„Ausdrücklich“, „eindeutig“, „explizit“… In der Diskussion um die geplanten gesetzlichen Änderungen des europäischen Datenschutzrechts und Datenschutz-Grundverordnung (DS-GV) zielt die Kritik der Bürgerrechtler und Verteidiger eines hohen datenschutzrechtlichen Standards häufig auf eine angeblich beabsichtigte Aufweichung der Anforderungen an die datenschutzrechtliche Einwilligung ab.

Im ursprünglichen Entwurf zur DS-GV sollte in Art. 4 Abs. 8 die Einwilligung als „jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ definiert werden.

Ergänzend wird in Erwägungsgrund 25 angeführt: „Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen Handlung ermöglicht.“ Dies bedeutet „etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“.

Die Kritik

In einem vor einigen Tagen aufgetauchten Dokument des Rates der Europäischen Union, in dem dieser seine Empfehlungen zu Änderungen der DS-GV vorbringt, wird vorgeschlagen, die Definition der Einwilligung in Art. 4 Abs. 8 DS-GV anzupassen. „preferable to replace the word ‚explicit‚ by another word, such as ’unambiguous’ in the case of personal data“ (S. 10). Begründet wird dieser Änderungsvorschlag (von „explizit“ zu „eindeutig bzw. ohne jeden Zweifel“) damit, dass es der Realität im Internet zuwiderlaufen würde, wenn man für die Einwilligung stets den Klick auf einen Button mit der Aufschrift „Ja, ich willige ein…“ oder das aktive Setzen eines Häkchens an ein Kästchen verlangen würde.

Auf netzpolitik.org wird darin ein Abweichen von zwei Jahrzehnten der Datenschutzdiskussion gesehen. Vorgebracht wird auch, dass es der Ministerrat ermöglichen will, „die Zustimmung zur Datennutzung in den Geschäftsbedingungen zu verstecken, vorausgewählte Checkboxen anzubieten, oder gar durch die Nutzung eines Dienstes automatisch zuzustimmen“. Der Datenschutz werde EU-weit „abgebaut“. Dies ist jedoch in mehrfacher Hinsicht nicht richtig und die Kritik erscheint mir zu undifferenziert.

Die derzeitige Rechtslage

Nach der derzeit geltenden Datenschutz-Richtlinie (95/46/EG) definiert Art. 2 lit h) die Einwilligung als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden“. In Art. 7 lit a) DS-RL wird zusätzlich vorgeschrieben, dass die betroffene Person „ohne jeden Zweifel ihre Einwilligung gegeben“ hat. Worte wie „ausdrücklich“ oder „explizit“ fehlen bzw. sind einer Einwilligung in die Datenverarbeitung besonders sensibler personenbezogener Daten (Art. 8 Abs. 2 lit a) DS-RL) vorbehalten.

Trennung zwischen der Einwilligung selbst und der Umstände ihrer Erteilung

Es erscheint angebracht darauf hinzuweisen, dass man grundsätzlich zwei verschiedene Themenbereiche auseinanderhalten muss. Zum einen geht es um die Definition der Einwilligung an sich (Art. 2 lit h) DS-RL). Aus welchen Merkmalen setzt sie sich also zusammen. Zum anderen gehören zu der Einwilligung die Umstände ihrer Erteilung, Art. 7 lit a) DS-RL („ohne jeden Zweifel“). Es ist also möglich, dass eine Einwilligung nach Art. 2 lit h) DS-RL vorliegt, diese jedoch keine Wirkung entfaltet, weil die zusätzlichen Anforderungen an die Umstände ihrer Erteilung nicht gegeben sind. Im Rahmen der Diskussion um die datenschutzrechtliche Einwilligung, sollte man diese ineinandergreifenden Voraussetzungen für die Anerkennung einer Einwilligung als Rechtsgrundlage einer Datenverarbeitung stets getrennt betrachten.

Stellungnahmen der Art. 29 Datenschutzgruppe

Die Art. 29 Datenschutzgruppe, als oberstes europäisches Gremium der Datenschützer der Mitgliedstaaten, hat sich mehrmals mit der datenschutzrechtlichen Einwilligung und ihren Anforderungen beschäftigt.

