Hat die Einwilligung ausgedient?
Autor: Heiko Dünkel Erstellt am: 16. April 2019 Rubrik: Einwilligung, VerbraucherschutzEine Rechtsgrundlage zwischen Wunschdenken und gesetzlicher Realität
Der Verfasser ist Rechtsreferent in der Rechtsdurchsetzung beim Verbraucherzentrale Bundesverband (e. V.) und dort unter anderem für kollektivrechtliche Unterlassungsverfahren bei Datenschutzverstößen zuständig. Der Beitrag gibt ausschließlich seine persönliche Auffassung wieder.
Mit dem eigentlichen Start der Datenschutzgrundverordnung (DSGVO) im vergangenen Jahr hat sich der Umsetzungsaufwand nicht nur für Unternehmen erhöht. An einem tragenden Prinzip gab es allerdings keine grundlegenden Änderungen. Auch zu Zeiten der alten Datenschutz-Richtlinie und deren mitgliedstaatlicher Umsetzungsakte mussten Verantwortliche für jede Datenverarbeitung eine Rechtsgrundlage vorweisen. Die DSGVO bietet auf dieser Traditionslinie eine Reihe verschiedener Möglichkeiten, die zunächst gleichrangig nebeneinanderstehen. Auch wenn manche Perlen des (nicht nur Lokal-) Journalismus das zuweilen etwas streng auslegen, entspricht es daher nicht ganz der gesetzgeberischen Intention, dass Unternehmen von nun an in jedem Einzelfall „vorab das explizite Einverständnis der Nutzer einholen («opt in»), bevor sie deren personenbezogene Daten verwenden.“ Was bei Journalisten wegen der Unübersichtlichkeit des Rechtsgebietes verzeihbar ist, hat leider auch Eingang in die (qualifizierte?) Rechtsberatung gefunden. In der Praxis scheinen jedenfalls durch Unternehmen zur Sicherheit eingeholte Einwilligungen eher die Regel, als die Ausnahme zu sein, wie auch die inzwischen wieder abgeebbte Bestätigungswelle in so manchem E-Mailpostfach und bei Ärzten oder Kindergärten vorgelegte Einwilligungsformulare anschaulich gezeigt haben. Die Einwilligung ist aber weder die vorrangige Rechtsgrundlage, noch die mit den meisten Vorteilen. Manches spricht sogar für das Gegenteil.
Consent is not Control
Aus Sicht der Betroffenen hat die Einwilligung in der Tat Tücken. Denn sie gaukelt eine Kontrolle vor, die sich insgesamt als Illusion herausstellen könnte. Verbraucher werden heute insbesondere bei der Nutzung sozialer Medien und anderer Apps auf den ubiquitären Plattformen Android und MacOS mit einer Vielzahl von Entscheidungen konfrontiert. Sie sollen diese auf der Grundlage von Nutzungs- und Datenschutzbedingungen treffen, die zumeist beides sind: extrem vage und extrem detailliert.
Das Konzept der Einwilligung erinnert an das auch in anderen Bereichen in die Kritik gekommene Leitbild vom mündigen Verbraucher. Jenes beruht im Wesentlichen auf der Grundannahme, man müsse Kunden nur mit ausreichend Informationen versorgen, auf deren Basis sodann informierte Entscheidungen getroffen werden. Den Rest regelt der Markt. Seit einiger Zeit gibt es Bestrebungen in Richtung einer realitätsnäheren Differenzierung. Dabei wird zum Beispiel die Einführung von verschieden schutzbedürftigen Verbrauchertypen vorgeschlagen. Bislang haben sich solche Modelle nicht durchgesetzt.
