(K)ein Cookie ohne Einwilligung – neue Rechtsprechung des EuGHs

Laut einer Allensbach-Studie im Auftrag der Zeitschrift Focus (Auszug als PDF) nehmen 73 Prozent der deutschen Nutzer von Internetdiensten die Datenschutzerklärungen ungelesen zur Kenntnis, bevor sie sich anmelden. 57 Prozent der Befragten gaben außerdem an, den Bestimmungen einfach nur zuzustimmen, um mit der Nutzung des Dienstes fortfahren zu können. Gut drei Viertel (77 Prozent) halten es obendrein für zwecklos, die Datenschutzerklärungen zu lesen, da man ja ohnehin zustimmen müsse, um den Internetdienst nutzen zu können. Diese Ergebnisse sind alarmierend und zeigen, welche Verständnisprobleme es hinsichtlich der Bedeutung von Datenschutzerklärung, Einwilligung und Co. gibt. Dieser Artikel gibt deshalb einen kurzen Überblick über die Grundprinzipien einer Datenschutzerklärung.

Das Problem

Datenschutzerklärungen sind in der Regel lang und für den Laien oft – egal wie viel Mühe sich ein Unternehmen macht – nahezu unverständlich. Die Nutzer haben deshalb schlichtweg keine Lust, sich mit den kryptischen Aussagen der Unternehmen zu beschäftigen. Zudem scheinen die meisten Nutzer das Gefühl zu haben, sowieso keinerlei Entscheidungsmöglichkeit und Einfluss auf die Datenverarbeitung zu haben. Die Ergebnisse der Allensbach-Studie untermauern dies sehr deutlich. Warum all das ein Problem ist, zeigt der folgende Blick „hinter die Kulissen“ des Konstrukts „Datenschutzerklärung“.

Was ist Sinn und Zweck einer Datenschutzerklärung?

Mit einer Datenschutzerklärung (oft auch Datenschutzbestimmung genannt) erfüllt der für eine Datenverarbeitung Verantwortliche seine Informationspflicht gegenüber den von der Datenverarbeitung Betroffenen, zum Beispiel den Besuchern einer Webseite. Diese Pflicht zur Information von betroffenen Personen geht zurück auf die Artikel 13 und 14 der Datenschutz-Grundverordnung (DSGVO). Darin wird ausgeführt, welche Informationen zur Verfügung gestellt werden müssen, wenn Daten direkt oder indirekt erhoben werden.

Ziel all dieser Informationen zur Verarbeitung von personenbezogenen Daten ist es, Transparenz hinsichtlich von Datenverarbeitungen zu schaffen, so dass Betroffene überblicken und selbst bestimmen können, was mit ihren Daten passiert. So soll der Einzelne die Kontrolle über die Verwendung seiner Daten erlangen und selbst entscheiden können, ob er z.B. einen Internetdienst nutzen möchte oder nicht. Damit soll dem Recht auf informationelle Selbstbestimmung Rechnung getragen werden.

Datenschutzerklärungen sollen die Betroffenen zudem über ihre Rechte aufklären. Nur wer seine Rechte kennt, kann sie auch geltend machen. Die betroffene Person soll nicht nur wissen, welche Daten in welcher Form von wem verarbeitet werden. Sie soll sich ggf. auch gegen eine unzulässige Datenverarbeitung wehren können, indem sie den Verantwortlichen etwa auffordert, bestimmte Daten zu löschen oder zu berechtigen.

Muss ein Betroffener eine Datenschutzerklärung wirklich gelesen haben?

Nein, es gibt keine Verpflichtung für von einer Datenverarbeitung Betroffene, eine Datenschutzerklärung auch wirklich zu lesen. Oder andersrum: Als Verantwortlicher muss ich nicht sicherstellen, dass Betroffene eine zur Verfügung gestellte Datenschutzerklärung auch gelesen haben. Nochmal: Eine Datenschutzerklärung ist eine reine Informationspflicht, vergleichbar etwa mit einem Impressum.