Stellungnahme 15/2011

In ihrer Stellungnahme WP 187 vom 13. Juli 2011, in der sie sich ausschließlich mit der Einwilligung befasst, hat sie vorgeschlagen, dass im Rahmen gesetzlicher Änderungen die Formulierung „ohne jeden Zweifel“ weiter konkretisiert und umschrieben werden sollte. Sie erläutert (S. 43), „dass eine Einwilligung ohne jeden Zweifel die Nutzung von Mechanismen erforderlich macht, die keinen Zweifel an der Zustimmungsabsicht der betroffenen Person lassen. Gleichzeit sollte deutlich gemacht werden, dass die Verwendung von Standardeinstellungen (auf Schweigen basierende Einwilligung) nicht in sich eine Einwilligung ohne jeden Zweifel darstellt. Das gilt insbesondere in der Online-Umgebung“.

Daher schlägt sie vor (S. 44), „in die Definition von Einwilligung in Artikel 2 Absatz h sollte der Wortlaut „ohne jeden Zweifel“ (oder etwas Gleichwertiges) eingefügt werden, um die Ansicht zu stärken, dass nur eine Einwilligung, die auf Erklärungen oder Handlungen basiert, mit denen eine Zustimmung zum Ausdruck gebracht wird, auch eine gültige Einwilligung darstellt“. Dies stellt also eine besondere Änderung dar, denn die Definition der Einwilligung soll um ein Merkmal ergänzt werden, welches vorher dem Bereich der Umstände ihrer Abgabe zugeordnet war.

Die Art. 29 Datenschutzgruppe selbst forderte aber eben gerade nicht die Aufnahme einer „ausdrücklichen“ Einwilligung in geänderte Datenschutzvorschriften. Vielmehr zielt der Vorschlag darauf ab, das Merkmal „ohne jeden Zweifel“ oder etwas Gleichwertiges in die Definition einzufügen. Genau dies geschieht jedoch mit dem Wort „unambigous“, also „eindeutig“ bzw. „ohne jeden Zweifel“, in Art. 4 Abs. 8 der DS-GV.

Noch deutlicher wird die Sichtweise der europäischen Datenschützer, wenn sie anmerken (S. 44), dass sie nicht davon überzeugt sind, „dass der Rechtsrahmen grundsätzlich für jede Art der Verarbeitung, einschließlich der derzeit durch Artikel 7 der Richtlinie abgedeckten Verarbeitungen, eine ausdrückliche Einwilligung fordern sollte (im Englischen: „is not convinced that the legal framework should require explicit consent as a general rule“). Sie ist der Ansicht, dass eine Einwilligung ohne jeden Zweifel der geforderte Standard bleiben sollte. Sie umfasst sowohl eine ausdrückliche Einwilligung als auch eine Einwilligung aus Handlungen, die keinen Zweifel lassen. Diese Wahl gibt den für die Datenverarbeitung Verantwortlichen mehr Flexibilität beim Einholen der Einwilligung. Die Gesamtprozedur könnte so schneller und nutzerfreundlicher sein.“

Auch die Art. 29 Datenschutzgruppe erkennt also, dass es unter den heutzutage gegebenden Bedingungen im Internet nicht erforderlich und wohl auch kaum umsetzbar ist, stets eine ausdrückliche Einwilligung zu verlangen. Sie differenziert vielmehr zwischen der „ausdrücklichen Einwilligung“ und der Einwilligung „ohne Zweifel“. Diese beiden Möglichkeiten stehen also als Äquivalent nebeneinander. Vielmehr sei es auch „schneller und nutzerfreundlicher“ die Definition der Einwilligung zwar zu stärken, jedoch eine ausdrückliche Handlung nicht zu verlangen. Dies erscheint auch sachgerecht. Wenn jetzt in dem Papier des Rates ein Abweichen von zwei Jahrzehnten der Datenschutzdiskussion gesehen wird, dann kann man dem nur widersprechen.

