Die Arti­kel – 29-Daten­schutz­grup­pe hat den Ent­wurf eines Arbeits­pa­piers zu Ein­wil­li­gun­gen (Working Paper 259 on Con­sent) ver­öf­fent­licht. Bis am 23. Janu­ar 2018 wer­den Stel­lung­nah­men ent­ge­gen­ge­nom­men. Das Papier soll die älte­re Stel­lung­nah­me 15/2011 zur Ein­wil­li­gung vom 13. Juli 2011 ergän­zen, nicht ersetzen.

Eine erste Durch­sicht zeigt – nicht über­ra­schen­der­wei­se – einen sehr stren­gen Ansatz:

Frei­wil­lig­keit

Ein­wil­li­gun­gen sind nach der DSGVO nur wirk­sam, soweit sie frei­wil­lig erteilt wer­den, d.h. wenn eine ech­te Wahl mög­lich ist. Dar­aus erge­ben sich nach dem WP259 fol­gen­de Anforderungen:

Kein Macht­un­gleich­ge­wicht

Frei­wil­lig­keit fehlt i.d.R., wenn die betrof­fe­ne Per­son von der Per­son, die um Ein­wil­li­gung bit­tet, abhän­gig ist. Öffent­li­che Orga­ne kön­nen sich daher nur aus­nahms­wei­se auf eine Ein­wil­li­gung stüt­zen. Ähn­li­ches gilt für Ein­wil­li­gun­gen im Arbeits­ver­hält­nis:

  • Ein­wil­li­gun­gen von Arbeit­neh­mern gegen­über Arbeit­ge­bern sei­en “pro­ble­ma­tisch” und “wahr­schein­lich” und “mehr­heit­lich” unwirksam.
  • Nur “in Aus­nah­me­fäl­len” kön­ne sich ein Arbeit­ge­ber daher auf eine Ein­wil­li­gung stüt­zen (bspw. bei Film­auf­nah­men in einem Büro, wenn Mit­ar­bei­ter, die mit ihrer Auf­nah­me nicht ein­ver­stan­den sind, anders­wo arbei­ten können).

Kopp­lungs­ver­bot

Die DSGVO schliesst eine Kopp­lung ten­den­zi­ell aus. Eine Ein­wil­li­gung ist daher ggf. nicht wirk­sam, wenn eine Lei­stung – auf die kein Mono­pol bestehen muss – nur mit Ein­wil­li­gung in eine für den Ver­trag nicht not­wen­di­ge Daten­ver­ar­bei­tung zu bekom­men ist. Ganz so ein­deu­tig hal­ten das weder Art. 7 Abs. 4 DSGVO noch ErwG 43 fest.

Die Art. – 29-Arbeit­grup­pe geht aber von einem weit­ge­hen­den Kopp­lungs­ver­bot aus. Es bestehe eine “star­ke Ver­mu­tung” der Unwirk­sam­keit im Fall einer sol­chen Kopplung.

Beson­ders inter­es­sant ist hier die Bemer­kung der Arbeits­grup­pe, eine für die Ver­trags­er­fül­lung nicht not­wen­di­ge Daten­ver­ar­bei­tung kön­ne auch nicht zum Ver­trags­ge­gen­stand gemacht werden:

Artic­le 7(4) seeks to ensu­re that the pur­po­se of per­so­nal data pro­ce­s­sing is not dis­gu­i­sed nor bund­led with the pro­vi­si­on of a con­tract of a ser­vice for which the­se per­so­nal data are not neces­sa­ry. In doing so, the GDPR ensu­res that the pro­ce­s­sing of per­so­nal data for which con­sent is sought can­not beco­me direct­ly or indi­rect­ly the coun­ter-per­for­mance of a con­tract. The two lawful bases for the lawful pro­ce­s­sing of per­so­nal data, i.e. con­sent and con­tract can­not be mer­ged and blurred.

