ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
29
Vorrangig ist zunächst, die Definition der Einwilligung in Art. 4 Nr. 11 DSGVO heranzuziehen. Danach muss die Einwilligung von „der betroffenen Person“ selbst erteilt werden, sie muss „freiwillig“ und für einen bestimmten Verwendungszweck („für den bestimmten Fall“) auf der Grundlage ausreichender Informationen („in informierter Weise“, informed consent) und „unmissverständlich“, entweder „in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“ (ErwG 32 Satz 1) erteilt werden. Verlangt wird damit eine Erklärung oder Verhaltensweise, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“ (ErwG 32 Satz 2). Damit wird klargestellt, dass es keine wirksame Einwilligung darstellt, wenn die betroffene Person untätig bleibt, indem etwa ein voreingestelltes Häkchen einer Checkbox vor einer vorformulierten Einwilligungserklärung belassen wird oder in einem Formular die vorformulierte Einwilligungserklärung nicht durchgestrichen wird. Der EuGH stellte dies in seinem Planet49-Urteil klar und entschied, dass „keine wirksame Einwilligung ... vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss“.38
30
Für die Auslegung der Vorschriften zur Einwilligung sind auch die Erwägungsgründe wesentlich. So gibt ErwG 32 wichtige Hinweise darauf, wie die Einwilligung erfolgen soll. Danach sollte die Einwilligung „durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“
31
Eine aktiv von der betroffenen Person vorgenommene – also nicht bereits voreingestellte – Einstellung des Browsers, mit der automatisch Einwilligungen pauschal erteilt werden, wenn auf einer besuchten Webseite danach gefragt wird, dürfte nicht zulässig sein, da es in jedem Einzelfall einer Information über den mit der Verarbeitung verfolgten Zweck und den Verantwortlichen bedarf, um gegenüber der betroffenen Person in jedem Einzelfall einer abzugebenden Erklärung die erforderliche Transparenz herzustellen und die Warnfunktion wirksam werden zu lassen.39 Eine pauschale Browser-Opt-In-Lösung muss scheitern.
32
Ob vor diesem Hintergrund eine Einwilligungserklärung auch konkludent abgegeben werden kann, ist fraglich. Diese Möglichkeit scheidet aus, wenn das Gesetz eine „ausdrückliche“ Erklärung40 verlangt. Eine konkludente Einwilligung in die Verarbeitung von personenbezogenen Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, ist ausgeschlossen (siehe auch ErwG 51). Eine konkludente Einwilligung in die automatisierte Entscheidung einschließlich Profiling wird es daher ebenso wenig geben (Art. 22 Abs. 2 lit. c DSGVO; ErwG 71), wie in die Drittstaatenübermittlung (Art. 49 Abs. 1 lit. a DSGVO; ErwG 111) oder die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. a DSGVO).41 Im Sozialdatenschutz ist die konkludente Einwilligung in der Regel42 ausgeschlossen.
33
Soweit die DSGVO keine besondere Form (‚ausdrücklich‘) verlangt, soll eine konkludente Einwilligung als ein Verhalten bzw. Erklärung in anderer Form als der Schriftform möglich sein.43 Dem konkludenten Verhalten muss aber ein eindeutiges Erklärungsverhalten zu entnehmen sein, das einen Rückschluss auf den eindeutigen Willen des Erklärenden zulässt (Art. 4 Nr. 11 DSGVO: „in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung“).44 Schließlich müssen alle Anforderungen an die Wirksamkeit erfüllt sein, also auch die der Einwilligungserklärung vorausgehenden Informationspflichten, damit die durch eine konkludente Erklärung ausgedrückte Entscheidung auf der Basis ausreichenden Wissens erfolgt. Liegt dann zwar keine schriftliche, textliche oder mündliche Erklärung, wohl aber ein schlüssiges Verhalten vor, könnte die konkludente Einwilligung wirksam sein.
