Die Einwilligung ist wichtig für den Datenschutz, denn sie ermöglicht es dem Einzelnen zu kontrollieren, wie seine personenbezogenen Daten erfasst, verwendet und weitergegeben werden - niemand mag den Gedanken, dass jemand anderes ihn überwachen oder seine personenbezogenen Daten ohne seine Zustimmung verarbeiten kann!
Die Einwilligung ist ein wesentlicher Bestandteil der DSGVO, weshalb wir vor einiger Zeit in unserem Blog darüber geschrieben haben. In unserem Blog über Rechtsgrundlagen haben wir auch erklärt, dass eine Einwilligung grundsätzlich nicht erforderlich ist, um personenbezogene Daten im Rahmen der DSGVO zu verarbeiten: Es gibt andere Rechtsgrundlagen in der DSGVO1, die jeweils ihre eigenen Anwendungsfälle und Einschränkungen haben.
Die Einwilligung ist auch leicht zu missbrauchen: Es ist nicht schwer, jemanden zu zwingen oder auszutricksen, damit er einer Sache zustimmt, die er nicht will. Aus diesem Grund legt das Datenschutzrecht (und das Recht im Allgemeinen) besondere Anforderungen an die Gültigkeit der Einwilligung fest.
Die Datenschutz-Grundverordnung bildet da keine Ausnahme. Die Einwilligung muss nach der Datenschutz-Grundverordnung freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden2. Außerdem muss es möglich sein, die Einwilligung zu widerrufen. Diese Anforderungen sind in der Praxis sehr wichtig!
- Die Anforderungen an die Einwilligung
- Wann ist eine Einwilligung problematisch? Einige Beispiele
- Fazit
Tauchen wir ein!
Die Anforderungen an die Einwilligung
Freiwillig gegeben
Kurz gesagt, eine Einwilligung ist frei gegeben, wenn die betroffene Person eine echte Wahlmöglichkeit hat3. Dies ist in der Regel nicht der Fall, wenn zwischen dem für die Datenverarbeitung Verantwortlichen und der betroffenen Person ein Machtgefälle besteht.
Ein Arbeitsverhältnis ist ein Paradebeispiel für eine eingeschränkte Einwilligung, da ein Arbeitgeber seine Position ausnutzen kann, um einen Arbeitnehmer zur Einwilligung zu zwingen. In der Regel4 kann der Arbeitgeber die Daten eines Arbeitnehmers nicht auf der Grundlage einer vorgetäuschten Einwilligung verarbeiten und muss sich stattdessen auf eine andere Rechtsgrundlage stützen.
Die Autonomie des Einzelnen ist ein uraltes Problem im Recht: Menschen können auf dem Papier frei sein, unterliegen aber wirtschaftlichem, kulturellem und sozialem Druck. Das Datenschutzrecht bildet da keine Ausnahme, so dass es eine Grauzone bezüglich der frei erteilten Einwilligung gibt.
Spezifisch
Eine Einwilligung ist spezifisch, wenn sie für einen bestimmten Zweck erteilt wird. Sie können beispielsweise nicht nach einer E-Mail fragen, um Ihrem Publikum einen Newsletter zukommen zu lassen, und die Daten dann für den Versand von Werbematerial verwenden. In diesem Fall müssen Sie zwei verschiedene Einwilligungen einholen, eine für jeden Zweck.
Diese Anforderung geht Hand in Hand mit dem Erfordernis der Einwilligung in Kenntnis der Sachlage und mit dem Grundsatz der Zweckbindung:
- Zweckbindung bedeutet, dass die Daten immer für einen bestimmten, ausdrücklichen und rechtmäßigen Zweck erhoben und verarbeitet werden müssen.
- Einwilligung in Kenntnis der Sachlage bedeutet, dass die betroffene Person genau wissen muss, wozu sie ihre Einwilligung erteilt, einschließlich des Zwecks der Verarbeitung.
Informierte Einwilligung
Die Einwilligung erfolgt in Kenntnis der Sachlage, wenn die betroffene Person bestimmte Informationen erhält, darunter die Identität des für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung, die Art der verarbeiteten Daten, das Recht, die Einwilligung zu widerrufen, und die Frage, ob die Daten an Dritte weitergegeben werden5.
Auch Artikel 13 spielt hier eine Rolle. Dieser Artikel enthält eine ganze Reihe von Informationen, die der für die Verarbeitung Verantwortliche bereitstellen muss, unabhängig davon, auf welche Rechtsgrundlage er sich dabei stützt. Artikel 13 ist der Grund, warum Datenschutzerklärungen lang und langweilig sind.