Das “direct­ly or indi­rect­ly” im obi­gen Zitat muss wohl so gele­sen wer­den, dass eine Ver­ar­bei­tung, die für einen Ver­trag typi­scher­wei­se nicht not­wen­dig ist, auch nicht zur Vertrags(neben)leistung erklärt wer­den kann, um die­se Ver­ar­bei­tung auf den Recht­fer­ti­gungs­grund der Ver­trags­ab­wick­lung stüt­zen zu können.

Im Ergeb­nis erfasst das Kopp­lungs­ver­bot dem­nach nicht nur die fak­ti­sche Kopp­lung zwi­schen Ver­trag und Ein­wil­li­gung, son­dern auch die recht­li­che Kopp­lung zwi­schen ver­trags­not­wen­di­gen und über­schie­ssen­den Ver­ar­bei­tun­gen.

Erfor­der­lich ist daher eine ech­te Wahl. Der Daten­schutz­grup­pe zufol­ge fehlt eine sol­che, wenn eine Lei­stung ohne eine für den Ver­trag nicht not­wen­di­ge Ver­ar­bei­tung nur zu höhe­ren Kosten ange­bo­ten wird. Eine Schwel­le ist nicht vor­ge­se­hen, so dass schon gerin­ge (Mehr-)Kosten zur Unwirk­sam­keit der Ein­wil­li­gung füh­ren (“no fur­ther costs”).

Kei­ne son­sti­ge Aus­übung von Druck oder Einfluss

Die Frei­wil­lig­keit ent­fällt ausser­halb der genann­ten Situa­tio­nen immer dann, wenn auf die betrof­fe­ne Per­son in ande­rer Wei­se unan­ge­mes­sen Druck oder Ein­fluss aus­ge­übt wird.

Gra­nu­la­ri­tät (“Bund­ling”)

Die Frei­wil­lig­keit ent­fällt nach der Arbeits­gup­pe fer­ner dann, wenn eine Ein­wil­li­gung nur für meh­re­re Zwecke gemein­sam erklärt wer­den kann. Eine Ein­wil­li­gung muss daher geson­dert für eige­nen Zweck ein­ge­holt wer­den (z.B. mit einer sepa­ra­ten Check­box pro Zweck; sie kann pro Zweck aber meh­re­re Ver­ar­bei­tungs­vor­gän­ge umfassen).

Nach­teils­frei­heit

Eine Ein­wil­li­gung ist schliess­lich nur dann frei­wil­lig, wenn eine Ver­wei­ge­rung oder ein Wider­ruf ohne Nach­teil mög­lich ist. So dür­fen der betrof­fe­nen Per­son kei­ne finan­zi­el­len Nach­tei­le ent­ste­hen (“not lead to any costs”).

Ein­deu­tig­keit

Nach Art. 6 Abs. 1 lit. a DSGVO kann die Ein­wil­li­gung nur für “einen oder meh­re­re bestimm­te Zwecke” erteilt wer­den (ähn­lich Art. 4 Nr. 11 DSGVO).

Die­ses Bestimmt­heits­ge­bot – das sich mit dem Ver­bot des Bund­lings (s. oben) zumin­dest über­schnei­det – ver­langt, dass sich Ein­wil­li­gun­gen jeweils auf einen bestimm­ten, aus­drück­li­chen und erlaub­ten Zweck bezie­hen (“spe­ci­fic, expli­cit and legi­ti­ma­te pur­po­se”). Bei neu­en Zwecken muss daher eine neue Ein­wil­li­gung ein­ge­holt wer­den (kein “func­tion creep”).

Infor­miert­heit

Gegen­stand

Ein­wil­li­gun­gen sind nur wirk­sam, wenn die betref­fen­de Per­son aus­rei­chend infor­miert war. Laut Arbeits­grup­pe muss die Infor­ma­ti­on immer min­de­stens die fol­gen­den Anga­ben umfas­sen (für jeden durch Ein­wil­li­gung zu recht­fer­ti­gen­den Zweck):

