetz „ganz oben“ steht, über allen anderen in der Aufzählung des Art. 6 Abs. 1 DSGVO.
Für Verantwortliche hat sie jedoch einen entscheidenden Nachteil:
„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.“ (Art. 7 Abs. 3 S. 1 DSGVO).
Wenn personenbezogene Daten also aufgrund der Einwilligung verarbeitet werden und diese Einwilligung widerrufen wird, fällt die Rechtsgrundlage für die Verarbeitung weg!
Zudem wird häufig übersehen, was eine Einwilligung voraussetzt:
Sie muss freiwillig, für einen bestimmten Fall und unmissverständlich erteilt werden, nachdem die betroffene Person umfassend über die Verarbeitung, ihren Zweck und insbesondere eben über das Widerrufsrecht informiert worden ist.
Fehlt es also etwa an einer Belehrung darüber, dass die Einwilligung jederzeit widerrufen werden kann, liegt schon keine Einwilligung vor! Schließlich ist es aufgrund des sog. Koppelungsverbots unzulässig, eine Einwilligung in die Verarbeitung personenbezogener Daten zur Voraussetzung für die Erfüllung von Verträgen zu machen, wenn die Einwilligung sich auf Verarbeitungstätigkeiten bezieht, die für die Vertragserfüllung gar nicht erforderlich sind.
Viele Fallstricke also.
Beispiel:
Stellen wir uns vor, ein Mobilfunkanbieter hat von seinem Kunden vor Abschluss eines Vertrags mit einer Mindestvertragslaufzeit von 24 Monaten die Einwilligung zur Verarbeitung seiner personenbezogenen Daten für die Zwecke der Vertragsdurchführung eingeholt.
Was macht das Unternehmen, wenn der Kunde nach 3 Monaten diese Einwilligung widerruft? Ohne personenbezogene Daten ist eine Vertragserfüllung nicht mehr möglich. Eine außerordentliche Kündigung ist aber nicht gewünscht, denn vor Ablauf der 24 Monate sollte der Kunde ja gebunden sein.
So einfach kommt man aus einem laufenden Mobilfunkvertrag.
Damit steht der Mobilfunkanbieter vor einem ernsten Problem. Auch mit seinen gesetzlichen Aufbewahrungspflichten gerät er in Konflikt: Unter anderem sind Kontoauszüge für 10 Jahre aufzubewahren.
Bereits jetzt haben wir einige Schwierigkeiten, und dabei sind die Voraussetzungen an die Einwilligung bis hierher noch gar nicht berücksichtigt. Immerhin das Koppelungsverbot scheint nicht verletzt zu sein …
Deshalb: Art. 6 Abs. 1 weiterlesen!
Denn schon lit. b erlaubt Verarbeitungen, die zur Erfüllung eines Vertrags erforderlich sind. Ganz ohne Unterschrift! Einfach so! Und ohne Widerrufsmöglichkeit!
Die Speicherung der Daten für handels- und steuerrechtliche Zwecke lässt sich bequem mit lit. c durchführen, die Verarbeitungen erlaubt, welche zur Erfüllung einer gesetzlichen Verpflichtung erforderlich sind.
Verarbeitungen sind gem. lit. f außerdem möglich zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter, wenn diese Interessen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Hier ist also nach Feststellung der Erforderlichkeit eine Abwägung zu treffen, die aufgrund der Rechenschaftspflicht zu dokumentieren ist. In die Abwägung fließt insbesondere ein, welche vernünftigen Erwartungen die betroffene Person haben durfte (Erwägungsgrund 47 S. 1 Hs. 2 zur DSGVO). Damit lässt sich z.B. Videoüberwachung abbilden, wie wir bereits in einem früheren Teil der Serie gelernt haben. Maßgeblich ist jeweils der konkrete Einzelfall. Für bestimmte Fälle gibt es ein Widerspruchsrecht.
Die anderen Buchstaben sind Sonderfälle, die nur der Vollständigkeit halber kurz genannt werden sollen:
Lit. d findet z.B. Anwendung, wenn Rettungskräfte Daten von bewusstlosen Personen aufnehmen oder weitergeben müssen. Lit. e ermöglicht die Verarbeitung im Rahmen von Aufgaben, die im öffentlichen Interesse liegen, oder in Ausübung öffentlicher Gewalt erfolgen.
