nach Art. 7 DSGVO
1. Nachweis der erfolgten Einwilligung (Abs. 1)
46
Unbeschadet der sich aus den allgemeinen Grundsätzen zur materiellen Beweislast nach deutschem Zivilprozessrecht bzw. nach dem Verwaltungs- und Verwaltungsgerichtsverfahren ergebenden Anforderungen obliegt es gem. Art. 7 Abs. 1 DSGVO dem Verantwortlichen, das Vorliegen einer Einwilligung nachzuweisen, wenn er sich bei der Verarbeitung personenbezogener Daten nicht auf eine gesetzliche Erlaubnis stützen kann, sondern die Verarbeitung durch Einholen einer Einwilligung legitimiert. Die Beweislast, dass eine Einwilligung erteilt wurde, liegt damit bei dem Verantwortlichen.67 Kann die Einwilligung nicht oder nicht in der Form und unter den Bedingungen, die sich aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO ergeben, nachgewiesen werden, ist die Verarbeitung der personenbezogenen Daten für den Zweck, für den eine Einwilligungserklärung mangels eines sonstigen Erlaubnistatbestandes vorliegen müsste, unzulässig. ErwG 42 führt aus, dass der Verantwortliche nachweisen können sollte, „dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat“.
47
Der Verantwortliche hat deshalb nachzuweisen, in welcher Weise und aufgrund welcher vor Beginn der Verarbeitung erfolgten Erklärung oder aktiven Handlung die betroffene Person die Einwilligung vornahm.
48
Es muss nachweisbar sein, dass die Erklärung vorab erfolgte (Art. 6 Abs. 1 lit. a DSGVO („hat ... gegeben“). Die Einwilligung ist eine Zustimmung, die einer künftigen Verarbeitung zur Zulässigkeit verhelfen soll. Sie kann also eine ursprünglich gesetzlich nicht erlaubte oder ohne vorherige Einwilligung erfolgte Verarbeitung nicht rückwirkend legitimieren.68
49
Außerdem ist nachzuweisen, was der Inhalt der Einwilligung ist, in welche Verarbeitung welcher Daten zu welchem Zweck eingewilligt wurde. Des Weiteren ist der Nachweis zu erbringen, dass der betroffenen Person vor Erteilung ihrer Einwilligung alle erforderlichen Informationen gegeben wurden, damit die einwilligende Person die Entscheidung auf der Basis hinreichender Informationen über Risiken und Folgen der Einwilligung erkennen konnte. Zu protokollieren und zu dokumentieren sind demnach nicht nur der Inhalt der Erklärung, sondern auch das Verfahren, wie die Erklärung zustande kam einschließlich der Angabe, welche Informationen über den Umfang und den Zweck der Datenverarbeitung sowie das Widerrufsrecht der betroffenen Person vor Abgabe der Erklärung zur Entscheidungsfindung gegeben wurden.69
50
Der Nachweis wird dann problemlos möglich sein, wenn die Einwilligung schriftlich auf einer Bestellkarte oder einem unterzeichneten Formular oder in Textform in einer E-Mail erklärt wurde. Das lässt sich dokumentieren, sodass die Transparenz im Sinne des Art. 5 Abs. 1 lit. a DSGVO jederzeit hergestellt werden kann. Wird die Einwilligung elektronisch erklärt, wird das Double-opt-in-Verfahren akzeptiert, das eine Protokollierung ermöglicht.70 Dabei wird nach einer elektronischen Einwilligungserklärung der Erklärende mit einer an die von diesem angegebenen E-Mail-Adresse aufgefordert, die erfolgte Einwilligung zu bestätigen. Dadurch wird verhindert, dass die Einwilligungserklärung von einem Dritten unter einer fremden E-Mail abgegeben wird. Eine Einwilligungserklärung kann aber auch formlos durch eine „eindeutige, bestätigende Handlung“ erfolgen. Sie kann mündlich am Telefon oder in einem Geschäft erklärt werden – was für die Nachweispflicht herausfordernde Szenarien sein dürften und eine Bestätigung in Textform im Nachgang angeraten sein lässt – oder durch Einwurf einer Visitenkarte in einer bei einer Konferenz für diejenigen aufgestellten Box, die regelmäßig Newsletter des Veranstalters erhalten möchten.71 Diese Vorgänge wären zu protokollieren.
51
Transparenz und Nachweispflicht sollen es dem Betroffenen ermöglichen, selbst zu kontrollieren, wann er in welcher Weise seine Einwilligung erteilte.72 Auch die Aufsichtsbehörde soll durch die Rechenschaftspflicht eine Unterstützung erhalten, wenn sie die Rechtmäßigkeit von sich aus kontrolliert oder einem Hinweis eines Betroffenen nachgeht, der vorträgt, keine Einwilligung erteilt zu haben.
