Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben.
Gerade waren wir an der Einwilligung bei Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO schnell vorbeigelaufen; nun sehen wir sie aus der Nähe: Die Königin der informationellen Selbstbestimmung. In der fiktiven selbstbestimmtesten aller Datenschutzwelten wäre nur die Einwilligung überhaupt eine Rechtfertigung für Datenverarbeitungen. „Volunti non fit iniuria“ – „Freiwilligen geschieht kein Unrecht“, meinten schon die alten Römer und finden wir auch heute noch im Datenschutz. Allerdings gilt das natürlich nur, wenn bestimmte Voraussetzungen erfüllt sind – und damit befasst sich Artikel 7. Das zeigt schon der Titel: Bedingungen für die Einwilligung. Welche Bedingungen hätten wir da?
Absatz 1
Der Verantwortliche muss die Einwilligung nachweisen können. Das passt zu Art. 5 Abs. 2 DS-GVO und verursacht einen gewissen, oft lästigen Aufwand. Vielleicht und hoffentlich bringt die Zeit Besserung, denn viele Einwilligungsformulare sind immer noch viel zu lang und umständlich. Das liegt meist an der verständlichen Angst, irgendetwas Wichtiges zu vergessen. Dann wird verständlicherweise manchmal lieber zu viel, als zu wenig aufgeschrieben. Wie gesagt, hoffentlich wird es besser oder einfacher im Laufe der Zeit…
Momentan ist (noch?) vieles umstritten und unsicher. Gerade deshalb hier einige Thesen zur Diskussion:
- Wenn jemand etwas tut, dass nach allgemeiner Erwartung bestimmte Datenverarbeitungen beim Kommunikationspartner nach sich zieht, willigt er bzw. sie in diese Verarbeitungen ein. Natürlich nur, solange sich im Einzelfall kein anderer Wille zeigt. Beispiele:
- Wer eine Visitenkarte überreicht, muss nicht gefragt werden, ob die Daten auf dieser Karte gespeichert und genutzt werden dürfen.
- Wer in eine Kamera lacht und posiert, ist mit dem Foto einverstanden.
- Wer eine unverschlüsselte E-Mail schickt, ist mit einer unverschlüsselten Antwort zufrieden. Auch darüber wird ja gestritten: Betroffene dürfen in Risiken einwilligen. Natürlich.
- Bei Minderjährigen entscheiden die Sorgeberechtigten über die Einwilligung. Dafür gilt meines Erachtens:
- Wenn ein Einwilligungsformular bei Einwilligung Sorgeberechtigte unterschrieben ist, dürfen die Verantwortlichen davon ausgehen, dass Sorgeberechtigte unterschrieben haben. Die Geburtsurkunde wird ebenso wenig gebraucht, wie Erklärungen des Jugendamts… .
- Wenn ein Unterzeichner behauptet, die andere Sorgeberechtigte mit zu vertreten, darf der Verantwortliche sich darauf verlassen.
- Einwilligungen dürfen auch als Liste von mehreren Personen (z.B. von Teilnehmenden einer Veranstaltung) eingeholt werden.
- In Erwägungsgrund 42 Satz 4 der DS-GVO heißt es: „Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.“ Man darf es dabei auch belassen und weitere Informationen auf Rückfrage anbieten. Mit anderen Worten: Betroffene dürfen selbst entscheiden, wieviel Detail-Information sie vor ihrer Entscheidung haben möchten.
- Da fehlende oder fehlerhafte Einwilligungen zu Schadenersatzforderungen führen können, darf (nicht: muss) die Einwilligung bis zum Ablauf der Verjährungsfrist gespeichert bleiben (zehn Jahre nach Ende der Verarbeitung).
- Es genügt, anstelle der konkreten Einwilligung nachzuweisen, dass der Workflow eine Datenverarbeitung erst nach Einwilligung zulässt. Zum Beispiel: Erst nach Abhaken des Einwilligungs-Kästchens kann der Newsletter bestellt werden.
Einverstanden? Oder haben wir Zank?
Absatz 2
… gibt mal wieder Anlass zum Nörgeln. Satz 2 ist sowieso überflüssig. Und Satz 1 ist grammatisch falsch, weil das Ersuchen um Einwilligung natürlich immer „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen“ muss, nicht nur bei Schriftform.
Absatz 3
Einwilligungen dürfen widerrufen werden. Man kann es sich also später auch noch anders überlegen. Das muss den Betroffenen vorab auch mitgeteilt werden und der Widerruf darf nicht aufwändig sein. Verboten: Einwilligung per E-Mail, Widerruf nur per Einschreibebrief.
Freiwilligkeit und Widerruflichkeit heißt für die Verantwortlichen: Einwilligungen sind nicht planbar. Deshalb eignen sie sich nicht für Datenverarbeitungen, die man unbedingt und auf Dauer braucht. Wenn ein Unternehmen Fortbildungsplanung auf die amerikanische Konzernmutter überträgt und dazu Einwilligungen der ganzen Belegschaft einholt, ist das nicht nachhaltig.
Absatz 4
… ist missglückt, weil man ja, wenn eine Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist, meist gar keine Einwilligung braucht (siehe Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO). Nur unbeteiligte Dritte müssten vielleicht zustimmen. Zum Beispiel: Unternehmen A möchte Frau B zum 100. Geburtstag per Zeitungsinserat gratulieren; Frau B willigt ein.
Was der Gesetzgeber wohl sagen wollte – in klarer und einfacher Sprach: Bei der Prüfung von Freiwilligkeit muss beachtet werden, welche Nachteile man ohne Einwilligung erleidet und ob diese Nachteile nötig sind oder zumindest zumutbar. Zum Beispiel: Verlag A bietet Informationen im Internet entweder ohne Tracking und gegen Geld oder kostenlos, mit Tracking bei Einwilligung. Das darf man (derzeit?) koppeln – vielleicht nicht nötig, aber zumutbar.
Aber wiederum nicht bei Leistungen, auf die Betroffene einen Anspruch haben. Zum Beispiel: Eine Behörde will Ihren Antrag nur bearbeiten, wenn Sie einem Foto für die Öffentlichkeitsarbeit zustimmen. – Nicht nötig und nicht zumutbar. Besser: Die Behörde bearbeitet erst den Antrag und fragt dann nach der Einwilligung.
Manche reden vom Kopplungsverbot (absolut und relativ). Das heißt aber nur: Unnötige und unzumutbare Kopplungen sind verboten. Es bleibt dabei: Was nötig ist und was zumutbar, darauf kommt‘s an. Und darüber kann man manchmal streiten. Eine Entscheidungshilfe kennt übrigens der Volksmund aus der Bibel: „Was Du nicht willst, das man Dir tu, das füg auch keinem Andern zu.“
Auf bald!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.