Schlagwort: Themenreihe DSGVO

Themenreihe DSGVO: Die Einwilligung und der Widerspruch nach der DSGVO

14. Juni 2017

Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.

I. Einwilligung nach Art. 7 DSGVO

Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das „Maß der Rechtmäßigkeit“ einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.

1. Freiwilligkeit der Einwilligung

Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene „eigentlich nur noch nach Hause will“).

An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip „Dienstleistung gegen Daten“ aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.

Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.

2. Bestimmtheit der Einwilligung

Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.

3. Information des Betroffenen

Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:

  • Wer (genau) soll die Daten nutzen dürfen?
  • Welche Daten soll er nutzen dürfen?
  • Zu welchem Zweck soll er diese Daten nutzen dürfen?
  • Darf er diese Daten weitergeben und wenn ja, an wen genau?
  • Wie lange darf diese Nutzung andauern?

4. Unmissverständlich abgegeben

Die Einwilligungserklärung muss ferner „unmissverständlich abgegeben“ worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine „unmissverständlich“ abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick „Ich bin einverstanden“ seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.

5. Einwilligung Minderjähriger

Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung „im Kindesalter gegeben“ werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.

Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.

II. Widerspruchsrecht nach Art. 21 DSGVO

Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.

Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.

Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.

Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.

Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)

Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.

Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.

Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.

Der Widerspruch richtet sich nur gegen die Verarbetiung „für Zwecke der Direktwerbung“. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.

 

Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.

 

Themenreihe DSGVO: Grundsätze der Verarbeitung

9. Juni 2017

In Art. 5 DSGVO wurden folgende allgemeine Grundsätze für die Verarbeitung personenbezogener Daten normiert: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Abs. 1 lit. a), „Zweckbindung“ (Abs. 1 lit. b), „Datenminimierung“ (Abs. 1 lit. c), „Richtigkeit“ (Abs. 1 lit. d), „Speicherbegrenzung“ (Abs. 1 lit. e) und „Integrität und Vertraulichkeit“. Als Bestandteil der Verordnung haben diese Grundsätze unmittelbare Geltung, wobei aus Art. 5 Abs. 2 DSGVO folgt, dass sie in erster Linie den Verantwortlichen binden. Die recht allgemein gehaltenen Grundsätze werden in zahlreichen weiteren Vorschriften der DSGVO wieder aufgegriffen und in diesen auch weiter konkretisiert. In diesem Zusammenhang ist insbesondere auf die Betroffenenrechte hinzuweisen, die in Art. 15 bis 22 DSGVO erfasst sind. Verstöße gegen die in Art. 5 DSGVO normierten Grundsätze können sowohl bußgeldbewährt sein, als auch sonstige Maßnahmen der Aufsichtsbehörden nach sich ziehen. Insbesondere vor dem Hintergrund dieser Sanktionsmöglichkeit kann die nur allgemeine Formulierung mitunter problematisch werden.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Abs. 1 lit. a)

Zunächst normiert Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten auf rechtmäßige Art und Weise verarbeitet werden müssen. Das bedeutet, dass personenbezogene Daten grundsätzlich nur auf Basis einer Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Ermächtigung als anderweitige Rechtsgrundlage verarbeitet werden dürfen. Bei der Einwilligung ist darauf zu achten, dass die einwilligende Person vor ihrer Einwilligung ausreichend über die Verarbeitung informiert wurde. Bei der gesetzlichen Ermächtigung ist insbesondere darauf zu achten, dass die jeweilige Zweckbindung eingehalten wird.

Das Erfordernis der Verarbeitung nach „Treu und Glauben“ muss im Anwendungsbereich der DSGVO als europarechtliche Norm autonom aufgefasst und ausgelegt werden. Im Kontext der DSGVO kann das Erfordernis von „Treu und Glauben“ als eine Pflicht zur Rücksichtnahme auf die Interessen und Erwartungen der betroffenen Person aufgefasst werden. Insbesondere soll der Betroffene über diesen Grundsatz vor unklaren Verarbeitungsvorgängen geschützt und einer offenen und direkten Erhebung personenbezogener Daten bei der betroffenen Person der Vorrang eingeräumt werden.

