Die Artikel – 29-Datenschutzgruppe hat den Entwurf eines Arbeitspapiers zu Einwilligungen (Working Paper 259 on Consent) veröffentlicht. Bis am 23. Januar 2018 werden Stellungnahmen entgegengenommen. Das Papier soll die ältere Stellungnahme 15/2011 zur Einwilligung vom 13. Juli 2011 ergänzen, nicht ersetzen.
Eine erste Durchsicht zeigt – nicht überraschenderweise – einen sehr strengen Ansatz:
Freiwilligkeit
Einwilligungen sind nach der DSGVO nur wirksam, soweit sie freiwillig erteilt werden, d.h. wenn eine echte Wahl möglich ist. Daraus ergeben sich nach dem WP259 folgende Anforderungen:
Kein Machtungleichgewicht
Freiwilligkeit fehlt i.d.R., wenn die betroffene Person von der Person, die um Einwilligung bittet, abhängig ist. Öffentliche Organe können sich daher nur ausnahmsweise auf eine Einwilligung stützen. Ähnliches gilt für Einwilligungen im Arbeitsverhältnis:
- Einwilligungen von Arbeitnehmern gegenüber Arbeitgebern seien “problematisch” und “wahrscheinlich” und “mehrheitlich” unwirksam.
- Nur “in Ausnahmefällen” könne sich ein Arbeitgeber daher auf eine Einwilligung stützen (bspw. bei Filmaufnahmen in einem Büro, wenn Mitarbeiter, die mit ihrer Aufnahme nicht einverstanden sind, anderswo arbeiten können).
Kopplungsverbot
Die DSGVO schliesst eine Kopplung tendenziell aus. Eine Einwilligung ist daher ggf. nicht wirksam, wenn eine Leistung – auf die kein Monopol bestehen muss – nur mit Einwilligung in eine für den Vertrag nicht notwendige Datenverarbeitung zu bekommen ist. Ganz so eindeutig halten das weder Art. 7 Abs. 4 DSGVO noch ErwG 43 fest.
Die Art. – 29-Arbeitgruppe geht aber von einem weitgehenden Kopplungsverbot aus. Es bestehe eine “starke Vermutung” der Unwirksamkeit im Fall einer solchen Kopplung.
Besonders interessant ist hier die Bemerkung der Arbeitsgruppe, eine für die Vertragserfüllung nicht notwendige Datenverarbeitung könne auch nicht zum Vertragsgegenstand gemacht werden:
Article 7(4) seeks to ensure that the purpose of personal data processing is not disguised nor bundled with the provision of a contract of a service for which these personal data are not necessary. In doing so, the GDPR ensures that the processing of personal data for which consent is sought cannot become directly or indirectly the counter-performance of a contract. The two lawful bases for the lawful processing of personal data, i.e. consent and contract cannot be merged and blurred.
Das “directly or indirectly” im obigen Zitat muss wohl so gelesen werden, dass eine Verarbeitung, die für einen Vertrag typischerweise nicht notwendig ist, auch nicht zur Vertrags(neben)leistung erklärt werden kann, um diese Verarbeitung auf den Rechtfertigungsgrund der Vertragsabwicklung stützen zu können.
Im Ergebnis erfasst das Kopplungsverbot demnach nicht nur die faktische Kopplung zwischen Vertrag und Einwilligung, sondern auch die rechtliche Kopplung zwischen vertragsnotwendigen und überschiessenden Verarbeitungen.
Erforderlich ist daher eine echte Wahl. Der Datenschutzgruppe zufolge fehlt eine solche, wenn eine Leistung ohne eine für den Vertrag nicht notwendige Verarbeitung nur zu höheren Kosten angeboten wird. Eine Schwelle ist nicht vorgesehen, so dass schon geringe (Mehr-)Kosten zur Unwirksamkeit der Einwilligung führen (“no further costs”).
Keine sonstige Ausübung von Druck oder Einfluss
Die Freiwilligkeit entfällt ausserhalb der genannten Situationen immer dann, wenn auf die betroffene Person in anderer Weise unangemessen Druck oder Einfluss ausgeübt wird.
Granularität (“Bundling”)
Die Freiwilligkeit entfällt nach der Arbeitsguppe ferner dann, wenn eine Einwilligung nur für mehrere Zwecke gemeinsam erklärt werden kann. Eine Einwilligung muss daher gesondert für eigenen Zweck eingeholt werden (z.B. mit einer separaten Checkbox pro Zweck; sie kann pro Zweck aber mehrere Verarbeitungsvorgänge umfassen).
Nachteilsfreiheit
Eine Einwilligung ist schliesslich nur dann freiwillig, wenn eine Verweigerung oder ein Widerruf ohne Nachteil möglich ist. So dürfen der betroffenen Person keine finanziellen Nachteile entstehen (“not lead to any costs”).