Stellungnahme 08/2012

Am 5. Oktober 2012 hat die Art. 29 Datenschutzgruppe in ihrer Stellungnahme WP 199 zu den geplanten Änderungen durch die DS-GV Position bezogen. Zu den Anpassungen in Bezug auf die datenschutzrechtliche Einwilligung führt sie aus (S. 8), dass es unabdingbar sei, „dass eine derartige Erklärung oder Handlung eindeutig die Zustimmung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten nachweist“. Konkludente Einwilligungen scheiden aus Sicht der Datenschützer also zurecht aus. Es geht den Datenschützer aber nicht darum, dass die Erklärung selbst eindeutig, ausdrücklich oder explizit erfolgt. Vielmehr muss sich aus der Handlung oder Erklärung eindeutig ergeben, dass die betroffene Person einwilligen möchte. Zwischen einer ausdrücklichen Handlung und einer Handlung, aus der sich ausdrücklich und eindeutig die Zustimmung ergeben muss, besteht jedoch ein Unterschied.

Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auch auf die Diskussion um das Wort „explizite“ im ursprünglichen Entwurf der DS-GV ein (S. 8). Sie „hat zur Kenntnis genommen, dass Zweifel hinsichtlich der Anwendbarkeit des Wortes „explizite“ im Zusammenhang mit der Einwilligung nach Artikel 4 Absatz 8 bestehen. Nach ihrer Auffassung bedeutet die Verwendung des Wortes „explizite“ eine wichtige Klarstellung, die notwendig ist, um den betroffenen Personen eine wirkliche Ausübung ihrer Rechte zu ermöglichen, insbesondere im Internet, wo die Einwilligung viel zu häufig missbräuchlich gehandhabt wird. Es wäre absolut nicht wünschenswert, wenn diese wichtige Klarstellung aus dem Text gestrichen würde.“ Die Art. 29 Datenschutzgruppe spricht sich zurecht gegen eine Streichung dieser „Klarstellung“ aus. Auch hier wird jedoch nicht eine explizite oder ausdrückliche Erklärung oder Handlung als einzige Möglichkeit im Rahmen der Definition der Einwilligung gefordert. Vielmehr geht es den Datenschützern auch hier erneut um die Abgabeumstände der Einwilligung (die eben Teil der Definition werden sollen) und vor allem darum, was die Einwilligung zum Ausdruck bringen soll. Dies wird deutlich, wenn man sich die englische Fassung der Stellungnahme betrachtet, in der in dem oben angeführte Abschnitt („eindeutig die Zustimmung … nachweist“) davon gesprochen wird, dass „the essential requirement is that such statement or action must clearly signify the data subject’s agreement“. Die Handlung oder Erklärung muss die Zustimmung also klar zum Ausdruck bringen, muss selbst aber eben nicht ausdrücklich sein.

Umsetzung der Vorgaben der europäischen Datenschützer

Und hier lässt sich die Brücke zurück zu den Vorschlägen der Datenschützer schlagen, das Merkmal „ohne jeden Zweifel“ in die Definition der Einwilligung aufzunehmen. Denn in der englischen Fassung der Stellungnahme WP 187 heißt es bei den Vorschlägen (S. 36): „First, include in the definition of consent of Article 2(h) the word “unambiguous” (or equivalent)“. Genau dies geschieht nun durch die vorgeschlagene Änderung des Rates. Es soll die Möglichkeit der konkludenten Zustimmung ausgeschlossen und eine Erklärung oder Handlung verlangt werden, die ohne jeden Zweifel erfolgt. Die vorherige Verwendung des Wortes „explizit“ war vielmehr eine über die Vorschläge der Art. 29 Datenschutzgruppe hinausgehende Regelung, welche jedoch (wie gezeigt) selbst den Datenschützern als nicht praktikabel erscheint.

Fazit

Es ist immer einfach Kritik zu äußern und öffentlichkeitswirksam die digitale Apokalypse und den Ausverkauf der Bürgerrechte anzuprangern. Die im Internet geäußerte Kritik, dass die vorgeschlagenen Änderungen des Rates ein „Abbau“ des Datenschutzrechts darstellen würden und eine Zustimmung durch die reine Nutzung des Dienstes erteilt werden oder in den AGB versteckt werden könne, halte ich daher für übertrieben und wenig konstruktiv. Denn bereits nach der derzeitigen Rechtslage und den Stellungnahmen der Art. 29 Datenschutzgruppe ist dies nicht möglich. Erst recht wird dies nicht die Grundlage einer wirksamen Einwilligung bilden, wenn diese „ohne jeden Zweifel“ (als Teil ihrer Definition) abgegeben werden muss.