Praxishandbuch DSGVO. Tobias Rothkegel
ist.501
288
Fehlt es hingegen an einer anderweitigen Rechtsgrundlage für die Verarbeitung, kann die betroffene Person vom Verantwortlichen aufgrund des Widerrufs der Einwilligung auch die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen, Art. 17 Abs. 1b DSGVO, soweit keine der Ausnahmen in Art. 17 Abs. 3 DSGVO vorliegen.
289
Zu beachten ist, dass Art. 13 Abs. 2c DSGVO bzw. Art. 14 Abs. 2d DSGVO nicht nur eine Belehrung über die Widerruflichkeit der Einwilligung, sondern auch über die Rechtsfolge vorschreiben, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitung unberührt bleibt.502 Insofern dürfte der Hinweis genügen, dass die Einwilligung „mit Wirkung für die Zukunft“ widerrufen werden kann.
290
Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, Art. 7 Abs. 3 S. 4 DSGVO. Gegen diese Bestimmung würde etwa verstoßen, wer für den Widerruf einer elektronisch im Internet gegebenen Einwilligung die strenge Schriftform verlangte. Für den Widerruf muss genau das gleiche Medium/Mittel bereitgestellt werden, welches für die Einholung der Einwilligung zum Einsatz kam.503
g) Nachweisbarkeit
291
Art. 5 Abs. 2 DSGVO und Art. 7 Abs. 1 DSGVO erlegen dem Verantwortlichen eine Pflicht zum Nachweis der Einwilligung in die Verarbeitung der personenbezogenen Daten der betroffenen Person auf, sog. „Rechenschaftspflicht“. Der Verantwortliche muss technische und organisatorische Maßnahmen treffen, mittels derer die Einholung der Einwilligung unter Einhaltung der in diesem Kapitel beschriebenen Rechtsmäßigkeitsanforderungen vollständig dokumentiert wird, Art 24 Abs. 1 S. 1 DSGVO.
292
Die grundsätzliche Formfreiheit einer Einwilligung wird in der Praxis somit faktisch erheblich eingeschränkt. Einer bloß mündlich erteilten Einwilligung zu vertrauen, wäre ohne geeignete Beweissicherung fahrlässig. Es genügt vor diesem Hintergrund auch nicht, in einem Customer-Relationship-Management-System nur zu vermerken, dass eine Einwilligung zu einem bestimmten Zeitpunkt gegeben wurde. Der Systemeintrag sollte vielmehr von vornherein mit dem jeweiligen Beleg verknüpft werden. Das könnten sein:
– Scans der unterzeichneten Einwilligungserklärungen und Verweis auf den Fundort des jeweiligen Originals,
– unterzeichnete Vertragsurkunden mit enthaltenen (angekreuzten) Einwilligungsklauseln und Verweis auf den Fundort des jeweiligen Originals,
– mit vorheriger Zustimmung der betroffenen Person aufgezeichnete telefonische Einwilligungen („Voice Recordings“), ggf. schriftliche Bestätigung,
– Protokoll einer elektronisch ereilten Einwilligung.
292a
Weitere technisch-organisatorische Maßnahmen sind angebracht, wenn man den EuGH im „Orange România“-Urteil504 beim Wort nimmt. Danach soll es für den Nachweis einer Einwilligungserteilung nicht ausreichen, dass ein Vertrag mit einer angekreuzten Einwilligungsklausel unterzeichnet wird, „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Hielte man dies für relevant, müssten Verantwortliche Betroffene dazu anhalten, den Einwilligungstext laut vorzulesen und sich anschließend einem Verständnistest zu stellen. Der sorgfältige Beweissicherer würde diese Prozedere zumindest per Audioaufzeichnung dokumentieren. Hierfür wäre wiederum eine Einwilligung einzuholen, die ihrerseits dokumentiert werden müsste. Dass solche Anforderungen an den Beweis einer Einwilligung überzogen sind und auch nicht im Sinne des Datenschutzes sein können, liegt auf der Hand. Der Nachweis, dass ein Betroffener eine vorformulierte Einwilligung gelesen und verstanden hat, ist in der Praxis nicht zu führen. Zu berücksichtigen ist hier vielmehr der Rechtsgedanke, dass die Unterschrift einer Vertragsurkunde für deren Vollständigkeit und Richtigkeit streitet und etwa vor deutschen Gerichten auch den vollen Beweis dafür begründet, dass die im Vertrag enthaltenen Erklärungen von den Unterzeichnern abgegeben sind, §§ 416, 440 Abs. 2 ZPO. Es ist zu hoffen, dass der EuGH diese fehlgeleitete Rechtsprechung bei nächster Gelegenheit entsprechend korrigieren wird.
