Ihre Kontakte
Lukas Bühlmann
Michael Reinle
Der Europäische Datenschutzausschuss (EDSA) hat im Mai eine revidierte Fassung seiner wichtigen Leitlinien zu den Anforderungen an eine gültige Einwilligung unter der EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht. Darin wird die strenge Haltung insbesondere in Sachen Freiwilligkeit/Kopplungsverbot weiter verdeutlicht. So sind sogenannte Cookie-Walls nach Ansicht des EDSA unzulässig. Die Koppelung des Website-Zugriffs an die Einwilligung für das Setzen und Auslesen von Cookies soll demnach einschränkungslos verboten sein. Die Abschnitte zu den weiteren Voraussetzungen und Prinzipien gemäss DSGVO zur datenschutzrechtlichen Einwilligung wurden ohne Veränderung in die neuen Leitlinien aufgenommen.
Hintergrund der Leitlinien und ihrer Revision
Die revidierten Leitlinien des EDSA basieren auf einer ursprünglichen Fassung vom 10. April 2018, die von der Artikel-29-Datenschutzgruppe (Article 29 Working Party, WP29) erlassen wurden. Der EDSA, der mit der Anwendbarkeit der DSGVO am 25. Mai 2018 die WP29 abgelöst hatte, ist eine unabhängige Einrichtung, bestehend aus Vertretern der Datenschutzbehörden der EU und ihrer Mitgliedstaaten. Mit Leitlinien und anderen Veröffentlichungen bringen die Datenschutzbehörden damit ihren Standpunkt zum Ausdruck und wollen zur Vereinheitlichung der Praxis in den einzelnen Mitgliedstaaten beitragen.
Unter der DSGVO gilt der Verbotsgrundsatz: Gemäss Art. 6 DSGVO ist eine Datenverarbeitung nur rechtmässig, wenn eine Rechtsgrundlage (auch: „Erlaubnistatbestand“) für eine Datenbearbeitung gegeben ist. Einer der Erlaubnistatbestände ist die Einwilligung der betroffenen Person. Daneben bestehen zwar noch fünf weitere Rechtsgrundlagen (vgl. zur Rechtsgrundlage Vertrag z.B. MLL-News vom 24.11.2019), jedoch handelt es sich bei der Einwilligung zweifelsohne um eine der zentralsten in der Praxis.
Trotz oder gerade wegen ihrer grossen Bedeutung sind viele der Anforderungen rund um die wirksame Erteilung einer Einwilligung weiterhin umstritten. Immerhin hat der EuGH in Bezug auf einige Einzelfragen vor kurzem mehr Klarheit geschaffen (MLL-News vom 25.10.2019). Stellungnahmen zu verschiedenen Teilaspekten, die auch nach dem Grundsatzurteil noch offen sind, sind in den aufschlussreichen Leitlinien des EDSA enthalten. Nachfolgend werden ausgewählte Standpunkte des EDSA zu den einzelnen Voraussetzungen an eine gültige Einwilligung, wie sie sich aus der Verordnungs-Definition ergeben, aufgezeigt:
«Einwilligung“ der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist»
Freiwilligkeit der Einwilligung
Die Einwilligung in eine Datenbearbeitung hat stets freiwillig zu erfolgen, was nach dem Verständnis des EDSA eine tatsächliche Wahlmöglichkeit der betroffenen Person voraussetzt. Als allgemeine Regel kann gemäss den revidierten Leitlinien davon ausgegangen werden, dass eine Einwilligung nicht freiwillig erfolgt und somit ungültig ist, wenn der betroffenen Person faktisch keine Wahl offensteht, weil ein Zwang zur Einwilligung besteht oder sie negative Konsequenzen zu befürchten hat, wenn sie ihre Einwilligung nicht erteilt oder zurückzieht.
An der Freiwilligkeit der Einwilligung fehlt es laut EDSA regelmässig, falls ein Machtungleichgewicht zwischen Verantwortlichem und betroffener Person besteht. Als klassisches Beispiel nennen die revidierten Leitlinien die Einwilligung des Arbeitnehmers in die Bearbeitung seiner Personendaten durch den Arbeitgeber. Das bestehende Machtungleichgewicht sowie Abhängigkeitsverhältnis zwischen Arbeitnehmer und Arbeitgeber dürften einer wirksamen, freiwilligen Einwilligung nach Ansicht der EDSA meist entgegenstehen.
