Daten & Lizenzen

Einwilligung in Datenverarbeitung – Neue Richtlinie des EDSA

Am 04.05.2020 hat der Europäische Datenschutz Ausschuss (EDSA / EDPB) eine neue Richtlinie zu den Voraussetzungen, dem Inhalt und dem Umgang von und mit Einwilligungen verabschiedet. Die Richtlinie stellt ein Update und eine Weiterentwicklung des bereits am 10.04.2018 verabschiedeten Arbeitspapiers der Art. 29-Gruppe dar und dient der Klarstellung und Präzisierung.

Zunächst beschreibt die Richtlinie die Voraussetzungen der Einwilligung als eine von sechs Erlaubnistatbeständen der DSGVI für Datenverarbeitung und legt dabei den Schwerpunkt auf das Merkmal der Freiwilligkeit der Einwilligung. Bei der Beurteilung, ob freiwillig eingewilligt wird oder nicht, ist insbesondere Art. 7 Abs. 4 DSGVO zu beachten. Freiwilligkeit liegt danach nicht vor, wenn die Erteilung der Einwilligung mit dem Akzeptieren Nutzungsbedingungen oder dem Zugang zu Leistungen „gebündelt“ wird.

Der EDSA tritt den Argumenten entgegen, dass die Daten, in deren Nutzung eingewilligt werden soll, zur Vertragserfüllung benötigt werden können. Ist das der Fall, ist eine Einwilligung als Rechtsgrundlage allerdings gar nicht notwendig. Auch dem Argument, dass der Betroffene freiwillig entscheide, wenn er zwischen zwei Produkten wählen können, von denen eines eine Einwilligung erfordere, das andere nicht, tritt der EDSA entgegen. Von Freiwilligkeit ist nur auszugehen, wenn zwischen den beiden Produkten kein Unterschied besteht. Der Betroffene muss sich auch nicht auf die Produkte anderer Anbieter verweisen lassen, für den Fall der Verweigerung der Zustimmung. Die Verantwortliche soll sogar extra darauf hinweisen, dass die Betroffene die Dienste bei Verweigerung oder Widerruf der Einwilligung ohne Nachteile nutzen kann.

Eine „Cookie Wall“, die Zugriff auf Inhalte erst zulässt, wenn die Webseitenbesucherin alle Cookies akzeptiert ist danach datenschutzrechtlich unzulässig.

Weiterhin hebt die EDSA-Richtlinie die Wichtigkeit des Zwecks der Verarbeitung hervor. Sollten die von der Besucherin der Webseite erhobenen Daten zu verschiedenen Zwecken verarbeitet werden, muss ihr die Möglichkeit gegeben werden in jeden einzelnen Prozess einzuwilligen oder nicht.

Der zweite Teil der Richtlinie ist der Frage gewidmet, wie die Einwilligung zu erteilen ist. Die DSGVO verlangt dafür eine eindeutige zustimmende Handlung. Hierin lässt die DSGVO der Verantwortlichen einen großen Spielraum. Ausdrücklich zulässig ist die Einwilligung durch physische Bewegungen der Betroffenen, solange diese eindeutig als Einwilligung angesehen werden. Zufällige Einwilligungen müssen also (technisch) ausgeschlossen sein. Die Richtlinie nennt das Winken in eine Kamera, das Wegwischen eines Balkens oder Bewegungen mit dem Smartphone als zulässige Bespiele.

Dies betrifft aber nur Vorgänge mit einem niedrigen Risiko für die Daten der Betroffenen, die eine „gewöhnliche“ oder „reguläre“ Einwilligung erfordern. Für andere Vorgänge, wie die Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO beispielsweise ist eine explizite Einwilligung erforderlich. Der EDSA macht deutlich, dass in solchen Fällen die Einwilligung klar geäußert werden muss, was wegen der Nachweisanforderungen an die Verantwortlichen fast immer an die Schriftform denken lässt. Tatsächlich ist das eine Möglichkeit, die den Anforderungen genügt. Zulässig ist aber auch eine per Ton- und/oder Videoaufnahme erteilte Einwilligung oder ein zwei-stufiges eMail-Verfahren. Allerdings müssen dann auch die Aufnahmen wieder alle Anforderungen des Datenschutzes und der Erteilung von Einwilligungen erfüllen.