Durch den Transparenzgrund soll eine heimliche Verarbeitung personenbezogener Daten ausgeschlossen werden. Darüber hinaus soll erreicht werden, dass die betroffene Person über die Erhebung personenbezogener Daten umfassend informiert wird. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache abgefasst sein.

Zweckbindung (Abs. 1 lit. b)

Beim Zweckbindungsgrundsatz handelt es sich um ein Kernstück des Datenschutzrechts. Ihm liegt der Gedanke zugrunde, dass schon bereits bei der Erhebung personenbezogener Daten der jeweilige legitime Zweck der Erhebung eindeutig festgelegt sein muss und der Zweck einer möglichen weiteren Verarbeitung mit dem ursprünglichen Erhebungszweck nicht unvereinbar sein darf. Obwohl Art. 5 Abs. 1 lit. b DSGVO für die Zweckfestlegung keine spezielle Form vorsieht empfiehlt es sich, den Zweck schriftlich oder in einer anderen dauerhaften Dokumentationsform festzulegen, um eventuellen Rechenschaftspflichten nachkommen zu können. Damit die Zweckfestlegung auch eindeutig erfolgt, muss sie hinreichend bestimmt zum Ausdruck gebracht werden. Bloß allgemeine Bestimmungen wie „Werbung“ sind hierfür wohl nicht ausreichend. Legitim ist der festgelegte Zweck dann, wenn er als rechtlich zulässig anzusehen ist. Um festzustellen, ob der Zweck der Weiterverarbeitung mit dem Zweck der Erhebung vereinbar ist, kann etwa auf die Konkretisierungen in Art. 6 Abs. 4 DSGVO Bezug genommen werden. Von besonderer Bedeutung ist zusätzlich die Frage, ob die weitere Verarbeitung den Erwartungen der betroffenen Person im Erhebungszeitpunkt entspricht. Die betroffene Person muss den Zweck der Weiterverarbeitung schon in der Zweckfestlegung für die ursprüngliche Erhebung angelegt gesehen haben können. Bei Archivzwecken, Forschungszwecken und statistischen Zwecken handelt es sich gem. Art. 5 Abs. 1 lit. b Hs. 2 um privilegierte Sekundärzwecke, bei denen bei einer Weiterverarbeitung ursprünglich zu anderen Zwecken erhobener Daten die sonst notwendige Prüfung der Vereinbarkeit mit dem ursprünglichen Erhebungszweck entfällt.

Datenminimierung (Abs. 1 lit. c)

Der Grundsatz der Datenminimierung vereint drei Anforderungen. Personenbezogene Daten müssen dem Zweck nach angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Angemessenheit ist gegeben, wenn die Verarbeitung bei wertender Betrachtung in diesem Umfang verhältnismäßig ist. Bei der Erheblichkeit ist danach zu fragen, ob die Verarbeitung personenbezogener Daten dazu geeignet ist, ein legitimes Ziel zu erreichen. Bei der Begrenzung auf das notwendige Maß ist darauf abzustellen, dass keine Daten erhoben werden, die über die Erreichung des verfolgten Zwecks hinausgehen.

Richtigkeit der Datenverarbeitung (Abs. 1 lit. d)

Der Grundsatz der Richtigkeit der Datenverarbeitung bezieht sich darauf, dass die erhobenen personenbezogenen Daten sachlich richtig sein müssen. Darüber hinaus wird gefordert, dass die personenbezogenen Daten auch auf dem neuesten Stand sein müssen. Relevant wird dies insbesondere in Fällen einer weiteren Verarbeitung der erhobenen Daten. Zu beachten ist, dass der für die Erhebung Verantwortliche schon von sich aus angemessene Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Hinsichtlich der Angemessenheit der Maßnahmen kommt es jeweils auf den konkreten Einzelfall an. In den Artikeln 16 und 17 der DSGVO finden sich beispielsweise konkrete Regelungen, mit denen der Grundsatz der Richtigkeit der Datenverarbeitung verwirklicht werden soll.

