Fünf gute Gründe gegen die Einwilligung

Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.

Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.

Was gegen die Einwilligung spricht

1. Einwilligungen sind kompliziert

Einfach nur unterschreiben oder ein Kästchen ankreuzen genügt nicht für eine gültige Einwilligung. Damit eine Einwilligung gültig ist, muss sie vier Kriterien erfüllen (wortgleich geregelt in Art. 4 Nr. 11 DSGVO, § 4 Nr. 13 KDG und § 4 Nr. 13 DSG-EKD): Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Und dann muss auch noch auf das Widerrufsrecht hingewiesen werden. Bei mehreren Sachverhalten muss alles klar aufgeschlüsselt werden. In Verbindung mit Verträgen ist darauf zu achten, dass Einwilligung nicht Pflicht für den Vertragsabschluss gemacht werden, wenn das nichts mit dem Vertrag zu tun hat. (Geregelt in Art. 7 DSVO, § 8 KDG und § 11 DSG-EKD; ein Beispiel: Keine Pflicht zur Einwilligung in Newsletter-Empfang beim Kauf im Onlineshop.) Im Arbeitsrecht sind aufgrund des Machtungleichgewichts zwischen Beschäftigten und Dienstgeber*innen Einwilligungen problematisch und noch einmal eigens geregelt mit weiteren Bedingungen, um die Freiwilligkeit sicherzustellen (§ 26 Abs. 2 BDSG, § 49 Abs. 3 DSG-EKD, keine explizite Regelung bei gleicher Problematik im KDG).

Klingt kompliziert? Ist es auch – und dennoch müssen all diese Voraussetzungen erfüllt sein, um eine gültige Einwilligung zu haben. Und verständlich formuliert muss das alles auch noch sein.

2. Einwilligungen müssen dokumentiert werden

Wer sich auf eine Einwilligung berufen will, muss beweisen können, dass sie vorliegt. Das katholische KDG ist hier besonders deutlich formuliert (»Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist«, § 8 Abs. 2 KDG), aber auch die in der Form weniger strengen Regeln in DSGVO und DSG-EKD verlangen, dass Verantwortliche die erteilte Einwilligung nachweisen können. (Die Folge der KDG-Regelung ist im wesentlichen eine zusätzliche Rechtsunsicherheit, was denn nun »besondere Umstände« sind – sind die online immer schon gegeben? Oder braucht es online manchmal doch den Medienbruch?)

Wer eine Einwilligung verwenden will, braucht daher ein Konzept, wie dieser Nachweis erbracht werden kann – und wie man diesen Nachweis wiederfindet, und wie man zudem vermerkt, wenn eine Einwilligung widerrufen wurde, und wie sichergestellt ist, dass der Widerruf auch berücksichtigt wird. Unterschreiben lassen ist einfach. Die Unterschrift verwalten macht viel Arbeit.

3. Einwilligungen können jederzeit widerrufen werden

Wer einwilligt, kann diese Zustimmung jederzeit frei zurückziehen – ohne Angabe von Gründen, ohne dass irgendjemand etwas dagegen machen könnte. Ab dann muss die Datenverarbeitung, in die eingewilligt wurde, gestoppt werden. Sobald der Widerruf da ist, gibt es kein Zurück (außer durch einer erneute Einwilligung der betroffenen Person). Werden die Daten vom Verantwortlichen noch gebraucht? Pech gehabt. Dafür war die Einwilligung leider die falsche Rechtsgrundlage – bei den anderen (z. B. Vertragserfüllung, rechtliche Verpflichtung und sogar der Interessenabwägung) können Betroffene deutlich weniger unternehmen, um die Datenverarbeitung zu stoppen.

4. Einwilligungen schaffen rechtliche Risiken

Schon eine sinnvoll eingesetzte Einwilligung birgt Risiken: Wenn es an den Anforderungen aus Punkt 1 hapert oder wenn die Dokumentation aus Punkt 2 schlampig ist, ist die Einwilligung schnell gar nicht rechtskräftig erteilt oder, genauso misslich, kann nicht bewiesen werden. »Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden«, schreibt die Datenschutzkonferenz in ihrem Papier zu Einwilligungen. »Die Einwilligung wird bei Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit nicht gültig erteilt«, heißt es auch in der Pressemitteilung des EuGH zu dessen jüngster Entscheidung über die Formvorschriften für gültige Einwilligungen.

