CR-online.de Blog

Kopplungsverbot – der Einwilligungskiller nach der DSGVO

avatar  Niko Härting

Wenn die DSGVO im Mai 2018 in Kraft tritt, wird man sich umgewöhnen müssen. Die Einwilligung wird nicht mehr der „Königsweg“ sein, um eine Datenverarbeitung rechtssicher auszugestalten. Denn der Weg zu einer rechtssicheren Einwilligung wird durch die DSGVO zu einem Hindernislauf.

Die Norm

Eines der größten Hindernisse ist das Kopplungsverbot, das in Art. 7 Abs. 4 DSGVO angelegt ist:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Diese Vorschrift gehört zu den Bestimmungen, denen man das zähe Ringen der Beteiligten um einen Formulierungskompromiss bei jeder Silbe anmerkt. Man muss Art. 7 Abs. 4 DSGVO dreimal lesen, um auch nur annäherungsweise zu verstehen, was gemeint sein könnte.

Einwilligung in einer Standard-Konstellation

Es geht um einen Fall wie den folgenden:

Ein Online-Händler möchte bei der Registrierung eines neuen Kunden unter anderem dessen Anschrift speichern, um dem Kunden von Zeit zu Zeit Werbung zu schicken – per Briefpost. Vielleicht möchte der Online-Händler zudem die Anschrift weitergeben an nahestehende Unternehmen für deren Adress- oder Kundendatenbank.

Der Händler lässt sich im Bestellprozess vom Kunden bestätigen, dass der Kunde einverstanden ist.

  • Unmissverständlichkeit:
    Das Einverständnis des Kunden reicht für eine „unmissverständliche“ Einwilligung grundsätzlich aus (vgl. Art. 4 Nr. 11 DSGVO).
  • Freiwilligkeit:
    Reicht dies indes auch aus, um die Anforderungen des Art. 7 Abs. 4 DSGVO zu erfüllen? Der Händler hat die Einwilligung in den Bestellprozess integriert und damit den Vertragsschluss von der Einwilligung „abhängig“ gemacht. Art. 7 Abs. 4 DSGVO gibt keine eindeutige Antwort und lässt den Einwand zu, an die Einwilligung sei dennoch freiwillig erteilt worden, da der Kunde – beispielsweise – durch Hervorhebungen und Fettdruck sowie weitere Hinweise – auf die beabsichtigte Nutzung der Adressdaten hingewiesen wurde.

Der Erwägungsgrund

Die Schlupflöcher, die Art. 7 Abs. 4 DSGVO der Einwilligung fraglos lässt, geraten durch Erwägungsgrund 43 Satz 2 DSGVO in akute Gefahr:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

So blumig Art. 7 Abs. 4 DSGVO formuliert ist, so gnadenlos ist die Formulierung dieses Erwägungsgrundes: Eine Werbeeinwilligung ist nicht erforderlich, damit der Händler dem Kunden die bestellte Ware liefern und den Kaufpreis kassieren kann. Damit gilt die Einwilligung nach dem Erwägungsgrund „nicht als freiwillig erteilt“ und ist somit unwirksam.

Folgenreiche Widersprüchlichkeit

Die DSGVO ist an dieser Stelle fraglos inkonsistent. Die Norm (Art. 7 Abs. 4 DSGVO) und der zugehörige Erwägungsgrund enthalten widersprüchliche Aussagen. Welche praktischen Folgen dies für die Beratung haben wird, ist absehbar:

  • Strenge Auslegung:  Aufsichtsbehörden und Verbraucherschützer werden sich auf den strengst möglichen Standpunkt stützen und von einem strengen Kopplungsverbot ausgehen. Erwägungsgrund 43 Satz 2 DSGVO ist ein starkes Argument.
  • Rechtsunsicherheit:  Berater werden zwar geneigt sein, die Spielräume zu betonen, die Art. 7 Abs. 4 DSGVO eröffnet. Sie wären jedoch schlechte Berater, wenn sie ihre Klienten nicht auf die erhebliche Rechtsunsicherheit hinweisen würde, die sich aus der unklaren Rechtslage ergibt. Datenverarbeitungsprozesse, die in den Anwendungsbereich des Art. 7 Abs. 4 DSGVO fallen, wird man nicht mehr guten Gewissens ausschließlich auf die Einwilligung stützen können.

Auswege?

Ein gangbarer Weg zu einer rechtssicheren Einwilligung ist in den Fällen des Art. 7 Abs. 4 DSGVO nicht ersichtlich. Ein Ausweg mag beispielsweise in der Abkoppelung der Einwilligung vom Vertragsschluss liegen, indem der Kunde erst nach Vertragsschluss um Abgabe der Einwilligungserklärung gebeten wird. Der Händler müsste dann indes damit rechnen, dass eine Vielzahl von Kunden die Abgabe verweigern. Schlecht für die Effizienz und Breitenwirkung der geplanten Werbemailings.

Letztlich wird man entweder die Unsicherheiten bei der Auslegung des Art. 7 Abs. 4 DSGVO in Kauf nehmen müssen („Augen zu und durch“). Oder man muss auf „berechtigte Interessen“ im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO setzen. Die Anforderungen an die „berechtigten Interesse“ sind nicht allzu hoch, wenn es um Daten geht, die zu Werbezwecken verwendet werden sollen, denn der letzte Satz des Erwägungsgrundes 47 DSGVO erkennt die Direktwerbung als mögliche, wenn auch nicht zwingende Legitimation für eine Datenverarbeitung ausdrücklich an:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Die Unsicherheiten, die sich aus diesem „Kann-Satz“ ergeben, sind für den Online-Händler, der Werbung treiben möchte, zwar gleichfalls misslich. Dennoch wird dem Händler wenig anderes übrig bleiben, als sich nicht ausschließlich auf eine Einwilligung zu verlassen mit dem Damoklesschwert eines gnadenlosen Kopplungsverbots.

Fazit

Ein „Königsweg“ wird die Einwilligung ab Mai 2018 nicht mehr sein. Umso mehr Aufmerksamkeit verdienen die „berechtigten Interessen“ als zweites Standbein einer datenschutzkonformen Strategie oder gar als Alternative zur einwilligungsbasierten Datenverarbeitung.

 

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.