Speicherbegrenzung (Abs. 1 lit. e)

Der Grundsatz der Speicherbegrenzung ist eng mit dem Zweckbindungsgrundsatz verbunden. Daten, die die Identifizierung einer Person ermöglichen, dürfen nur solange gespeichert werden, wie es für die Zweckerreichung erforderlich ist. Den Verantwortlichen trifft die Pflicht in regelmäßigen Abständen zu überprüfen, dass die von ihm gespeicherten Daten nicht unnötig lange gespeichert werden. Ausnahmen von der Speicherbegrenzung sieht Art. 5 Abs. 1 lit e Hs. 2 für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vor.

Integrität und Vertraulichkeit (Abs. 1 lit. f)

Über das Kriterium der Integrität soll die Unversehrtheit der Daten geschützt werden. Es soll sichergestellt werden, dass die erhobenen Daten weder ganz noch teilweise gelöscht oder sie auf andere Art vernichtet oder unbefugt verändert werden. Über das Kriterium der Vertraulichkeit sollen die erhobenen Daten vor einer unbefugten Kenntnisnahme und Verarbeitung geschützt werden. Die eben beschriebenen Schutzzwecke sollen durch geeignete technische und organisatorische Maßnahmen erreicht werden. Insbesondere in Art. 32 DSGVO finden sich Konkretisierungen für solche Maßnahmen.

 

Das Thema der nächsten Woche sind die Einwilligung und der Widerspruch nach der DSGVO.

Themenreihe DSGVO: Was ist die DSGVO?

2. Juni 2017

Die Datenschutzgrundverordnung (DSGVO) wirft schon jetzt einen großen Schatten voraus, obwohl sie erst am 25. Mai 2018 in Kraft tritt, aber die Hälfte der ‚Vorbereitungszeit‘ ist inzwischen abgelaufen. Aber was ändert sich alles durch die DSGVO? Mit dieser Frage befasst sich die neue Themenreihe, die uns in den nächsten Wochen begleiten und wichtige Neuerungen und Fragen aufgreifen wird.

Die DSGVO ist der Schlusspunkt einer jahrelang geführten Diskussion über das “richtige“ Datenschutzniveau. Im Zuge der fortschreitenden Technik, der Globalisierung und der Digitalisierung wurde es Zeit für ein zeitgemäßes, einheitliches Datenschutzrecht.

Ziel der DSGVO ist ein einheitliches Datenschutzrecht in Europa. Neben der Harmonisierung gibt es zudem einige Neuerungen materiell-rechtlicher, prozeduraler sowie institutioneller Natur, die bisher noch nicht oder zumindest nicht so vorhanden waren. So soll der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere der Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten gewährleistet werden.

Wie oben bereits geschrieben tritt die DSGVO im Mai 2018 in Kraft. Da es sich um eine Verordnung handelt ist sie direkt und unmittelbar in den EU-Ländern anwendbar. Aufgrund der zahlreichen Öffnungsklauseln kann und soll der nationale Gesetzgeber tätig werden. Anpassungen der nationalen Regelungen, in Deutschland des Bundesdatenschutzgesetzes (BDSG), sind erforderlich. Die Bundesregierung ist bereits tätig geworden. Das ‘BDSG-neu‘ wurde bereits in den letzten Wochen verabschiedet und somit an die DSGVO angepasst.

Durch die DSGVO, als umfassendes Gesetzeswerk ergeben sich sowohl für Unternehmen als auch für Privatpersonen einige Neuerungen, aber dazu in den nächsten Wochen mehr.

 

Das Thema der nächsten Woche sind die Grundsätze der Verarbeitung nach der DSGVO.