Praxishinweis
Wer offline im Rahmen von Vertragsformularen Einwilligungen einholt, sollte die Einwilligungsklausel:
– in hervorgehobener Weise unmittelbar vor das Unterschriftsfeld setzen505 und
– nicht vom eigenen Personal für den Betroffenen, sondern von diesem selbst ankreuzen lassen506 oder
– von den anderen Vertragserklärungen isoliert in einem gesonderten Dokument mit eigenem Unterschriftsfeld platzieren (optimale Variante) und – vorsichtshalber mit dem Hinweis versehen, ob die Einwilligung für die Vertragserfüllung erforderlich ist oder nicht.507
293
In Zeiten der Digitalisierung ist die elektronische Einholung von Einwilligungen von besonderer praktischer Bedeutung, aber mit Blick auf die Rechenschaftspflicht auch von hoher Fehleranfälligkeit geprägt. So reicht es nicht, aufzuzeigen, dass ein Nutzer mit einer IP-Adresse zu einem bestimmten Zeitpunkt eine Webseite besucht hat, auf der eine Einwilligung erteilt werden konnte.508 Voraussetzung für das Gelingen eines Nachweises und in Deutschland bisher auch für die Wirksamkeit elektronisch erklärter Einwilligungen509 ist vielmehr deren technische Protokollierung,510 d.h. die Speicherung von folgenden Parametern in einer Logdatei:
– Einwilligungstext und
– Anklicken einer Checkbox oder Schaltfläche und
– eingegebener Name des Einwilligenden oder ein sonstiges Identifikationsmerkmal und
– Eingabezeitpunkt („Timestamp“).
294
Zusätzlich empfiehlt sich eine Verifikation der Identität des Einwilligenden durch ein sog. Double-Opt-in-Verfahren.511 Dabei wird der betroffenen Person je nach konkretem Kontakt eine E-Mail oder eine SMS mit der Bitte um Bestätigung der online gegebenen Einwilligung geschickt und diese erst nach einer entsprechenden Reaktion als erteilt angesehen.
h) Gültigkeitsdauer
295
Die Gültigkeitsdauer der Einwilligung ist nach der Verordnung nur durch einen Widerruf bzw. bei Einwilligungen für Direktwerbung auch durch einen Widerspruch gemäß Art. 21 Abs. 2 DSGVO begrenzt. Einige Entscheidungen deutscher Gerichte,512 die nach altem Recht einen Verfall durch bloßen Zeitablauf für möglich gehalten haben, waren offensichtlich weniger rechtsdogmatisch, sondern überwiegend vom gewünschten Ergebnis eines möglichst hohen Betroffenenschutzes auf dem Gebiet der Belästigung durch Werbung geleitet. Davon abgesehen gibt es aber keine Grundlage für die Annahme, dass einmal gegebene Einwilligungen im Grundsatz nicht unbefristet gelten.513 Wer dennoch weitere Vorsorge treffen möchte, sollte in eine vorformulierte Erklärung ausdrücklich aufnehmen, dass die Einwilligung „bis auf Widerruf“ erteilt wird. Der Europäische Datenschutzausschuss empfiehlt als überobligatorische „best practice“, die Einwilligung in angemessenen Zeitabständen zu erneuern.514 Aus verhaltensökonomischer Praktikersicht ist die Befolgung dieses Ratschlags jedoch keine allzu gute Idee. Denn wie Studien bewiesen haben, neigen Menschen in Entscheidungsprozessen irrationalerweise dazu, diejenige Option übermäßig zu bevorzugen, bei der sie keine aktive oder neue Entscheidung treffen müssen, sog. „Default Effect“ beziehungsweise „Status Quo Bias“.515 Die