Unter dem Stichwort «Bedingtheit» («conditionality») gehen die Leitlinien auch auf die strittige Frage ein, ob unter der DSGVO ein sog. Koppelungsverbot besteht. Der EDSA bejaht dies und erachtet eine Einwilligung deshalb als unwirksam, wenn das Erteilen der Einwilligung an die Annahme von AGB oder bestimmter Vertragsklauseln gekoppelt wird, für die eine Datenbearbeitung nicht erforderlich ist. In den Leitlinien wird zwar eingeräumt, dass das Koppelungsverbot nicht absolut gelte, jedoch sollen Ausnahmen davon nur in sehr wenigen ausserordentlichen Konstellationen möglich sein. In diesem Zusammenhang erwähnen die revidierten Leitlinien neu zudem die mangelnde Freiwilligkeit einer Einwilligung in die Datenbearbeitung beim Vorliegen einer sog. Cookie Wall. Eine solche liegt vor, wenn der Zugang zu einer Website oder einer Applikation davon abhängig gemacht wird, dass der Benutzer die Verwendung von Cookies zulässt. Der Benutzer hat somit nur Zugang zur Website oder Applikation, wenn er in die Verwendung von Cookies und somit in eine Bearbeitung seiner Personendaten einwilligt, z.B. durch einen Klick auf einen Button im Cookie-Banner. Eventuelle Ausnahmen oder Einschränkungen zu diesem strengen S erwähnt der EDSA nicht, sodass er die Freiwilligkeit bei solchen Cookies Walls wohl generell verneint (vgl. für weniger strenge Einschätzungen z.B. MLL-News vom 20.2.2019 und MLL-News vom 10.9.2019).
Weiter gilt es im Zusammenhang mit der Freiwilligkeit die sog. Granularität zu beachten. Diese Anforderung kommt zum Tragen, wenn Personendaten für mehr als einen Zweck bearbeitet werden sollen. In diesem Fall müssen die betroffenen Personen laut EDSA frei wählen können, welchen Zweck sie akzeptieren, anstatt in ein Bündel von Verarbeitungszwecken einwilligen zu müssen. Der Aspekt der Granularität steht somit auch in engem Zusammenhang zur Voraussetzung der Bestimmtheit (siehe sogleich).
Bestimmtheit der Einwilligung
Art. 6 Nr. 1 bst. a DSGVO erwähnt, dass die Einwilligung jeweils für jeden bestimmten Bearbeitungszweck spezifisch erteilt werden muss. Die revidierten Leitlinien führen hierzu aus, dass der Bestimmtheitsgrundsatz im Wesentlichen Folgendes voraussetze:
- Bestimmung einer oder mehrerer ausdrücklicher und legitimer Bearbeitungszwecke;
- Granularität (siehe oben) beim Einholen der Einwilligung;
- Klare Trennung der Informationen im Zusammenhang mit der Einholung der Einwilligung von anderen Informationen (z.B. in AGB).
Bei der Bestimmung der Bearbeitungszwecke soll es gemäss den EDSA-Leitlinien zudem durchaus möglich sein, dass ein Bearbeitungszweck mehrere Bearbeitungshandlungen einschliesse. Die Einwilligung könne insofern auch mehrere Bearbeitungen zugleich abdecken, solange sie alle dem gleichen Zweck dienen.
Einwilligung in informierter Weise
Als Ausfluss des datenschutzrechtlichen Transparenzgrundsatzes, der in Art. 5 Abs. 1 DSGVO statuiert ist, kann eine Einwilligung nur basierend auf vorgängiger Information der betroffenen Person wirksam eingeholt werden. Um auf einer ausreichenden Informationsbasis in eine Datenbearbeitung einwilligen zu können, müssen der betroffenen Person gemäss den revidierten Leitlinien mindestens folgende Informationen mitgeteilt werden:
- Identität des Verantwortlichen;
- Jeder Bearbeitungszweck, für den eine Einwilligung eingeholt wird;
- Welche Daten hierzu erhoben und verwendet werden;
- Das Recht der betroffenen Person die Einwilligung zu widerrufen;
- Information über die Verwendung der Daten für eine automatisierte Entscheidung (einschliesslich Profiling);
- Die möglichen Risiken einer Datenübermittlung ins Ausland, falls kein Angemessenheitsbeschluss über das dortige Datenschutzniveau oder geeignete Garantien bestehen.