52
An die Form der Nachweisbarkeit stellt Art. 7 Abs. 1 DSGVO keine Anforderung; weder wird Schriftlichkeit noch Textform verlangt. Allerdings wird es schwierig sein, konkludente Einwilligungen nachweisen zu können, sodass diese Form der Einwilligung kaum eine Rolle spielen dürfte. Die Auswahl der technischen Mittel zur Protokollierung und Dokumentation ist dem Verantwortlichen überlassen. Kleine und Mittlere Unternehmen werden einfachere, aber gleichwohl wirksame Lösungen finden, als große Konzerne, die etwa bestehende Risikomanagement- oder Compliance-Systeme nutzen können, um die datenschutzrechtliche Accountability zu integrieren. Außerdem gibt es bereits am Markt entsprechende Softwarelösungen.
2. Formularmäßige Einwilligung (Abs. 2)
53
Es steht dem Einzelnen frei, Daten über sich anderen gegenüber zu offenbaren. Es ist grundsätzlich auch möglich, dass jemand eine vertragliche Verpflichtung oder Obliegenheit eingeht, einem (künftigen) Vertragspartner Informationen über die eigene Person mitzuteilen oder Dritte zu Mitteilungen über ihn zu ermächtigen, ohne dass diese Daten für die Erfüllung vertraglicher Leistungspflichten erforderlich wären. Eine solche aus der Selbstbestimmung abgeleitete Erklärung, mit der personenbezogene Daten über die eigene Person einem anderen zur Verfügung gestellt werden, an denen der Vertragspartner ein Interesse hat, kann in Privatrechtsbeziehungen auch im Rahmen eines Vertrags zusammen mit anderen Erklärungen abgegeben werden. Die Einwilligungserklärung darf von der anderen Seite vorgegeben werden. Vorformulierte Datenschutzerklärungen und Einwilligungserklärungen können auch für sich bereits Allgemeine Geschäftsbedingungen darstellen, die der Überprüfung durch eine Inhaltskontrolle zugänglich sind, insbesondere hinsichtlich des Verbots der überraschenden Klauseln und des Transparenzgebots (§§ 305c, 307 Abs. 1 Satz 2 BGB).73 Zum Schutz der betroffenen Person müssen bei formularmäßigen Einwilligungen allerdings die Voraussetzungen aus Art. 7 Abs. 2 DSGVO beachtet werden.
54
Gibt die betroffene Person ihre Einwilligungserklärung schriftlich zusammen mit Erklärungen ab, die noch andere Sachverhalte betreffen, so muss in dem vorformulierten Vertragsangebot „das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist“ (Art. 7 Abs. 2 DSGVO). Schon die Definition der Einwilligung durch Art. 4 Nr. 11 DSGVO stellt klar, dass die Willensbekundung „unmissverständlich“ abzugeben ist. Sie darf keineswegs in verschleiernder Absicht in anderen Vertragserklärungen versteckt sein.
55
Unternehmen machen gern von der Möglichkeit Gebrauch, über eine Einwilligung die Erlaubnis zu erhalten, Daten über das gesetzlich Zulässige hinaus erheben und verwenden zu dürfen. Die betroffene Person kann einem konkreten weiteren Verwendungszweck einseitig zustimmen. Unverkennbar nimmt es zu, Verbrauchern im Rahmen von Kundenbindungssystemen Vergünstigungen oder besondere Leistungen anzubieten, wenn sie einer vertraglich nicht erforderlichen Verarbeitung oder Nutzung ihrer Daten zustimmen. Zahlreiche Dienstleister im Internet und bei der Telekommunikation machen die kostenlose Nutzung ihres Angebots von der Hergabe personenbezogener Nutzerdaten zumeist für werbliche Zwecke abhängig. Diese Entwicklung der Kommerzialisierung der Selbstbestimmung wird unter dem Stichwort von dem Tauschmodell „Leistung gegen Einwilligung“ oder „Zahlen mit Daten“ kritisch gesehen.74 Es heißt, die Einwilligung rücke mehr und mehr in das Zentrum vertraglicher Austauschverhältnisse und werde zu einer Hauptleistung im gegenseitigen Vertrag.75 Diese Entwicklung ist auch unter dem Gesichtspunkt des Kopplungsverbotes zu betrachten (siehe Rn. 96).
56
Bei Vertragsbeziehungen erfolgt