Aber zurück zur Einwilligung. Natürlich enthält auch die DSGVO bereits das Machtgefälle adressierende Ausgleichsmechanismen, wie etwa das sog. Kopplungsverbot. In diesem Zusammenhang wird aber bereits kontrovers diskutiert, ob es sich überhaupt um ein Verbot im sprachlichen Sinne handelt. Der Gesetzestext in Art. 7 Abs. 4 DSGVO scheint dagegen zu sprechen. Denn danach muss lediglich „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Der Verbraucherzentrale Bundesverband legt die Erforderlichkeit mit Blick auf Erwägungsgrund 43 in seinen seit Mai 2018 eingeleiteten Verfahren bislang sehr streng aus. So geht er in einer kürzlich eingeleiteten Unterlassungsklage gegen die irische Facebook-Tochter in letzter Konsequenz davon aus, dass das durch das Unternehmen betriebene Profiling nicht der Bereitstellung des Dienstes im engeren Sinne dient. Darin wird er teilweise durch die zugegebenermaßen bisher noch sehr übersichtliche Rechtsprechung bestärkt. Es ist dem Verfasser natürlich nicht entgangen, dass dazu auch wesentlich weitere Auffassungen vertreten werden (siehe Engeler, Das überschätzte Kopplungsverbot, ZD 2/2018, 55, 58). Inzwischen gibt es auch ein Urteil des Kassationsgerichtshof der Italienischen Republik, das nicht von einem strengen Koppelungsverbot ausgeht. Wie bei so vielen Aspekten der DSGVO muss sich die Fachwelt bis zu einer abschließenden Entscheidung des EuGH gedulden.
Selbst wenn sich die hier vertretene enge Auslegung durchsetzen sollte, bleiben begründete Zweifel an der Funktionalität der Einwilligung. Die Philosophin Helen Nissenbaum spricht ihr sogar ganz die Daseinsberechtigung ab:
Dark Pattern Design
Wenn also selbst gutmeinende Unternehmen an den Einwilligungserfordernissen scheitern, was richten dann erst die Datenkraken des Surveillance Capitalism an? Die Antwort hierauf ist Dark Pattern Design:
“First, control is illusory. […] When it comes to control, design is everything. The realities of technology at scale mean that the services we use must necessarily be built in a way that constraints our choices.”
(Hartzog, The Case Against Idealising Control, EDPL 4/18, 423, 426).
Die Norwegische Verbraucherorganisation Forbrukarrådet hat sich 2018 intensiv mit dieser Technik beschäftigt und die Angebote von Google, Facebook und Microsoft auf solche Muster hin untersucht. Die Ergebnisse sind für Verbraucher verheerend. Datenschutzunfreundliche Voreinstellungen werden durch die Art und Weise der Information in ihrer Funktionsweise verschleiert oder können nur durch signifikant höheren Aufwand abgestellt werden. Es wird systematisch vor funktionalen Nachteilen gewarnt, wenn Datenverarbeitungen abgewählt werden. Die Anzahl der Wahlmöglichkeiten ist stark beschränkt.
Als ein Ergebnis dieser Studie haben sich im November europaweit im Dachverband BEUC organisierte Verbraucherorganisationen zu einer konzertierten Aktion gegen Google zusammengeschlossen. Der Verbraucherzentrale Bundesverband beteiligt sich mit einem eigenen Unterlassungsverfahren und hat inzwischen Klage beim Landgericht Berlin eingereicht. Inhaltlich geht es darum, wie sich das Unternehmen bei neu registrierten Nutzern die Erhebung und Verwendung sensibler Standortdaten bestätigen lässt. Nach Auffassung der Verbraucherschützer erwecken die Voreinstellungen den Eindruck, diese Funktion wäre standardmäßig deaktiviert. Erst an einer völlig anderen Stelle im Privatsphärecenter erhält man den so überraschenden wie versteckten Hinweis, dass dies nicht für alle Anwendungen des Dienstes gilt. Die Informationen dazu bleiben ausgesprochen vage. Aus solchen Beispielen wird teilweise der Fehlschluss gezogen, dass die Internetgiganten, anderes als kleinere Anbieter, in der Lage sind, sich Ihre Einwilligungen zu beschaffen. Dabei wird aber meist verkannt, dass mit deceptive design-Gestaltungen gar keine keine informierten und spezifischen Entscheidungen im Sinne des DSGVO eingeholt werden. Die darauf beruhenden Datenverarbeitungen sind nach hier vertretender Auffassung schlicht rechtswidrig. Es lässt sich aber nicht schönreden, dass Verbraucher sich dessen nicht oder nur unzureichend bewusst sind und daher auch nicht in Lage, ihre Betroffenenrechte wahrzunehmen.
