SBS Firmengruppe Logos
Blog Aktuelle Urteile & Neuigkeiten unserer Fachgebiete recherchieren und fassen wir hier zusammen.

| Datenschutzrecht

Einwilligung zur Datenverarbeitung: Ungültig bei voreingestelltem Haken?


Laut EuGH muss der Kunde die Zustimmung zu einer Datenverarbeitung selbst ankreuzen – der Haken darf nicht schon vorher gesetzt sein.

Spätestens seit Einführung der DSGVO müssen Unternehmen gut aufpassen in Sachen Datenschutz. Wenn man personenbezogene Daten verarbeiten möchte und das eigentlich nicht unbedingt erforderlich ist, muss man sich die Einwilligung der betreffenden Personen holen – so viel sollte jedem bekannt sein (Artikel 6, Absatz 1 (DSGVO)). Aber wie genau muss diese Einwilligung eigentlich aussehen? Was genau muss drinstehen und wie muss sie durchgeführt werden?

Solche Detailfragen sorgen immer wieder für Unsicherheiten bei Unternehmen. Oft führen sie auch zu Rechtsstreitigkeiten mit Datenschutzbehörden, die wegen DSGVO-Verstößen Bußgelder verhängen. So ist es auch im vorliegenden Fall gewesen, dem sich schließlich der EuGH angenommen hat. Er sollte beantworten: Wann ist die Einwilligung zur Datenverarbeitung gültig? Darf der entsprechende Haken zur Zustimmung eigentlich schon vorher gesetzt sein – oder muss die jeweilige Person das selbst machen? (EuGH Urteil vom 11.11.2020 in der Rechtssache C-61/19)


Der Fall: Orange Romania SA und Kopien von Ausweisen

Orange Romania ist ein Telekommunikationsdienstleister aus und für Rumänien. Beim Abschluss von Mobilfunkverträgen hatte das Unternehmen Kopien von den Ausweisen seiner Kunden gemacht und diese aufbewahrt. Dafür gab es im Vertrag von Orange Romania eine Klausel, die besagte, dass die Kunden über die Ausweis-Kopie informiert worden seien und dem zustimmten. Und indem ein Kunde den Vertrag unterschreibt, setzt er ja wohl auch gültig seine Unterschrift unter besagte Klausel – könnte man vielleicht meinen.

Die rumänische Datenschutzbehörde sah das aber anders. Die Kunden hätten diesen Ausweis-Kopien nie gültig zugestimmt. Denn: Das Kästchen bei der Klausel hatten die Kunden nicht selbst angekreuzt. Orange Romania hatte das schon vor Vertragsunterzeichnung gemacht. Die Kunden konnten so mit Vertragsunterzeichnung nur der Datenverarbeitung automatisch  zustimmen. Wenn sie das verweigern wollten, mussten sie eine zusätzliche schriftliche Erklärung abgeben. Das sei unrechtmäßig, meinte die Behörde und verhängte wegen dieses Datenschutzverstoßes eine Geldbuße.


In diesen Fällen erlaubt das Unionsrecht die Verarbeitung personenbezogener Daten:

Es gibt eine klar definierte Anzahl an Fällen, in denen die Verarbeitung von personenbezogenen Daten in der EU rechtmäßig ist. Die betreffende Person muss einwilligen – und zwar freiwillig, für den konkreten Fall und in Kenntnis der Sachlage (Artikel 2, Buchstabe h (EU-Richtlinie 95-46)). Bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit ist die Zustimmung nicht gültig.

Eine schriftliche Erklärung zur Einwilligung muss in verständlicher und leicht zugänglicher Form zur Verfügung stehe und in klarer und leichter Sprache formuliert sein.

Außerdem muss eine echte Wahlfreiheit vorliegen. Das heißt, die Vertragsbestimmungen dürfen nicht irreführend sein. Die Kunden muss nämlich klar sein, dass sie den Vertrag auch dann abschließen können, wenn sie die Datenverarbeitung verweigern. Sie müssen also nicht zustimmen.


LG Bukarest zieht EuGH zur Vorabentscheidung heran. Das Urteil aus Luxemburg:

Das Tribunalul Bucuresti (das Landgericht der rumänischen Hauptstadt, Bukarest) hat sich mit dem Fall Orange Romania befasst. Da das anzuwendende Datenschutzrecht in Form der DSGVO eine Regelung der EU ist, haben die Bukarester Richter dazu den EuGH in Luxemburg herangezogen. Dieser sollte beantworten: Unter welchen Voraussetzungen ist die Einwilligung in die Verarbeitung personenbezogener Daten gültig?

Grundsätzlich stellte der EuGH klar, dass Orange Romania (als die Verantwortliche für die Datenverarbeitung) nachweisen können muss, dass die Datenverarbeitung in Form der Sammlung und Aufbewahrung von Ausweis-Kopien rechtmäßig ist. Es muss also eine Einwilligung vorliegen. Diese Einwilligung sei aber ungültig, wenn der Kunde das entsprechende Kästchen im Vertrag nicht selbst angekreuzt hat. Ob das nun bei Orange Romania der Fall gewesen sei, also ob in deren Vertrag die Häkchen schon vor Vertragsunterzeichnung gesetzt worden waren, das müsse das nationale Gericht feststellen.

Das nationale Gericht müsse ebenfalls die konkreten Vertragsbestimmungen bei Orange Romania überprüfen. Und zwar dahingehend, ob sie irreführend sein könnten. Das wäre der Fall, wenn nicht drinstünde, dass man die Möglichkeit hat, den Vertrag abzuschließen, auch wenn man die Datenverarbeitung verweigert.

Zudem hatte Orange Romania von Kunden eine schriftliche Erklärung verlangt, wenn sie der Datenverarbeitung nicht zustimmen. Das sei eine ungebührliche zusätzliche Anforderung. Die Hemmschwelle, sich einer Datenverarbeitung zu widersetzen, sei dadurch noch höher gesetzt worden. Es könne nicht sein, dass Orange Romania von seinen Kunden verlangt, sich aktiv gegen die Datenverarbeitung zu weigern – wenn das Unternehmen ja eigentlich ganz im Gegenteil dazu verpflichtet ist, sich eine aktive Einwilligung einzuholen.


Also: Wann ist eine Einwilligungserklärung ungültig?

Eine Vertragsklausel ist laut dem EuGH-Urteil keine gültige Einwilligung, wenn…

  • das entsprechende Kästchen schon vor der Unterzeichnung des Vertrags angekreuzt worden ist. Denn dann erfolgt die Zustimmung nicht mehr aktiv und somit nicht hinlänglich freiwillig.
  • die Vertragsbestimmungen irreführend könnten. D.h., wenn unklar ist, dass man den Vertrag auch dann abschließen kann, wenn man der Datenverarbeitung nicht zustimmt.
  • man zur Verweigerung der Datenverarbeitung ein zusätzliches Formular unterzeichnen muss. Dadurch werde nämlich die freie Entscheidung, sich zu widersetzen, ungebührlich beeinträchtigt.


SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS Legal Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.

Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Ihr SBS Legal Team

 

Ihre Ansprechpartner für Datenschutzrecht in unserem Hause sind:

Laura Novakovski (Rechtsanwältin & Spezialistin für Datenschutzrecht)

Johanna Klimas (Rechtsanwältin für gewerblichen Rechtsschutz)

 

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Zurück zur Blog-Übersicht