Allerdings sollte es im Interesse eines Jeden sein, die Informationen zur Datenverarbeitung zu lesen, um nachvollziehen zu können, was mit den eigenen Daten passiert. Doch genau hier scheint es ein grundlegendes Problem zu geben: Wenn 77 Prozent der deutschen Internetnutzer von der Kenntnisnahme einer Datenschutzerklärung absehen, da es „zwecklos [sei], die Bestimmungen zu lesen“, wenn für die Nutzung des Internetdienstes sowieso eine Zustimmung notwendig sei, dann ist dieses Ergebnis alarmierend.

Muss einer Datenschutzerklärung zugestimmt werden?

Nein, einer Datenschutzerklärung müssen Betroffene nicht zustimmen. Aber wieso ist das so?

Auch hier hilft es, sich klar zu machen, was eine Datenschutzerklärung ist – und was sie nicht ist. Eine Datenschutzerklärung ist eine reine Informationspflicht desjenigen, der Daten von betroffenen Personen verarbeitet. Ihnen muss der Verantwortliche, regelmäßig bei Erhebung der Daten, bestimmte Informationen zur Verfügung stellen – und zwar so, dass die Betroffenen in der Lage sind, diese Informationen leicht zugänglich zur Kenntnis zu nehmen und zu verstehen.

Eine Einwilligung hingegen ist eine von mehreren möglichen Rechtsgrundlagen, mit denen sich eine Datenverarbeitung legitimeren lässt. Denn grundsätzlich ist erst einmal jede Datenverarbeitung ohne eine solche Rechtsgrundlage verboten (sog. Verbotsprinzip des Datenschutzes). Jede Verarbeitung von personenbezogenen Daten benötigt also eine Rechtsgrundlage, damit sie erlaubt ist. Die Einwilligung ist eine Möglichkeit für eine solche Erlaubnis.

Für eine wirksame Einwilligung müssen allerdings bestimmte Voraussetzungen vorliegen. Eine dieser sogenannten Wirksamkeitsvoraussetzungen ist die Informiertheit der zustimmenden Person.

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“ – Erwägungsgrund 32 der DSGVO

Das bedeutet konkret: Eine Einwilligung ist erst dann wirksam, wenn die betroffene Person vor Erteilung der Einwilligung die Möglichkeit hatte, den Datenverarbeitungsprozess zu überblicken und sich auf Grundlage der in der Datenschutzerklärung aufgeführten Informationen ein Bild davon zu machen, wie und von wem ihre Daten genutzt werden. Die Datenschutzerklärung ist in dieser Hinsicht also ein „Werkzeug“ um sicherzugehen, dass die Einwilligung in „informierter Weise“ (siehe Erwägungsgrund 32) erfolgt ist. Deshalb muss eine Datenschutzerklärung lediglich zur Kenntnis genommen werden können, während für den Datenverarbeitungsprozess ggf. eine Einwilligung notwendig ist.

Ist für jeden Datenverarbeitungsprozess eine Einwilligung nötig?

Nein, denn es gibt neben der Einwilligung weitere Rechtsgrundlagen, die eine Datenverarbeitung erlauben (z.B. Datenverarbeitung zur Vertragserfüllung oder Datenverarbeitung zur Wahrung berechtigter Interessen). Unabhängig davon, welche dieser einzelnen Rechtsgrundlagen für die jeweilige Datenverarbeitung zutrifft, gilt: Die betroffenen Personen müssen in jedem Fall mit Hilfe einer Datenschutzerklärung (oder eines anderen Informationsdokuments) über die Datenverarbeitung informiert werden!

Quellen:

heise online vom 08.09.2019: Studie: Datenschutzerklärungen werden wenig gelesen

Focus online vom 08.09.2019: Von Millionen Nutzern: WhatsApp, Google & Co erheben womöglich Daten rechtswidrig