Informiertheit des Betroffenen dann auszugehen, wenn dem Betroffenen die folgenden Informationen vor Erteilung der Einwilligung verfügbar gemacht werden:[27]
| – | die Identität des für die Verarbeitung Verantwortlichen, |
| – | den Zweck jeder Verarbeitung, für die eine Einwilligung verlangt wird, |
| – | welche Art von Daten gesammelt und verwendet werden, |
| – | das Bestehen des Widerrufsrechts, |
| – | Informationen über die Verwendung der Daten für Entscheidungen, die ausschließlich auf automatisierter Verarbeitung basieren, einschließlich Profiling gem. Art. 22 Abs. 2, |
| – | wenn die Zustimmung Übertragungen betrifft, über die möglichen Risiken von Datenübertragungen in Drittstaaten in Ermangelung einer Angemessenheitsentscheidung und angemessener Garantien (Art. 49 Abs. 1 lit. a). |
24
Bei gemeinsam für die Verarbeitung Verantwortlichen bzw. Dritten als Empfänger von personenbezogenen Daten aufgrund einer Einwilligung müssen diese Parteien ebenfalls vor Erteilung der Einwilligung genannt werden.[28] Der EuGH sieht zudem das Erfordernis, die Dauer der Speicherung anzugeben, was sich indirekt aus Art. 13 Abs. 2 lit. a ergäbe.[29] Dies dürfte jedoch nur als allgemeiner Verweis auf die generell geltenden Informationspflichten nach Art. 12 ff. zu verstehen sein.
a) Transparenz
25
Die schriftliche Einwilligung unterliegt dem Erfordernis der Transparenz in besonderer Weise, sofern die Einwilligung noch andere Sachverhalte betrifft. Als Beispiel ist die datenschutzrechtliche Einwilligung innerhalb Allgemeiner Geschäftsbedingungen denkbar.[30] Bei Abgabe einer schriftlichen Erklärung in anderer Sache soll die Einwilligung nach ErwG 42 in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Im Sinne des Grundsatzes der Transparenz[31] ist sowohl der für die Verarbeitung Verantwortliche, als auch der Zweck zu benennen, um die auf einen bestimmten Zweck beschränkte Einwilligung zu erteilen.
b) Hervorhebung
26
Neben der Transparenz soll die Hervorhebung i.S.v. Art. 7 Abs. 2 gewährleisten, dass die Einwilligung für bestimmte Zwecke von den anderen Sachverhalten klar zu unterscheiden ist.
aa) Gestalterisch
27
Damit eine Einwilligung, die zusammen mit anderen Erklärungen schriftlich erteilt wird, für den Betroffenen leicht ersichtlich wird, fordert Art. 7 Abs. 2 S. 1 eine gestalterische Transparenz.[32] Die genaue Ausgestaltung gibt die DS-GVO hingegen nicht vor, weswegen dies Aufgabe der Rechtsanwendung sein wird. Teleologisch verlangt die Bestimmung, dass das Ersuchen um die Einwilligung nicht mehr zu übersehen ist. Es lässt sich vertreten, dass dafür bereits ein eigener Absatz ausreicht.[33] Die Einwilligungserklärungen durch Fettdruck, durch eine Umrandung oder auffällige Einfärbung als Abgrenzung vom übrigen Text ist zweifelsfrei mit der gebotenen Hervorhebung vereinbar, aber wohl nicht notwendig.[34]
bb) Inhaltlich
28
Die gestalterische Anforderung tritt jedoch hinter die inhaltlichen, aber teilweise sich damit überschneidenden Vorgaben nach Art. 7 Abs. 2 S. 1 zurück. Maßgeblich für die Rechtmäßigkeit der Einwilligung ist, dass das Ersuchen um die Einwilligung mit einer eindeutig bestätigenden Handlung Annahme findet. Es kommt nur darauf an, dass aus dem Handeln des Betroffenen unmissverständlich erkennbar wird, in welche konkrete Datenverarbeitung er einwilligt. Damit lässt sich diese nicht in einem Gesamttext (Vertrag, Allgemeine Geschäftsbedingungen o.Ä.) integrieren, wo sie vom Betroffenen übersehen werden könnte.[35] Im Ergebnis muss die Abgabe einer schriftlichen Erklärung in anderer Sache „hinreichend deutlich“[36] sein – sowohl optisch, als auch vor allem inhaltlich.
c) Rechtsfolge bei Verstoß (Art. 7 Abs. 2 S. 2)
29
Als Folge für Verstöße gegen die Regelungen der DS-GVO innerhalb einer Erklärung, verlieren die unzulässigen Teile ihre rechtliche Verbindlichkeit. In der Konsequenz behalten die rechtskonformen Teile der Erklärungen ihre Geltung. Eine geltungserhaltende Reduktion hinsichtlich des Ersuchens der Einwilligung scheidet aus, weil die Wirksamkeitsvoraussetzungen alternativlos zu erfüllen sind.[37]
5. Form
30
Bei der Einwilligung handelt es sich um eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“[38]. Art. 7 Abs. 2 S. 1 normiert dafür keine generellen Formvorgaben.[39] Für die Rechtsanwendung dieses zentralen Legitimationstatbestands ist die praktische Ausgestaltung jedoch von hoher Relevanz und bedarf zur Erfüllung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten entsprechender Rechtssicherheit.[40]
a) Kein Schriftformerfordernis
31
Ein Schriftformerfordernis enthält die DS-GVO definitiv nicht. Die ausdrückliche Einwilligung kann demzufolge auch elektronisch oder mündlich erklärt werden.[41] Der Formfreiheit steht die Beweispflicht für das Vorliegen einer Einwilligung gegenüber. In der Regel und vor allem bei erheblichen Gefährdungen für das Persönlichkeitsrecht des Betroffenen wird die schriftliche und deswegen am besten dokumentierbare Einwilligungserklärung – auch zum Schutz vor zivilrechtlicher Haftung – zu präferieren sein.[42]
32
Zum Hintergrund für die Abkehr vom Schriftformerfordernis: Entscheidender als die Form war in den Verhandlungen, ob eine Einwilligung ausdrücklich erteilt werden muss.[43] Für eine rechtmäßige Einwilligung muss immer eine „eindeutig positiv bejahende Handlung“ vorliegen.[44]
b) Einwilligungserklärungen bei Einholung auf elektronischem Wege
33
Gerade im digitalen Zeitalter sind die elektronischen Möglichkeiten von hoher praktischer Relevanz. Den Verzicht auf ein Schriftformerfordernis signalisiert die Einwilligung durch das Anklicken eines Kästchens beim Besuch einer Internetseite.[45] Ebenfalls denkbar ist die eindeutige Auswahl in den technischen Einstellungen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten ausdrückt.[46]
