DSGVO für Fotografen – muss von jeder abgebildeten Person eine Einwilligung eingeholt werden?
Das Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) Ende Mai hat in vielen […]
Cookies sind Textdateien, die vom Browser beim Aufrufen der Webseite auf dem Computer des Nutzers gespeichert werden. Durch sie kann die Benutzerfreundlichkeit der Webseite erhöht werden, Firmen können mit ihrer Hilfe aber auch detaillierte Benutzerprofile anlegen. Deshalb gelten bezüglich der Verwendung von Cookies strenge Datenschutz-Vorschriften.
Ihre Verwendung ist heute weitverbreitet, doch werfen besonders die an die Einwilligung der Verwendung zu stellenden Voraussetzungen immer wieder Fragen auf. So hat sich auch der Bundesgerichtshof (BGH) Ende letzten Jahres mit dem Problem auseinandergesetzt. Da sich in diesem Bereich des Datenschutzes auch europarechtliche Verflechtungen ergeben, hat der BGH dem Europäischen Gerichtshof (EuGH) die Frage der Zulässigkeit einer „Cookie-Einwilligung“ durch ein voreingestelltes Ankreuzkästchen zur Vorabentscheidung vorgelegt (BGH, Beschluss vom 5.10.2017, I ZR 7/16).
Dieser Vorlage lag folgender Sachverhalt zugrunde: Die Beklagte hatte 2013 ein Gewinnspiel im Internet angeboten. Nachdem die Teilnehmer ihre Postleitzahl eingegeben hatten, gelangten sie auf eine Seite, auf der Name und Anschrift anzugeben waren. Auf der Seite befanden sich zudem zwei Ankreuzfelder mit Hinweistexten. Mit dem zweiten Hinweistext erklärte sich der Teilnehmer bei seiner Registrierung mit der Verwendung von Cookies einverstanden. Das entsprechende Ankreuzfeld war mit einem voreingestellten Häkchen versehen.
Der BGH hat nun verschiedene Fragen zur Vorabentscheidung vorgelegt. Am interessantesten dürfte dabei die Frage bezüglich der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) sein. Diesbezüglich möchte der BGH wissen, ob eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der DSGVO vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Vom EuGH zu beantworten ist also, ob ein sogenanntes Opt-in-Verfahren verpflichtend ist oder das sogenannte Opt-out-Verfahren ausreicht. Opt-in meint dabei, dass der Nutzer aktiv zustimmen muss, zum Beispiel durch Anklicken des Ankreuzfeldes. Opt-out hingegen bedeutet, dass der Nutzer einer unerwünschten Leistung aktiv wiedersprechen muss, also zum Beispiel das voreingestellte Häkchen entfernen.
Nach Art. 6 Abs. 1 Buchst. a der DSGVO ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden Daten für einen oder mehrere Zwecke gegeben hat. Nach Art. 4 Nr. 11 DSGVO ist mit „Einwilligung“ dabei jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, gemeint.
Allein nach dem Wortlaut könnte man also durchaus die Meinung vertreten, dass auch ein voreingestelltes Ankreuzkästchen die Anforderungen an eine solche Einwilligung erfüllen kann. Denn der Nutzer gibt auch in dieser Weise sein Einverständnis unmissverständlich zu verstehen und dies zudem freiwillig, da ihm die Möglichkeit offensteht das Häkchen zu entfernen.
Doch weist der BGH in seinem Beschluss bereits zutreffend auf Erwägungsgrund 32 der DSGVO hin. Dort wird zunächst wiederholt, dass die Einwilligung freiwillig, in informierter Weise und unmissverständlich erfolgen muss. Zudem wird festgehalten, dass die Erklärung auch in elektronischer Form erfolgen kann, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen oder durch andere eindeutige Erklärungen oder Verhaltensweisen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollen aber ausdrücklich keine Einwilligung darstellen.
Der Erwägungsgrund spricht also dagegen, dass ein voreingestelltes Ankreuzkästchen als hinreichende Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a DSGVO angesehen werden kann.
Erwägungsgründe im Allgemeinen sollen die Ziele beschreiben, die mit der Formulierung der einzelnen Artikel der Verordnung verfolgt werden. Sie sind zwar keine Rechtsnormen, dienen aber der Interpretation dieser. So müssen sie auch zur Auslegung des Wortlautes herangezogen werden.
Obwohl es der Wortlaut der DSGVO an sich also ermöglicht, ein voreingestelltes Ankreuzkästchen im Sinne einer Opt-out-Lösung als wirksame „Cookie-Einwilligung“ genügen zu lassen, muss dieser im Lichte des Erwägungsgrundes 32 ausgelegt werden, weshalb eine wirksame Einwilligung voraussichtlich vom EuGH verneint werden wird.
Zudem ist in Art. 25 Abs. 2 DSGVO der Grundsatz der data privacy by default, also des Datenschutzes durch datenschutzfreundliche Voreinstellungen, verankert. Er wird in Art. 5 Abs. 2 Buchst. b und c, dem Grundsatz der Zweckbindung und der Datenminimierung, konkretisiert.
Auch im Hinblick darauf dürfte eine wirksame Einwilligung im vorliegenden Fall wohl zu verneinen sein, da ein voreingestelltes Ankreuzkästchen wohl kaum eine datenschutzfreundliche Voreinstellung darstellen dürfte.
Die Entscheidung des EuGH bezüglich der zur Vorabentscheidung vorgelegten Frage dürfe also voraussichtlich recht eindeutig ausfallen: Aller Wahrscheinlichkeit nach wird die Wirksamkeit der Einwilligung nach der DSGVO durch ein voreingestelltes Ankreuzkästchen wohl verneint werden.
Soweit es sich um die Erhebung oder Verarbeitung von personenbezogenen Daten handelt, was bei der Verwendung von Cookies zumeist der Fall sein dürfte, wird im Hinblick auf die DSGVO eine wirksame Einwilligung per voreingestelltem Ankreuzkästchen in Zukunft also nicht mehr möglich sein.
Doch im Hinblick darauf dürfte auch in anderen Bereichen Vorsicht geboten sein. So könnte es zum Beispiel auch unzulässig sein, dass beim Verschicken einer E-Mail vom Smartphone aus in vielen Fällen eine Voreinstellung installiert ist, aufgrund derer am Ende der versandten Mail der Markenname des Smartphones auftaucht. Auch könnte sich die Frage der Zulässigkeit der Voreinstellung „angemeldet bleiben“ bei einigen Portalen stellen.
Obwohl es relativ leicht vorherzusagen ist, wie der EuGH die vorgelegte Frage beantworten wird, wir jedoch erst die endgültige Entscheidung Klarheit bringen. Diese dürfte jedoch noch einige Zeit auf sich warten lassen.
Zu hoffen ist auch, dass sich der EuGH nicht nur zu der Frage äußert, ob die Opt-in- oder Opt-out-Variante zu wählen ist, sondern auch Ausführungen zur Möglichkeit einer konkludenten Einwilligung im Bereich der DSGVO macht. Dies bleibt abzuwarten.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORDas Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) Ende Mai hat in vielen […]
Sobald die Änderungen des Bundesdatenschutzgesetzes in Kraft treten, wird ein Datenschutzbeauftragter […]
Und weiter Aktuelles zum Thema Modernisierung.. Beabsichtigte Maßnahmen zur Verbesserung der […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke
Schützen Sie Ihre Marke auch über die gesetzliche Schutzfrist von 10 Jahren hinaus. Verlängern Sie Ihren Markenschutz einfach online.
Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.