Die neue EU-Datenschutzgrundverordnung: Die Einwilligung
Teil drei unserer Reihe zu den Vorschriften der neuen EU-Datenschutzgrundverordnung (DSGVO) beschäftigt sich mit den Anforderungen an eine Einwilligung in die Verarbeitung personenbezogener Daten.
Genauso, wie die Straßenverkehrsordnung festlegt, was auf der Straße erlaubt ist oder auch nicht, ist der Umgang mit den persönlichen Daten anderer Menschen durch Unternehmen erlaubt oder verboten. Diese Spielregeln finden sich in der DSGVO.
Art. 6 DSGVO: Erlaubnis
An diesem Grundsatz hat sich mit der DSGVO nichts geändert. Auch in Zukunft ist die Verarbeitung personenbezogene Daten auf der Grundlage von „Erlaubnistatbeständen“ (wie Juristen sagen) zulässig. Mindestens eine der von Art. 6 Abs. 1 DSGVO genannten Bedingungen muss erfüllt sein, damit eine Datenverarbeitung mit der DSGVO im Einklang steht. Die wichtigsten sind:
– Die Datenverarbeitung beruht auf der Einwilligung der betroffenen Person in die selbige für einen oder mehrere bestimmte Zwecke.
– Die Datenverarbeitung ist für die Erfüllung eines Vertrags erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen.
– Die Datenverarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
– Auch ist eine Datenverarbeitung zulässig, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Bemerkenswert ist dabei, dass die Einwilligung an erster Stelle der Erlaubnisse für eine Datenverarbeitung genannt wird. Den Vorrang der Einwilligung vor allen anderen Erlaubnistatbeständen spiegelt auch Erwägungsgrund 40 der DSGVO wieder, in dem es heißt: „Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung … ergibt“.
Art. 7 DSGVO: Bedingungen für Inhalt und Form
Die Bedingungen, wann eine wirksam erteilte Einwilligung in eine Datenverarbeitung vorliegt, benennt Art. 7 DSGVO:
– Freiwilligkeit. Insbesondere darf die Erfüllung eines Vertrages nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich ist.
– Möglichkeit des jederzeitigen Widerrufs durch die Person, um deren Daten es geht. Information der betroffenen Person über diese Möglichkeit und der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
– Ist die Einwilligung ein Teil von mehreren schriftlichen Erklärungen, muss die Einwilligung leicht zugänglich in der Form und sprachlich einfach und klar sein, so dass sie von den anderen Teilen unterscheidbar ist.
Während diese Vorschriften dem Grunde nach eine Kodifizierung dessen darstellen, was nach deutschem Datenschutzrecht schon jetzt gilt, ist die Vorgabe neu hinzugekommen, dass der für die Datenverarbeitung Verantwortliche nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Art. 8 DSGVO: Die Einwilligung durch Kinder online
Ebenfalls neu hinzugekommen ist die Vorschrift des Art. 8 DSGVO, nach der die Einwilligung eines Kindes in die Datenverarbeitung im Zusammenhang mit einem Online-Angebot nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat oder die Sorgeberechtigten zugestimmt haben. Allerdings können die Mitgliedsstaaten durch eigene Rechtsvorschriften eine niedrigere Altersgrenze vorgesehen, wobei diese allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
In der Praxis: Mühe
Für die Praxis bedeutet dies, dass sich nicht viel verändern wird an der Mühsal mit den Einwilligungserklärungen in Zeiten immer komplexer werdender automatisierter Datenverarbeitung. Es ist Mühsal, Einwilligungserklärungen zu entwerfen mit denen die betroffenen Personen, wie der Erwägungsgrund 32 der Verordnung verlangt, „freiwillig“, „für den konkreten Fall“, „in informierter Weise“ und „unmissverständlich“ in die Verarbeitung ihrer Daten einwilligen. Die von dem genannten Erwägungsgrund vorgesehenen Möglichkeiten der elektronischen oder gar mündlichen Einwilligung dürfte die Sache nicht wesentlich vereinfachen – ganz abgesehen von der Frage, wie bei einer mündlich erteilten Einwilligung das Erfordernis des Nachweises erfolgen können sollte.
Interessant wird werden, wie die Anforderung, dass „in informierter Weise“ in Datenverarbeitung einzuwillgen ist, an Stellen umgesetzt werden soll, wo Unternehmen gar kein Interesse an Transparenz haben. Dies gilt z.B. für den Online Handel, der mittels spezieller Software in Sekundenschnelle die Bonität eines Käufers prüft und von dem Ergebnis den Zahlungsweg abhängig macht.
Pessimistisch betrachtet könnte man sagen, es wird der Zustand bleiben, den wir aus den letzten rund 15 Jahren Beratungstätigkeit nicht nur, aber insbesondere im medizinischen Sektor kennen. Die Freiwilligkeit so mancher Einwilligung ist schon seit langem nicht gegeben, wenn beispielsweise ein Krankenhaus für eine umfassende und qualitativ hochwertige Behandlung von Patienten auf den Datenaustausch mit anderen Stellen angewiesen ist (der aber nur auf der Grundlage von Einwilligung zulässig ist). Aus praktischer Sicht wird man sich auch unter Geltung der DSGVO bei der Gestaltung von Einwilligungserklärungen oftmals nur einem rechtmäßigen Zustand so weit als möglich annähern können.
Wissenschaftliche Zwecke
Was die Zwecke der Datenverarbeitung betrifft, in die eingewilligt wird, sieht Erwägungsgrund 33 immerhin eine kleine Erleichterung vor, sofern Zwecke der wissenschaftlichen Forschung betroffen sind. „Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung nicht vollständig angegeben werden“, heißt es dort. Daher sollte es, so der Erwägungsgrund 33 weiter, den betroffenen Personen erlaubt sein, ihre Einwilligung für „bestimmte Bereiche wissenschaftlicher Forschung“ zu geben, sofern die unter „Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung“ geschieht.
Die Anforderungen an eine rechtlich wirksame Einwilligung in die Verarbeitung personenbezogener Daten hängen eng zusammen mit den durch die DSGVO neu hinzugekommenen Vorgaben an die Informationspflichten, die Unternehmen und Behörden dann gegenüber den von der Datenverarbeitung Betroffenen haben. Dazu erfahren Sie in unserem nächsten Artikel zur DSGVO mehr.