Information nur gegen Daten
PSP Case Study zur DSGVO: Praxisfall 30

DSGVO: Praktischer Fall

Die Finanzberatung Maier GmbH stellt Interessenten auf ihrer Website wöchentlich den „Anlagetipp der Woche“ zur Verfügung. Dieser wird in Form einer E-Mail verschickt und der Interessent muss sich zuvor im Double-Opt-In-Verfahren auf der Website anmelden. Dabei muss er eine Einwilligung erteilen, dass er auch mit der Zusendung von Newslettern und von Veranstaltungseinladungen der Maier GmbH einverstanden ist.

Hinter diesem Fall steht ökonomisch das weitreichende Thema „kostenlose“ Leistung eines Anbieters (Verantwortlichen) gegen die Zurverfügungstellung personenbezogener Daten eines Betroffenen. Ein Tauschgeschäft mit dem „Grundwasser des 21. Jahrhunderts“ (ein Begriff übrigens, den der Bundesdatenschutzbeauftragte dem Begriff „Öl des 21. Jahrhunderts“ vorzieht): Der Verantwortliche gibt „irgendeine Leistung“, der Betroffene gibt im Gegenzug „seine Daten“, zu welchen (erklärten oder unerklärten faktischen) Zwecken auch immer. Datenschutzrechtlich geht es hier um das Schlagwort „Koppelungsverbot“ im Sinne einer Koppelung der Erbringung einer Leistung gegenüber dem Betroffenen mit der Einwilligung des Betroffenen in eine Verarbeitung seiner Daten, die über das zur Leistungserbringung unmittelbar Erforderliche hinausgeht. Man könnte es (fast) auch „Erpressungsverbot“ nennen, denn in der Sache soll dem Betroffenen eine weitergehende Einwilligung „abgepresst“ werden. Das in Fall 17 besprochene „versteckte“ Koppelungsverbot betrifft hingegen den Fall, dass eine über den Vertrag hinausgehende Einwilligungserklärung durch eine Interessenabwägung (mutmaßliche Einwilligung) ersetzt wird.

Das „Koppelungsverbot“

Nun ist das Koppelungsverbot eigentlich gar kein Verbot. Die Regelung in Art. 7 Abs. 4 DSGVO besagt „nur“, dass eine „erpresste“ Einwilligung des Betroffenen nicht freiwillig ist und damit die Einwilligung als datenschutzrechtlicher Legitimationsgrund ausscheidet. Wer also als Verantwortlicher dem Betroffenen eine Einwilligung in eine Verarbeitung personenbezogener Daten „abpresst“, die zur Erfüllung des Vertragszwecks nicht erforderlich sind, verfügt zwar über eine Einwilligung, aber über keine freiwillige – und damit über keine wirksame – Einwilligung.

In einem einfachen Beispiel könnte also ein Online-Shop, bei dem der Betroffene Besteck einkaufen möchte, die Annahme und Ausführung der Bestellung davon abhängig machen, dass der Betroffene in die Verarbeitung seiner Kontaktdaten zu Zwecken des Direktmarketings durch diesen Online-Shop einwilligt. Zur Erfüllung des Vertrages ist das Direktmarketing schließlich nicht erforderlich. Aber Moment mal, das war doch im Rahmen der Interessenabwägung (s. Fall 29) und mit Einschränkungen auch im Wettbewerbsrecht erlaubt? Naja, eigentlich geht es ja um die „böseren“ Fälle, in denen der Betroffene z. B. einwilligen soll, dass seine Kontaktdaten vom Betreiber des Online-Besteck-Shops an den Betreiber einer Glücksspielseite weitergegeben werden, der den Betroffenen dann mit Werbung „zuspammen“ darf. Mit anderen Worten: Dort, wo eine Interessenabwägung zugunsten des Verantwortlichen ausgehen würde – etwa in den einschlägigen Direktmarketing-Fällen –, wird man wohl eine auf dasselbe Ziel gerichtete Einwilligungserklärung, selbst wenn diese über das zur Erfüllung des Vertrages Erforderliche hinausgeht, eigentlich nicht als „unfreiwillig“ bezeichnen können. Sonst würde das die Einholung einer Einwilligung (noch) unattraktiver machen und außerdem das Gesamtgefüge aus der Balance bringen.

