Anzeige
Anzeige
Anzeige
Anzeige
DSGVO Datenschutz Serie

Recht sicher ist nicht gleich rechtssicher

Im Mai soll die EU-Datenschutzgrundverordnung in Kraft treten. Wir machen euch fit für die Neuerungen. In Teil 3 unserer Serie erklären die Rechtsanwälte Georg Fechner und Jann Cornels, wie ihr eine rechtssichere Einwilligung zur Nutzung von Userdaten bekommt.

Bild: Fotolia.
Anzeige
Anzeige
Anzeige

Wenn wir darüber sprechen, ob eine Einwilligung nötig ist, dann geht es uns vor allem um den Werbekontext, also letztlich um folgende Fragen: Kann man personenbezogene Daten zu Werbezwecken unter der Datenschutzgrundverordnung (DS-GVO) ohne Einwilligung nutzen? Und wenn nein: Wie bekommt man eine rechtssichere Einwilligung?

Wieso braucht man Einwilligungen?

Natürlich kann man auch zu Entwicklungszwecken Daten verarbeiten wollen, häufig geschieht dies aber zu Werbezwecken. Schließlich soll die App nicht nur durch Zufall auf dem Radar der User landen. Im heutigen Bundesdatenschutzgesetz bzw. Telemediengesetz (TMG) ist relativ ausdifferenziert geregelt, unter welchen Voraussetzungen und wie personenbezogene Daten erhoben und pseudonymisierte Nutzungsprofile zu Werbezwecken verwendet werden dürfen. Ab dem 25. Mai 2018 werden diese Regelungen durch Art. 6 Abs. 1 lit. a und f DS-GVO abgelöst. Juristen streiten auch über diesen Ausgangspunkt, aber sehr wahrscheinlich ist das so. Ab dann kann sich der Werbetreibende also entweder auf berechtigte Interessen berufen oder eben auf eine Einwilligung. Auch dies ist genau genommen nur eine Übergangsphase bis die E-Privacy-Verordnung in Kraft tritt und eventuell abweichende Regelungen bereithält.

Anzeige

Voraussetzungen der Einwilligung

Wir unterstellen, dass ihr euch weder immer zwingend auf die Rechtsgrundlage der berechtigten Interessen verlassen wollt (= teilweise schwer vorhersehbare Abwägung) noch plant, bis zum Inkrafttreten der E-Privacy-Verordnung untätig zu bleiben. In diesem Fall müsst ihr euch näher damit auseinandersetzen, ob eine Einwilligung für eure geplanten Werbemaßnahmen als Absicherung vorstellbar ist und ob und wie ihr sie rechtssicher erlangen könnt. Kürzlich hat die Artikel-29-Datenschutzgruppe – ein unabhängiges Beratungsgremium der Europäischen Kommission – eine Stellungnahme zu den Voraussetzungen der Einwilligung veröffentlicht. Und auch wenn diese Stellungnahme noch im Entwurfsstadium ist, kann man daraus bereits Rückschlüsse ziehen. Klar ist: Die Einwilligung muss vor der Datenverarbeitung erklärt werden. Es gibt aber noch weitere Voraussetzungen.

Freiwilligkeit

Die Einwilligung ist nur dann wirksam, wenn sie freiwillig gegeben wurde. Klingt erst einmal naheliegend und verständlich. "Freiwillig" bedeutet in diesem Zusammenhang aber unter anderem Folgendes: Ein Vertragsschluss oder eine Leistungserbringung darf grundsätzlich nicht davon abhängig gemacht werden, dass der Betroffene der Verarbeitung solcher personenbezogenen Daten zustimmen muss, die für die Erfüllung der Leistungspflicht nicht erforderlich sind. Darunter fallen zum Beispiel regelmäßig Nutzungsdaten, mit denen man etwa eine Personalisierung der Werbung vornehmen könnte.

Ein Beispiel: Ein Zeitungsverlag bietet den kostenfreien Zugriff auf Artikel, allerdings nur unter Voraussetzung, dass sich der Kunde mit der Verarbeitung seiner Daten zu Marketingzwecken einverstanden erklärt. Bereits in diesem Fall ist sehr zweifelhaft, ob nach der Meinung der Datenschutzbehörden eine freiwillige Einwilligung vorläge.