  • die Iden­ti­tät des Ver­ant­wort­li­chen (bei gemein­sa­mer Ver­ant­wort­lich­keit: aller Ver­ant­wort­li­chen, also nicht etwa nur des Ver­ant­wort­li­chen, der nach der Ver­ein­ba­rung der gemein­sam Ver­ant­wort­li­chen Haupt­an­sprech­part­ner ist; eben­so bei geplan­ter Wei­ter­ga­be an ande­re Verantwortliche);
  • der Zweck bzw. die Zwecke;
  • die Kate­go­rien der betrof­fe­nen Daten;
  • das Wider­rufs­recht;
  • die Ver­wen­dung für auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen nach Art. 22 Abs. 2 DSGVO;
  • bei Über­mitt­lun­gen in Dritt­län­der die damit ver­bun­de­nen Risi­ken, wenn ein ange­mes­se­ner Schutz und geeig­ne­te Garan­tien fehlen.

Je nach Risi­ko sei­en wei­te­re Anga­ben erfor­der­lich. Klar ist aber, dass nicht immer alle Anga­ben nach Art. 13 und 14 DSGVO erfor­der­lich sind.

Art und Wei­se der Information

Die erfor­der­li­chen Infor­ma­tio­nen müs­sen laut Arbeits­grup­pe wie folgt über­mit­telt werden:

  • Vor Beginn der Verarbeitung;
  • in leicht ver­ständ­li­cher Spra­che, abhän­gig von Emp­fän­ger­ho­ri­zont (“Con­trol­lers can­not use long ille­gi­ble pri­va­cy poli­ci­es or state­ments full of legal jargon”);
  • klar als sol­che bezeich­net (Ein­wil­li­gun­gen müs­sen als sol­che erkenn­bar sein; “Ich neh­me zur Kennt­nis…” genügt daher nicht);
  • von ande­ren Info­ma­tio­nen klar abge­trennt, insb. als Teil von AGB (“infor­ma­ti­on … may not be hid­den in gene­ral terms and conditions”);
  • elek­tro­ni­sche Ein­wil­li­gun­gen kön­nen beson­ders bei klei­nen Bild­schir­men gestuft ange­zeigt wer­den (“laye­red”).

Ein­deu­ti­ge bestä­ti­gen­de Handlung

Ein­wil­li­gun­gen kön­nen nur durch eine “ein­deu­ti­ge bestä­ti­gen­de Hand­lung” wirk­sam erklärt wer­den (Art. 4 Nr. 11 DSGVO). Das schliesst fol­gen­de Hand­lun­gen aus:

  • Vor­an­ge­kreuz­te Checkboxen;
  • kon­klu­den­te und mehr­deu­ti­ge Handlungen;
  • Schwei­gen;
  • blo­sse Inan­spruch­nah­me einer Leistung;
  • Zustim­mungs­er­klä­run­gen zu einem Ver­trag bzw. zu AGB (erfor­der­lich ist eine eige­ne Ein­wil­li­gung in die Daten­ver­ar­bei­tung, neben dem Akzept: “… con­sent can­not be obtai­ned through the same moti­on as agre­e­ing to a con­tract or accep­ting gene­ral terms and con­di­ti­ons of a service”).

Im elek­tro­ni­schen Kon­text kom­men fol­gen­de Hand­lun­gen in Betracht:

  • Ankreu­zen einer Checkbox;
  • Swi­pen oder Dre­hen des Han­dys, sofern der Aus­sa­ge­ge­halt ein­deu­tig ist;
  • nicht: Durch­scrol­len einer Erklä­rung ohne wei­te­re Handlung.

Aus­drück­li­che Einwilligung

Bei beson­de­ren Daten, für die Über­mitt­lung ins Aus­land und für auto­ma­ti­sier­te Ein­zel­ent­schei­dun­gen muss die Ein­wil­li­gung aus­drück­lich erklärt wer­den. Das ver­langt – über die genann­ten Anfor­de­run­gen hin­aus, insb. die Anfor­de­rung der ein­deu­ti­gen bestä­ti­gen­den Hand­lung -, dass die Ein­wil­li­gung auf aus­drück­li­che Art und Wei­se erklärt wird. Die Arbeits­grup­pe nennt fol­gen­de Beispiele:

  • Aus­fül­len eines elek­tro­ni­schen Formulars;
  • Absen­den einer E‑Mail;
  • Hoch­la­den einer unter­zeich­ne­ten Vereinbarung;
  • Ver­wen­dung einer elek­tro­ni­schen Signatur;
  • Dou­ble Opt-In.

