Für die Rechtsanwendung steht damit Frage im Raum wie mit bereits vorliegenden Einwilligungen gem. DSRL vorzugehen ist.[7] Dazu trifft die DS-GVO in ihren Erwägungsgründen eine klare Aussage: „Beruhen die Verarbeitungen auf einer Einwilligung gem. der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“[8] Mit der Bezugnahme auf die Bedingungen für die Einwilligung, welche der Überschrift des Art. 7 nach darin normiert sind, werden diese zum Prüfmaßstab für Einwilligungen nach bisherigem Recht.[9]
14
Wurde die Einwilligung aber entgegen den Bestimmungen der DS-GVO von dem Betroffenen abgegeben, so ist Verarbeitung der Daten unzulässig.[10] Besondere Beachtung verdient deswegen das Kriterium der Freiwilligkeit, die für eine rechtmäßige Einwilligung i.S.d. DS-GVO unabdingbar ist.
15
Die Aufsichtsbehörden sind diesbezüglich zu dem Schluss gekommen, dass bisher rechtswirksame Einwilligungen diese Bedingungen grundsätzlich erfüllen, da insbesondere Informationspflichten nach Art. 13 dafür nicht erfüllt sein müssen.[11]
e) Sanktion des Art. 83 Abs. 5 lit. a
16
Bei einem Verstoß gegen Art. 7 kommt gem. Art. 83 Abs. 1, Abs. 5 lit. a das nach der DS-GVO höchst mögliche Bußgeld in Höhe von bis zu 20 Millionen EUR „oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ in Betracht. Die maximal mögliche Bußgeldhöhe erscheint geboten, weil die Einwilligung die Rechtmäßigkeit der grundsätzlich verbotenen Verarbeitung personenbezogener Daten begründet und ohne die Rechtmäßigkeit ein schwerwiegender Eingriff in das Recht auf informationelle Selbstbestimmung vorliegen kann.
f) Die Rechtsnatur der Einwilligung[12]
17
Die Einwilligung des Betroffenen in eine Datenverarbeitung legitimiert die Verarbeitung. Sie ist eine Willenserklärung, die Rechtsfolgen auslöst, so dass sie einen rechtsgeschäftlichen Erklärungsgehalt hat.[13] Die Bewertung der Rechtsnatur der Einwilligung, mag sie auch mehr rechtstheoretischer Natur sein, als Realhandlung, ist ebenso missverständlich wie überflüssig.[14]
g) Vorgaben aus dem informationellen Selbstbestimmungsrecht und aus Art. 8 Abs. 1 GRCh
18
Nach Art. 8 Abs. 2 S. 1 GRCh bedarf jede Verarbeitung personenbezogener Daten einer Einwilligung des Betroffenen oder einer gesetzlichen Legitimation. Die Entscheidungsprärogative i.S.d. Privatautonomie wird am besten gewahrt, wenn die Datenverarbeitung vorrangig von der vom Datensubjekt einzuholenden Einwilligung abhängt.[15] Erfolgt die Datenverarbeitung nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person, liegt kein Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor.[16] Die Einwilligung bleibt daher ein entscheidender Grundpfeiler des Datenschutzes.[17]
2. Beweislast
19
Die Regelung der Beweislast in Art. 7 Abs. 1 ist eindeutig: Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Die Wahl des entsprechenden Tempus spiegelt wider, dass die Einwilligung vor der eigentlichen Verarbeitung eingeholt sein muss, um die Rechtmäßigkeit dieser Verarbeitung zu begründen. Die Zuweisung der Beweislast hin zum Verantwortlichen steht im Licht der grundsätzlich bei der Verarbeitung personenbezogener Daten bestehenden Rechenschaftspflicht (Art. 5 Abs. 2).
20
In welcher Form der Nachweis von Seiten der verantwortlichen Stelle im Streitfall zu leisten ist, definiert Art. 7 nicht eindeutig. Mit der Dokumentation der Einwilligung weist der Verantwortliche die Rechtmäßigkeit nach, weswegen eine schriftliche oder textliche Einwilligung ratsam erscheint. Sie entspricht einer „Willensbekundung in Form einer Erklärung“[18] am besten. Gleichwohl ist eine mündliche Erklärung vom Betroffenen ebenfalls als zulässige Einwilligung qualifizierbar.[19] In diesem Fall wird die Beweislast für den Verantwortlichen jedoch zur Herausforderung. Trotz der Fokussierung auf die Nachweisfunktion wird mit Art. 7 Abs. 1 eine Beweislastpflicht implementiert, ohne dass eine Einwilligung allein aufgrund mangelnder Schriftlichkeit unwirksam ist.[20] In der Regel dürfte es für den Verantwortlichen ausreichend sein, Nachweise vorzuhalten, die den Prozess der Einholung der Einwilligung im Einklang mit den gesetzlichen Vorgaben dokumentieren.[21] Daneben sollten für die jeweilige Einwilligung die Umstände der Einholung dokumentiert werden, etwa der Zeitstempel der Einwilligung oder ein Double-Opt-In.[22] Gerade bei Diensten von Informationsgesellschaften ist die Nutzung sogenannter Consent Management Plattformen empfehlenswert, die entsprechende Schnittstellen zu gängigen Customer Relationship Systemen (CRM) vorsehen.
21
Aus den Regelungen der Verordnung ergibt sich nicht, dass eine einmal erteilte Einwilligung allein durch das Verstreichen eines langen Zeitraums unwirksam werden kann. Eine einmal erteilte Einwilligung kann auch nach erheblichem Zeitablauf dem Beweis dienen. Eine „Auffrischung“ der Einwilligung ist nicht notwendig, von der Verordnung nicht vorgesehen und in der Praxis nicht handhabbar.[23]
3. Informiertheit und Transparenz
22
Die Einwilligung muss neben spezifischen Anforderungen wie bspw. bei der Einwilligung von Minderjährigen grundsätzlich den Anforderungen aus der Legaldefinition (Art. 4 Nr. 11), dem Legitimationstatbestand zur Einwilligung (Art. 6 Abs. 1 lit. a) und den Bedingungen für die Einwilligung (Art. 7) genügen. Dazu zählt insbesondere, dass die Einwilligung vom Betroffenen gem. Art. 4 Nr. 11 „in informierter Weise“ zu erfolgen hat. Das in Art. 5 Abs. 1 lit. a formulierte Transparenzgebot gilt in der Konsequenz auch für die Einwilligung. Dazu muss der Betroffene die wesentlichen Umstände der Datenverarbeitung, wie die Identität des Verantwortlichen und die Zwecke der Datenverarbeitung, kennen.[24] Insofern ist der Begriff der Transparenz eng mit dem der Vorhersehbarkeit der Datenverarbeitung verzahnt.[25] Vollständige Informationen sind die Voraussetzung dafür, dass der Betroffene sein Recht auf informationelle Selbstbestimmung legitimierend ausüben kann.[26]
23