34
Angenommen wurde bislang, dass von einer wirksamen konkludenten Einwilligung etwa dann ausgegangen werden kann, wenn ein Anrufer zu Beginn des Telefongesprächs vom Angerufenen darüber informiert wird, dass das Gespräch zu Qualitätssicherungszwecken oder zur Stimmungsanalyse aufgezeichnet (gespeichert) wird, wenn dem nicht widersprochen wird, und der Anrufer das Gespräch dann ohne Widerspruch fortführt.45 Diese Praxis der stillschweigenden Einwilligung, der nur durch eine Aktivität des Anrufers nach Aufforderung beispielsweise durch Drücken der Taste „1“ (opt-out) begegnet werden kann, soll als „konkludente Einwilligung“ auch weiterhin zulässig sein und eine wirksame Erklärungshandlung darstellen.46 Die Fortführung des Telefonats nach einem entsprechenden Hinweis auf die Aufzeichnung soll eindeutig ein Einverständnis signalisieren und eine eindeutig bestätigende Handlung darstellen. Daran besteht doch erheblicher Zweifel, weil für den Angerufenen aus dem Schweigen oder dem nicht erfolgenden Drücken einer Taste keine eindeutige Erklärungshandlung ableitbar ist. Tatsächlich wird gerade nicht gehandelt und nicht erklärt, sodass diese Situation mit einem Opt-out-Verfahren vergleichbar ist, das nicht zulässig ist. „Dulden ist keine Handlung“.47 Diese Praxis wird unter der DSGVO daher nicht aufrechterhalten werden können; der Telefoncomputer wird vom Anrufer erbitten müssen, etwa mit einem gesprochenen „Ja“ oder durch Drücken einer Ziffer, in die Aufzeichnung des Gesprächs einzuwilligen.48
35
In der Regel wird es an einer eindeutigen Willensäußerung, die neben der Pflicht zur Transparenz über den Zweck der gewünschten Datenerhebung und -verwendung, die Bedingung für die Wirksamkeit der Einwilligung ist, fehlen, sodass die konkludente Einwilligung als Erlaubnis kaum eine Zukunft hat.
36
Eine mutmaßliche Einwilligung erfüllt – wie eine „Einwilligung durch Schweigen“ – nicht die Anforderungen der DSGVO.49 Bei einer mutmaßlichen Einwilligung müsste davon ausgegangen werden, dass der Betroffene ein Interesse daran haben würde, dass Daten über ihn verwendet würden.50 Diese Annahme verbietet sich von vornherein, weil die Zulässigkeit dann nicht von dem Willen des Betroffenen, den dieser zu erklären hätte, sondern allein von einem Abwägungsprozess bei der verantwortlichen Stelle abhinge. Eine Ausnahme gibt es gem. Art. 9 Abs. 2 lit. c DSGVO nur dann, wenn besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) auf der Grundlage einer Einwilligung erhoben werden sollen, die betroffene Person „aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben“. In diesen Fällen darf zum Schutz lebenswichtiger Interessen der betroffenen Person eine Datenverarbeitung, für die nicht schon eine sonstige gesetzliche Erlaubnis vorliegt, eine Verarbeitung erfolgen. Mutmaßlich hätte die betroffene Person eingewilligt, wenn sie dazu rechtlich oder tatsächlich in der Lage wäre (siehe Art. 9 DSGVO Rn. 22).51
37
Auch § 13 BDSG a.F. kannte keine mutmaßliche Einwilligung in die Datenerhebung durch öffentliche Stellen, sondern normiert in § 13 Abs. 2 Nr. 3 BDSG a.F. einen eigenen gesetzlichen Erlaubnistatbestand für den Fall, dass die Erhebung zum Schutz lebenswichtiger Interessen erforderlich ist und der Betroffene an der Abgabe einer Einwilligungserklärung tatsächlich oder rechtlich gehindert ist. In einer solchen Situation wird nun der Art. 6 Abs. 1 UAbs. 1 lit. d DSGVO als Erlaubnistatbestand heranzuziehen sein, wonach die Datenverarbeitung erlaubt ist, wenn sie erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
38
Gegenüber der DSRl und dem BDSG ist die DSGVO insofern strenger, als es nicht mehr genügt, über bereits vom Verantwortlichen angekreuzte Kästchen eine Einwilligung zu erteilen.52 Nunmehr muss die betroffene Person aktiv werden und selbst eine