Eindeutigkeit
Nach Art. 6 Abs. 1 lit. a DSGVO kann die Einwilligung nur für “einen oder mehrere bestimmte Zwecke” erteilt werden (ähnlich Art. 4 Nr. 11 DSGVO).
Dieses Bestimmtheitsgebot – das sich mit dem Verbot des Bundlings (s. oben) zumindest überschneidet – verlangt, dass sich Einwilligungen jeweils auf einen bestimmten, ausdrücklichen und erlaubten Zweck beziehen (“specific, explicit and legitimate purpose”). Bei neuen Zwecken muss daher eine neue Einwilligung eingeholt werden (kein “function creep”).
Informiertheit
Gegenstand
Einwilligungen sind nur wirksam, wenn die betreffende Person ausreichend informiert war. Laut Arbeitsgruppe muss die Information immer mindestens die folgenden Angaben umfassen (für jeden durch Einwilligung zu rechtfertigenden Zweck):
- die Identität des Verantwortlichen (bei gemeinsamer Verantwortlichkeit: aller Verantwortlichen, also nicht etwa nur des Verantwortlichen, der nach der Vereinbarung der gemeinsam Verantwortlichen Hauptansprechpartner ist; ebenso bei geplanter Weitergabe an andere Verantwortliche);
- der Zweck bzw. die Zwecke;
- die Kategorien der betroffenen Daten;
- das Widerrufsrecht;
- die Verwendung für automatisierte Einzelentscheidungen nach Art. 22 Abs. 2 DSGVO;
- bei Übermittlungen in Drittländer die damit verbundenen Risiken, wenn ein angemessener Schutz und geeignete Garantien fehlen.
Je nach Risiko seien weitere Angaben erforderlich. Klar ist aber, dass nicht immer alle Angaben nach Art. 13 und 14 DSGVO erforderlich sind.
Art und Weise der Information
Die erforderlichen Informationen müssen laut Arbeitsgruppe wie folgt übermittelt werden:
- Vor Beginn der Verarbeitung;
- in leicht verständlicher Sprache, abhängig von Empfängerhorizont (“Controllers cannot use long illegible privacy policies or statements full of legal jargon”);
- klar als solche bezeichnet (Einwilligungen müssen als solche erkennbar sein; “Ich nehme zur Kenntnis…” genügt daher nicht);
- von anderen Infomationen klar abgetrennt, insb. als Teil von AGB (“information … may not be hidden in general terms and conditions”);
- elektronische Einwilligungen können besonders bei kleinen Bildschirmen gestuft angezeigt werden (“layered”).
Eindeutige bestätigende Handlung
Einwilligungen können nur durch eine “eindeutige bestätigende Handlung” wirksam erklärt werden (Art. 4 Nr. 11 DSGVO). Das schliesst folgende Handlungen aus:
- Vorangekreuzte Checkboxen;
- konkludente und mehrdeutige Handlungen;
- Schweigen;
- blosse Inanspruchnahme einer Leistung;
- Zustimmungserklärungen zu einem Vertrag bzw. zu AGB (erforderlich ist eine eigene Einwilligung in die Datenverarbeitung, neben dem Akzept: “… consent cannot be obtained through the same motion as agreeing to a contract or accepting general terms and conditions of a service”).
Im elektronischen Kontext kommen folgende Handlungen in Betracht:
- Ankreuzen einer Checkbox;
- Swipen oder Drehen des Handys, sofern der Aussagegehalt eindeutig ist;
- nicht: Durchscrollen einer Erklärung ohne weitere Handlung.
Ausdrückliche Einwilligung
Bei besonderen Daten, für die Übermittlung ins Ausland und für automatisierte Einzelentscheidungen muss die Einwilligung ausdrücklich erklärt werden. Das verlangt – über die genannten Anforderungen hinaus, insb. die Anforderung der eindeutigen bestätigenden Handlung -, dass die Einwilligung auf ausdrückliche Art und Weise erklärt wird. Die Arbeitsgruppe nennt folgende Beispiele:
- Ausfüllen eines elektronischen Formulars;
- Absenden einer E‑Mail;
- Hochladen einer unterzeichneten Vereinbarung;
- Verwendung einer elektronischen Signatur;
- Double Opt-In.
Nicht erwähnt wird das Ankreuzen einer Checkbox. Es kann aber wohl kaum Zweifel bestehen, dass das Ankreuzen einer Checkbox eine eindeutige Einwilligung ausdrücken kann. (Zu verlangen ist dann aber wohl, dass der Bezug zwischen der Checkbox und dem Gegenstand der Einwilligung direkt ist, bspw. indem neben der Checkbox ein Link zu AGB mit entsprechenden Ausführungen und zusätzlich eine Kurzzusammenfassung des Gegenstands der Einwilligung aufgeführt wird).
