id="ulink_1bfffb27-d329-58c8-8ab0-c10f81069552">Bei Verstößen gegen die Grundsätze der Verarbeitung personenbezogener Daten, zu denen Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO sowie Art. 7 DSGVO zählen, kann nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld verhängt werden. Ein Verstoß liegt damit nicht nur vor, wenn weder eine gesetzliche Erlaubnis noch eine Einwilligung vorliegen, sondern auch, wenn eine Einwilligung nicht entsprechend Art. 7 Abs. 1 DSGVO nachgewiesen werden kann, die Transparenz bei Einholung der Einwilligung im Zusammenhang mit Erklärungen zu anderen Sachverhalten entsprechend Art. 7 Abs. 2 DSGVO nicht hergestellt wird, die Information über das Widerrufsrecht entsprechend Art. 7 Abs. 3 DSGVO nicht oder nicht in der erforderlichen Weise erfolgt oder das Kopplungsverbot entsprechend Art. 7 Abs. 4 DSGVO missachtet wird. In jedem Fall läge ein Verstoß gegen die Grundsätze für die Verarbeitung aus Art. 5ff. DSGVO vor, der nach Art. 83 Abs. 5 lit. a DSGVO sanktioniert werden kann. Die Geldbuße kann je nach Umständen des Einzelfalls (Art. 83 Abs. 2 DSGVO) 20 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens betragen.174
150
Verstöße gegen die Transparenz- und Trennungspflicht aus Art. 7 Abs. 2 DSGVO können auch dann durch ein Bußgeld sanktioniert werden, wenn betroffenen Personen die Einwilligungserklärung erkannt und verstanden und daraufhin aktiv ihre Einwilligung erklärt haben. Die Einwilligungserklärung selbst wird trotz eines Verstoßes gegen die Transparenz- und Trennungspflicht dadurch nicht unwirksam.175 Die Einwilligung ist aber unwirksam, wenn sie nicht freiwillig erfolgte, insbesondere ein Verstoß gegen das Kopplungsverbot vorliegt, oder die erforderliche Einsichtsfähigkeit nicht gegeben war.
151
Eine wegen fehlender oder fehlerhafter Einwilligung unzulässige Verarbeitung kann nicht durch Einholung einer Einwilligung rückwirkend geheilt werden.176 Das Selbstbestimmungsrecht kann nur im Hinblick auf eine zukünftige Verarbeitung ausgeübt werden. Denkbar ist aber, dass nach einer Abwägung mit etwaigen Risiken für die betroffene Person eine unverzügliche Löschung der ohne Erlaubnistatbestand verarbeiteten Daten dann unterbleibt, wenn eine Einwilligung eingeholt wird und die bereits vorhandenen Daten für den Zweck, für den eine Einwilligung vorliegt, weiter verarbeitet werden.
152
Die Aufsichtsbehörde kann auch nach Art. 58 DSGVO die darin genannten Untersuchungs-, Abhilfe- und Beratungsbefugnisse in Anspruch nehmen, um den Verantwortlichen zu einer rechtskonformen Berücksichtigung der Anforderung an Einwilligungen zu bewegen.