Die Einwilligung als unternehmerische Blackbox
Auch aus unternehmerischer Sicht hat die Einwilligung Nachteile. So wird eingewandt, die Schwäche der Einwilligung liege in den mit der DSGVO noch einmal verschärften Anforderungen, namentlich der jederzeitigen Widerrufbarkeit, dem größeren Verwaltungsaufwand bei Nachweispflichten und Rechtsunsicherheiten im Rahmen des sog. Koppelungsverbotes (schöne Übersicht bei Veil, Einwilligung oder berechtigtes Interesse?, NJW 2018, 3337, 3343 f.).
Was aber tun, wenn die Einholung einer Einwilligung rechtlich gescheitert ist? Die spannende Frage in diesem Zusammenhang ist, ob ein Verantwortlicher bei einem Widerruf des Betroffenen einfach auf einen gesetzlichen Erlaubnistatbestand zurückgreifen kann. Der Gesetzestext scheint dafür offen zu sein, denn nach der entscheidenden Grundnorm Art. 6 Abs. 1 S. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in der Norm genannten Bedingungen erfüllt ist. Daraus wird geschlussfolgert, dass datenverarbeitende Stellen die Einwilligung auch dann noch zusätzlich heranziehen können, wenn bereits die Bedingungen der Art. 6 Abs. 1 lit. b-f. einschlägig wären. Auch der Wortlaut von Art. 17 Abs. 1 lit. b) DSGVO, wonach eine Löschung von Daten nach Widerruf nur dann verlangt werden kann, wenn es an einer anderen Rechtsgrundlage für die Datenverarbeitung fehle, spreche für ein solches Rückfallrecht. Das ist plausibel, führt allerdings zu Wertungswidersprüchen, soweit dem Betroffenen eine tatsächlich nicht vorhandene Entscheidungsbefugnis suggeriert wird. Entsprechend halten die deutschen Aufsichtsbehörden einen willkürlichen Wechsel der Rechtsgrundlagen, beim Scheitern der Einwilligungsvoraussetzungen, etwa zur Interessenabwägung, für grundsätzlich unzulässig, denn „der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DS-GVO) beachten“. Dies führt aber nur auf den ersten Blick zu unterschiedlichen Ergebnissen. Denn auch die erste Ansicht bestreitet ja nicht, dass umfassend und verständlich unter anderem über die Rechte der betroffenen Personen informiert werden muss. Ein „Rechtsgrundlagenhopping“ ohne hinreichend konkrete Information und ein plakatives Herausstellen der Widerruflichkeit der Einwilligung würde gegen diese Grundsätze verstoßen. Aus dem Blickwinkel eines klagebefugten Verbraucherverbandes käme in solchen Fällen zusätzlich eine Irreführung über Rechte des Verbrauchers nach dem UWG in Betracht. All dies wäre immer anhand des konkreten Einzelfalls zu beantworten.
Ist die Einwilligung also verzichtbar?
Sollten Verantwortliche die Einwilligung also komplett ignorieren und ganz grundsätzlich auf andere Rechtsgrundlagen ausweichen? Als lediglich homöopathisch Fußballbegeisterter wage ich dennoch ein Otto Rehhagel-Zitat: „Die Wahrheit liegt auf dem Platz“. Denn am Ende wird die behördliche und gerichtliche Praxis entscheiden.