Nachweisbarkeit
Der Verantwortliche muss die wirksame Einwilligung nachweisen können. Die DSGVO gibt nicht vor, auf welche Art und Weise der Nachweis zu führen ist, sofern dabei das Datenschutzrecht eingehalten wird, indem z.B. auf übermässige Datenverarbeitung zu Beweiszwecken verzichtet wird. Dabei stellt sich u.a. auch die Frage, wie lange der Nachweise der Einwilligung aufzubewahren ist (ob jeweils die Verjährungsfrist abgewartet werden darf, ist offen).
Soweit ersichtlich betrachtet die Arbeitgruppe die Nachweisbarkeit als Gültigkeitsvoraussetzung. Das hiesse aber, dass eine Sanktionierung auch dann in Frage käme, wenn die Einwilligung zwar nicht nachweisbar, aber gar nicht bestritten wäre. Das wäre doch eher überraschend.
“Verwirken” von Einwilligungen
Die DSGVO sieht kein Verwirken von Einwilligungen vor. Die Arbeitsgruppe empfiehlt aber als Best Practice, dass Einwilligungen regelmässig aufgefrischt werden sollen.
Widerruf
Einwilligungen sind stets widerruflich (wobei Ausnahmen denkbar sind), worauf bei der Einholung der Einwilligung hinzuweisen ist. Der Widerruf muss dabei so einfach wie die Einwilligungserklärung möglich sein.
Das heisst bspw., dass ein einziger Klick zum Widerruf genügen muss, wenn die Einwilligung auf diese Weise eingeholt wurde. Die betroffene Person darf daher nicht standardmässig auf die Kontaktdaten des Datenschutzbeauftragten verwiesen werden. Erforderlich sind bewusste Widerrufsmechanismen auf einer Website, in einer App etc.
Verhältnis zu anderen Rechtfertigungsgründen
Laut der Arbeitsgruppe kann jede Verarbeitung nur auf einer einzigen Rechtsgrundlage beruhen. Erweist sich eine Einwilligung als unwirksam oder wird sie widerrufen, kann der Verantwortliche daher nicht einfach bspw. auf berechtigte Interessen umstellen – das zeigt sich laut der Arbeitsgruppe darin, dass über die Rechtsgrundlage jeweils vorab zu informieren ist (Art. 13/14 Abs. 1 lit. c DSGVO).
Einwilligung von Kindern
Kinder können nach Art. 8 DSGVO in die Verarbeitung ihrer Daten einwilligen, sobald sie 16 sind (unter Vorbehalt einer Schwelle zwischen 13 und 16 nach dem Recht der Mitgliedstaaten). Das gilt allerdings nur für “Dienste der Informationsgesellschaft”, bspw. Vertragsschlusses im Internet oder die Erbringung von Leistungen im Internet. Ausserhalb dieses Bereichs gilt nicht Art. 8 DSGVO, sondern das Recht der Mitgliedstaaten.
Bietet der Verantwortliche solche Dienste bewusst an Kinder an (was objektiv zu bestimmen ist), muss er das Alter verifizieren. Dafür enthält die DSGVO keine Vorgaben; je nach Risiko genügt eine Altersabfrage oder sind weitere Massnahmen erforderlich.
Bei Kindern unterhalb 16 muss die Einwilligung durch die Eltern bzw. gesetzlichen Vertreter erklärt werden. Der Verantwortliche muss in diesem Fall auf geeignete Weise sicherstellen, dass die Einwilligung effektiv von den berechtigten Personen stammt. Auch hier gilt ein risikobasierter Ansatz; je nachdem kann es erforderlich sein, mit den Zustimmenden per E‑Mail Kontakt aufzunehmen.
Was geschieht, wenn Kinder volljährig werden? Laut der Arbeitsgruppe muss die Einwilligung in diesem Fall erneut eingeholt werden:
From that day forward, the controller must obtain valid consent from the data subject him/herself. In practice this may mean that a controller relying upon consent from its users may need to send out messages to users periodically to remind them that consent for children will expire once they turn 16 and must be reaffirmed by the data subject personally.
Forschung
Die Einwilligung zur Verarbeitung zu Forschungszwecken kann laut ErwG 33 breiter erklärt werden:
Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn …
Die Arbeitsgruppe legt diese Erleichterung eng aus, besonders wenn es um besondere Daten geht. Zudem sind Massnahmen zur Risikominderung zu ergreifen, bspw. durch besonders transparente Information, durch möglichst frühzeitige Anonymisierung oder wenigstens Pseudonymisierung etc.
Fortgeltung bestehender Einwilligungen
Einwilligungen müssen zwar nicht zwingend neu eingeholt werden (“Repapering”). Altrechtliche Einwilligungen gelten jedoch nur fort, wenn sie den Anforderungen der DSGVO an Einwilligungen entsprechen (“in so far as it is in line with the conditions laid down in the GDPR”). Verzichtbar sind insofern nur Anforderungen, die sich nicht auf die Einwilligung beziehen, bspw. die Information nach Art. 13 und 14 DSGVO (sofern sie über das hinausgeht, was für eine informierte Einwilligung erforderlich ist; s. oben).