LITMIR.BIZ

Скачать книгу

Interessenkollisionen selbst regeln zu wollen, sondern „den Interessenausgleich soweit wie möglich dem privatautonomen Aushandeln der Beteiligten selbst zu überlassen“.76 Besonders bei Massengeschäften, denen AGB zugrunde gelegt werden, besteht aber die Gefahr der Fremdbestimmung, wenn mangels gesetzlicher Erlaubnis durch vorformulierte Klauseln die Datenlage und Datenverwendungsmöglichkeit im ausschließlich eigenen Interesse des Verwenders verbessert werden sollen.77 Liegt ein einseitiges Machtgefälle vor, das ohne Interessenabwägung und unter Verletzung wesentlicher Grundgedanken des Datenschutzrechts mittels Einwilligungserklärung einen rechtmäßigen Zustand herbeiführen soll, so kann eine Einwilligungserklärung auch im Lichte des § 307 Abs. 2 Nr. 1 BGB unzulässig und unwirksam sein. Der BGH geht jedenfalls davon aus, dass eine vorformulierte Einwilligungserklärung an den §§ 305ff. BGB zu messen ist.78

57

So können etwa Versicherungsunternehmen Daten über eine Schweigepflichtentbindung nicht durch vorformulierte Einwilligungserklärungen erlangen. Das Bundesverfassungsgericht sah das Recht auf Informationelle Selbstbestimmung dann verletzt, wenn in Versicherungsverträgen eine generelle Pflicht zur Schweigepflichtentbindung enthalten ist, um Feststellungen treffen zu können, ob ein Versicherungsfall vorliegt.79 Als unzulässig ist nach dem vergleichbaren früheren Recht von der Rechtsprechung auch eine Klausel angesehen worden, wonach Informationen aus dem Vertragsverhältnis an Dritte weitergegeben werden können, ohne dass auf den Zweck der Speicherung seiner Daten und deren Übermittlung hingewiesen wird und die Klausel pauschal die Weitergabe von Informationen zulässt, ohne dass im Einzelfall noch eine Interessenabwägung stattfindet.80

58

      Abgesehen von derartigen besonderen Lagen ist eine Einwilligung nach Art. 7 Abs. 2 DSGVO datenschutzrechtlich wirksam, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird. Es ist nicht erforderlich, dass der Betroffene seine Einwilligung gesondert erklärt, indem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt („Opt-in“-Erklärung).

      59

      Der Verordnungsgeber akzeptiert grundsätzlich, dass Einwilligungserklärungen mit Vertragserklärungen in gedruckten oder elektronischen Allgemeinen Geschäftsbedingungen verknüpft werden. Er sieht aber das Problem, dass Klauselwerke von Betroffenen insbesondere bei alltäglichen Massengeschäften sehr häufig nicht zur Kenntnis genommen oder gar gelesen werden. Deshalb fordert Art. 7 Abs. 2 DSGVO, dass die Erklärung

       1. in verständlicher und leicht zugänglicher Form und

       2. in klarer und einfacher Sprache erfolgt und

       3. von den anderen Sachverhalten klar zu unterscheiden ist.

      Es ist folglich Transparenz in gestalterischer und sprachlich-inhaltlicher Hinsicht herzustellen.

      60

      Die unter 1. und 2. formulierten Anforderungen sind im Kontext des Absatzes 2 zu verstehen, also zunächst nur auf Sachverhalte bezogen, bei denen die Einwilligungserklärung zusammen mit Erklärungen zu anderen Sachverhalten verbunden ist. Dennoch sollte der Verantwortliche auch dann, wenn die Einwilligungserklärung nicht mit anderen Sachverhalten zusammen formuliert wird, sondern für sich als „Einwilligung in die Datenverarbeitung“ vorgelegt wird, um eine Erklärung in verständlicher und leicht zugänglicher Form sowie um eine klare und einfache Sprache bemüht sein.