153
Um die Rechtsfolgen zu vermeiden, sollten Verantwortliche nicht nur bei der künftigen Einholung von Einwilligungen die Anforderungen der DSGVO beachten, sondern auch die vor dem 25.5.2018 eingeholten Einwilligungen daraufhin zu prüfen, ob diese Einwilligungen den Anforderungen des Art. 7 i.V.m. Art. 4 Nr. 11 DSGVO genügen. Ist das nicht der Fall, müssen ggf. die Einwilligungen neu eingeholt werden. Zwar gewährt ErwG 171 Satz 2 eine Übergangsfrist, wenn die Verarbeitungen auf einer Einwilligung gemäß der DSRl beruhen. Es heißt darin, dass es nicht erforderlich sei, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht. Umstritten ist, was unter der „Art der bereits erteilten Einwilligung“ zu verstehen ist. Es ist davon auszugehen, dass die in Art. 7 Abs. 1–4 DSGVO enthaltenen Grundsätze auch nach altem Recht zu beachten waren und auch die Anforderungen an eine Einwilligung, wie sie sich aus der Definition in Art. 4 Nr. 11 DSGVO ergeben, beachtet worden sein müssen. Weil diese Grundsätze regelmäßig die Anforderungen normieren, die auch nach altem Recht in Auslegung des § 4a BDSG a.F. zu beachten waren, darf davon ausgegangen werden, dass nach altem Recht wirksame Einwilligungen in der Regel nicht neu eingeholt zu werden brauchen. Davon geht auch der Düsseldorfer Kreis in seinem Beschluss vom 13./14.9.2016 aus.177
154
Eine wesentliche Ausnahme besteht aber dann, wenn die Einwilligung über eine Voreinstellung (opt out) eingeholt wurde, mit der die Einwilligung vorgegeben war und die betroffene Person allenfalls die voreingestellte Erklärung abändern musste, indem beispielsweise in einer tick box oder Checkbox der gesetzte Haken durch Mausklick wieder entfernt oder eine Erklärung in Textform gelöscht oder durchgestrichen werden musste. Weil nach der DSGVO die Erklärung „unmissverständlich“ zu erfolgen hat, entspricht die Art dieser eingeholten Einwilligung nicht den Anforderungen der DSGVO und muss neu durch eine unmissverständliche Erklärung oder Handlung eingeholt werden (opt in).178 Die Rechtsprechung zur Wirksamkeit von Opt-in-Einwilligungen in vorformulierten Einwilligungserklärungen179 hat damit in dieser Hinsicht keine Bedeutung mehr. Ansonsten aber darf „der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen“ (ErwG 171).
1 Geiger, NVwZ 1989, 35, 37; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 19; Kollmar/El-Auwad, in: Taeger, Den Wandel begleiten, S. 199. Siehe auch Ingold, in: Sydow, EU-Datenschutzgrundverordnung, Art. 7 Rn. 10: Bei der wirksamen datenschutzrechtlichen Einwilligung handelt es sich „um eine Realisierung informationeller Autonomie als primärrechtlich garantierter Grundrechtsausübung“. 2 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1. Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 20, identifiziert in Art. 8 Abs. 2 Satz 1 GrCh ein „Grundrecht auf Einwilligung“. 3 Grimm, Der Datenschutz vor einer Neuorientierung, JZ 2013, 585, 587. Siehe auch Taeger, Datenschutzrecht, Kap. II Rn. 10. 4 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 231ff. 5 Zu den hohen Anforderungen an die Wirksamkeit einer Werbezwecken dienenden E-Mail an ein Unternehmen, worin ein unzumutbarer Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb gesehen wird, BGH, Urt. v. 14.3.2017 – VI ZR 721/15, K&R 2017, 403, m. Anm. Ring, EWiR 2017, 479; siehe dazu die zustimmende Anm. von Vander, DB 2017, 1251. Kritisch aber Laoutoumai/Schuh, K&R 2017, 408, und Möller, NJW 2017, 2122. 6 Darauf weist die Art.-29-Datenschutzgruppe in ihren Guidelines on Consent under Regulation 2016/679 (wp259rev.01), S. 3, vom 28.11.2017 i.d.F. vom 10.4.2018, ausdrücklich hin, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051. 7 Siehe EuGH, Urt. v. 11.11.2020 – C-61/19, K&R 2021, 38 – Orange România/ANSPDCP m. Anm. Hötzel, DSB 2020, 316. 8 Vgl. dazu Thüsing/Schmidt/Forst, RDV 2017, 116, 121. 9 Siehe auch Buchner/Kühling, DuD 2017, 544, 545 (‚zentraler Erlaubnistatbestand‘); Ernst, ZD 2017, 110 (‚zentrale Legitimation‘); Krohm/Müller-Peltzer, ZD 2017, 551 („zentrales Element zur Rechtfertigung“); K. Schaar, ZD 2017, 213 („ist und bleibt eine zentrale Legitimation“); Katko/Babaei-Beigi, MMR 2014, 360, 362 (‚traditionelle Rechtfertigung‘); Gierschmann, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 7 Rn. 2 (‚zentrale Bedeutung‘); Fladung/Pötters, in: Wybitul, DSGVO, Art. 7 Rn. 2 (‚seit jeher ein wichtiger Rechtfertigungsgrund‘). 10 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 6. 11 Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 76. 12 Siehe dazu Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 13 TMG Rn. 27f. 13 Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 12 TMG Rn. 3. 14 Gesetz v. 23.6.2021 über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), BGBl. I, S. 1982. Siehe dazu die Kommentierung des TTDSG. 15