Unzweideutig
Eine Einwilligung ist eindeutig, wenn sie durch eine klare, bestätigende Handlung erteilt wird. Mit anderen Worten: Eine stillschweigende Einwilligung gibt es nach der Datenschutz-Grundverordnung nicht. Aus diesem Grund können Opt-out-Systeme oder angekreuzte Kästchen6 niemals verwendet werden, um eine gültige Einwilligung einzuholen.
Die Datenschutz-Grundverordnung schreibt nicht vor, wie die Einwilligung einzuholen ist, solange sie unmissverständlich ist. Die betroffene Person kann ein Formular unterschreiben, ein Kästchen ankreuzen oder ihre Einwilligung mündlich geben. Als Faustregel gilt jedoch, dass der für die Verarbeitung Verantwortliche die Einwilligung in einer Weise einholen sollte, die dokumentiert werden kann, da der Nachweis der Einwilligung in seiner Verantwortung liegt7.
Der Begriff der eindeutigen Einwilligung überschneidet sich mit dem der ausdrücklichen Einwilligung. Die ausdrückliche Einwilligung kann als eine "verstärkte" Form der Einwilligung angesehen werden und dient als Ausnahme von den besonderen Vorschriften über die Verarbeitung sensibler Daten, die automatisierte Entscheidungsfindung und die Datenübermittlung. Jede Einwilligung muss also eindeutig sein, aber ob sie auch ausdrücklich ist, spielt nur in bestimmten Szenarien eine Rolle.
Um es vorsichtig auszudrücken: Der Begriff der ausdrücklichen Einwilligung ist nicht ganz klar. Eine implizite Einwilligung ist niemals gültig, daher ist es schwer zu sagen, was genau explizit bedeutet und wie sich eine explizite Einwilligung von einer unzweideutigen Einwilligung unterscheidet. Aber als Faustregel kann man sagen, dass eine ausdrückliche Zustimmung eine sehr eindeutige Zustimmung ist.
Wann ist eine Einwilligung problematisch? Einige Beispiele
Gebündelte Einwilligung
Die "gebündelte Einwilligung" ist eine leider häufig vorkommende Situation, in der ein Kunde gezwungen wird, der Verarbeitung seiner Daten zuzustimmen, um einen Vertrag abzuschließen, obwohl der Vertrag die Verarbeitung eigentlich nicht erfordert. Mit anderen Worten: Die Datenverarbeitung wird mit dem Vertrag "gebündelt", in der Regel als eine Form der Bezahlung.
Um das klarzustellen: Sie können die Einwilligung zur Verarbeitung von Daten als Teil eines Vertrags einholen8, unabhängig davon, ob die Verarbeitung für den Vertrag wesentlich ist. Problematisch wird es, wenn Sie einen Kunden erpressen, indem Sie diese Einwilligung zu einem Vertragsbruch machen.
In Artikel 7 heißt es, dass eine gebündelte Einwilligung problematisch ist, wenn es um die Einwilligung geht. Leider verbietet der Artikel die Praxis der gebündelten Einwilligung nicht vollständig, sondern gibt eher eine Warnung oder eine Art "gelbe Karte". Der Spielraum, den der Artikel lässt, erlaubt den Unternehmen einige Grauzonen, die sie ausnutzen können. Infolgedessen nutzen einige Internetdienste immer noch die gebündelte Einwilligung, um Daten als Zahlungsmittel zu erhalten, insbesondere wenn sie eine Monopolstellung innehaben und wenig oder keine Alternativen haben. Andererseits können die Datenschutzbehörden und Gerichte Artikel 7 strikt durchsetzen - und wir hoffen, dass sie das auch tun.
Cookie-Wände
"Cookie-Walls" sind Pop-up-Fenster, die von Websites (in der Regel von Nachrichtenagenturen) eingesetzt werden, um zu verhindern, dass der Nutzer auf bestimmte Inhalte zugreifen kann, wenn er der Verwendung von Cookies nicht zustimmt.
Den Besuchern wird oft die Möglichkeit gegeben, die Verarbeitung abzulehnen und dafür ein kostenpflichtiges Abonnement abzuschließen, was zu drei Alternativen führt: mit Geld zu bezahlen, mit Daten zu bezahlen oder keinen Zugriff auf den Inhalt zu haben.
Cookie-Walls ähneln der gebündelten Einwilligung, da sie es einem für die Verarbeitung Verantwortlichen ermöglichen, Daten als Bezahlung für Inhalte zu sammeln. Diese Praxis ist aus wirtschaftlicher Sicht verständlich: Viele Nutzer sind nicht bereit zu zahlen, aber Cookies zuzulassen, und die Verlage brauchen Werbeeinnahmen, um Inhalte bereitzustellen. Daten sind jedoch keine Ware im Sinne der Datenschutz-Grundverordnung, und es kann argumentiert werden, dass die durch Cookie-Walls gesammelte Zustimmung nicht freiwillig erteilt wird.