Keine Freiwilligkeit bei Ungleichgewicht

Darüber hinaus spricht grundsätzlich jedes starke Ungleichgewicht zwischen den Beteiligten gegen die Freiwilligkeit. Eine Behörde wird sich deshalb kaum jemals auf eine Einwilligung als Rechtsgrundlage berufen können. Häufig besteht eine Dienstleistung aus mehreren Verarbeitungsprozessen. Nach der Auffassung der Artikel-29-Datenschutzgruppe soll der Betroffene hier frei entscheiden können, welchen dieser Verarbeitungsprozessen er zustimmen möchte. In diesem Zusammenhang gar nicht trivial, aber vollkommen unklar ist, wie kleinteilig diese Verarbeitungsprozesse aufgeführt werden müssen (sog. "Granularity").

Ein weiteres Beispiel: Ein Unternehmen fragt den Kunden mit nur einer gemeinsamen Erklärung nach einer Einwilligung dafür, die personenbezogenen Daten für Werbe-E-Mails verwenden und diese Daten innerhalb der Konzerngruppe an weitere Unternehmen weitergeben zu dürfen.

Weil hier beide Verarbeitungsprozesse entweder gemeinsam angenommen oder abgelehnt werden müssen, ist die Einwilligung nicht mehr freiwillig. Schließlich muss der Verantwortliche auch nachweisen können, dass es möglich ist, die Einwilligung ohne Nachteile zu verweigern (etwa ohne höhere Kosten für die Dienstleistung).

Eindeutiger Verarbeitungszweck

In der Einwilligungserklärung muss der Verarbeitungszweck hinreichend bestimmt sein, um zu verhindern, dass es im Laufe der Zeit zu einer schleichenden Ausweitung des Verarbeitungszweckes kommt oder Unschärfen ausgenutzt werden können (sog. function creep oder blurring). Jeder neue Verarbeitungszweck setzt eine neue Einwilligung voraus.

Informiertheit

Eine Einwilligung ist nur wirksam, wenn der Betroffene "in informierter Weise" sein Einverständnis erklärt. Denn nur wer die Konsequenzen kennt, kann wahrhaft selbstbestimmt handeln. Das gebietet auch das Transparenzgebot. Mindestens notwendig sind, kurzgefasst:

  • die Identität des Verantwortlichen,
  • der Verarbeitungszweck,
  • die Art der Daten,
  • Hinweis auf Widerrufsmöglichkeit,
  • ggf. Hinweise zu automatisierten Entscheidungen und Risiken einer Datenübermittlung

Die Einwilligungserklärung muss klar von anderen Sachverhalten zu unterscheiden sein (Trennungsgebot). Die erforderlichen Informationen muss der Betroffene einfach verständlich vor seiner Erklärungshandlung erhalten. Ziel ist, dass der Betroffene hinreichend sicher die oben dargestellten Aspekte bewerten kann. Ausführlichere Informationen findet er gegebenenfalls in der Datenschutzerklärung.

Cookie-Banner reichen nicht mehr

Die Einwilligungserklärung muss eine "unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung" sein. Das Anklicken eines entsprechenden Kästchens oder Buttons genügt dafür. Der derzeit übliche Hinweis in einem Cookie-Banner, dass mit dem Weitersurfen das Einverständnis erklärt wird, dürfte indes unzureichend sein.  

Geht es um besondere Kategorien von Daten, ausdrückliche Einwilligungen oder um Einwilligungen von Kindern sind die Voraussetzungen schärfer. Schon die Voraussetzungen für eine "normale" Einwilligung zwingen jedoch dazu, die bestehenden Prozesse einmal kritisch unter die Lupe zu nehmen und – wahrscheinlich – anzupassen.

Ebenso wichtig wie die Einwilligungserklärung selbst ist, dass der Betroffene die Einwilligung genauso einfach widerrufen können muss. Nach Widerruf muss jede Datenverarbeitung für den zuvor eingewilligten Zweck sofort eingestellt werden. Es ist unzulässig, die entsprechende Datenverarbeitung einfach stillschweigend auf Grundlage einer anderen Rechtsgrundlage fortzusetzen. Über diese Möglichkeit müsste der Betroffene mindestens von Anfang an informiert worden sein und auch dann bleibt ein Risiko, dass dies als unzulässig bewertet wird.

Eine Datenverarbeitung auf Grundlage einer Einwilligung rechtssicher zu konstruieren, hat also seine Tücken. Der Jurist würde sagen: Es ist keine ganz unerhebliche Herausforderung. Oder mit anderen Worten: Tatsächlich wirksame Einwilligungen zu bekommen ist schwierig!

Georg Fechner und Jann Cornels sind Anwälte der Kanzlei Fechner. Das Team setzt seine inhaltlichen Schwerpunkte vor allem im Medienrecht, Werberecht und im Schutz geistigen Eigentums, sowie im Datenschutz- und App-Recht.  

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote