Neue Leitlinien der Datenschutzaufsicht zur datenschutzkonformen Einwilligung
Das European Data Protection Board (EDPB), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat mit den „Guidelines 05/2020 on consent“ neue Leitlinien für die datenschutzrechtliche Einwilligung herausgegeben. Die Guidelines sind ein umfassendes Update des Working Paper 259, welches von der Artikel-29-Gruppe – der Vorgängerinstitution des EDPB – bereits im Jahr 2017 herausgegeben wurde. Dabei wurden Entscheidungen der jüngeren Rechtsprechung aufgegriffen sowie einige praxisrelevante Passagen überarbeitet und stellenweise erheblich ergänzt.
Die Einwilligung als Erlaubnistatbestand
Jede automatisierte Datenverarbeitung bedarf einer Erlaubnis. Die Einwilligung stellt einen von mehreren Erlaubnistatbeständen dar und ist definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ (Art. 4 Nr. 11 DSGVO). Flankiert wird die Einwilligung durch zusätzliche, in Art. 7 und 8 DSGVO geregelte Anforderungen. Die Aufsichtsbehörden äußern sich aber nicht nur zur Einwilligung, sondern auch zu ihrem Verhältnis zu anderen Rechtsgrundlagen zueinander:
Nach Ansicht des EDPB sei es nicht zulässig, zwischen Rechtsgrundlagen zu wechseln (sog. „swapping““). Viele Unternehmen holen jedoch noch heute „vorsichtshalber“ oder bewusst zusätzlich eine Einwilligung ein. Nach Ansicht der Aufsichtsbehörden dürfe die Verarbeitung im Falle der Verweigerung der Einwilligung, ihrer Unwirksamkeit oder aber nach Widerruf nicht auf eine andere Rechtsgrundlage gestützt werden, sodass die Datenverarbeitung unterbleiben müsse. Besondere Schwierigkeiten wirft dies auf, wenn Unternehmen gesetzlich zur Verarbeitung verpflichtet sind, aber dieser Pflicht nach den Leitlinien nicht nachkommen dürften.
Im Fokus: Modalitäten der Einwilligungserteilung
Der Schwerpunkt der Guidelines befasst sich mit den Modalitäten der Einwilligung. Die geforderte Informiertheit der Einwilligung setze dabei nicht die vollständige Information nach Art. 13 DSGVO voraus. Vielmehr sei ausreichend, wenn Betroffene über zentrale Aspekte wie Identität des Verantwortlichen, Zweck der Verarbeitung, Art der Daten, die Widerrufsmöglichkeit und ggf. automatisierte Entscheidungsfindung und Drittlandlandtransfers informiert werden. Damit die Einwilligung jedoch hinreichend bestimmt sei, sei es erforderlich, die einzelnen Zwecke, für die die Einwilligung eingeholt werde, konkret und gesondert darzustellen. Dies schließt insbesondere Generaleinwilligungen in zahlreiche Zwecke oder in Allgemeinen Geschäftsbedingungen versteckte Einwilligungen aus.
In Bezug auf die Freiwilligkeit hält das EDPB an der Auslegung des Art. 7 Abs. 4 DSGVO als strenges Kopplungsverbot fest. Die Gewährung einer Dienstleistung dürfe nicht davon abhängig gemacht werden, dass der Betroffene zuvor eine Einwilligung in Datenverarbeitungsvorgänge erteile, die für die Vertragserfüllung nicht erforderlich seien. Etwaige Einwilligungen müssten gesondert erteilt werden und dürfen den Betroffenen grundsätzlich nicht am Leistungsbezug hindern. Insbesondere seien die verbreiteten „cookie walls“, die Websites vorgeschaltet werden, um z.B. die Einwilligung in personalisierte Werbung zu erhalten, unzulässig. Ebenfalls unzulässig sei es, die Einwilligung zu unterstellen, wenn der Nutzer – z.B. durch Scrollen oder Klicken auf Unter-Webseiten – die Website lediglich weiter nutzt. Dies genüge nicht dem Gebot der Unmissverständlichkeit der Einwilligung. Allerdings seien sog. „entgeltliche Alternativzugänge“ ausdrücklich erlaubt. Dabei wird dem Nutzer bei Betreten der Website die Wahl eröffnet, ob er dieselbe Dienstleistung entweder gegen Entgelt oder gegen Leistung der Einwilligung beziehen möchte.