Der EDSA weist jedoch darauf hin, dass in gewissen Fällen mehr Informationen erforderlich sein können, damit die betroffene Person die vorliegenden Verarbeitungsvorgänge wirklich verstehen kann. Wenn sich bspw. mehrere (gemeinsame) für die Verarbeitung Verantwortliche auf die Einwilligung berufen wollen oder wenn die Daten an andere für die Verarbeitung Verantwortliche, die sich auf die ursprüngliche Zustimmung berufen wollen, übermittelt oder von diesen verarbeitet werden sollen, müssen diese Organisationen gemäss EDSA alle namentlich genannt werden.
Die revidierten Leitlinien weisen zudem darauf hin, dass die DSGVO keine spezifische Form der Information vorschreibt. Trotzdem müssen für die Art und Weise der Information diverse Aspekte beachtet werden: So muss die Information einfach zu verstehen sein. Insbesondere seien zu diesem Zweck lange Datenschutzerklärungen voller juristischer Fachbegriffe nicht ausreichend. Hier sei wohl auch angebracht auf eine gestufte Information und Einwilligung zu setzen, damit sowohl der Voraussetzung an eine vollständige Information als auch jener an eine klare und verständliche Information genügend Rechnung getragen werde. Die Information für die Einwilligung müsse zudem klar erkennbar sein und dürfe z.B. nicht in Allgemeinen Geschäftsbedingungen «versteckt» werden.
Unmissverständliche Willenserklärung
Wie aus der oben erwähnten Definition der Einwilligung in Art. 4 Nr. 11 DSGVO ersichtlich wird, muss die Einwilligung als unmissverständliche Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen. Letzteres setzt gemäss EDSA voraus, dass die betroffene Person eine bewusste Handlung zur jeweiligen Datenverarbeitung gegeben haben müsse. Mit einer Einwilligung in Form einer vorangekreuzten Check-Box werde dies nicht eingehalten. Sodann müsse die Einwilligung zur Datenbearbeitung auch separat zur Annahme von AGB eingeholt werden.
Die DSGVO erlaube es den Verantwortlichen grundsätzlich einen Einwilligungsmechanismus zu verwenden, der passend für das jeweilige Unternehmen ist, solange sich die Einwilligungshandlung vor anderen normalen Handlungen abgrenzen lasse und somit als bewusste Einwilligung erscheine. Möglich erscheint gemäss EDSA daher z.B. auch eine Einwilligung durch «Swipen» einer Leiste auf einem Screen, das Winken in eine Smart-Cam oder das Drehen des Smartphones um die eigene Achse, solange der betroffenen Person klar ist, dass sie damit ihre Einwilligung gibt.
Fazit und Anmerkungen
Die revidierten Leitlinien der EDSA enthalten wertvolle Hinweise zur Haltung der EU-Datenschutzbehörden. Neben den hier beschriebenen Aspekten, gehen die revidierten Leitlinien auch auf zahlreiche weitere Punkte ein, wie z.B. den Widerruf der Einwilligung oder die Einwilligung durch Minderjährige.
Im Übrigen gilt es den Leitlinien zwar ein hohes Gewicht beizumessen, jedoch sind sie für EU- oder mitgliedstaatliche Gerichte nicht bindend. Letztlich bleibt zu hoffen, dass namentlich im Bereich der Freiwilligkeit sich ein weniger strenger und die Wirtschafts- und Vertragsfreiheit berücksichtigender Standpunkt durchsetzen wird.
Weiterführende Informationen:
- EU-Datenschutzgrundverordnung (DSGVO)
- EDSA Leitlinien zur Einwilligung (4. Mai 2020, Version 1.1)
- WP29-Leitlinien vom 10. April 2018
- MLL-News vom 25.10.2019: «EuGH-Urteil: Aktive Einwilligung in Werbe-Cookies erforderlich – auch bei fehlendem Personenbezug»
- MLL-News vom 20.2.2019: «DSB: Kopplung von Zugriff auf Website an Cookie-Einwilligung ist zulässig»
- MLL-News vom 10.9.2019: «ICO und CNIL publizieren Richtlinien für die Verwendung von Cookies»
- MLL-News vom 24.11.2019: «Europäischer Datenschutzausschuss: DSGVO-Rechtsgrundlage ‹Vertrag› bei Online-Dienstleistungen ist eng auszulegen»