Der österreichische Oberste Gerichtshof hat dies allerdings in einer Entscheidung vom August 2018 strikter formuliert, nämlich sinngemäß wie folgt:

Im Falle einer Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss sind an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen. Es ist dabei grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Datenlieferung als weiterer Vertragsinhalt

Nun kann die vom „Koppelungsverbot“ eigentlich beabsichtigte Unwirksamkeit einer „abgepressten“ Einwilligungserklärung, die über das zur Erfüllung eines Vertrages Erforderliche hinausgeht, im Wesentlichen auf zwei Arten „umgangen“ werden.

In der ersten Variante kann der Vertrag – man müsste sagen „missbräuchlich“ – von vornherein so strukturiert werden, dass er formal für seine Erfüllung die Verarbeitung der Daten erforderlich macht. Die Weitergabe der Kontaktdaten an den Betreiber der Glücksspielseite kann also schlicht zum Vertragsinhalt gemacht werden: „Gegenstand dieses Vertrages ist der Kauf von Besteck und die Weitergabe Ihrer Daten an interessierte Händler und Dienstleister“. Das wäre dann gar kein Problem des „Koppelungsverbotes“ mehr, denn der Verantwortlich benötigt ja gar keine Einwilligung für die Verarbeitung personenbezogener Daten, soweit diese für die Erfüllung eines Vertrags erforderlich ist (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Der Verantwortliche muss die Daten dann sogar gerade an die bezeichneten Dritten weiterleiten, um seiner „vertraglichen Weiterleitungspflicht“ gegenüber dem Betroffenen nachkommen zu können. Mit der Freiwilligkeit einer Einwilligung hat das nichts zu tun. Die Erwägungsgründe der DSGVO führen zwar grundsätzlich zur „unangebrachten“ Verknüpfung zweier Sachverhalte aus, dass – neben dem „Koppelungsverbot“ – auch dann keine Freiwilligkeit vorliegt,

„wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist“.

Man würde also im Fall von Besteck und Glücksspiel – wohl unter Anwendung des „objektive Maßstabs der Vernunft“ (s. Fall 29) – eine „Entbündelung“ der Einwilligungserklärungen eigentlich für „angebracht“ halten müssen. Auch der österreichische Oberste Gerichtshof hat sich in der oben genannten Entscheidung ausdrücklich auf das Entbündelungsgebot berufen. Allerdings geht es beim Vertrag um Besteck und Glücksspiel gar nicht um eine Einwilligung in verschiedene Verarbeitungsvorgänge, sondern um eine „Vertragskombination“, die der Verantwortliche eigentlich im Rahmen der Vertragsfreiheit so definieren kann, wie er das möchte. Also eine „perfekte Umgehung“?

Vertragskontrolle nach Datenschutzrecht

Nicht wirklich. Denn auch die Vertragsfreiheit ist zwischenzeitlich unter den Beschuss des Datenschutzrechts geraten, und zwar im Zusammenhang mit der Frage, was wirklich für den Vertrag „erforderlich“ ist. Nicht nur viele Kommentatoren versuchen, Ansätze in Richtung einer Einschränkung der vertraglichen Definitionsfreiheit zu entwickeln, etwa indem sie auf den „Kern des Vertrages“ abstellen, die Lösung im AGB- bzw. EU-Verbraucherschutzrecht suchen oder auf die Grundprinzipien der DSGVO wie „Treu und Glauben“, Zweckbindung und Datenminimierung abstellen. Auch der Europäische Datenschutzausschuss versucht in diesem Zusammenhang in seinen Empfehlungen vom April 2019, eine eigene „datenschutzrechtliche Inhaltskontrolle“ zu etablieren, indem es ausführt (man achte auf das Schlüsselwort „künstlich“/„artificially“):

Contracts for digital services may incorporate express terms that impose additional conditions about advertising, payments or cookies, amongst other things. A contract cannot artificially expand the categories of personal data or types of processing operation that the controller needs to carry out for the performance of the contract within the meaning of Article 6(1)(b).

