Anriß: Die Einwilligung zur Verarbeitung personenbezogener Daten (§4a BDSG)

Die Regel ist einfach: Entweder eine gesetzliche Norm erlaubt ausdrücklich die Verarbeitung personenbezogener Daten oder man braucht eine Einwilligung. Und wie die Einwilligung auszusehen hat, sagt §4a BDSG. Ein paar warme Worte dazu.

Die Sache mit der Einwilligung ist alles andere als schwierig, umso überraschender wie viele Fehler gemacht werden, auch von Juristen. Ich schreibe hier aber keinen juristischen Aufsatz, sondern gebe bewusst nur einige Stichworte, die für mich die “grossen Klippen” darstellen.

Die wichtigen Komponenten laut §4a BDSG sind:

1. Im Regelfall schriftlich,
2. freiwillige Entscheidung als Basis
3. Hinweis auf den Zweck der Erhebung sowie die Folgen der Nichterteilung
4. Besondere Hervorhebung der Einwilligung

Zusammengefasst bleiben in der Praxis vor allem ein schwieriger Punkt, den ich hier hervorheben möchte: Die Informiertheit der Einwilligung. Ich kann im Regelfall in diesem Bereich die meisten Probleme ausmachen und möchte daher zu dem Punkt etwas schreiben.

Hinweise: Das ist aber nicht alles und soll auch nicht als “einziges Problem” verstanden werden. Die z.B. sehr interessante Frage, inwiefern der Verbraucher überhaupt “freiwillig” zustimmen kann, wenn er faktisch gar keine Wahl hat, hat zuletzt sogar das BVerfG beschäftigt, das bei den Schweigepflichts-Vereinbarungen bei Versicherungen zum Schluß kam, dass die so wie bisher nicht mehr gehandhabt werden dürfen.

Ebenfalls sehr beliebt und steter Quell von Verständnisproblemen bei Juristen ist der §4a I 4 BDSG, der klar stellt, dass eine Einwilligung besonders hervorgehoben werden muss, wenn sie mit anderen Erklärungen verknüpft wird, etwa als ein Baustein unter anderen AGB. Das hat nichts mit dem Begriff der “überraschenden Klauseln” der §§308ff. BGB zu tun und ist das ausdrückliche Verlangen, durch typografische Elemente eine Einwilligung hervorzuheben.

Weiterhin kaum beachtet ist die Vorgabe des §4 III 2 BDSG, bei einer Erhebung auf freiwillige und gesetzlich vorgegebene Erhebungen ausdrücklich hinzuweisen. Diese kurzen Hinweise aber nur als Exkurs um klar zu stellen, dass sich rund um die Einwilligung und die damit verbundenen Erhebungen eine Vielzahl von Fallen verbirgt.

Wie anfangs ausgeführt ist die “informierte Einwilligung” für mich das Kernproblem, wobei es interessant ist, dass hier bis heute verschiedene Meinungen über wichtige Punkten streiten.

So ist es schon fraglich, wann der Betroffene überhaupt in der Lage ist, eine freie Entscheidung zu treffen – vorrausgesetzt wird hier die Einsichtsfähigkeit, die aber nicht unbedingt mit der Geschäftsfähigkeit gleichzusetzen ist.
Jedenfalls die wohl momentan herrschende Meinung trennt beides, so dass durchaus auch Minderjährige Einwilligen können – sofern sie im konkreten Fall die notwendige Einsichtsfähigkeit besitzen. Hintergrund ist die Frage, ob man in der Einwilligung einen rechtsgeschäftlichen Charakter sieht, was z.B. Gola/Schomerus und Simitis ablehnen. Inwieweit dies heutzutage, wo es eben nicht nur um einen einfachen “Eingriff” in die informationelle Selbstbestimmung geht, sondern wo die jeweiligen Daten zur Ware werden, die durchaus auch Gegenstand von Handel sind, lasse ich erstmal dahin gestellt. Es ist jedoch absehbar, dass die bisher nicht kritisierte Regelung in naher Zukunft wieder thematisiert werden wird.

Weiter ist umstritten, ob eine Einwilligung nur höchstpersönlich (also auch nicht durch Stellvertreter) erteilt werden darf (so Simitis) oder auch durch Vertreter (so Gola/Schomerus).

Das wichtigste ist aber die Kenntnis der Umstände, und hier sehe ich das grösste Problem in der Praxis, weil es faktisch gar nicht beachtet wird. Man kann die “Informiertheit”, die Kenntnis, mit folgenden “W’s” zusammenfassen:

1. Willige ich in etwas ein?
2. Warum tue ich das?
3. Welche Daten werden konkret erhoben?
4. Wozu werden diese erhoben?
5. Was passiert, wenn ich “nein” sage? (Umstritten)
6. Wer erhält die Daten und wozu?

Der Betroffene muss beim Einwilligen diese sechs “W’s” mindestens und eindeutig beantworten können, ohne lange zu suchen. Und auch wenn die Liste sich trivial liest: Sie ist es nicht. Leider bei weitem nicht.

So sind bis heute Floskeln dieser Art verbreitet:

Ich willige hiermit in die Erhebung notwendiger Daten für den Bestellprozess und in die Übermittlung solcher Daten an Partner ein.

Das verwendende Unternehmen dachte bei diesem Satz, ohne sich etwas Bösem bewusst zu sein, dass es deswegen problemlos die Daten von Bestellungen an eine Kredit-Auskunftei weitergeben dürfe. Nach Kritik und Diskussion wurde daraus das hier:

Ich willige hiermit in die Erhebung notwendiger Daten für den Bestellprozess und in die Übermittlung solcher Daten an Partner ein. Zu solchen Partner gehören auch Kredit-Auskunfteien.

