Datenschutzgrundverordnung als Instrument der Bevormundung: Trilog erfolg­reich, Ein­wil­li­gung tot

Unwirksamkeitsgründe – im Ergebnis beinah immer

Der grüne Abgeordnete Jan-Philipp Albrecht hat sich mit Vertretern der Europäischen Kommission und des Europäischen Rats auf einen Text für eine Datenschutz-Grundverordnung (DSGVO) geeinigt. Albrecht hat sich in allen wesentlichen Punkten durchgesetzt. Das neue europäische Datenschutzrecht ist kontrollbesessen und bürokratisch. Der digitale Wandel wird nicht als Chance, sondern als Gefahr für die Grundrechte betrachtet.

Paradoxerweise wird sie das Gegenteil bewirken: Denn auch die Entscheidung, seine Daten preiszugeben, ist grundrechtlich geschützt. Selbstbestimmung traut die DSGVO den europäischen Bürgern in diesem Punkt jedoch nicht zu. Zwar sieht sie in vielen Fällen vor, dass Unternehmer die Bürger um Erlaubnis fragen können (oder müssen), wenn deren Daten verarbeitet werden sollen. Diese Erlaubnis wird jedoch für so viele Fallkonstellationen als unwirksam erklärt, dass sie in der Praxis kaum noch etwas wert sein wird.

Soweit es bei dem Text bleibt, der seit dem 4. Dezember im Netz abrufbar ist, steht die Einwilligung an der Spitze der Erlaubnistatbestände des Art. 6 Abs. 1 lit. (a) DSGVO. Wie bereits nach § 4 a Abs. 1 Bundesdatenschutzgesetz (BDSG) setzt sie Freiwilligkeit und Informiertheit voraus.

Einwilligung abseits von "notwendigen" Daten stark erschwert

Zur Freiwilligkeit findet sich in Art. 7 Abs. 4 DSGVO folgender Anhaltspunkt:

- "When assessing whether consent is freely given, account shall be taken of the fact whether, among others, the performance of a contract, including the provision of a service, is made conditional on the consent to the processing of data that is not necessary for the performance of this contract.”

Zu dem Erwägungsgrund 34 Satz 2 DSGVO näher ausführt:

-"Consent is presumed not to be freely given, if it does not allow separate consent to be given to different data processing operations despite it is appropriate in the individual case, or if the performance of a contract is made dependent on the consent despite this is not necessary for such performance and the data subject cannot reasonably obtain equivalent services from another source without consent.”

Sobald ein Unternehmen Daten eines Verbrauchers verarbeiten möchte, die für die Erfüllung des Vertrages nicht "notwendig" sind, wird dem Unternehmen die Einholung von Einwilligungen erschwert. Einwilligungen sind unwirksam, sobald der Verbraucher die vom Unternehmen angebotenen Leistungen auch anderweitig nicht ohne Preisgabe von Daten erlangen kann. Jede Verarbeitung von Daten, die "nicht notwendig" sind, wird für Unternehmen zum Risiko, da auf die Wirksamkeit erteilter Einwilligungen kein Verlass ist.

Einwilligung nur wirksam, wenn Ablehnung "ohne Nachteil" möglich

Anklänge an ein Kopplungsverbot finden sich auch am Ende von Erwägungsgrund 32 Satz 4 DSGVO:

-"Consent should not be regarded as freely-given if the data subject has no genuine and free choice and is unable to refuse or withdraw consent without detriment.”

Diese Formulierung eröffnet einen weiten Auslegungsspielraum. Jeder Nachteil ("detriment"), der mit einer verweigerten Einwilligung verbunden wäre, eröffnet dem Betroffenen den Einwand, er habe "unfreiwillig" und somit unwirksam eingewilligt. Diese Formulierung stellt ein Problem dar für alle Online-Angebote, die werbefinanziert und daher auf Nutzerdaten angewiesen sind. Denn in Zukunft können die Nutzer einwenden, es stelle für sie einen "Nachteil" dar, wenn sie das Angebot ohne Preisgabe ihrer Daten nicht nutzen können. Selbst, wenn die Rechtsprechung dem in letzter Instanz nicht folgen würde, gingen vorher Jahre der rechtlichen Ungewissheit ins Land.

Einwilligung unwirksam bei "eindeutigem Ungleichgewicht" der Parteien

In Erwägungsgrund 34 Satz 1 DSGVO findet sich eine weitere Formulierung, die eine Datenverarbeitung auf der Grundlage von Einwilligungen zum Vabanque-Spiel macht:

-"In order to safeguard that consent has been freely-given, consent should not provide a valid legal ground for the processing of personal data in a specific case, where there is a clear imbalance between the data subject and the controller and this makes it unlikely that consent was given freely in all the circumstances of that specific situation.”

Jedes "eindeutige Ungleichgewicht” zwischen Betroffenem und Datenverarbeiter gefährdet potentiell die Freiwilligkeit und damit die Wirksamkeit der Einwilligung; gleichzeitig ist ein solches Ungleichgewicht im Verkehr zwischen Unternehmen und Verbrauchern praktisch immer gegeben.

