Praxishandbuch DSGVO. Tobias Rothkegel
Kindern jenseits von Diensten der Informationsgesellschaft eingeholt werden. Wer aber angesichts immer komplexer werdender Datenverarbeitungsvorgänge nicht auf die Einsichtsfähigkeit von 14-jährigen vertraut, wendet im Zweifel auch in diesem Umfeld mindestens die Altersgrenze des Art. 8 Abs. 1 DSGVO an.534
4. Einwilligung bei sensiblen Datenkategorien
303
Eine Einwilligung kann wie schon nach der Datenschutzrichtlinie535 als Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) dienen, Art. 9 Abs. 2a DSGVO.536 Über die allgemeinen Anforderungen der Art. 4 Nr. 11 und Art. 7 DSGVO hinaus muss die Einwilligung ausdrücklich537 erfolgen. Die betroffene Person muss demnach per Opt-in der Verarbeitung der jeweils konkret zu nennenden besonderen Datenkategorie zustimmen. Von der Rechtsprechung zu klären ist die Frage, ob aufgrund der im Vergleich zur Datenschutzrichtlinie höheren Anforderungen an die allgemeine Einwilligung in der DSGVO538 womöglich zusätzliche Anstrengungen für den Erhalt einer ausdrücklichen Einwilligung vom Verantwortlichen unternommen werden müssen, etwa im Sinne eines „Confirmed Opt-ins“, d.h. einer nochmaligen Bestätigung einer aktiv bereits gegebenen Zustimmung.539
Klauselmuster540
304
Ich bin einverstanden, dass die Versicherung XY die von mir in diesem Antrag und künftig mitgeteilten Gesundheitsdaten verarbeitet*, soweit dies zur Antragsprüfung und zur Erfüllung des Versicherungsvertrages erforderlich ist. Meine Einwilligung gilt bis auf Widerruf, den ich jederzeit mit Wirkung für die Zukunft, z.B. per E-Mail unter [email protected] erklären kann. Die Antragsprüfung und Begründung des Versicherungsvertrages werden bei Nichterteilung oder Widerruf der Einwilligung gegebenenfalls unmöglich. Weitere Informationen zur Verarbeitung personenbezogener Daten durch die Versicherung XY sowie zu meinen Rechten als betroffene Person finde ich unter [...].
* „Verarbeiten“ bedeutet jeder ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten im Sinne von Art. 4 Nr. 2 DSGVO wie z.B. das Erheben, die Speicherung oder die Verwendung, nicht jedoch die Übermittlung. Die Versicherung XY wird ihre personenbezogenen Daten ohne Ihre gesonderte oder eine gesetzliche Erlaubnis nicht an Dritte übermitteln.
5. Wirksamkeit von Alt-Einwilligungen
305
Für die unternehmerische Praxis ist die Frage von großer Bedeutung, inwieweit auch nach Beginn der Geltung der DSGVO541 noch auf die Wirksamkeit von Einwilligungen in die Datenverarbeitung vertraut werden kann, die im Einklang mit der Datenschutzrichtlinie 95/46/EG eingeholt worden sind. Eine vage Antwort gibt Erwägungsgrund 171 S. 2 zur DSGVO, nach dem eine erneute Erteilung einer Einwilligung nicht erforderlich ist, „wenn die Art der bereits erteilten Einwilligungen den Bedingungen dieser Verordnung entspricht“. Nach dem Wortlaut des Erwägungsgrundes 171 S. 2 zur DSGVO müssten Alt-Einwilligungen somit sämtliche Wirksamkeitsvoraussetzungen gemäß den Vorschriften der DSGVO erfüllen, damit sie am 25.5.2018 nicht ihre Geltung verloren haben.