Was es in keinster Weise besser macht. Die Frage (u.a.) ist: Wer bekommt denn die Daten? Schufa oder Creditreform? Oder beide? Oder weitere/andere Auskunfteien? Und was sind eigentlich “notwendige Daten”?

Der Sinn des “Wer” ist, dass man als Betroffener konkret weiss, wo die angegebenen Daten landen. Um dann ggfs. bei den Dritten direkt nachzufragen, was dort geschieht bzw. um Löschung zu bitten. Es ist ein wichtiges Recht, genau zu wissen, wo nun die jeweiligen Daten gespeichert sind. Vor dem Hintergrund ist jede nicht 100%ige Angabe wer noch Daten erhält, jederzeit zu kippen. Die Urteile und überraschten “Verlierer” vor Gericht sprechen Bände und machen klar, dass man dies auf keinen Fall als “trivial” abheften sollte. Es gilt ganz besonders zu verinnerlichen: Weiss der Betroffene ganz konkret, wer alles seine Daten erhält?

Ebenfalls ist der Zweck (“Wozu”) gar nicht so selbstverständlich, wie viele Unternehmen meinen. Mancher vertut sich einfach, aber hin und wieder wird sogar böswillig gehandelt: Wenn man sagt, dass Daten zur “Bestellverarbeitung” erhoben werden, dann ist das der einzig zulässige Zweck. Und das heisst auch, dass nach Abschluss der Bestellung (inkl. Bezahlung) die Daten dann auch entsprechend §35 I BDSG zu löschen sind. Selbstverständlich? Mitnichten, wie die vielen weiter bestehenden Kundenkonten – nicht nur in Online-Shops – zeigen. Das böse Erwachen kommt dann erst, wenn die Aufsichtsbehörde das Vorgehen, ggfs. mit Kosten, prüft.

Auch beim “wozu” gilt das konkrete: Ein “Verarbeiten zu unseren Zwecken” gibt es nicht. Der Verbraucher muss ohne Einschränkung wissen was da geschieht: Werbung, Bestellverarbeitung, Bonitätsprüfung etc. Auf alles muss einzeln hingewiesen werden und man darf sich nicht wundern: Es darf auch für den Einzelfall widersprochen werden.

Und beides (“wer” und “wozu”) ist auch zu Verknüpfen: Die Angabe

“wir übermitteln Ihre Daten an die Schufa”

reicht nicht aus, auch wenn es offensichtlich erscheint, warum man das tut. Dahinter gehört ein Hinweis wozu – und man bedenke, auch bei der Schufa gibt es unterschiede zwischen einfacher Anfrage (etwa Zwecks Adressprüfung) und einem Eintrag.

Selbst die Frage nach dem “welche Daten werden erhoben” ist mitunter gar nicht so einfach: Wird auch die IP gespeichert? Wenn ich die Telefonnummer zwar nicht angebe, später aber (etwa in einer Mail) erwähne: Wird die dann auch aufgenommen? Zu vermeiden sind in jedem Fall allgemeine Floskeln mit Begriffen wie “notwendig”, “üblich” etc. Sauber ist einzig und alleine die konkrete Aufzählung der konkreten Daten die erhoben werden.

Besonderheit: Telemedien

Wieder ein Fallstrick und auch hier muss ich feststellen, dass selbst Juristen hier Fehler machen: Wer von einer datenschutzrechtlichen Einwilligung spricht muss sicherlich an §4a BDSG denken. Wer aber nur daran denkt, denkt zu kurz. Sicherlich ist die Einwilligung eine Willenserklärung, und sicherlich werden die einschlägigen Regelungen des BGB AT (speziell zu Zugang und Widerruf) hier Anwendung finden können, das vertiefe ich hier nicht. Nein, man muss an die Spezialgesetzlichen Regelungen denken.

Allem voran an das TMG, das vor allem im §13 II TMG Vorgaben zur Einwilligung gibt. So muss bei Telemedien u.a. die Einwilligung auch noch “bewusst” erfolgen und protokolliert werden. Das Versioning der Einwilligungserklärungen ist ausserdem zwingend vorgeschrieben. Knackpunkt aber wird das “bewusst” sein, das viel Raum für Streit lässt. Wenn man bedenkt, wie viele Angebote heute nur auf elektronischem Wege eine Einwilligung beim Betroffenen einholen ist hoffentlich klar, dass man eben nicht nur das BDSG kennen und anwenden sollte.

Abschluss

Wie anfangs gesagt: Ich konnte das Thema nur anreißen. Wichtig ist die Faustformel, die auch für Betroffene gilt: Wenn man der Meinung ist “Das wollte ich doch gar nicht” oder generell keine 100%ige Klarheit hat, lohnt sich immer der Gang zur zuständigen Aufsichtsbehörde, die formlos und kostenlos den Vorgang prüft.

Angesichts der immer noch verbreiteten Beratungsresistenz der Unternehmen, der Lieblosigkeit mit der betriebliche Datenschutzbeauftragte eingestellt werden und der – jedenfalls mir immer wieder auffallenden – Böswilligkeit mit der teilweise gehandelt wird, kann ich auch nur raten, bei jedem noch so kleinen (vermeintlichen) Verstoß zu handeln und nicht mehr weg zusehen.