Der Artikel 7 der Datenschutz-Grundverordnung (DS-GVO) ist eine Rechtsvorschrift zu Bedingungen für die Einwilligung bei der Erhebung personenbezogener Daten. In der DSGVO nimmt er eine wichtige Stellung ein, weil er die Form von Einwilligungslösungen auf Webseiten regelt. Er besagt:
Gesetzestext
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich [ist]sind.
Häufige Begriffe (normiert): Einwilligung(11), Verarbeitung(4), betroffen(4), Person(4), Widerruf(3), personenbezogen(2), Daten(2), Erklärung(2).
Bemerkungen
Der Europäische Datenschutzausschuss (EDSA, englisch: EDPB) hat Anfang des Jahres 2023 ein Papier der Cookie Banner Taskforce der veröffentlicht, wonach die Ablehnen-Möglichkeit genauso einfach wie die Einwilligungsmöglichkeit sein muss. Das OLG Köln hat mit Urteil vom 19.01.2024 das gleiche entschieden (Az.: 6 U 80/23).
Das OLG Hamm entschied (Urteil vom 03.11.2022, 4 U 201/21), dass eine Einwilligungsabfrage die Datenverarbeitung ausreichend erläutern muss.
Erwägungsgrund 32: Zulässigkeit der Einwilligung
Der Erwägungsgrund 32 sagt etwas zur zulässigen Gestaltung der Einwilligung an sich. Der Erwägungsgrund besagt:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“. |
Die Einwilligungsabfrage auf ebay.de funktioniert (Stand: 07.09.2021) nicht so, dass eine unnötige Unterbrechung vermieden wird. Denn bei Nichterteilung der Einwilligung wird der Nutzer auf eine andere Seite geschickt als die, die er besucht hat und weiterlesen wollte. Ehrlicherweise ist der Button mit "Ablehnen und mehr erfahren" beschriftet. Als Nutzer möchte man aber nicht mehr erfahren müssen, sondern einfach ablehnen können.
Erwägungsgrund 111: Nur gelegentliche Datenübermittlung
Insbesondere im Kontext des Datentransfers an eine Firme mit Muttergesellschaft aus den USA oder mit Servern in den USA sollte die Einwilligung nur gelegentlich eingeholt werden. Dies besagt der Erwägungsgrund 111:
„Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. […]“. |
Zudem stellt sich bei Datentransfers mit US-Bezug die Frage, ob diese überhaupt rechtmäßig sein können. Grund sind die mit der DSGVO generell nicht zu vereinbarenden US-Überwachungsgesetze EO 12333, FISA 702 und Cloud Act.
Erwägungsgrund 39: Treu und Glauben
Die Zwecke der Verarbeitung müssen feststehen und klar kommuniziert werden. Überraschungen sollten nicht stattfinden. Außerdem ist dort das mildere Mittel genannt: „Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.“
Erwägungsgrund 42: Freiwilligkeit der Einwilligung
In diesem Erwägungsgrund ist unter anderem ausgeführt: "Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden."
Es erscheint nachteilig, wenn eine Einwilligung auf Webseiten oder Apps mit weniger Klicks gegeben werden kann als eine Ablehnung.
Erwägungsgrund 43: Gültigkeit der Einwilligung
Der Erwägungsgrund 43 sagt etwas zur Gültigkeit der Einwilligung. Der Erwägungsgrund besagt:
„Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“. |
Daten als Gegenleistung für ansonsten unentgeltliche Leistung
Hierzu gibt es keine klare Rechtsauffassung (Stand: 12.10.2021). Der oberste Gerichtshof aus Italien sieht es als erlaubt an, eine ansonsten kostenfreie Leistung im Gegenzug für personenbezogene Daten anzubieten. Der oberste Gerichtshof in Österreich sieht es anders. Der EuGH wurde hierzu noch nicht gefragt, weil der BGH es einmal versäumte, dies zu tun (nämlich zum Kopplungsverbot aus Art. 7 Abs. 4 DSGVO).
Zum 01.01.2022 sind EU-Richtlinien in nationales Gesetz umzusetzen, sodass neue rechtliche Betrachtungen entstehen werden.
Auch interessant
- DSGVO allgemein
- Art. 4 Nr. 11 DSGVO: Einwilligung
- Art. 5 DSGVO: Grundsätze für die Datenverarbeitung
- Art. 6 DSGVO: Rechtsgrundlagen der Verarbeitung
- Art. 12 DSGVO: Transparente Information
- Art. 13 DSGVO: Informationspflichten
- Art. 15 DSGVO: Auskunftsrecht
- Art. 26 DSGVO: Gemeinsame Verantwortlichkeit
Danke für diesen Artikel!
Ein typo-Hinweis im vorletzten Wort des sub-headings:
"Der Artikel 7 der Datenschutz-Grundverordnung (DS-GVO) ist eine Rechtsvorschrift zu Bedingungen für die Einwilligung bei der Erhebung personenbezofener Daten."
Vielen Dank, ist korrigiert 🙂