Der Widerruf der Einwilligung muss grundsätzlich genauso einfach sein wie ihre Erteilung. Nach Ansicht des EDPB dürfe der Nutzer bei Widerruf nicht zum Medienbruch genötigt sein. Demnach wäre es etwa unzulässig, die Einwilligung per Mausklick zu ermöglichen, aber den Nutzer für den Widerruf der Einwilligung auf den E-Mail- oder Postweg zu verweisen.
Einwilligungen bei Minderjährigen
Schließlich befasst sich befasst sich das Gremium mit den besonderen, in Art. 8 DSGVO geregelten Anforderungen an die Einwilligungen Minderjähriger. Den Anwendungsbereich legt das EDPB dabei weit aus: Die Norm sei nicht nur anwendbar, wenn sich eine Website an Minderjährige richtet, sondern auch dann, wenn sie sich nicht ausschließlich an Erwachsene richte. Hiervon dürften die meisten Websites betroffen sein. Zugleich sei der Betreiber der Website gefordert, bei Einholung einer Einwilligung mittels einer angemessenen Altersverifikation sicherzustellen, dass die notwendige Einwilligungsfähigkeit – in der Regel mit 16 Jahren – gegeben ist. Diese Lesart der Norm könnte letztlich dazu führen, dass sämtliche Websites, die sich nicht ausschließlich an Erwachsene richten und ihre Nutzer um Einwilligung ersuchen, eine risikoadäquate Altersprüfung durchführen müssen.
Praxishinweise für Unternehmen
Kaum ein Unternehmen kommt ohne die Einholung von Einwilligungen aus. Vor allem in Online-Szenarien ist die Einwilligung als Rechtsgrundlage unausweichlich. In Bezug auf Cookies auf Unternehmenswebsites hatten sich bereits die deutschen Aufsichtsbehörden positioniert. Langfristig wird die Rechtmäßigkeit von Cookies durch die ePrivacy-Verordnung geregelt werden. Da dieses Gesetzgebungsverfahren seit vielen Jahren zwischen den EU-Institutionen diskutiert wird und zuletzt auf der Kippe stand, werden die Leitlinien des EDPB für viele Jahre entscheidende Relevanz für Unternehmen haben. Aber auch außerhalb der von „ePrivacy“ geregelten Online-Szenarien, etwa für Printwerbung, Fotos bei Veranstaltungen oder die Verarbeitung von Gesundheitsdaten, spielt die Einwilligung eine entscheidende Rolle.
Die Ansicht der Aufsichtsbehörden, ein „swapping“ von Rechtsgrundlagen sei nicht zulässig, stellt Verantwortliche vor die Aufgabe, genau zu identifizieren, inwieweit die übrigen gesetzlichen Grundlagen die Datenverarbeitung legitimieren. Hierzu sollte das Verzeichnis der Verarbeitungstätigkeiten kontrolliert und ggf. überarbeitet werden. Daneben ist eine kritische Prüfung der Einwilligungserklärungen – insbesondere der Unternehmenswebsites – anzuraten. Unternehmen, die für ihr Geschäftsmodell auf die Erteilung von Einwilligungen angewiesen sind, sollten Möglichkeiten eruieren, wirksame Einwilligungen zu erhalten und dennoch profitabel arbeiten zu können. Nicht zuletzt dürfte auch die Forderung einer angemessenen Altersverifikation zahlreiche Herausforderungen bergen.