Darüber hinaus kann der Verlag auch Einnahmen aus nicht personalisierter Werbung erzielen, die auf dem Inhalt der Nachrichten basiert - was die Verarbeitung personenbezogener Daten überhaupt nicht erfordert.
Täuschendes Design
"Täuschendes Design" oder dunkle Muster" ist die Praxis, unklare oder täuschende Benutzeroberflächen zu entwerfen , um einen Nutzer zu einer gewünschten Handlung zu bewegen, z. B. zum Kauf eines Produkts, zum Herunterladen von Software, zum Abonnieren eines Dienstes oder zur Einwilligung in die Verarbeitung personenbezogener Daten.
Täuschendes Design ist ein besonders schwerwiegendes Problem im Zusammenhang mit Cookie-Bannern. Cookie-Banner drängen die Nutzer oft dazu, Cookies in ihrem Browser oder auf ihrem Gerät zu akzeptieren. Manche machen die Option "Akzeptieren" leicht zugänglich, während die Option "Ablehnen" auf dem Bildschirm weniger gut sichtbar ist - zum Beispiel durch die Verwendung einer kleineren Schrift oder einer Farbe, die sich nicht vom Hintergrund abhebt. Andere Banner bieten dem Benutzer verwirrende Auswahlmöglichkeiten wie "Akzeptieren/Voreinstellungen verwalten" oder "Akzeptieren/Mehr erfahren". Der Nutzer kann die Verarbeitung nur verweigern, indem er auf die zweite Option klickt und die Option zur Verarbeitung aller unwichtigen Cookies manuell deaktiviert.
Der durchschnittliche Internet-Besucher wird beim Surfen mit unzähligen Bannern dieser Art konfrontiert. Irgendwann geben viele Nutzer einfach auf und klicken auf Müdigkeit und akzeptieren alle Cookies. Man kann davon ausgehen, dass die durch betrügerische Cookie-Banner eingeholte Zustimmung nicht freiwillig erteilt wird. Und abgesehen von der Einwilligung kann man auch argumentieren, dass die Verarbeitung weder fair noch transparent ist9.
Letztes Jahr hat der Europäische Datenschutzausschuss eine Task Force für Cookie-Banner eingerichtet, um auf die zahlreichen Beschwerden der NRO noyb gegen irreführende Cookie-Banner zu reagieren. Das letzte Mal, als eine solche Task Force eingesetzt wurde, wurde Google Analytics in mehreren EU-Mitgliedstaaten verboten (wir haben hier darüber geschrieben). Es besteht also Hoffnung, dass in Zukunft gegen betrügerische Banner vorgegangen wird.
Fazit
Die Anforderungen an die Einwilligung sollen sicherstellen, dass der Nutzer die Kontrolle über seine Daten hat. Leider ist dies oft nicht der Fall. Viele Unternehmen wollen so viele Daten wie möglich sammeln und ignorieren dabei oft die Datenschutzbestimmungen oder finden clevere Wege, sie zu umgehen. Diese datenhortende und datengierige Mentalität verwandelt das Internet Tag für Tag in eine Überwachungsmaschine.
Aber das muss nicht so sein. Wir von Simple Analytics glauben an ein World Wide Web, das benutzerfreundlich ist und die Privatsphäre respektiert. Deshalb arbeiten wir daran, unseren Kunden wertvolle analytische Erkenntnisse zu liefern, ohne persönliche Daten von den Endbenutzern zu sammeln. Dies erleichtert den Kunden die Einhaltung von Vorschriften, vereinfacht die Datenverwaltung und trägt dazu bei, das Internet zu einem besseren Ort zu machen. Wenn Sie sich hiervon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Art. 6 GDPR; [^2]: Art. 4 (11) GDPR. [^3]: EDPB Guidelines 05/2020 on consent under Regulation 2016/679, par. 13. [^4]: Die Ausnahmen sind sehr eng. Siehe EDPB Guidelines 05/2020 on consent under Regulation 2016/679, par. 22. [^5]: WP29-Leitlinien zur Zustimmung gemäß der Verordnung 2016/679, par. 3.3.1. [^6]: Siehe EuGH - C-673/17 - Planet49. [^7]: Art. 5(2) und 24 GDPR. [^8]: Um es klar zu sagen: In diesem Szenario ist die Einwilligung die Rechtsgrundlage für die Verarbeitung, nicht der Vertrag. Die Einwilligung in den Vertrag ist nicht dasselbe wie die Einwilligung in die Verarbeitung der Daten. Beachten Sie auch, dass in diesem Fall besondere Formvorschriften gelten: siehe Art. 7(2) GDPR. [^9]: Art. 5(1)(a) GDPR.