Erst recht schlimm wird es, wenn eine Einwilligung falsch eingesetzt wird, etwa, wenn eine Einwilligung für eine Datenverarbeitung eingeholt wird, für die es eine rechtliche Pflicht gibt: Wer zum Beispiel in die Speicherung von Rechnungsdaten einwilligen lässt, steht dumm da, wenn die Einwilligung widerrufen wird – denn dann können die Rechnungsdaten nicht mehr 10 Jahre lang fürs Finanzamt aufbewahrt werden, wie es rechtlich vorgeschrieben ist. Wer einmal eine Einwilligung einholt, kann nicht bei falsch eingeholter oder widerrufener Einwilligung eine andere Rechtsgrundlage anführen – das gebieten, so die Datenschutzkonferenz, die Grundsätze der Fairness und Transparenz: »Erweist sich die Einwilligung als unwirksam oder kann der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen, so ist die Verarbeitung der Daten auf dieser Grundlage rechtswidrig.« Auch die Artikel-29-Datenschutzgruppe, der heutige Europäische Datenschutzausschuss, betont, dass der Verantwortliche nicht »von der Einwilligung zu einer anderen Rechtsgrundlage wechseln kann«. Verantwortliche müssen »vor der Erhebung entschieden haben, welche Rechtsgrundlage anwendbar ist«. (Hier vertritt allerdings der Hessische Landesdatenschützer die Minderheitenmeinung, dass der Rückfall zu einer anderen Rechtsgrundlage doch möglich ist.)

5. Einwilligungen verlagern die Denkarbeit auf andere und machen müde

Die Einwilligung ist das Schwert für den gordischen Knoten Datenschutz: Der Verantwortliche muss sich keine Gedanken mehr machen, wie die gewünschte Verarbeitung sauber aufgedröselt werden muss. Stattdessen muss die betroffene Person die Denkarbeit machen und abwägen, ob die Risiken eingegangen werden sollen. Das ist oft unfair: Wenn Einwilligungen sauber vermieden werden, muss der Verantwortliche sich bemühen, die Verarbeitung rechtlich einwandfrei zu gestalten, und wird in der Regel zu einer Lösung kommen, die datenschutzfreundlicher ist. Wieder das Beispiel der Rechnungsdaten: »Ich willige in die Speicherung meiner Daten zum Zweck des Rechnungswesens ein« ist schnell geschrieben. Der Satz »Die Rechnungsdaten werden zur Erfüllung der rechtlichen Aufbewahrungspflichten gespeichert und danach gelöscht« (Rechtsgrundlage Erfüllung einer rechtlichen Pflicht) erfordert mehr Recherche, mehr Rechtskenntnisse – bürdet der betroffenen Person aber keine Denkarbeit auf (und verhindert Probleme mit Formpflichten und Widerrufen).

Einwilligungen gibt es viel zu viele (mit den allgegenwärtigen Cookie-Bannern leider auch rechtlich notwendige) – das führt zur sogenannten »consent fatigue«, der »Einwilligungsermüdung«: Einwilligungen verlieren ihre Warnfunktion, werden entweder bockig alle abgelehnt oder resignierend alle angenommen. Was eigentlich die informationelle Selbstbestimmung stärken sollte, gibt ihr einen schlechten Ruf. Wer nur wirklich notwendige Einwilligungen erhebt, senkt also nicht das Datenschutzniveau, sondern erhöht es sogar, indem die Einwilligung das bleibt, was sie wirklich ist: Die Rechtsgrundlage, die signalisiert, dass hier etwas stärker Risikobehaftetes passiert.

