Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz - 18.05.18

Die DSGVO – die wichtigsten Neuerungen aus Sicht der Verbraucher*innen

Marit Hansen / Sven Polenz

in: vorgänge Nr. 221/222 (1-2/2018), S. 51-64

Während die europäische Datenschutz-Grundverordnung die Befugnisse zur Erhebung und Verarbeitung persönlicher Daten für private Stellen (sprich: für Firmen) ausweitet, werden im Gegenzug eine Reihe neuer Rechtsansprüche und Durchsetzungsmöglichkeiten für die Verbraucher*innen geschaffen. Marit Hansen und Sven Polenz stellen die wichtigsten Neuerungen aus Verbrauchersicht dar.


1. Einleitung

Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), die für ein einheitliches und gutes Datenschutzniveau in allen europäischen Mitgliedstaaten sorgen soll. Neben der Grundverordnung treten in der nächsten Zeit weitere Neuregelungen in Kraft, z.B. die Datenschutz-Richtlinie für den Bereich Justiz und Inneres, die ebenfalls bis zum 25. Mai 2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden muss und u.a. die Datenverarbeitung der Polizei regelt, oder die für einen etwas späteren Zeitpunkt erwartete ePrivacy-Verordnung, die Datenschutzvorgaben für Telekommunikation und Internet machen wird.[1]

Mit dieser europäischen Datenschutzreform soll das Datenschutzrecht modernisiert und gleichzeitig der starken Zersplitterung der rechtlichen Anforderungen in den Mitgliedstaaten entgegengewirkt werden. Dieses Ziel hatte bereits die EU-Datenschutz-Richtlinie von 1995, doch zum einen sind die Datenverarbeitung und die Risiken von damals mit der heutigen informationstechnisch geprägten Welt nicht vergleichbar, zum anderen haben die Mitgliedstaaten die Vorgaben unterschiedlich interpretiert. Dies – so die Hoffnung des europäischen Gesetzgebers – soll sich nun ändern, denn die DSGVO gilt unmittelbar in allen Mitgliedstaaten. Eigentlich. Denn im mehrjährigen Gesetzgebungsprozess konnte man sich nicht auf alle Details einigen und hat den Mitgliedstaaten in etwa 70 Öffnungsklauseln eigene Regelungsmöglichkeiten eingeräumt, in denen abweichende Interpretationen möglich sind, beispielsweise im Beschäftigtendatenschutz oder bei der Festlegung, ab welchem Alter Jugendliche selbst ihre Einwilligung zu einer Verarbeitung ihrer Daten geben können.

Eine riesige Gesetzesanpassungswelle rollt durch Deutschland, da nicht nur auf Bundesebene, sondern auch in den Bundesländern im Sinne der Rechtsklarheit Hunderte, vielleicht Tausende von Gesetzen, Verordnungen, Erlassen oder Staatsverträgen angepasst werden müssen. Für die Verbraucher*innen in Deutschland besonders wichtig sind aber vor allem zwei Gesetze: die DSGVO selbst und das neue Bundesdatenschutzgesetz (BDSG) mit seinen Regelungen für die Wirtschaft.[2]

Die Grundzüge des Datenschutzrechts bleiben aber dieselben: Personenbezogene Daten dürfen in der Regel nur auf Basis einer Rechtsgrundlage oder einer Einwilligung verarbeitet werden. Die für die Verarbeitung verantwortliche Stelle („der Verantwortliche“) muss im Rahmen ihrer Rechenschaftspflicht nachweisen können, dass sie die DSGVO einhält. Auftragsverarbeiter haben erweiterte Pflichten im Gegensatz zum bisherigen Datenschutzrecht.

Für die Verbraucher*innen – als betroffene Personen – ergeben sich zahlreiche Neuerungen, die im Folgenden vorgestellt werden.