Praxishinweis
In der Praxis empfiehlt es sich, Alt-Einwilligungen zu erneuern, wenn diese:
– ohne geeignete Nachweise wie z.B. Logfiles bei elektronischer Abfrage eingeholt wurden;542
– ohne implementiertes und kommuniziertes Verfahren für den einfachen Widerruf der Einwilligung nachgesucht wurden;543
– nicht eindeutig und aktiv zum Ausdruck gebracht wurden, z.B. bei bereits angekreuzten Checkboxen;544
– an den Abschluss eines Vertrages gekoppelt wurden, obwohl sie für die Vertragserfüllung nicht erforderlich waren;545
– von einem Kind erteilt wurde, welches das 16. Lebensjahr noch nicht vollendet hatte, soweit im nationalen Recht nichts anderes bestimmt ist, Art. 8 Abs. 1 i.V.m. Erwägungsgrund 38 zur DSGVO.546
306
Für den Fortbestand von Alt-Einwilligungen ist es hingegen unschädlich, wenn lediglich die erweiterten Informationspflichten gemäß Art. 13 und 14 DSGVO nicht beachtet wurden, soweit deren Erfüllung nicht als Bedingung für eine gültige Einwilligung in Kenntnis der Sachlage angesehen wird.547
369 Vgl. Albrecht, CR 2016, 88, 91. 370 So etwa auch: Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien; Ehrmann/Selmayr/Heckmann/Paschke, Art. 7 DSGVO Rn. 17; Piltz, K&R 2016, 557, 562; a.A. wohl Paal/Pauly/Frenzel, Art. 7 DSGVO Rn. 1. 371 Siehe dazu auch Kap. 17 B Rn. 140ff. 372 Siehe Einzelheiten in Kap. 17 A Rn. 1ff. 373 Vgl. Art. 95 DSGVO. 374 COM (2017) 10 final, 2017/0003 (COD). 375 Vgl. Dossier des EU-Rats, https://bit.ly/2Q4587x, zuletzt abgerufen am 11.1.2021. 376 https://bit.ly/37XpOXK, zuletzt abgerufen am 11.1.2021. Ob es der nachfolgenden portugiesischen EU-Ratspräsidentschaft gelungen ist, einen Kompromiss zu erzielen, war bei Verfassen dieses Kapitels noch offen. 377 Beide Vorschriften sehen als Rechtfertigung für Direktwerbung eine „ausdrückliche“ Einwilligung vor, die gemäß Art. 2 S. 2f, Erwägungsgrund 17 der ePrivacy-Richtlinie 2002/58 i.V.m. Art. 94 Abs. 2 S. 1, Art. 4 Nr. 11 DSGVO im nationalen Recht nicht verlangt werden kann, vgl. auch EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705, Rn. 47, 50 – Planet49; BGH, Urt. v. 28.5.2020 – I ZR 7/16, NJW 2020, 2540 – Cookie-Einwilligung II; Köhler/Bornkamm/Feddersen/Köhler, § 7 UWG Rn. 149, 149e; Kühling/Buchner/Kühling/Raab, Art. 95 DSGVO Rn. 7. Das Wort „ausdrückliche“ muss daher jeweils gestrichen bzw. weggedacht werden. Einzelheiten siehe Kap. 17 B Rn. 148. 378 Eine Änderung des UWG wurde auch im 2. DSAnpUG-EU vergessen, https://bit.ly/2Q7ldcC, zuletzt abgerufen am 11.1.2021. 379 Das Gesetzgebungsverfahren war bei Verfassen dieses Kapitels noch nicht abgeschlossen. Unter https://bit.ly/3sqJ3Bb ist der Bearbeitungsstand eines Referentenentwurfs vom 12.1.2021 für ein „Telekommunikations-Telemedien-Datenschutz-Gesetz – TTDSG“, zuletzt abgerufen am 15.1.2021, veröffentlicht worden. 380 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705 – Planet49. 381 Vgl. Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, S. 6. 382 In Art. 2h RL 95/46/EG ist die Einwilligung definiert als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Art. 7a RL 95/46/EG verlangt zusätzlich, dass die Einwilligung „ohne jeden Zweifel“ gegeben wurde. 383 Siehe dazu Rn. 303ff. 384 Vgl. Art. 22 Abs.