31: Die Einwilligung zum/im Datenschutz und bei E-Privacy (Cookies)

LB31: Die Einwilligung zum/im Datenschutz und bei E-Privacy (Cookies) (mit Simon Assion)

Wer an die Freiheit des menschlichen Willens glaubt,
hat nie geliebt und nie gehasst.

Ein lang überfälliges Thema und gleichzeitig eine Podcast-Folge, die fast zwei Monate nach Aufnahme gelegen hat: Frank spricht in dieser Folge mit RA Dr. Simon Assion von Bird & Bird in Frankfurt über die Einwilligung: was sie (nicht) ist, wofür man sie braucht, wie man sie einholt und -- für viele spannend -- warum man auf Websites immer und überall in die Verwendung von Cookies einwilligen soll/muss/kann.

Das Introzitat von Marie von Ebner-Eschenbach wird gesprochen von Kailin Xu (Bird & Bird). Herzlichen Dank dafür!

01:32 Vorstellung Simon und Einleitung ins Thema

Themen dieser Folge:

  • Was ist die Einwilligung, und wofür braucht man sie?
  • Was ist die Einwilligung nicht?
  • Wie holt man sie ein?

07:40 Was ist eine Einwilligung, und wann/wofür braucht man sie?

Wir klären zunächst, was eine Einwilligung im Datenschutz ist, und grenzen sie gegen das "Opt-In" ab.

Um die Einwilligung verorten und greifen zu können, sprechen wir über die Rechtsgrundlagen in Art. 6 Abs. 1 S. 1 DSGVO und grenzen die Einwilligung von anderen Rechtsgrundlagen ab, die regelmäßig auch und manchmal sogar vorrangig in Betracht kommen. Vor allem das berechtigte Interesse nach Buchstabe f und die Vertragserfüllung nach Buchstabe b sind oft einschlägig, werden in der Praxis aber oft zu Gunsten der Einwilligung benachteiligt. Wir sprechen darüber, wann/warum das problematisch ist.

Simon führt aus, dass "Win-Win-Situationen" oft keine ausdrückliche Einwilligung erfordern, weil in diesen Fällen die Interessenabwägung nach Buchstabe f für eine Rechtsgrundlage sorgen kann, und dass und warum Verbraucher generell misstrauisch sein sollten, wenn Unternehmen um Einwilligungen bitten (mit Ausnahme besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO).

Zusatzaspekt, warum es schädlich sein kann, eine Einwilligung in Fällen einzuholen, in denen man eine andere Rechtsgrundlage hat: Wenn Unternehmen eigentlich eine andere Rechtsgrundlage hätten (z. B. Vertragserfüllung oder legitime Interesse), trotzdem aber Einwilligungen einholen, wird jedenfalls von manchen Aufsichtsbehörden vertreten, dass wenn die Einwilligung dann widerrufen wird, die ursprünglich vorliegende Rechtsgrundlage zur Datenverareitung dann nicht mehr als "doppelter Boden" herangezogen werden kann.

Ab 22:18 min sprechen wir darüber, dass und warum die Interessenabwägung für besonders sensible Daten (genauer: besondere Kategorien personenezogener Daten nach Art. 9 DSGVO) nicht zur Verfügung steht und in diesen Fällen auch in Win-Win-Situationen regelmäßig um Einwilligung gebeten wird. Eine ausdrückliche Einwilligung ist u. E. problematisch z. B. bei Sprachassistenten und viele Apps, die Gesundheitsaspekte betreffen.

Ab 25:58 min beleuchten wir die Einwilligung als Instrument der Selbstbestimmung, auch aus anderen Perspektiven als dem Datenschutz, z. B. dem rechtfertigenden Einverständnis im Strafrecht, und dass es dem Bürger grundsätzlich freistehen muss, "unvernünftig zu sein".

27:55 Anforderungen an die Einwilligung

Wir sprechen über Einwilligungen, die im Verlauf eines Rechtsverhältnisses wegen Zweckänderung der Datenverarbeitung erforderlich werden, außerdem über die Freiwilligkeit der Einwilligungserklärung und die Frage, dass und wie die Prüfung von Identitäten einwilligender Personen online durch Double-Opt-In erforderlich und möglich ist. Simon berichtet auch davon, wie Double-Opt-In als Ergebnis einer Serie von Rechtsstreits zwischen Nutzern des heise online-Forums und RA Günter Freiherr von Gravenreuth entstand.

Zum Kapitelabschluss sprechen die beiden ab 35:20 min über den Zweiklang von Einwilligungen nach DSGVO und nach § 7 UWG. Simon erklärt, wie unerwünschte E-Mail-Werbung ("Spam") rechtsdogmatisch eigentlich fälschlicherweise in die E-Privacy-Richtlinie kam und der deutsche Gesetzgeber die Regelung dann -- eigentlich dogmatisch korrekt, aber hier nun europarechtswidrig -- ins UWG geschrieben hat. Das Ergebnis ist, dass nach § 7 UWG die Zusendung von (E-Mail-)Werbung eine Einwilligung eingeholt werden muss, die datenschutzrechtlich aber wohl nicht erforderlich wäre, weil die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausreichen sollte.

39:50 Die große Verwechslung: Hinweis und Einwilligung

In der Praxis oft angetroffen und von Praktikern oft verwechselt: das Erfordernis, einen Hinweis zu geben (also eine Erklärung z. B. des Unternehmens, das eine Website betreibt), und die Pflicht, eine Einwilligung einzuholen (also eine Erklärung der betroffenen Person).

Wir beleuchten drei Aspekte der Einwilligung:

42:10 Aspekt 1: datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO)

Dieser zuvor schon besprochene Aspekt ist sozusagen "der Standardfall".

43:11 Aspekt 2: Einwilligung in die Verwendung von Cookies (Art. 5 E-Privacy-RL)

Diese Art von Einwilligung hat nicht notwendigerweise mit Personenbezug zu tun, was auch kürzlich im Planet49-Urteil des EuGH (Urteil idS. Sache C-673/17 vom 01.10.2019) entschieden wurde. Wir sprechen über das Verhältnis der DSGVO zur E-Privacy-Richtlinie und darüber, dass Letztere nach Art. 95 DSGVO dort vorrangig anzuwenden ist, wo die Inhalte der E-Privacy-Richtlinie einschlägig sind. Genau das ist bei der Verwendung von Cookies der Fall und führt dazu, dass der Hinweis auf die Verwendung von Cookies gar nicht nach der DSGVO erforderlich ist, sondern nach der E-Privacy-Richtlinie (Art. 5 Abs. 3), in dem steht:

"(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. […]"

Es ist also keine Einwilligung erforderlich, sondern nur der Hinweis darüber, zu welchen Zwecken Cookies gespeichert werden, und dass der Nutzer das Recht hat, diese Verarbeitung zu verweigern.

Simon wagt außerdem einen vorsichtigen Blick in die Zukunft, wie die E-Privacy-Verordnung den Bereich der Cookies-Verwendung regeln wird.

49:30 Aspekt 3: Einwilligung in die Datenschutzinformationen/"Datenschutzerklärung"

Hier werden in der Praxis oft besonders üble Fehler gemacht. Es ist nach Simons Ansicht ein grober Fehler, Einwilligungen "in die Datenschutzerklärung" (damit also in alles, was in Bezug auf die Verarbeitung personenbezogener Daten auf einer Website geschieht) einzuholen. Viele Praktiker halten dieses Vorgehen, führt er aus, vermutlich für "besonders rechtssicher", in Wahrheit holen sie damit regelmäßig eine (unwirksame) Globaleinwilligung ein, die nicht nur wegen ihrer Globalität unwirksam ist, sondern weil -- wie vorher gezeigt -- der Website-Betreiber wahrscheinlich auch nicht auf die möglicherweise ursprünglich vorliegenden Rechtsgrundlagen zurückfallen kann. Dazu kommt, dass der Website-Betreiber im Ernstfall auch nicht einmal die Identität der einwilligenden Personen belegen könnte.

Um zu verdeutlichen, warum diese Art von Einwilligung ein grober Fehler ist, beleuchten wir den Rechtsstreit des VZBV gegen Apple in den Jahren 2011 bis 2018 (also nicht 2009, wie Simon sich im Podcast erinnert), in denen im Ergebnis diverse Datenschutzklauseln von Apple als rechtswidrig eingestuft wurden, z. B. diese hier:

"Wenn du Inhalte mit Familie oder Freunden teilst und dabei Produkte von Apple verwendest, Geschenkgutscheine und Produkte verschickst oder andere dazu einlädst, sich dir in einem Apple Forum anzuschließen, kann Apple die Daten erheben, welche du über diese Personen zur Verfügung stellst, wie Name, Adresse, E-Mail und Telefonnummer."

Wir erläutern an dieser Stelle zur Verdeutlichung, was "AGB" bedeutet, dass damit nicht eine bestimmte Art von Dokument gemeint ist, sondern alle für eine Vielzahl von Verwendungen vorformulierten Klauseln.

58:10 Einwilligungen wirksam einholen

Teil 1: Die Freiwilligkeit und das ominöse Kopplungsverbot

Wir sprechen über die Voraussetzungen wirksamer Einwilligung wie z. B. die Informiertheit und die Freiwilligkeit, wie Art. 7 Abs. 4 DSGVO sie vorsieht:

Art. 7 Abs. 4 DSGVO:
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Hierbei diskutieren wir, ob diese Vorschrift ein Kopplungsverbot darstellt (Spoiler: nein) und wie sich ein Kopplungsverbot dennoch darstellen und woraus es sich ergeben kann. Zur Verwertbarkeit unserer Einschätzung sprechen wir darüber, warum das Kopplungsverbot bei Gewinnspielen in der Praxis zwar nicht vorliegt, aber das Gefühl der Industrie aus anderen Gründen (z. B. wettbewerbsrechtlich wegen zu starkem Anlocken) dennoch berechtigt ist.

Zur Abrundung des Themas erläutert Simon den Unterschied zwischen vertikalem und horizontalem Kopplungsverbot.

67:30 Teil 2: Anforderungen an eine wirksame Einwilligung

Die hier genannten Anforderungen ergeben sich aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit a, Art. 7 und bei Minderjährigen zusätzlich aus Art. 8 DSGVO.

Checkliste für das Einholen wirksamer Einwilligungen:

  • Die die Einwilligung begründende Willensbekundung muss spezifisch, also für einen bestimmten Zweck gegeben werden.
  • Der Empfänger der Einwilligung muss klar bestimmbar sein.
  • Wenn es um besonders sensible Daten (nach Art. 9 DSGVO) geht, müssen sowohl dieser Umstand wie auch die konkreten besonderen Kategorien genannt werden.
  • Die Erklärung muss freiwillig sein (zum "Kopplungsverbot" s. o., besonders problematisch sind Fälle, in denen eine Ablehnung keine realistische Option ist).
  • Die Einwilligung muss informiert gegeben werden. Es muss also klar sein: Wer leitet daraus welche Rechte ab bzw. was bedeutet die Einwilligung für die einwilligende Person?
  • Die Erklärung muss eindeutig bestätigend sein.
  • Bei Minderjährigen ist die Untergrenze für wirksame Einwiligungen im nationalen Recht geregelt (in Deutschland liegt die Grenze bei 16 Jahren).
  • All diese Faktoren müssen beweisbar sein. Anderenfalls sind die auf Basis der (versuchten) Einwilligung erlangten Daten nicht verwertbar.

Wir besprechen, welche Risiken es birgt, wenn Einwilligungen vor allem in der Masse nicht richtig eingeholt werden, weil im schlimmsten Fall nicht zulässigerweise erlangte Daten auch einen gesamten Datenbestand kontaminieren können.

74:45 Die E-Privacy-VO und ihr Verhältnis zur DSGVO

Simon wirft Licht auf den Gesetzgebungsprozess der E-Privacy-VO und darauf, was sie mit "Datenschutz" zu tun hat. Er beleuchtet ihre Vergangeheit als Telekommunikations-Datenschutzrichtlinie und worin der Unterschied zwischen Telekommunikations- und Telemediendiensten liegt. Eine große Besonderheit der E-Privacy ist das zu beachtende Fernmeldegeheimnis, das im Datenschutz originär keine Rolle spielt.

Simon beleuchtet die in der Telekommunikation zusätzlich bzw. anderweitig einschlägigen Datenkategorien und den bisherigen Gesetzgebungsprozess auf EU-Ebene.

82:10 Fazit

  • Die Einwilligung stellt oft eine nachteilige und sogar falsche Rechtsgrundlage dar.
  • Consent Fatigue wird von der DSGVO nicht ausreichend gewürdigt.
  • Simon fordert, man müsse sich darauf verlassen können, dass auf Masse ausgelegte Datenverarbeitungen auch rechtskonform, ansonsten schlicht unwirksam sein müssen, wie es im AGB-Recht der Fall ist.
  • Zu guter Letzt meint Simon, man solle die DSGVO nicht zu früh verurteilen, sondern noch auf den Ausgang von Bußgeld- und Gerichtsverfahren warten. Dann jedoch müsse man sich kritisch fragen, ob die DSGVO Änderungen unterzogen werden müsse.

Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @sas_assion oder @ra_stiegler!

Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.


© Stiegler Legal