 

2. Neue Anforderungen an eine Einwilligung

Die Anforderungen an eine Einwilligung, die Verbraucher*innen erteilen können, waren schon immer anspruchsvoll. Die Grundlage einer wirksamen Einwilligung ist die freie und informierte Entscheidung der betroffenen Person – so die rechtliche Anforderung. Die DSGVO ändert dies nicht und sattelt sogar noch etwas drauf: z.B. dass immer ein Tätigwerden der betroffenen Person nötig ist und aus Stillschweigen keinesfalls auf die Einwilligung geschlossen werden darf (was der Bundesgerichtshof vor Jahren auf Basis des alten BDSG noch anders entschieden hatte) oder dass auf das Widerspruchsrecht explizit hingewiesen werden muss. Die Schriftform wird für die Einwilligung nicht mehr erforderlich sein. Mehr Klarheit soll es online geben, wenn Kinder oder Jugendliche einwilligen. Unschön, dass sich die Mitgliedstaaten nicht auf eine fixe Altersgrenze einigen konnten. Alles zwischen 13 und – so in Deutschland festgelegt – 16 Jahren kann der Mitgliedstaat als Altersgrenze bestimmen, damit nicht zusätzlich die Eltern ihre datenschutzrechtliche Einwilligung für ihren Sohn oder ihre Tochter abgeben müssen. Voraussetzung ist natürlich ein Altersnachweis, wie dies beispielsweise mit dem elektronischen Personalausweis auch online und ohne überschießende Informationen technisch möglich ist.

Im Folgenden wird für die Einwilligung erläutert, was bleibt und was sich ändert:
 
2.1 Was bleibt unverändert?

Wie bisher in § 4a Abs. 1 BDSG a.F.[3] geregelt, bedarf die Einwilligung für ihre Wirksamkeit einer freien Entscheidung der betroffenen Person. Dies erfordert auch weiterhin, dass die entsprechenden Erklärungen ohne Druck, Täuschung oder Zwang erfolgen. Der betroffenen Person muss eine echte Wahlmöglichkeit zustehen. Ferner muss sie auf den Zweck der Verarbeitung hingewiesen werden. Dies impliziert für Verantwortliche etwa die Verpflichtung, konkret über die Verfolgung von Werbe- oder Marketingzwecken aufzuklären. Unverändert bleibt auch die Pflicht, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben (§ 4a Abs. 1 Satz 4 BDSG a.F.), Die entsprechenden Anforderungen spiegeln sich in der Definition für die Einwilligung in Art. 4 Nr. 11 DSGVO wider. Demnach ist als Einwilligung zu verstehen jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

 

2.2 Was ist nun zusätzlich zu beachten?

2.2.1 Keine Schriftform erforderlich

Einwilligungen bedürfen zu ihrer Wirksamkeit nicht mehr der Schriftform. Die DSGVO enthält keine dem § 126 BGB vergleichbare Voraussetzung. Nach Erwägungsgrund (ErwGr) 32 Satz 1 DSGVO sind neben schriftlichen auch elektronische oder mündliche Erklärungen ausreichend. Auch an die elektronischen Erklärungen werden keine besonderen Anforderungen geknüpft, insbesondere wird nicht die Verwendung einer qualifizierten elektronischen Signatur gefordert. Erklärungen in Textform sind wirksam. Insbesondere wird nicht die Verwendung einer qualifizierten elektronischen Signatur gefordert. Erforderlich ist nur, dass bei elektronischen Erklärungen die Aufforderung zur Abgabe einer Einwilligung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgt. Unabhängig von der Wirksamkeit mündlicher und elektronischer Erklärungen bleibt der Verantwortliche nach Art. 5 Abs. 2 DSGVO verpflichtet, die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten nachweisen zu können (Rechenschaftspflicht). Von Bedeutung sind hier vor allem die Grundprinzipien einer rechtmäßigen und transparenten Verarbeitung (Art. 5 Abs. 1 a) DSGVO) und der Datenerhebung für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 b) DSGVO).

Vor diesem Hintergrund erweist sich die Einholung einer schriftlichen Einwilligung als Vorteil, da der Verantwortliche so die Einhaltung der Anforderungen (Art. 7 und 8 DSGVO) belegen kann. Für elektronische Erklärungen kann der Verantwortliche seinen Pflichten aus Art. 5 Abs. 2 DSGVO u.a. nachkommen, indem er vor allem gewährleistet, dass die betroffene Person ihre Erklärung unter Berücksichtigung der Voraussetzungen nach Art. 7 und 8 DSGVO bewusst und eindeutig abgibt und die Einwilligung protokolliert wird. Bei mündlichen Erklärungen kann zur Erfüllung der Rechenschaftspflicht die Bitte an die betroffene Person um Übersendung einer schriftlichen oder elektronischen Bestätigung der abgegebenen Erklärung ratsam sein.