The controller should be able to justify the necessity of its processing by reference to the fundamental and mutually understood contractual purpose. This depends not just on the controller’s perspective, but also a reasonable data subject’s perspective when entering into the contract, and whether the contract can still be considered to be ‘performed’ without the processing in question. Although the controller may consider that the processing is necessary for the contractual purpose, it is important that they examine carefully the perspective of an average data subject in order to ensure that there is a genuine mutual understanding on the contractual purpose.“

Lediglich auf den letztgenannten Aspekt – die Sichtweise des Betroffenen (auch wenn es „künstlich“ ist?) – beschränkt sich das bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018:

Wir gehen bei solchen Geschäftsmodellen von einer vertraglichen Grundlage für die Verarbeitung der personenbezogenen Daten gemäß Art. 6 Abs. 1 Satz 1 Buchstabe b DS-GVO aus, wenn die ausbedungene Gegenleistung des Nutzers, d. h. die Zustimmung zur Verarbeitung seiner Daten für die Zusendung eines Werbe-Newsletters, bei Vertragsabschluss über die vereinbarte kostenlose Dienstleistung klar und verständlich dargestellt wird und damit ein Nutzer eine sachgerechte Entscheidungsgrundlage hat.

In einer Entscheidung vom Juni 2019 hat das OLG Frankfurt demgegenüber keine Bedenken gegen die Freiwilligkeit einer Einwilligung erhoben, wenn die Teilnahme an einem Gewinnspiel von der Einwilligung in den Erhalt künftiger E-Mail-Werbung abhängig gemacht wird. Diese Entscheidung wurde häufig mit dem „Koppelungsverbot“ in Verbindung gebracht, beschäftigt sich aber nicht mit den Voraussetzungen und Folgen von Art. 7 Abs. 4 DSGVO, sondern allgemein mit dem Merkmal der Freiwilligkeit (Art. 4 Nr. 11 DSGVO). Nach dem OLG Frankfurt muss und kann der Verbraucher selbst entscheiden, ob ihm die Teilnahme am Gewinnspiel die Preisgabe seiner Daten „wert“ ist. Das wettbewerbsrechtlich geprägte Urteil geht auf die Frage, ob hier vielleicht ein gegenseitiger Vertrag vorlag, nicht ein.

Hinsichtlich Art. 7 Abs. 4 DSGVO aber wäre es sicherlich besser gewesen, wenn sich der Gesetzgeber über den zugrundeliegenden Mechanismus und die verschiedenen Fallgestaltungen genauer Gedanken gemacht hätte, anstatt dass nun gerätselt wird, anhand welcher Gesichtspunkte hier die Trennlinie verläuft. Man mag sich die entsprechenden Beispiele 6 bis 8 der Empfehlungen des Europäischen Datenschutzausschusses vom April 2019 vor Augen führen und fragen, ob man die Wertungsentscheidungen der dortigen „Musterlösungen“ jeweils für unmittelbar einleuchtend hält. Außerdem, aber das nur am Rande, ist völlig unverständlich, weshalb der Gesetzgeber den obigen Grundsatz des „Entbündelungsgebots“ nur in die Erwägungsgründe, das (fälschlicherweise) sogenannte „Koppelungsverbot“ aber daneben auch in den Verordnungstext selbst geschrieben hat. Das Problem des „künstlichen Aufblasens des Vertragsgegenstandes“ wird jedenfalls von der DSGVO nicht gelöst und wäre vermutlich mit datenschutzrechtlichen Mitteln auch kaum zu lösen.

Daten als Gegenleistung

Oben war davon die Rede, dass die Unwirksamkeit einer „abgepressten“ Einwilligungserklärung auf zwei Arten „umgangen“ werden kann. Die erste Variante war die Definition des Vertrages dergestalt, dass dieser die Verarbeitung der (weiteren) Daten über den „ursprünglichen“ Vertragszweck hinaus notwendig macht, weil ein zweiter Vertragszweck bzw. Vertragsgegenstand hinzugefügt wird. Vertragsrechtlich würde man die Daten als „Beistellleistung“ des Betroffenen bezeichnen. Die zweite Variante – so auch im Ausgangsfall – geht demgegenüber dahin, dass der Verantwortliche eine Leistung anbietet, für die er erklärtermaßen als Gegenleistung „nur“ die Daten (und kein Entgelt) erwartet. Vertragsrechtlich sind dann die Daten als solche die Gegenleistung, d. h. es handelt sich um einen Tausch Leistung gegen Daten. Der Betroffene bezahlt also derartige – ggf. werbefinanzierte – Inhalte und Dienstleistungen „mit seinem guten Namen“, sprich mit seinen Daten.