      61

      Ausführlich formuliert ErwG 39, welche Anforderungen darunter zu verstehen sind. Danach muss Transparenz darüber hergestellt werden, dass personenbezogene Daten über die betroffene Person erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden sollen. Es muss deutlich werden, „in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden“.

      62

Das gelingt nach ErwG 39 nur, wenn „alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“. Es muss für Betroffene die Identität des Verantwortlichen offengelegt werden, und es müssen transparent „die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten“, beschrieben werden. Weil dies nicht immer gelingt, wies auch die Datenethikkommission der Bundesregierung in ihrem Gutachten vom 23.10.2019 darauf hin, dass „der Einzelne durch Anzahl und Komplexität der ihm abverlangten Entscheidungen bezüglich einer datenschutzrechtlichen Einwilligung ebenso wie durch die Unabschätzbarkeit aller Auswirkungen einer Datenverarbeitung systematisch überfordert wird“.81

      63

      Der ErwG 39 erhellt die Erwartung des Verordnungsgebers, dass die betroffenen Personen „über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können“. Ergänzend wird nach ErwG 42 erwartet, dass „insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache ... Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt“.

      64

Dabei nimmt ErwG 42 Bezug auf die Richtlinie 93/13/EWG über missbräuchliche Klauseln in Verbraucherverträgen,82 nach der bereits die von den Mitgliedstaaten umzusetzende Anforderung des AGB-Rechts bestand, dass die „vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden“. Damit wird diese Anforderung auch einer Inhaltskontrolle nach §§ 307ff. BGB unterziehbar. Unvereinbar sind damit lange, von dem Lesen abschreckende Texte, die möglicherweise noch mit weiteren für die Transparenz wesentlichen Informationen an anderer Stelle verlinkt sind (Facebook-Einwilligung), ebenso wenig, wie unvollständige One-Pager.83

65

Wird die schriftliche Einwilligung zusammen mit anderen Erklärungen abgegeben, so ist auch darüber zu informieren, „wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen“ (ErwG 42). Um Missverständnisse zu vermeiden, ist hier darauf hinzuweisen, dass dann, wenn in der DSGVO von Schriftlichkeit die Rede ist, damit keineswegs die Schriftform nach § 126 BGB gefordert ist. Vielmehr sind damit Erklärungen gemeint, die in irgendeiner Form verkörperbar sind. Das schließt etwa auch die elektronische Form (§ 126a BGB) oder die Textform (§ 126a BGB) mit ein. Auch das Setzen eines Häkchens in einer tick box vor einer vorformulierten Online-Erklärung des Verwenders der Einwilligungsklausel wäre damit eine schriftliche Einwilligung. Damit sind die Anforderungen geringer als nach § 4a BDSG a.F., der für den Regelfall die Schriftform für die Einwilligungserklärung verlangte, um die mit diesem Formerfordernis verbundene Warn- und Beweisfunktion wirksam werden zu lassen.84 Ob mit der Übernahme des Begriffs „Schriftform“ aus der Datenschutzrichtlinie eine europarechtskonforme Auslegung dazu führen musste, dass darunter nicht die des § 126 BGB zu verstehen ist, sondern eine europarechtsspezifische Form, die auch die Textform einschließt, kann nun dahinstehen, weil jedenfalls Art. 7 DSGVO keine Schriftform verlangt.85

a) Verständliche und leicht zugängliche Form

      66

Auch im Internet können somit formularmäßige Einwilligungsklauseln verwendet werden, wenn diese Klauseln durch Hervorhebung leicht zugänglich (erkennbar) sind, Betroffene nicht durch missverständliche Überschriften (‚Datenschutzerklärung‘) über den tatsächlichen Inhalt getäuscht werden. Sinnvoll ist die Verwendung der Überschrift „Einwilligung in die Datenverarbeitung“.86 Die leichte Zugänglichkeit erfordert bei AGB, auf die bei Online-Geschäften vor Vertragserklärung hingewiesen werden muss,87 dass dem Nutzer auch ein Hinweis gegeben wird, dass in den AGB, die

Скачать книгу