Für die meisten Fälle gibt es also eine Rechtsgrundlage, die besser geeignet ist als die Einwilligung. Verarbeitung zur Vertragserfüllung, Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung und die Verarbeitung aufgrund berechtigten Interesses sind aus Sicht von datenschutzrechtlich Verantwortlichen vorzugswürdig. Manchmal geht es nicht ohne Einwilligung. Das Erfordernis ergibt sich auch gar nicht unbedingt aus der DSGVO. Aber der Grundsatz Alles > Einwilligung bleibt.
Beispiel 1
Die Anfertigung von Fotos oder Videos von Beschäftigten ist grundsätzlich nicht ohne deren Einwilligung möglich. Zwar haben wir einen Vertrag, nämlich einen Arbeitsvertrag. Die Ablichtung der Beschäftigten ist allerdings nicht zur Durchführung dieses Vertrags erforderlich. Vielmehr wird das Material zu Werbezwecken erstellt.
Bei der beabsichtigten Veröffentlichung auf der Unternehmenswebsite, LinkedIn oä wird es jedoch auch mit Einwilligung schwierig, denn was, wenn diese widerrufen wird? Ja, dann kann der teure Imagefilm in die Tonne. Runter damit von der Unternehmenswebsite und von den Profilen bei Facebook, Instagram, X, etc.
Ein Ausweg: Für den Einzelfall sog. Model Release Verträge mit den aufzunehmenden Beschäftigten abschließen, die Nutzungsrechte und Vergütung regeln. Da verlassen wir dann aber den Anwendungsbereich der DSGVO.
Beispiel 2
Um Werbung per E-Mail oder Post versenden zu dürfen, benötigen Verantwortliche grundsätzlich eine Einwilligung der Empfänger. Das ergibt sich aus § 7 Abs. 2 Nr. 2 UWG, wonach Werbung u.a. per elektronischer Post grundsätzlich eine unzumutbare Belästigung und damit unzulässig ist, wenn der Adressat nicht ausdrücklich seine Einwilligung erklärt hat. Ausdrücklich ist die Einwilligung nur, wenn es eine aktive Handlung gibt – der Grundsatz „wer schweigt stimmt zu“ gilt hier nicht.
Eine Ausnahme ergibt sich aus Absatz 3 der Vorschrift: Es handelt sich nicht um eine unzumutbare Belästigung, wenn
- der Verantwortliche die E-Mailadresse vom Betroffenen im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, UND
- er die Adresse für eigene ähnliche Waren oder Dienstleistungen verwendet, UND
- der Betroffene nicht widersprochen hat. UND
- der Betroffene sowohl bei Erhebung der Adresse als auch bei jeder Mail auf sein Widerspruchsrecht hingewiesen wurde
Weil wir aber trotzdem eine datenschutzrechtliche Rechtsgrundlage brauchen, müssen wir also die Einwilligung einholen, richtig? Denn es genügt ja nicht, wenn der Betroffene nicht widersprochen hat (der 3. Spiegelstrich oben) – er muss ausdrücklich einwilligen, oder?
Hier kommt die Überraschung:
Das Versenden von Direktwerbung kann ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO sein (Erwägungsgrund 47 S. 7zur DSGVO)!
Soweit dies also erforderlich ist und seine berechtigten Interessen überwiegen, kann der Verantwortliche sich auf diese Rechtsgrundlage berufen. Er braucht eben keine ausdrückliche Einwilligung. Das Nichtwidersprechen aus den Ausnahmen des § 7 Abs. 3 UWG genügt. In die Abwägung, die bei einer Datenverarbeitung wegen des berechtigten Interesses des Verantwortlichen durchgeführt werden muss, fließen die oben bereits angesprochenen vernünftigen Erwartungen der Betroffenen ein. Wenn der Verantwortliche die Ausnahmen des § 7 Abs. 3 UWG erfüllt, spricht das dafür, dass seine Interessen an der Versendung überwiegen und diese auch datenschutzrechtlich in Ordnung ist.
Fazit
Die Faustregel lautet also: Wenn die Verarbeitung nicht für die Durchführung eines Vertrags oder wegen rechtlicher Verpflichtungen erforderlich ist, sollte man sich nicht gleich auf die Einwilligung stürzen, sondern prüfen, ob man sich auf ein berechtigtes Interesse berufen kann. Das ist ein Auffangtatbestand, mit dem man so einiges abdecken kann – vom Setzen unbedingt erforderlicher Cookies über die Durchführung von Videoüberwachung bis zur Abwehr von fremden und der Verfolgung von eigenen Rechtsansprüchen. Nur ausnahmsweise sollte man sich auf eine Einwilligung verlassen.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)