2.2.2 Verpflichtung auf Opt-in

Einwilligungen können auch in Allgemeinen Geschäftsbedingungen vorformuliert werden. Bisher wurde es dabei als ausreichend betrachtet, dass die betroffene Person eine „Einwilligung“ erklärt, indem sie von der Möglichkeit einer Streichung der Einwilligungsklausel Gebrauch macht oder etwa ein Feld ankreuzt, wonach eine Einwilligung nicht erklärt werde (BGH, Urteil vom 11.11.2009, VIII ZR 12/08). Die Abgabe einer wirksamen Einwilligung muss nach ErwGr 32 DSGVO nun durch eine eindeutige und bestätigende Handlung erfolgen. Stillschweigen, bereits angekreuzte Kästchen oder eine unterstellte Zustimmung, ohne dass die betroffene Person tätig geworden ist, stellen daher keine Einwilligung mehr dar. Erklärungen im Wege eines „Opt-out“ sind nicht mehr zulässig.


2.2.3 Belehrung über ein Widerrufsrecht

Gemäß Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der vorher erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor der Einwilligung über das Widerrufsrecht und die entsprechende Wirkung eines Widerrufs vom Verantwortlichen in Kenntnis zu setzen. Die bisherigen Einwilligungen nach § 4a BDSG a.F. sind zwar auch widerrufbar. Allerdings fehlte bisher eine entsprechend umfassende Unterrichtungsverpflichtung des Verantwortlichen. Diese Verpflichtung ist ab dem 25. Mai 2018 nun ein zwingender Bestandteil einer jeden Einwilligungserklärung. Jeder betroffenen Person wird damit vor Augen geführt, dass der Bestand ihrer Erklärung von ihrem Willen abhängt.


2.2.4 Anforderungen an die Freiwilligkeit der Einwilligung

Einwilligungen müssen bereits nach § 4a BDSG a.F. auf der freien Entscheidung der betroffenen Person beruhen. Erklärungen, die unter Druck oder Zwang abgegeben werden, sind unwirksam. Nach § 28 Abs. 3b BDSG a.F. darf die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung der betroffenen Person bezüglich der Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung abhängig machen, wenn der betroffenen Person ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. § 28 Abs. 3b BDSG a.F. soll dabei Sachverhalte erfassen, bei denen der Verantwortliche eine marktbeherrschende Stellung hat, dieser etwa die Preise für Waren oder Dienstleistungen bestimmen kann, und folglich kein gleichwertiger Zugang zu vertraglichen Leistungen anderer Anbieter möglich ist.

Das Kriterium der marktbeherrschenden Stellung des Verantwortlichen sowie die Begrenzung auf Fälle der Werbung und des Adresshandels werden mit der neuen Gesetzeslage aufgegeben. Nach Art. 7 Abs. 4 DSGVO muss künftig bei der Beurteilung der Freiwilligkeit der Einwilligung geprüft werden, ob die Erfüllung eines Vertrags, einschließlich die Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich sind.

Beispiel: Ein Verbraucher kauft Schuhe und möchte diese an seinen Wohnsitz liefern lassen. Hierfür benötigt der Verkäufer die Lieferanschrift. Diese ist zur Erfüllung des Vertrags erforderlich. Der Schuhkauf, einschließlich der Lieferung der Schuhe, dürfen aber vom Verkäufer z.B. nicht davon abhängig gemacht werden, dass der Verbraucher ihm die Schuhgröße seiner Ehefrau offenbart. Das letztere Datum ist zur Erfüllung des Vertrags über den Erwerb der Schuhe nicht erforderlich. Der Verbraucher wird davor geschützt, personenbezogene Angaben zu übermitteln, die für die Abwicklung einer vertraglichen Leistung nicht erforderlich sind.


1

2

3

4

Vor