Datenschutzgrundverordnung als Instrument der Bevormundung: Trilog erfolg­reich, Ein­wil­li­gung tot

2/2: Jede Einwilligung ist frei widerruflich

Ob und unter welchen  Voraussetzungen eine Einwilligung widerrufen werden konnte, war bislang streitig, da sich im BDSG hierzu keine Regelungen finden. Auch darauf hat die DSGVO nun eine denkbar einseitige Antwort; nach Art. 7 Abs. 3 gilt ein freies Widerrufsrecht und eine Verpflichtung, den Betroffenen über die Widerruflichkeit vorab zu unterrichten:

-"The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it."

Die Umsetzung des Art. 7 Abs. 3 DSGVO wird den betroffenen Unternehmen erhebliche Schwierigkeiten bereiten. Da Daten natürlich auch ein wirtschaftlicher Faktor sind, bedeutet die jederzeitige Möglichkeit ihres Wegfalls entsprechende Unsicherheiten in der Planung.

Die Einwilligung steht unter dem Vorbehalt der "Prinzipienkonformität"

Noch weiter geschwächt wird die Einwilligung durch den Vorbehalt der Prinzipienkonformität, der sich in Art. 7 Abs. 2 Satz 2 DSGVO findet:

-"Any part of the declaration which constitutes an infringement of this Regulation that the data subject has given consent to shall not be binding.”

Auch wenn sich dieser Satz nur auf den Fall bezieht, dass die Einwilligung Teil einer längeren schriftlichen Erklärung ist, wird man ihn verallgemeinern können. Denn die Einwilligung setzt die Prinzipien des Art. 5 Abs. 1 DSGVO nicht außer Kraft. Eine Einwilligung, die ansonsten alle gesetzlichen Anforderungen erfüllt, kann beispielsweise an dem Vorwurf scheiten, dass das Prinzip der "Datensparsamkeit" nicht gewahrt ist (Art. 5 Abs. 1 lit (c) DSGVO), mit der Folge der Unzulässigkeit der Datenverarbeitung.

Kinder unter 16 können nicht einwilligen

Das BDSG kennt keine Spezialregelung für die Verarbeitung von Daten Minderjähriger. Ob und unter welchen Voraussetzungen Kinder und Jugendliche einwilligungsfähig sind, ist streitig.

Art. 8 Abs. 1 DSGVO entzieht Kindern und Jugendlichen unter 16 Jahren jedwede Einwilligungsfähigkeit und fordert für eine Datenverarbeitung die Einwilligung der Erziehungsberechtigten, soweit es um die Nutzung von Online-Diensten geht:

-"Where Article 6 (1)(a) applies, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 16 years shall only be lawful if and to the extent that such consent is given or authorised by the holder of parental responsibility over the child.”

Die notwendige Einholung von Einwilligungserklärungen der Erziehungsberechtigten stellt die Betreiber von Online-Diensten vor erhebliche Herausforderungen, da es schwierig sein wird, die Identität der Erziehungsberechtigten festzustellen und die Authentizität ihrer Einwilligungserklärungen zu gewährleisten.

Nach letzten Medienberichten soll es eine Öffnungsklausel geben, die einzelnen Mitgleidsstaaten die Befugnis gibt, die Altersgrenze auf 13 herabzusetzen. Dies ist ein fauler Kompromiss: Ein Unternehmen wie Spotify ist auf einheitliche europaweite Standards angewiesen und wird schwerlich von Land zu Land unterschiedliche Regeln aufstellen, ab welchem Alter ein Jugendlicher den Personalausweis des Erziehungsberechtigten vorlegen muss.

Staatliche Kontrolle statt Selbstbestimmung

"Wenn ein Dienste-Anbieter persönliche Daten verarbeiten will, soll er die NutzerInnen grundsätzlich fragen, ob sie mit Verarbeitung und Weitergabe ihrer Daten einverstanden sind", erklärte Jan Philipp Albrecht zu Beginn der Verhandlungen über die Datenschutzreform. An den freiheitlichen Pathos dieses Satzes hat Albrecht offensichtlich selbst nicht geglaubt. Folgt man dem Text der DSGVO, ist es für den Bürger in vielen Konstellationen nämlich an der Grenze der Unmöglichkeit, seine Daten selbstbestimmt preiszugeben. Ob und wann er wirklich will, was er zu wollen erklärt hat, das weiß er nicht selbst, sondern der Staat im freundlichen Gewand der Datenschutzaufsicht.

Da Einwilligungen nichts mehr wert sein werden, werden Unternehmen verstärkt auf "berechtigte Interessen" setzen müssen, die die Datenverabeitung nach § 6 abs. 1 lit. (f) DSGVO legitimieren. Das letzte Wort bei der Interessenabwägung, auf die es verstärkt ankommen wird, haben nicht die Bürger, sondern der Staat.