Man kann nun argumentieren, dass ein solches Tauschgeschäft – die Nutzung einer „kostenlosen“ App wird gegen die Möglichkeit der weiteren Verwendung der dort einzugebenden Daten gestattet – ein (gegenseitiger) Vertrag ist, dann geht es (wiederum) begrifflich nicht um eine Einwilligung und damit würde auch das Koppelungsverbot keine Rolle spielen. Vertragsrechtlich würde man sagen: Wenn jemand sich weigert, seine personenbezogenen Daten zum Zweck des (Tausch-)Vertrages herzugeben – dies ist Vertragserfüllung, keine Einwilligung als Legitimationsgrundlage im datenschutzrechtlichen Sinne –, muss der Verantwortliche auch die Bereitstellung der Information, der Dienstleistung oder einer App nicht erbringen. Das Problem dabei ist nur, dass die gegenseitige Erbringung der vertraglichen Leistungen in der Praxis häufig formal als „Einwilligung“ bezeichnet und ausgestaltet wird. So wurde dies auch im Ausgangsfall gehandhabt (förmliche „double opt-in“-Zustimmungserteilung, die allerdings das Datenschutzrecht für Einwilligungen formal – wenn man einmal von der Beweisbarkeit absieht – gar nicht verlangt, sondern nur das Wettbewerbsrecht). Diese übliche äußere Gestalt lässt das Tauschgeschäft – im Ausgangsfall die vertragsgemäße Zurverfügungstellung der Kontaktdaten des Betroffenen für Newsletter-Zusendungen etc. gegen die Übermittlung der gewünschten Anlagetipps der Maier GmbH – datenschutzrechtlich eher als Gratisleistung, die von der Erteilung einer Einwilligung abhängig gemacht wird, erscheinen.

Das verwundert nicht, denn die „Konstruktion“ des konkreten Tauschgeschäfts, bei dem die Einwilligung durch die Verarbeitung zu den – frei definierten – Zwecken des Tauschgeschäfts (Vertragserfüllung) ersetzt wird, mag dem einen oder anderen (Nicht-)Juristen „kontraintuitiv“ erscheinen. Selbst das Kammergericht in Berlin hat in seiner Google-AGB-Entscheidung aus dem März 2019 in einer Seitenbemerkung ausgeführt, dass die von einem Betroffenen erhobenen Daten nicht als „Entgelt“ für anderweitige Leistungen angesehen werden können, da ja der Betroffene seine „Einwilligung“ jederzeit widerrufen könne. Eine „Leistung“, die der Betroffene jederzeit zurückziehen kann, sei aber kein taugliches Entgelt. Von einem Entgelt könne nur die Rede sein, wenn sich der Nutzer zur Einwilligung in die Nutzung seiner Daten verpflichten würde. Hier werden also die Legitimationsgrundlagen Einwilligung und Vertrag – letzterer lässt gerade keinen isolierten datenschutzrechtlichen „Widerruf“ zu, sondern nur die Instrumente des Vertragsrechts wie Kündigung – vermischt.

Hingegen tendieren die Datenschutzbehörden selbst bei einer eher datenschutzfokussierten „Lesart“ einer Verknüpfung der Informationsübermittlung an eine Einwilligung im datenschutzrechtlichen Sinne – also ohne Rückgriff auf einen gegenseitigen Tauschvertrag – dazu, diese im Ergebnis in gewissem Rahmen zuzulassen. Wie dieser Rahmen allerdings im Einzelnen aussieht, ist unklar. Gerade im Beispielsfall oben wird argumentiert, dass es – letztlich um die „Ernsthaftigkeit“ des Angebots „Information gegen Daten“ zu unterstreichen – notwendig sei, dem Benutzer eine kostenpflichtige Alternative ohne die Notwendigkeit der Erhebung weiterer Daten anzubieten. Es müsse also auch immer eine „datensparsame“ Alternative geben, d. h. im Grunde wird eine Vertragstypalternative eingefordert („Informationskauf“ statt Tausch). Woraus genau die Notwendigkeit einer solchen „Zwangs-Handlungsalternative“ hergeleitet wird, ist nicht ganz klar.

Nach einem Bescheid der österreichischen Datenschutzbehörde vom November 2018 wird dies unter dem Gesichtspunkt der Freiwilligkeit behandelt, d. h. die Alternative, seine Daten „herzugeben“ oder (gar) nicht, ist keine echte Alternative, sondern nur, seine Daten „auf diese oder andere Weise herzugeben“. Dies steht aber nicht nur nicht in der DSGVO, sondern auch im Widerspruch zu der an anderer Stelle von den Datenschutzbehörden vertretenen Auffassung, es dürfe gar keine Einwilligung eingeholt werden, soweit ein Vertrag die Datenverarbeitung legitimiere. Die Einholung der Einwilligung sei dann gar nicht „erforderlich“ (eine Voraussetzung, die sich aber wiederum gerade nicht aus dem Text der DSGVO ergibt). Wichtig ist trotz aller Unklarheiten aber zumindest entsprechende Transparenz gegenüber dem Betroffenen. Auf diesen Aspekt kommen wir unten noch zurück.