Nicht erwähnt wird das Ankreu­zen einer Check­box. Es kann aber wohl kaum Zwei­fel bestehen, dass das Ankreu­zen einer Check­box eine ein­deu­ti­ge Ein­wil­li­gung aus­drücken kann. (Zu ver­lan­gen ist dann aber wohl, dass der Bezug zwi­schen der Check­box und dem Gegen­stand der Ein­wil­li­gung direkt ist, bspw. indem neben der Check­box ein Link zu AGB mit ent­spre­chen­den Aus­füh­run­gen und zusätz­lich eine Kurz­zu­sam­men­fas­sung des Gegen­stands der Ein­wil­li­gung auf­ge­führt wird).

Nach­weis­bar­keit

Der Ver­ant­wort­li­che muss die wirk­sa­me Ein­wil­li­gung nach­wei­sen kön­nen. Die DSGVO gibt nicht vor, auf wel­che Art und Wei­se der Nach­weis zu füh­ren ist, sofern dabei das Daten­schutz­recht ein­ge­hal­ten wird, indem z.B. auf über­mä­ssi­ge Daten­ver­ar­bei­tung zu Beweis­zwecken ver­zich­tet wird. Dabei stellt sich u.a. auch die Fra­ge, wie lan­ge der Nach­wei­se der Ein­wil­li­gung auf­zu­be­wah­ren ist (ob jeweils die Ver­jäh­rungs­frist abge­war­tet wer­den darf, ist offen).

Soweit ersicht­lich betrach­tet die Arbeit­grup­pe die Nach­weis­bar­keit als Gül­tig­keits­vor­aus­set­zung. Das hie­sse aber, dass eine Sank­tio­nie­rung auch dann in Fra­ge käme, wenn die Ein­wil­li­gung zwar nicht nach­weis­bar, aber gar nicht bestrit­ten wäre. Das wäre doch eher überraschend.

Ver­wir­ken” von Einwilligungen

Die DSGVO sieht kein Ver­wir­ken von Ein­wil­li­gun­gen vor. Die Arbeits­grup­pe emp­fiehlt aber als Best Prac­ti­ce, dass Ein­wil­li­gun­gen regel­mä­ssig auf­ge­frischt wer­den sollen.

Wider­ruf

Ein­wil­li­gun­gen sind stets wider­ruf­lich (wobei Aus­nah­men denk­bar sind), wor­auf bei der Ein­ho­lung der Ein­wil­li­gung hin­zu­wei­sen ist. Der Wider­ruf muss dabei so ein­fach wie die Ein­wil­li­gungs­er­klä­rung mög­lich sein.

Das heisst bspw., dass ein ein­zi­ger Klick zum Wider­ruf genü­gen muss, wenn die Ein­wil­li­gung auf die­se Wei­se ein­ge­holt wur­de. Die betrof­fe­ne Per­son darf daher nicht stan­dard­mä­ssig auf die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten ver­wie­sen wer­den. Erfor­der­lich sind bewuss­te Wider­rufs­me­cha­nis­men auf einer Web­site, in einer App etc.

Ver­hält­nis zu ande­ren Rechtfertigungsgründen

Laut der Arbeits­grup­pe kann jede Ver­ar­bei­tung nur auf einer ein­zi­gen Rechts­grund­la­ge beru­hen. Erweist sich eine Ein­wil­li­gung als unwirk­sam oder wird sie wider­ru­fen, kann der Ver­ant­wort­li­che daher nicht ein­fach bspw. auf berech­tig­te Inter­es­sen umstel­len – das zeigt sich laut der Arbeits­grup­pe dar­in, dass über die Rechts­grund­la­ge jeweils vor­ab zu infor­mie­ren ist (Art. 13/14 Abs. 1 lit. c DSGVO).

Ein­wil­li­gung von Kindern

Kin­der kön­nen nach Art. 8 DSGVO in die Ver­ar­bei­tung ihrer Daten ein­wil­li­gen, sobald sie 16 sind (unter Vor­be­halt einer Schwel­le zwi­schen 13 und 16 nach dem Recht der Mit­glied­staa­ten). Das gilt aller­dings nur für “Dien­ste der Infor­ma­ti­ons­ge­sell­schaft”, bspw. Ver­trags­schlus­ses im Inter­net oder die Erbrin­gung von Lei­stun­gen im Inter­net. Ausser­halb die­ses Bereichs gilt nicht Art. 8 DSGVO, son­dern das Recht der Mitgliedstaaten.

Bie­tet der Ver­ant­wort­li­che sol­che Dien­ste bewusst an Kin­der an (was objek­tiv zu bestim­men ist), muss er das Alter veri­fi­zie­ren. Dafür ent­hält die DSGVO kei­ne Vor­ga­ben; je nach Risi­ko genügt eine Alters­ab­fra­ge oder sind wei­te­re Mass­nah­men erforderlich.

Bei Kin­dern unter­halb 16 muss die Ein­wil­li­gung durch die Eltern bzw. gesetz­li­chen Ver­tre­ter erklärt wer­den. Der Ver­ant­wort­li­che muss in die­sem Fall auf geeig­ne­te Wei­se sicher­stel­len, dass die Ein­wil­li­gung effek­tiv von den berech­tig­ten Per­so­nen stammt. Auch hier gilt ein risi­ko­ba­sier­ter Ansatz; je nach­dem kann es erfor­der­lich sein, mit den Zustim­men­den per E‑Mail Kon­takt aufzunehmen.

Was geschieht, wenn Kin­der voll­jäh­rig wer­den? Laut der Arbeits­grup­pe muss die Ein­wil­li­gung in die­sem Fall erneut ein­ge­holt werden:

From that day for­ward, the con­trol­ler must obtain valid con­sent from the data sub­ject him/herself. In prac­ti­ce this may mean that a con­trol­ler rely­ing upon con­sent from its users may need to send out mes­sa­ges to users peri­odi­cal­ly to remind them that con­sent for child­ren will expi­re once they turn 16 and must be reaf­firm­ed by the data sub­ject personally.

For­schung

Die Ein­wil­li­gung zur Ver­ar­bei­tung zu For­schungs­zwecken kann laut ErwG 33 brei­ter erklärt werden:

Oft­mals kann der Zweck der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke der wis­sen­schaft­li­chen For­schung zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten nicht voll­stän­dig ange­ge­ben wer­den. Daher soll­te es betrof­fe­nen Per­so­nen erlaubt sein, ihre Ein­wil­li­gung für bestimm­te Berei­che wis­sen­schaft­li­cher For­schung zu geben, wenn …

Die Arbeits­grup­pe legt die­se Erleich­te­rung eng aus, beson­ders wenn es um beson­de­re Daten geht. Zudem sind Mass­nah­men zur Risi­ko­min­de­rung zu ergrei­fen, bspw. durch beson­ders trans­pa­ren­te Infor­ma­ti­on, durch mög­lichst früh­zei­ti­ge Anony­mi­sie­rung oder wenig­stens Pseud­ony­mi­sie­rung etc.

Fort­gel­tung bestehen­der Einwilligungen

Ein­wil­li­gun­gen müs­sen zwar nicht zwin­gend neu ein­ge­holt wer­den (“Repa­pe­ring”). Alt­recht­li­che Ein­wil­li­gun­gen gel­ten jedoch nur fort, wenn sie den Anfor­de­run­gen der DSGVO an Ein­wil­li­gun­gen ent­spre­chen (“in so far as it is in line with the con­di­ti­ons laid down in the GDPR”). Ver­zicht­bar sind inso­fern nur Anfor­de­run­gen, die sich nicht auf die Ein­wil­li­gung bezie­hen, bspw. die Infor­ma­ti­on nach Art. 13 und 14 DSGVO (sofern sie über das hin­aus­geht, was für eine infor­mier­te Ein­wil­li­gung erfor­der­lich ist; s. oben).

AI-generierte Takeaways können falsch sein.