3. Praxisbeispiele
204
Ein Beschäftigter erhält im Rahmen der Durchführung seiner Aufgaben Kenntnis von personenbezogenen Daten, für die er kein Zugangsrecht besitzt. In diesem Fall sollte dieser Mitarbeiter in Bezug auf seinen Arbeitgeber als Dritter angesehen werden, mit allen sich daraus ergebenden Folgen einschließlich der Haftung hinsichtlich der Rechtmäßigkeit der Weitergabe und Verarbeitung der Daten.[477]
1. Allgemeines
205
Art. 4 Nr. 11 definiert die Einwilligung der betroffenen Person als jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Der Einwilligung kommt unter der DS-GVO eine zentrale Rolle als Erlaubnistatbestand für eine rechtmäßige Datenverarbeitung zu.[478]
206
Der Begriff findet sich auch außerhalb des Datenschutzrechts, insbesondere im Zivil- und Strafrecht. Zu beachten sind insbesondere die unterschiedlichen lauterkeits- und datenschutzrechtlichen Anforderungen an die Einwilligung.[479] Das Datenschutzrecht ist geprägt von hohen Transparenz- und Bestimmtheitserfordernissen. Dies führt dazu, dass die Einwilligung im Datenschutzrecht einen eigenen Charakter bekommt und sie gesonderten Voraussetzungen unterliegt. Die datenschutzrechtlichen Anforderungen an eine Einwilligung sind unter der DS-GVO maßgeblich.[480]
207
Unionsrechtlich wurde die datenschutzrechtliche Einwilligung bislang durch Art. 2 lit. h DSRL geregelt. Die Definition in Art. 4 Nr. 11 ist die Nachfolgeregelung dieser Norm. Sie wird nunmehr aber durch weitere Wirksamkeitsvoraussetzungen begleitet, die sich vor allem in Art. 7[481] und Art. 8[482] wiederfinden.
208
Im deutschen Recht war die Einwilligung bisher in § 4a BDSG a.F. geregelt. Für eine nationale Regelung bleibt unter der DS-GVO kein Raum mehr. Die Einwilligung hat nunmehr den Vorgaben der DS-GVO zu genügen. Lediglich in Bezug auf die Einwilligung im Beschäftigtenkontext lässt die DS-GVO über Art. 88 dem nationalen Gesetzgeber Regelungskompetenz. Hiervon wurde mit § 26 Abs. 2 BDSG n.F. Gebrauch gemacht.[483]
209
Adressiert ist die Definition der Einwilligung in erster Linie an den Verantwortlichen. Dieser ist gem. Art. 5 Abs. 2 rechenschaftspflichtig dafür, dass seine Verarbeitung rechtmäßig ist.[484] Art. 7 Abs. 1 verlangt ausdrücklich, dass der Verantwortliche die Einwilligung nachweisen kann.[485]
210
Die Definition steht in einem engen Zusammenhang mit anderen Normen der DS-GVO. Sie ist immer im Zusammenhang mit den Voraussetzungen der Art. 7 und 8 und den ErwG 32, 33, 42, und 43 zu lesen. Maßgeblich ist die Definition der Einwilligung zunächst, um eine Datenverarbeitung gem. Art. 6 rechtmäßig auszugestalten. Beruht die Datenverarbeitung auf einer Einwilligung, ist im Rahmen der Informationspflichten nach Art. 13 und 14 auf das Recht zum Widerruf hinzuweisen. Daneben beziehen sich einige Betroffenenrechte auf Verarbeitungssituationen, die durch eine Einwilligung legitimiert wurden. Hierzu zählen insbesondere das Recht auf Löschung[486], das Recht der Verarbeitung bei Einschränkung der Verarbeitung[487] und das Recht auf Datenübertragbarkeit[488].
2. Inhalt
211
Aus der Definition der Einwilligung ergeben sich Wirksamkeitsvoraussetzungen für die datenschutzrechtliche Einwilligung.[489] Tatbestandsmerkmale sind die Freiwilligkeit[490], die Bestimmtheit[491], die Informiertheit[492] und die unmissverständlich abgegebene Willensbekundung[493]. Diese Begriffe werden von den Aufsichtsbehörden der verschiedenen Mitgliedstaaten unterschiedlich ausgelegt. Unternehmen mit Hauptniederlassung[494] in Deutschland sollten sich gleichwohl auch im Falle grenzüberschreitender Datenverarbeitungen aufgrund des One-Stop-Shop-Prinzip[495] an der Auslegung der deutschen Datenschutzaufsicht orientieren, da allein diese für sie praktische Bedeutung erlangt.
212
Hinzu kommt für besondere Verarbeitungssituationen die Ausdrücklichkeit. Dies gilt für eine Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a. Zu denken ist hier an Gesundheitsdaten[496], aber auch an automatisierte Entscheidungen[497] und an die Datenübermittlungen in Drittländer[498].
213
Online erfolgt die Gestaltung von Einwilligungserklärungen in der Regel nach dem Opt-in- oder dem Opt-out-Prinzip. Hierbei ist entweder die Zustimmung zur Datenverarbeitung bereits voreingestellt, kann aber abgewählt werden („Widerspruchslösung“) oder die Ablehnung der Datenverarbeitung ist voreingestellt, die Einwilligung kann aber entsprechend erteilt werden („Zustimmungslösung“). ErwG 32 nennt das „Anklicken eines Kästchens beim Besuch einer Internetseite“ und damit eine Erklärung nach dem Opt-in-Prinzip ausdrücklich als tatbestandliche Einwilligung.[499] Nicht ausreichend sind hiernach jedoch „bereits angekreuzte Kästchen“ und damit Erklärungen nach dem Opt-Out-Prinzip.[500] Alternativ gibt es die Möglichkeit einer sog. Mandated Choice[501], bei welcher es keine voreingestellte Auswahloption gibt. Vielmehr muss sowohl die Zustimmung als auch die Ablehnung der Datenverarbeitung stets ausgewählt werden. Diese ist, da sie dem Schutzinteresse der betroffenen Person im hohen Maße Rechnung trägt, prinzipiell geeignet eine wirksame Einwilligung hervorzubringen. Grenzen zeigen sich, zumindest wenn es um eine Datenverarbeitung der in Art. 9 genannten Daten geht,[502] womöglich aber dort, wo der Entscheidungsgestaltung trotz verschiedener Auswahloptionen eine Verhaltenssteuerung durch sog. Framing[503] innewohnt. Gemeint ist hiermit etwa die positive Formulierung der Zustimmung im Vergleich zur Ablehnung oder das Betonen der Vorzüge, die die Zustimmung ermöglicht ohne auf Nachteile und Gefahren hinzuweisen.[504]
214
Hinsichtlich der Voraussetzungen an eine wirksame Einwilligung hat der EuGH 2019 über ein Vorabentscheidungsersuchen des BGH von 2017[505] bezüglich der Frage entschieden, ob eine nach der ePrivacy-RL in Verbindung mit der DSRL bzw. der DS-GVO wirksame