Wann es doch eine Einwilligung braucht

Nicht immer ist es möglich, auf Einwilligungen zugunsten anderer Rechtsgrundlagen zu verzichten: Wenn keine passt und eine Interessenabwägung nicht zugunsten des Verantwortlichen ausfällt, der Daten verarbeiten will, dann ist die Einwilligung das Richtige. Besonders, wenn es um die Daten von Minderjährigen geht, muss deren Schutzbedürftigkeit bei Interessensabwägungen besonders berücksichtigt werden; die Abwägung wird hier besonders häufig so ausgehen, dass kein rechtfertigendes berechtigtes Interesse besteht. Beim Umgang mit besonderen Kategorien personenbezogener Daten (z. B. über religiöse Überzeugungen und Gesundheitsdaten) ist die Interessenabwägung nicht möglich, die weiteren speziellen Rechtsgrundlagen für besondere Kategorien sind auch restriktiver als die üblichen. Typische Fälle für die Einwilligung sind außerdem Direktwerbung, eine Zweckänderung der Nutzung von Daten, die nicht mit dem ursprünglichen Zweck vereinbar ist, und Cookies.

Beliebte unnötige Einwilligungen und wie es besser geht

Veranstaltungsfotos

Zu vielen Veranstaltungen gehört es, Fotos zu machen: Für die Webseite, für den Gemeindebrief, für die Jahreschronik. Bei öffentlichen Veranstaltungen ist das über Einwilligungen nicht praktikabel: Wie will man die von allen Teilnehmenden erheben und dokumentieren? Will ich meine Öffentlichkeitsarbeit nur vorbehaltlich von jederzeit möglichen Widerrufen machen? Meist ist es möglich, statt der Einwilligung auf die Rechtsgrundlagen berechtigtes Interesse oder kirchliches Interesse zurückzugreifen. Unter bestimmten Bedingungen ist sogar ein Rückgriff auf das Medienprivileg möglich (dazu ausführlich: Medienprivileg für Gemeindebrief und Pfarrblatt?). Vorsicht walten lassen sollte man bei nicht-öffentlichen Veranstaltungen und Veranstaltungen mit Minderjährigen oder sensibleren Themen (z. B. von Selbsthilfegruppen). Ausführlich dazu Niko Härting: »Beispiel Veranstaltungsfotos: Warum es nach der DSGVO oft sinnvoll ist, auf Einwilligungen zu verzichten«

Gottesdienst-Streaming

Gerade während der Corona-Schutzmaßnahmen ist das Streaming von Gottesdiensten wichtig, damit mehr und insbesondere schutzbedürftige Menschen teilnehmen können. Menschen die Mitfeier von Gottesdiensten zu ermöglichen, ist ein originäres kirchliches Interesse – daher ist das im Bereich des KDG die richtige Rechtsgrundlage. Wo das DSG-EKD angewendet wird, ist es sogar noch einfacher: Dort gibt es mit § 53 DSG-EKD eine eigene Rechtsgrundlage, die Gottesdienst-Streaming erlaubt. In beiden Fällen muss angemessen über das Streaming informiert werden und die Möglichkeit gegeben werden, sich außerhalb des Sichtfeldes der Kameras zu platzieren, außerdem sollte die Bildregie darauf achten, Menschen nicht in intimen Momenten (Gebet, Kommunionempfang) in den Fokus zu nehmen.

Im katholischen Bereich vertritt das Datenschutz-Referat der Erzdiözese Freiburg allerdings eine gegenteilige Position: Da Gottesdienste während der Corona-Maßnahmen keine öffentlichen Veranstaltungen mehr seien, müsse auf die Einwilligung zurückgegriffen werden. Diese Position mit Verweis auf das Kunsturhebergesetz (KUG) überzeugt aber nicht. Gottesdienste sind nach wie vor öffentliche Veranstaltungen, die Kriterien des KUG werden bei einer Interessenabwägung angewandt, während eine derartige Abwägung beim kirchlichen Interesse nicht im Gesetz steht, und gerade jetzt, wo Gottesdienstbesuch erschwert ist, ist das kirchliche Interesse an einer Übertragung umso größer.

Rückverfolgbarkeit von Gottesdiensten

Teilnehmende von Gottesdiensten müssen derzeit in der Regel aufgrund der Corona-Schutzverordnungen der Länder erfasst, diese Daten dann für einen bestimmten aufbewahrt werden. Wer hier auf Einwilligungen setzt, kann bei einem Widerruf seine gesetzliche Verpflichtung nicht mehr erfüllen. Die Lösung ist daher sehr einfach: »rechtliche Verpflichtung« ist die richtige Rechtsgrundlage.