Danach sieht es derzeit nicht so aus, als ob Unternehmen deren Geschäftsmodell jedenfalls auch auf einer ausführlichen Verhaltensüberwachung ihrer Kunden beruht, bei damit zusammenhängenden Verarbeitungszwecken rechtssicher auf andere Rechtsgrundlagen zurückgreifen können. Ganz offensichtlich gibt es jede Menge Verarbeitungen, die einer Interessenabwägung oder einer vertraglichen Regelung nicht ohne weiteres zugänglich sind. So sieht es beispielsweise das Bundeskartellamt in seinem Verfahren gegen Facebook für die dort untersuchten Dienstbestandteile. (Der Verbraucherzentrale Bundesverband ist an diesem Verfahren beteiligt.). Einer solchen Einschätzung wird ein Einwilligungsfetisch unterstellt. Dabei setzt sich die Behörde in ihrer mehr als 300seitigen Beschlussverfügung recht intensiv auch mit den anderen Rechtsgrundlagen auseinander.
Im Verfahren des Verbraucherzentrale Bundesverbandes gegen den Gewinnspielanbieter Planet49 geht es unter anderem um die Frage, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein. Hier dürfen sich nach den Schlussanträgen des Generalanwaltes diejenigen bestätigt fühlen, die den opt-out-Mechanismus im Telemediengesetz (TMG) schon immer für europarechtswidrig hielten.
Die Aufsichtsbehörden wenden die §§ 12, 13 und 15 TMG ohnehin nicht mehr an und haben sich bereits frühzeitig darauf verständigt, dass
„es […] jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen [bedarf], die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.““
Dem Vorwurf der vermeintlich fehlenden Differenzierung in diesem Papier begegnet die DSK inzwischen mit einer Orientierungshilfe für Telemedien, die eine ausführlichere Abschichtung verschiedener Verarbeitungszwecke und Rechtsgrundlagen für den Einsatz etwa von Tracking-Cookies enthält. Doch wer die Interessenabwägung schon immer für den Königsweg hielt, hat sich auch hier zu früh gefreut:
„Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht oder welche Apps er nutzt. Jedenfalls dann, wenn die Dritten die Nutzerdaten zu eigenen Zwecken weiterverarbeiten, sind die Folgen und potentiellen Risiken für die Interessen, Grundfreiheiten und Grundrechte der betroffenen Personen weder einschätz- noch bewertbar.“
Diesen Ansatz hält der Verfasser ebenfalls für zwingend. Die Voraussetzungen von Art. 6 Abs. 1 lit. f) DSGVO eigenen sich nicht für eine Auffangnorm und waren wohl auch nie dafür gedacht.
Wesentlich vielversprechender könnten daher Überlegungen sein, alle möglichen Datenverarbeitungen in den Vertrag zu verschieben, denn dies brächte für den Verantwortlichen Vorteile. Insbesondere gäbe es keine schlaflosen Nächte um ein Koppelungsverbot oder überwiegende Rechte von Betroffenen. Hier gibt es derzeit eine Debatte, was ist „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich“. Auch dazu vertritt der Verfasser eine enge Auslegung, die sich an dem orientiert, was aus Sicht des Verbrauchers für die Erbringung des Dienstes erforderlich ist, nicht dem, was aus Unternehmersicht an Überwachung wünschenswert wäre. Der Europäische Datenschutzausschuss hat im April 2019 neue Guidelines dazu veröffentlicht, die zunächst noch eine öffentliche Konsultation durchlaufen müssen. Sie scheinen jedenfalls einer sehr weiten Auslegung, die die Schranken des Vertragsinhalts nur außerhalb der DSGVO verortet, eine deutliche Absage zu erteilen:
„Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b).“
Nach alledem scheint die Schlussfolgerung, Verantwortliche würden durch die DSGVO sogar „ermutigt, Datenverarbeitungsprozesse auf andere Grundlagen – insbesondere Vertragserfüllung und berechtigte Interessen – zu stützen.“ vielleicht doch etwas sportlich.
Rubrik: Einwilligung, Verbraucherschutz Stichwörter: Einwilligung, Rechtsgrundlage, Telemedien