ab. Danach ist der Dritte kein Betroffener, kein Verantwortlicher, kein Auftragsverarbeiter und keine Person, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, personenbezogene Daten zu verarbeiten. Zum Auftragsverarbeiter gehören auch dessen Unterauftragnehmer.[471]
203
Maßgebliches Kriterium ist, dass der Dritte „außerhalb der verantwortlichen Stelle“ steht. Dritter ist damit in Abgrenzung zu einer Behörde jede andere Behörde, auch wenn diese zum gleichen Rechtsträger gehört. Damit ist auch jede andere öffentliche Stelle Dritter. Innerhalb einer Behörde (z.B. Gemeindeverwaltung) können jedoch, wenn funktional mehrere Aufgaben wahrgenommen werden, die „Ämter“ dieser Behörde „Dritte“ zueinander sein.[472] Dritte sind Personen oder Stellen, die mit dem Verantwortlichen nicht identisch sind.[473] In dem Moment, in dem eine Person oder Stelle verantwortlich wird, ist sie nicht mehr Dritter.[474] Beschäftigte des Verantwortlichen, die nicht befugt sind, personenbezogene Daten zu bearbeiten sind damit als Dritte einzustufen.[475] Gibt also ein Mitarbeiter rechtswidrig personenbezogene Daten an einen Kollegen weiter, so ist darin eine rechtswidrige Übermittlung eines Dritten zu sehen.[476]
3. Praxisbeispiele
204
Ein Beschäftigter erhält im Rahmen der Durchführung seiner Aufgaben Kenntnis von personenbezogenen Daten, für die er kein Zugangsrecht besitzt. In diesem Fall sollte dieser Mitarbeiter in Bezug auf seinen Arbeitgeber als Dritter angesehen werden, mit allen sich daraus ergebenden Folgen einschließlich der Haftung hinsichtlich der Rechtmäßigkeit der Weitergabe und Verarbeitung der Daten.[477]
1. Allgemeines
205
Art. 4 Nr. 11 definiert die Einwilligung der betroffenen Person als jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Der Einwilligung kommt unter der DS-GVO eine zentrale Rolle als Erlaubnistatbestand für eine rechtmäßige Datenverarbeitung zu.[478]
206
Der Begriff findet sich auch außerhalb des Datenschutzrechts, insbesondere im Zivil- und Strafrecht. Zu beachten sind insbesondere die unterschiedlichen lauterkeits- und datenschutzrechtlichen Anforderungen an die Einwilligung.[479] Das Datenschutzrecht ist geprägt von hohen Transparenz- und Bestimmtheitserfordernissen. Dies führt dazu, dass die Einwilligung im Datenschutzrecht einen eigenen Charakter bekommt und sie gesonderten Voraussetzungen unterliegt. Die datenschutzrechtlichen Anforderungen an eine Einwilligung sind unter der DS-GVO maßgeblich.[480]
207
Unionsrechtlich wurde die datenschutzrechtliche Einwilligung bislang durch Art. 2 lit. h DSRL geregelt. Die Definition in Art. 4 Nr. 11 ist die Nachfolgeregelung dieser Norm. Sie wird nunmehr aber durch weitere Wirksamkeitsvoraussetzungen begleitet, die sich vor allem in Art. 7[481] und Art. 8[482] wiederfinden.
208
Im deutschen Recht war die Einwilligung bisher in § 4a BDSG a.F. geregelt. Für eine nationale Regelung bleibt unter der DS-GVO kein Raum mehr. Die Einwilligung hat nunmehr den Vorgaben der DS-GVO zu genügen. Lediglich in Bezug auf die Einwilligung im Beschäftigtenkontext lässt die DS-GVO über Art. 88 dem nationalen Gesetzgeber Regelungskompetenz. Hiervon wurde mit § 26 Abs. 2 BDSG n.F. Gebrauch gemacht.[483]
209
Adressiert ist die Definition der Einwilligung in erster Linie an den Verantwortlichen. Dieser ist gem. Art. 5 Abs. 2 rechenschaftspflichtig dafür, dass seine Verarbeitung rechtmäßig ist.[484] Art. 7 Abs. 1 verlangt ausdrücklich, dass der Verantwortliche die Einwilligung nachweisen kann.[485]
210
Die Definition steht in einem engen Zusammenhang mit anderen Normen der DS-GVO. Sie ist immer im Zusammenhang mit den Voraussetzungen der Art. 7 und 8 und den ErwG 32, 33, 42, und 43 zu lesen. Maßgeblich ist die Definition der Einwilligung zunächst, um eine Datenverarbeitung gem. Art. 6 rechtmäßig auszugestalten. Beruht die Datenverarbeitung auf einer Einwilligung, ist im Rahmen der Informationspflichten nach Art. 13 und 14 auf das Recht zum Widerruf hinzuweisen. Daneben beziehen sich einige Betroffenenrechte auf Verarbeitungssituationen, die durch eine Einwilligung legitimiert wurden. Hierzu zählen insbesondere das Recht auf Löschung[486], das Recht der Verarbeitung bei Einschränkung der Verarbeitung[487] und das Recht auf Datenübertragbarkeit[488].
2. Inhalt
211
Aus der Definition der Einwilligung ergeben sich Wirksamkeitsvoraussetzungen für die datenschutzrechtliche Einwilligung.[489] Tatbestandsmerkmale sind die Freiwilligkeit[490], die Bestimmtheit[491], die Informiertheit[492] und die unmissverständlich abgegebene Willensbekundung[493]. Diese Begriffe werden von den Aufsichtsbehörden der verschiedenen Mitgliedstaaten unterschiedlich ausgelegt. Unternehmen mit Hauptniederlassung[494] in Deutschland sollten sich gleichwohl auch im Falle grenzüberschreitender Datenverarbeitungen aufgrund des One-Stop-Shop-Prinzip[495] an der Auslegung der deutschen Datenschutzaufsicht orientieren, da allein diese für sie praktische Bedeutung erlangt.
212
Hinzu kommt für besondere Verarbeitungssituationen die Ausdrücklichkeit. Dies gilt für eine Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a. Zu denken ist hier an Gesundheitsdaten[496], aber auch an automatisierte Entscheidungen[497] und an die Datenübermittlungen in Drittländer[498].
213
Online erfolgt die Gestaltung von Einwilligungserklärungen in der Regel nach dem Opt-in- oder dem Opt-out-Prinzip. Hierbei ist entweder die Zustimmung zur Datenverarbeitung bereits voreingestellt, kann aber abgewählt werden („Widerspruchslösung“) oder die Ablehnung der Datenverarbeitung ist voreingestellt, die Einwilligung kann aber entsprechend erteilt werden („Zustimmungslösung“). ErwG 32 nennt das „Anklicken eines Kästchens beim Besuch einer Internetseite“ und damit eine Erklärung nach dem Opt-in-Prinzip ausdrücklich als tatbestandliche Einwilligung.[499] Nicht ausreichend sind hiernach jedoch „bereits angekreuzte Kästchen“ und damit Erklärungen nach dem Opt-Out-Prinzip.[500] Alternativ gibt es die Möglichkeit einer sog. Mandated Choice[501], bei welcher es keine voreingestellte Auswahloption gibt. Vielmehr muss sowohl die Zustimmung als auch die Ablehnung der Datenverarbeitung