Ausführlich dazu: Ticketsysteme für Gottesdienste – und der Datenschutz?

Bewerbungsunterlagen

Immer wieder liest man auf Stellenausschreibungen Sätze dieser Art: »Mit Übermittlung Ihrer Bewerbungsunterlagen erlauben Sie uns die Verarbeitung Ihrer personenbezogener Daten zur Abwicklung des Bewerbungsverfahrens« – nach diesem Artikel dürfte schon klar sein, dass das keine rechtskonforme Einwilligung darstellt. Aber selbst wenn eine Einwilligung korrekt eingeholt würde: Beim Bewerbungsverfahren ist sie eine falsche und gefährliche Rechtsgrundlage – schließlich müssen Unterlagen schon deshalb für einen gewissen Zeitraum aufbewahrt werden, um zum Beispiel eine Dokumentation für mögliche Ansprüche aus dem Antidiskriminierungsgesetz zu haben.

Für den Beschäftigtendatenschutz gibt es eigene Rechtsgrundlagen: § 26 Abs. 1 BDSG, § 53 Abs. 1 KDG und § 49 Abs. 1 DSG-EKD – dort ist explizit geregelt, dass Daten zum Zweck der Begründung eines Arbeitsverhältnisses verarbeitet werden dürfen. Auf diese Rechtsgrundlage sollten daher auch Stellenausschreibungen verweisen.

Kommunikation und Mitgliederverwaltung im Verein

Auf den ersten Blick ist es nicht ganz klar, auf welcher Rechtsgrundlage die Daten von Vereinsmitgliedern verwaltet und die Kommunikation mit ihnen gestaltet wird; so richtig scheint keine Rechtsgrundlage zu passen – also Interessenabwägung oder Einwilligung? Richtig ist hier die Rechtsgrundlage »Vertrag«: Die Mitgliedschaft wird wie ein Vertrag zwischen Verein und Mitglied betrachtet, die Satzung spezifiziert die Vertragsinhalte. Die Mitgliederdatenverwaltung ist damit vollständig abgedeckt, ebenso alle Kommunikation, die unmittelbar mit den Vereinszielen zusammenhängt: Für die Einladung zur Mitgliederversammlung braucht es keine andere Rechtsgrundlage. Diskutieren kann man über vereinsinterne Newsletter – hier kann es praktikabel sein, auf berechtigtes Interesse zu setzen (und Widersprüche immer zu akzeptieren) oder gleich wie üblich bei Newslettern auf Grundlage einer Anmeldung mit Einwilligung zu agieren. Für die Öffentlichkeitsarbeit können manche Verarbeitungen auf die Mitgliedschaft gestützt werden (beispielsweise wohl die Bekanntmachung von Meisterschaften in Sportvereinen), bei anderen greift man auf berechtigtes Interesse (Veröffentlichung in Vereinszeitungen) oder manchmal doch die Einwilligung (Veröffentlichungen in Social Media) zurück.

Mehr Informationen zur Datenverarbeitung im Verein gibt es in den verschiedenen Vereins-Leitfäden der Landesdatenschutzbehörden, beispielsweise aus Baden-Württemberg oder Niedersachsen. Lesenswert ist auch die Arbeitshilfe »Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine«(Affiliate Link)

Fazit

Einwilligungen sind kompliziert, schaffen oft neue Probleme, sind meist nicht nötig – und sie senken bisweilen sogar das Datenschutzniveau. Für ein gutes Datenschutzmanagement ist das sinnvolle Vermeiden von Einwilligungen daher eine Königsdisziplin. Die Leitfrage »Gibt es eine passendere Rechtsgrundlage?« sollte am Anfang der Suche nach den Rechtsgrundlagen stehen. Passt keine? Dann sollte das Vorliegen eines berechtigen Interesses überprüft werden – und erst wenn die Interessensabwägung negativ ausfällt, passt die Einwilligung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.