Das "Ungleichgewicht" ist ein Damoklesschwert, das einen rechtskonformen Datenverkehr mit Verbrauchern geradezu unmöglich macht. In der Fernkommunikation mit Verbrauchern sind einseitige Vorgaben des Unternehmens die Regel. Spotify kann nicht mit jedem einzelnen Nutzer ausführlich über Anlass, Form und Ausmaß der Verwendung seiner Daten diskutieren, es muss seine Bedingungen schon aus Praktikabilitätsgründen einseitig stellen. Der Einwand eines "eindeutigen Ungleichgewichts" und der folgerichtigen Unfreiwilligkeit lässt sich dann aber nur noch schwerlich entkräften.

Keine Einwilligung unter 16, jederzeitiger Widerruf für alle

2/2: Jede Einwilligung ist frei widerruflich

Ob und unter welchen  Voraussetzungen eine Einwilligung widerrufen werden konnte, war bislang streitig, da sich im BDSG hierzu keine Regelungen finden. Auch darauf hat die DSGVO nun eine denkbar einseitige Antwort; nach Art. 7 Abs. 3 gilt ein freies Widerrufsrecht und eine Verpflichtung, den Betroffenen über die Widerruflichkeit vorab zu unterrichten:

-"The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it."

Die Umsetzung des Art. 7 Abs. 3 DSGVO wird den betroffenen Unternehmen erhebliche Schwierigkeiten bereiten. Da Daten natürlich auch ein wirtschaftlicher Faktor sind, bedeutet die jederzeitige Möglichkeit ihres Wegfalls entsprechende Unsicherheiten in der Planung.

Die Einwilligung steht unter dem Vorbehalt der "Prinzipienkonformität"

Noch weiter geschwächt wird die Einwilligung durch den Vorbehalt der Prinzipienkonformität, der sich in Art. 7 Abs. 2 Satz 2 DSGVO findet:

-"Any part of the declaration which constitutes an infringement of this Regulation that the data subject has given consent to shall not be binding.”

Auch wenn sich dieser Satz nur auf den Fall bezieht, dass die Einwilligung Teil einer längeren schriftlichen Erklärung ist, wird man ihn verallgemeinern können. Denn die Einwilligung setzt die Prinzipien des Art. 5 Abs. 1 DSGVO nicht außer Kraft. Eine Einwilligung, die ansonsten alle gesetzlichen Anforderungen erfüllt, kann beispielsweise an dem Vorwurf scheiten, dass das Prinzip der "Datensparsamkeit" nicht gewahrt ist (Art. 5 Abs. 1 lit (c) DSGVO), mit der Folge der Unzulässigkeit der Datenverarbeitung.

Kinder unter 16 können nicht einwilligen

Das BDSG kennt keine Spezialregelung für die Verarbeitung von Daten Minderjähriger. Ob und unter welchen Voraussetzungen Kinder und Jugendliche einwilligungsfähig sind, ist streitig.

Art. 8 Abs. 1 DSGVO entzieht Kindern und Jugendlichen unter 16 Jahren jedwede Einwilligungsfähigkeit und fordert für eine Datenverarbeitung die Einwilligung der Erziehungsberechtigten, soweit es um die Nutzung von Online-Diensten geht:

-"Where Article 6 (1)(a) applies, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 16 years shall only be lawful if and to the extent that such consent is given or authorised by the holder of parental responsibility over the child.”

Die notwendige Einholung von Einwilligungserklärungen der Erziehungsberechtigten stellt die Betreiber von Online-Diensten vor erhebliche Herausforderungen, da es schwierig sein wird, die Identität der Erziehungsberechtigten festzustellen und die Authentizität ihrer Einwilligungserklärungen zu gewährleisten.

Nach letzten Medienberichten soll es eine Öffnungsklausel geben, die einzelnen Mitgleidsstaaten die Befugnis gibt, die Altersgrenze auf 13 herabzusetzen. Dies ist ein fauler Kompromiss: Ein Unternehmen wie Spotify ist auf einheitliche europaweite Standards angewiesen und wird schwerlich von Land zu Land unterschiedliche Regeln aufstellen, ab welchem Alter ein Jugendlicher den Personalausweis des Erziehungsberechtigten vorlegen muss.

Staatliche Kontrolle statt Selbstbestimmung

"Wenn ein Dienste-Anbieter persönliche Daten verarbeiten will, soll er die NutzerInnen grundsätzlich fragen, ob sie mit Verarbeitung und Weitergabe ihrer Daten einverstanden sind", erklärte Jan Philipp Albrecht zu Beginn der Verhandlungen über die Datenschutzreform. An den freiheitlichen Pathos dieses Satzes hat Albrecht offensichtlich selbst nicht geglaubt. Folgt man dem Text der DSGVO, ist es für den Bürger in vielen Konstellationen nämlich an der Grenze der Unmöglichkeit, seine Daten selbstbestimmt preiszugeben. Ob und wann er wirklich will, was er zu wollen erklärt hat, das weiß er nicht selbst, sondern der Staat im freundlichen Gewand der Datenschutzaufsicht.

Da Einwilligungen nichts mehr wert sein werden, werden Unternehmen verstärkt auf "berechtigte Interessen" setzen müssen, die die Datenverabeitung nach § 6 abs. 1 lit. (f) DSGVO legitimieren. Das letzte Wort bei der Interessenabwägung, auf die es verstärkt ankommen wird, haben nicht die Bürger, sondern der Staat.