Der „Weichmacher“ in Art. 7 Abs. 4 DSGVO

Selbst wenn man in derartigen Fallgestaltungen davon ausgehen würde, dass es datenschutzrechtlich einer Einwilligung bedarf und damit das „Koppelungsverbot“ zu prüfen ist, muss dennoch nach dem Text der DSGVO die zur Unfreiwilligkeit der Einwilligungserklärung führende Verknüpfung zwischen Vertragserfüllung und Einwilligung nur „in größtmöglichem Umfang“ berücksichtigt werden. Mit anderen Worten: Nicht jede Koppelung ist strikt verboten, denn es heißt gerade nicht kategorisch: „Wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind, ist die Einwilligung nicht freiwillig erteilt worden“. Was diese Formulierung der Berücksichtigung der Verknüpfung „in größtmöglichem Umfang“ im Einzelnen bedeutet, ist unklar. Der Begriff wird in der Kommentarliteratur durch die mindestens ebenso diffuse Formel ersetzt, dass der Verantwortliche nur „angemessene Anstrengungen unternehmen soll“, um dem Betroffenen auch bei Abschluss eines Vertrages die Wahlfreiheit zu erhalten, ob er über den Vertrag hinausgehende Einwilligungen erteilt oder nicht. Aber kann es datenschutzrechtliche Einwilligungen über den Vertrag hinaus geben, die der Verantwortliche so „bitterlich benötigt“, dass es den Nachteil der Koppelung gegenüber dem Betroffenen, der dann Vertrag und Einwilligung nur „im Paket“ akzeptieren muss, rechtfertigt? Anders ausgedrückt: Wenn ein Vertrag eine bestimmte Verarbeitung bestimmter personenbezogener Daten nicht erfordert, welche Verarbeitung welcher personenbezogener Daten könnte dann dennoch so wichtig sein, dass der Vertragspartner diese Daten doch „haben muss“?

Transparenz gegenüber dem Betroffenen

Daneben ist noch – wie oben angedeutet – auf einen anderen, in der Praxis sehr bedeutsamen Aspekt im Zusammenhang mit der Einwilligung hinzuweisen: Diese ist auch dann unwirksam, wenn der Betroffene nicht ausreichend konkret und transparent informiert wurde. Auch hier gilt es, missbräuchliche von „verständlichen“ Fallgestaltungen abzuschichten. Missbräuchlich sind Fälle „gewollter Intransparenz“, in denen also die maßgebliche Information schon mitgeteilt wird, aber so verschlungen und versteckt, dass der Betroffene unter normalen Umständen nicht „durchblicken“ wird. Die französische Datenschutzaufsichtsbehörde CNIL hat im Januar 2019 Google mit einer Strafe in Höhe von EUR 50 Mio. belegt, weil der Zweck der Datenerhebung zu allgemein und vage beschrieben worden sei und außerdem

wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, zu sehr auf mehrere Dokumente verteilt sind, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen“.

Auch seien die Optionen zur Steuerung der Aktivität von Google – also zur Reichweite der Einwilligung – zu versteckt und es bleibe unklar, welche anderen Dienste und Webseiten (wie Youtube, Maps, Drive etc.) in die Verarbeitung der personenbezogenen Daten involviert sind. Die Konsequenz dieser Erkenntnis ist, dass keine wirksame Einwilligung der Nutzer vorliegt und die personenbezogenen Daten entsprechend nicht verarbeitet werden dürfen.

Welche Informationen dem Betroffenen vorliegen müssen, damit eine informierte Einwilligung vorliegen kann, wurde in Fall 8 erörtert. In Bezug auf die – neben diesen „Einwilligungsinformationen“ – zu erteilenden Pflichtinformationen soll aber gleichwohl der zu Fall 29 beschriebene „Medienbruch“ bei der Aufklärung des Betroffenen prinzipiell zulässig sein, d. h. eine Aufteilung der relevanten Information auf verschiedene Informationsorte wäre nicht schlechthin unzulässig. Wo genau die Grenzen der Transparenz liegen bzw. wie detailliert die beabsichtigte Verarbeitung beschrieben werden muss, bleibt demnach offen.

