5. Januar 2021
DSGVO Einwilligung Checkbox Erklärung
Datenschutzrecht

EuGH: Einwilligung nach DSGVO muss aktiv erklärt werden

Verantwortlicher verletzt strenge DSGVO-Nachweispflichten, wenn er lediglich einen unterzeichneten Vertrag mit vorausgewählter Einwilligung vorlegt.

Nach der viel beachteten Planet49-Rechtsprechung zu voreingestellten Ankreuzkästchen im Rahmen von Cookie‑Bannern im Internet (EuGH, Urteil v. 1. Oktober 2019 – C-673/17 und auch BGH, Urteil v. 28. Mai 2020 – I ZR 7/16), äußert sich der EuGH nun auch zu einem ähnlich gelagerten Offline‑Sachverhalt – und bleibt dabei konsequent: Der Nachweis einer datenschutzrechtlich wirksamen Einwilligungen in die Verarbeitung personenbezogener Daten kann nicht (allein) durch die Vorlage eines unterzeichneten Vertrags erbracht werden, der neben einer Vielzahl anderer Bestimmungen ein vorangekreuztes Kästchen zur Einwilligung enthält (EuGH, Urteil v. 11. November 2020 – C‑61/19).

Einholung einer wirksamen Einwilligung unterliegt strengen Vorgaben

Nach der EU‑Datenschutz‑Grundverordnung (DSGVO) gilt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn hierfür eine hinreichende Rechtsgrundlage vorliegt (Art. 6 DSGVO). Hierzu zählt insbesondere die Einwilligung der jeweils betroffenen Person. Eine solche Einwilligung muss stets freiwillig für den konkret bestimmten Fall, in informierter Weise und unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung abgegeben werden, Art. 4 Nr. 11 DSGVO.

Die Beweislast dafür, dass eine diesen Anforderungen genügende Einwilligung vorliegt, trägt der jeweils für die Datenverarbeitung Verantwortliche (Art. 7 Abs. 1 DSGVO). Erfolgt die Einwilligung durch schriftliche Erklärung, die neben der Einwilligung noch andere Sachverhalte betrifft, muss sie von den übrigen Inhalten klar zu unterscheiden sein (Art. 7 Abs. 2 S. 1 DSGVO). Zudem muss transparent darauf hingewiesen werden, ob die Verarbeitung der personenbezogenen Daten für die Erfüllung des jeweiligen Vertrags erforderlich ist (Art. 7 Abs. 4 DSGVO).

Rumänische Datenschutzaufsicht verhängt Bußgeld wegen unwirksamer Einwilligung

Ein rumänisches Gericht (Trubunalul Bucuresti) hat dem EuGH vor diesem Hintergrund folgenden Fall zur Vorabentscheidung vorgelegt: Die Orange România SA (Orange), ein rumänischer Telekommunikationsdienstleister, verlangte von ihren Kunden, dass diese bei Abschluss eines schriftlichen Vertrags über Telekommunikationsdienste eine Kopie ihres Personalausweises beifügen. Diese Kopie bewahrte das Unternehmen in der Folge zusammen mit den Vertragsunterlagen auf. Die rumänische Datenschutzaufsichtsbehörde warf Orange vor, die für die Verarbeitung der personenbezogenen Personalausweisdaten erforderliche Einwilligung nicht ordnungsgemäß eingeholt zu haben.

In der Praxis lief die Einholung der Einwilligung so ab, dass ein Mitarbeiter von Orange den Kunden zunächst mündlich über die Zwecke der Datenverarbeitung, die Aufbewahrung der Ausweiskopie und darüber, dass keine Pflicht zur Einwilligung vorliege, aufklärte (so zumindest die Angaben von Orange, die der Entscheidung zugrunde liegen). In der Folge hat der Mitarbeiter für den Kunden ein Häkchen neben einer Vertragsklausel gesetzt, wonach der Kunde die Belehrung erhalten und verstanden habe und seine Einwilligung in die Datenverarbeitung erkläre. Als Zweck für die Verarbeitung der Personalausweisdaten gab die Klausel lediglich die Identifikation des Kunden an. Im Anschluss hat der Kunde den Vertrag mit dem (vor)angekreuzten Kästchen handschriftlich unterschrieben. Wollte ein Kunde die Einwilligung in die Abgabe und Aufbewahrung seiner Ausweiskopie nicht erteilen, verlangte Orange zusätzlich, dass der Kunde schriftlich erklärt, weder in die Erhebung noch in die Aufbewahrung seiner Ausweiskopie einzuwilligen.

Dieses Vorgehen bewertete die rumänische Datenschutzaufsicht insgesamt als rechtswidrig und verhängte ein Bußgeld gegen Orange. Dagegen setzte sich das Unternehmen in der Folge gerichtlich zur Wehr. 

Nachweis der Einwilligung durch vorangekreuztes Kästchen nicht erbracht

Der EuGH schloss sich der Ansicht der rumänischen Datenschutzaufsicht an und blieb auch seiner eigenen, in Bezug auf Cookie‑Banner eingeschlagenen Linie treu. Der Umstand allein, dass der unterschriebene Vertrag ein angekreuztes Kästchen für eine angeblich erklärte Einwilligung enthält, sei kein hinreichender Nachweis:

Da (…) die betroffenen Kunden das Kästchen, das diese Klausel betrifft, aber anscheinend nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen. Wie der Generalanwalt (…) ausgeführt hat, reicht nämlich der Umstand, dass diese Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben, für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist.

Diesen Ausführungen lässt sich jedoch entnehmen, dass – zumindest theoretisch – auch im Fall einer Vorauswahl durch den Verantwortlichen eine wirksame Einwilligung der betroffenen Person vorliegen kann. Der EuGH schreibt nämlich lediglich, dass der Nachweis der Einwilligung durch den „bloßen Umstand“ des vorangekreuzten Kästchens nicht erbracht werden kann. Liegen daneben noch weitere Umstände vor, welche die tatsächliche Einwilligung belegen, dürfte auch bei einer Vorauswahl eine datenschutzrechtliche wirksame Einwilligung nicht per se ausgeschlossen sein. Aus Beweisgründen ist jedoch grundsätzlich zu empfehlen, keine Vorauswahl zu treffen.

Weiterhin sieht das Gericht „keine Anhaltspunkte“ dafür, dass die Einwilligungsklausel von der betroffenen Person „tatsächlich gelesen und verstanden worden ist.“ Ob, und wenn ja, welche praktischen Auswirkungen diese Erkenntnis in Bezug auf den Nachweis der Einwilligung nach sich ziehen sollen, erläutert der EuGH nicht. Die tatsächliche Kenntnisnahme und gar das Verständnis der jeweils betroffenen Person nachzuweisen, dürfte für den Verantwortlichen nicht oder nur sehr schwer möglich sein. Es ist daher anzunehmen, dass lediglich die tatsächliche Möglichkeit der Kenntnisnahme nachzuweisen ist und nicht, dass die betroffene Person diese Möglichkeit auch wahrgenommen hat. 

Information des Kunden über Zwecke der Datenverarbeitung unzureichend

Dass lediglich die Identifikation des Kunden als Zweck für die Datenverarbeitung in der streitgegenständlichen Vertragsklausel angegeben wurde, sah der EuGH in Hinblick auf eine ausreichende Information des Kunden über die vorzunehmende Datenverarbeitung ebenfalls kritisch: 

Da sich die (…) Vertragsklausel zudem darauf beschränkt, ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben, ist es Sache des vorlegenden Gerichts, zu prüfen, ob die Information der betroffenen Personen den Anforderungen von (…) Art. 13 der [DSGVO] genügt, in denen angegeben wird, welche Informationen der für die Verarbeitung Verantwortliche der Person, bei der er die sie betreffenden Daten erhebt, geben muss, um ihr gegenüber eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten.

Setup des Vertrags ist irreführend und beeinträchtigt die Wahlfreiheit

Ein weiterer vom EuGH am Vorgehen von Orange bemängelter Punkt war, dass der Kunde durch die in Frage stehende Vertragsklausel irregeführt werden könne. Diese enthalte nämlich keine näheren Angaben dazu, dass der Vertrag trotz der Weigerung, in die Datenverarbeitung einzuwilligen, rechtswirksam abgeschlossen werden könne, was tatsächlich jedoch möglich war. Freiwilligkeit setze Wahlfreiheit voraus. Dazu heißt es in Erwägungsgrund 42 zur DSGVO:

(…). Es sollte nur dann davon ausgegangen werden, dass [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern (…), ohne Nachteile zu erleiden.

Die Wahlfreiheit des Kunden sei zudem dadurch beeinträchtigt, dass er abweichend vom normalen Verfahren zum Vertragsabschluss eine zusätzliche schriftliche Erklärung abgeben musste, wenn er die Einwilligung in die Datenverarbeitung nicht abgeben wollte. Diese zusätzliche Anforderung sei geeignet,

die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, ungebührlich zu beeinträchtigen (…).

Nachweispflicht über wirksame Einwilligung unterliegt in der Praxis strengen Anforderungen

Das Urteil zeigt, dass Unternehmen strengen Anforderungen genügen müssen, um ihrer Nachweispflicht im Zusammenhang mit datenschutzrechtlichen Einwilligungen nachzukommen. Im Rahmen von „Offline‑Verträgen“ sollten zur Umsetzung der Vorgaben des EuGH folgende Punkte praktisch umgesetzt werden:

  • Die Einwilligung sollte separat eingeholt werden (z.B. als Anlage zum Vertrag) oder innerhalb des Vertragstextes optisch hervorgehoben werden, sodass sich der entsprechende Teil deutlich vom übrigen Vertragstext abhebt (z.B. andere / größere Schrift, Fettschrift, Umrandung, farbliche Kenntlichmachung, Platzierung am Ende des Vertrags).
  • Es sollte eine proaktive Handlung spezifisch im Zusammenhang mit der Einwilligung eingefordert werden – zum Beispiel durch ein Ankreuzkästchen, das nicht vorausgewählt ist. 
  • In der Einwilligungsklausel sollte ausdrücklich hervorgehoben werden, ob die datenschutzrechtliche Einwilligung eine Bedingung für den Vertragsschluss darstellt oder nicht.
  • Die Wahlfreiheit der betroffenen Person sollte gewahrt werden, indem die Verweigerung der Einwilligung keine zusätzlichen (prozessualen) Anforderungen nach sich zieht.
  • Die betroffene Person muss umfassend über die Datenverarbeitung informiert werden, insbesondere über die Art der zu verarbeitenden Daten, die Identität des Verantwortlichen, die Dauer und Modalitäten der Verarbeitung sowie die Zwecke, die damit verfolgt werden.
Tags: Checkbox DSGVO Erklärung opt-in Opt-out