Informationsmängel beim Verantwortlichen

Neben solchen, möglicherweise „gewollten“ Intransparenzen gibt es allerdings auch Informationsmängel, die selbst der Verantwortliche nicht abstellen kann. Wenn der Verantwortliche klar darlegt, dass er ergebnisoffene „big data“-Analysen mit den personenbezogenen Daten vorhat, also im Klartext noch nicht genau weiß, für welche Erkenntnisse er die Daten verwenden wird, ist dann eine Einwilligung hierzu undenkbar? Wenn man in diesem Fall fordert, dass die Voraussetzungen, Konsequenzen und Algorithmen von Datenanalysen bzw. einer Profilbildung genau im Vorhinein beschrieben werden müssen, wird eine „Blanko-Einwilligung“ des Betroffenen rechtlich nicht erreichbar sein. Wenn die Alternative nur darin bestehen kann, dass der Betroffene in die einzelnen „Verarbeitungsstufen“ gesondert einwilligen muss, sobald diese – anhand des Ergebnisses der vorherigen Stufe – konkret genug beschrieben werden können, wird das beim Verantwortlichen kaum zu implementieren sein.

Ebenso kann der Verantwortliche schwerlich die Einwilligung zu Datenverarbeitungsvorgängen einholen, die er selbst nicht einmal kennt (s. dazu auch die Fälle 13 und 16). Im Datenschutz- und Informationsfreiheitsbericht 2019 der Landesdatenschutzbeauftragten von Nordrhein-Westfalen wird etwa der Fall „Rezeptbestellungen mittels Whatsapp“ wiedergegeben, bei dem ein Patient der Apotheke ein Rezept über Whatsapp zukommen lässt. Die Tatsache, dass Whatsapp zumindest nach eigenen Angaben eine Ende-zu-Ende-Verschlüsselung etabliert hat, wird hier nicht weiter aufgegriffen. Stattdessen führt die Landesdatenschutzbeauftragte aus:

Die Einholung einer gemäß Art. 9 Abs. 2 Buchstabe a) DS-GVO erforderlichen informierten Einwilligungserklärung dürfte in der Praxis eher schwierig sein, weil die Apotheken selbst tatsächlich keine ausreichenden Aussagen über die Datenverarbeitung bei dem genutzten Messengerdienst treffen können.

Vielleicht liegt hier auch ein Fall der „gemeinsamen Verantwortlichkeit“ vor? Wie auch immer: Wer nicht weiß, wie etwas funktioniert, das personenbezogene Daten verarbeitet, kann auch keine wirksame Einwilligung des Betroffenen für die Nutzung dieses „etwas“ erlangen. Dabei bleibt gleichwohl offen, was genau der Verantwortliche nun wissen müsste, um den Betroffenen aufzuklären, denn anscheinend wird hier ein weitergehender Maßstab vorausgesetzt als die DSGVO ausdrücklich vorsieht (Speicherdauer? – s. o.). Und eine konkludente Einwilligung durch bloße Nutzung könne, so die Landesdatenschutzbeauftragte weiter, auch nicht unterstellt werden, weil „die Annahme einer bloß konkludenten Willensbekundung dem Datenschutzrecht fremd ist“. Wenn dem so wäre, dürfte wohl Whatsapp auch zwischen privaten Personen (s. Fall 18) weitgehend nicht mehr angewandt werden können.

Widerruf der Einwilligung

Anlässlich einer Entscheidung der polnischen Datenschutzaufsichtsbehörde vom November 2019 soll hier noch ergänzend kurz auf die Umstände des Widerrufs einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) eingegangen werden. Der Verantwortliche hatte den Betroffenen einen Link zur Verfügung gestellt, mit dessen Auswahl die Betroffenen ihre Einwilligung widerrufen konnten. Allerdings führt das Anklicken des Links nicht zum Widerruf, sondern zu „irreführenden“ Informationen sowie zu einer „Zwangsangabe“ über den Grund des Widerrufs. Wer keinen Grund angab, konnte nicht widerrufen. Diese Gestaltung seitens des Verantwortlichen wurde – natürlich – als vorsätzlicher Verstoß gegen Art. 7 Abs. 3 DSGVO gewertet: Der Widerruf muss für den Betroffenen so einfach wie die Erteilung der Einwilligung sein.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden