Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
09. Dezember 2020

Wie lässt sich die Einwilligung eines Kunden nachweisen?

Der EuGH hat einige Hintertürchen bei der Einwilligung geschlossen
Bild: iStock.com / Moyo Studio
4,50 (4)
drucken
Urteil des EuGH
Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.

Ausgangspunkt ist der Abschluss eines Vertrags über Mobilfunkleistungen, also ein „Telefonvertrag“. Der Mobilfunkanbieter kopiert beim Vertragsschluss die Ausweisdokumente des neuen Kunden. Rechtsgrundlage hierfür ist angeblich jeweils eine individuelle Einwilligung des Kunden. Der Mobilfunkanbieter heftet die Ausweiskopien an den Mobilfunkvertrag. Dann bewahrt er sie zusammen mit dem Vertrag auf.

Geldbuße und Vernichtungs-Anordnung für Ausweiskopien

Diese Vorgehensweise rief die rumänische Datenschutzaufsicht auf den Plan. Nach ihrer Auffassung hat das Telefonunternehmen nicht nachgewiesen, dass die Kunden jeweils eine gültige Einwilligung erteilt haben. Deshalb ergriff sie in einer förmlichen Entscheidung vom 28. März 2018 zwei Maßnahmen:

  • Erstens verhängte sie eine Geldbuße gegen das Telefonunternehmen. Ihre Höhe nennt die Entscheidung nicht.
  • Zweitens forderte sie das Telefonunternehmen auf, die vorhandenen Kopien von Ausweisdokumenten zu vernichten.

Fragen an den EuGH

Gegen beide Anordnungen wehrt sich das Unternehmen durch eine Klage zum Landgericht Budapest. Das Landgericht möchte daraufhin vom EuGH in einer sogenannten Vorabentscheidung wissen, wann davon auszugehen ist, dass ein Unternehmen die Einwilligung eines Kunden ordnungsgemäß nachgewiesen hat.

Einwilligungsklausel im Vertrag

Die Verträge des Telefonunternehmens mit seinen Kunden enthalten folgende Passage:

„Der Kunde erklärt, dass … er informiert worden ist und sein Einverständnis erklärt hat hinsichtlich … des Einbehaltens von Kopien der Dokumente, die personenbezogene Daten mit Identifikationsfunktion enthalten.“

Unterschiedliche Handhabung

Bei einem Teil der Verträge ist das Kästchen angekreuzt, bei anderen nicht. Das hat folgenden Hintergrund:

  • Beim Vertragsschluss ist es üblich, dass die Kunden das Kästchen für die Einwilligung nicht selbst ankreuzen. Vielmehr sieht die Praxis des Unternehmens so aus, dass ein Mitarbeiter den Kunden befragt, ob er seine Einwilligung erteilen will. Bejaht das der Kunde, kreuzt der Mitarbeiter das Kästchen für ihn an.
  • Weigert sich ein Kunde, dem Ankreuzen des Kästchens zuzustimmen, lehnt das Unternehmen den Vertragsschluss nicht ab. Die Ablehnung ist für einen solchen Fall zwar in den allgemeinen Geschäftsbedingungen vorgesehen. Die Praxis des Unternehmens sieht jedoch anders aus.

Kreuzt ein Kunde das Kästchen nicht an, wird das in einem speziellen Vordruck dokumentiert. Sofern der Kunde diesen Vordruck unterschreibt, bekommt er den gewünschten Vertrag, obwohl er das Kästchen nicht angekreuzt hat. Die Kopien seiner Ausweisdokumente bewahrt das Unternehmen auch in diesen Fällen auf.

Das Landgericht fragt den EuGH, ob sich angesichts dieses Ablaufs davon ausgehen lässt, dass die Kunden wirksam eingewilligt haben.

Gilt die DSGVO hier überhaupt?

Zunächst prüft der EuGH, ob im vorliegenden Fall bereits die Datenschutz-Gruundverordnung (DSGVO) anwendbar ist oder nicht. Bekanntlich gilt die DSGVO erst seit 25. Mai 2018. Die Anordnung der Datenschutzaufsicht stammt jedoch bereits vom 28. März 2018. Das scheint dafür zu sprechen, dass die DSGVO hier noch keine Rolle spielt, sondern dass von ihrem Vorgänger, der Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995, auszugehen ist.

Praktischer Kunstgriff des EuGH

Mit einem kleinen Kunstgriff gelangt der EuGH zu dem Ergebnis, dass er bei seiner Antwort auf die Fragen des Landgerichts sowohl auf die Datenschutz-Richtlinie aus dem Jahr 1995 als auch auf die DSGVO aus dem Jahr 2018 eingehen muss. Dabei argumentiert er so:

  • An sich ist zwar die Datenschutz-Richtlinie aus dem Jahr 1995 maßgeblich. Denn als die Anordnung der Datenschutzaufsicht erging, galt die DSGVO noch nicht.
  • Allerdings liegt kein Nachweis dafür vor, dass das Telefonunternehmen die Anordnung befolgt hat, die Ausweiskopien seiner Kunden zu vernichten. Deshalb sei nicht auszuschließen, dass für diesen Teil der Anordnung die DSGVO doch eine Rolle spielt.
  • Um die Fragen des Landgerichts sachgerecht zu beantworten, sei es deshalb notwendig, auf beide Rechtsquellen einzugehen.

Vorteile für den Leser

Dem Leser des Urteils kann diese Vorgehensweise nur recht sein. Denn auf diese Art und Weise bekommt er nicht nur aktuelle Aussagen des EuGH zur Auslegung der DSGVO. Vielmehr erhält er außerdem noch einen Vergleich zwischen beiden Rechtsquellen. Daraus lässt sich gut entnehmen, was sich durch die DSGVO gegenüber früher geändert hat – hier im Ergebnis nichts.

Bereits geklärte Grundsätze

Was die Einwilligung angeht, weist der Gerichtshof zunächst auf folgende Grundsätze hin, die er schon in früheren Entscheidungen aufgestellt hat:

  • Eine Einwilligung setzt stets ein aktives Verhalten des Kunden voraus.
  • Dass der Kunde ein Formular mit einem schon vorangekreuzten Kästchen unterschreibt, genügt nicht. Darin ist kein aktives Verhalten des Kunden zu sehen. In diesem Fall ist nämlich nicht sichergestellt, dass der Kunde die Einwilligungsklausel tatsächlich gelesen und verstanden hat.
  • Die Beweislast dafür, dass eine Einwilligung vorliegt, liegt ausschließlich bei dem Unternehmen, das das Vertragsformular verwendet (so inzwischen ausdrücklich Art. 7 Abs. 1 DSGVO).

Unzulässigkeit aller „vorangekreuzten“ Kästchen

Es liegt auf der Hand, dass das Unternehmen schon diese eher formalen Vorgaben nicht beachtet hat, weil die Kästchen vorangekreuzt waren. Ein Vertrag mit einem vorangekreuzten Kästchen ist nicht als Nachweis für eine Einwilligung geeignet.

Fehlende Wahlfreiheit des Kunden

Die Wirksamkeit der Einwilligung scheitert zudem an der fehlenden Wahlfreiheit des Kunden. Weigert sich ein Kunde, die Einwilligung zu unterschreiben, verlangt das Unternehmen von ihm eine schriftliche Erklärung, dass er in die Aufbewahrung von Kopien seines Ausweisdokuments nicht einwilligt.

Den Vertrag bekommt er dann jedoch trotzdem. Die Aufforderung zu einer solchen zusätzlichen Erklärung beeinträchtigt die freie Entscheidung des Kunden, sich für oder gegen die Aufbewahrung von Kopien zu entscheiden.

Ergebnis des Gerichts

Im Ergebnis gilt somit:

Ein Vertrag ist nicht dazu geeignet, eine Einwilligung nachzuweisen,

  • wenn das Kästchen im Vertrag, aus dem sich die Einwilligung ergeben soll, schon vorangekreuzt ist – auch wenn ein Mitarbeiter es erst beim Gespräch mit dem Kunden ankreuzt, oder
  • wenn für den Kunden nicht klar ist, dass er den gewünschten Vertrag auch erhalten kann, obwohl er sich weigert, in die Verarbeitung seiner Daten einzuwilligen, oder
  • wenn die freie Entscheidung des Kunden dadurch beeinträchtigt wird, dass das Unternehmen von ihm verlangt, die Verweigerung seiner Einwilligung in einem Formular schriftlich zu bestätigen.

Gleich mehrere Hintertürchen geschlossen

Damit hat das Gericht bildlich gesprochen mehrere Hintertürchen im Zusammenhang mit dem Einholen einer Einwilligung geschlossen. Eine Einwilligung ist positiv ausgedrückt nur dann wirksam, wenn

  • der Kunde das Kästchen, aus dem sich eine Einwilligung ergeben soll, selbst ankreuzt und
  • der Kunde genau erkennen kann, was von seiner Einwilligung abhängt und was nicht und
  • der Kunde die Tatsache, dass er eine Einwilligung verweigert, nicht zusätzlich dokumentieren muss.

Exkurs: eine rechtswidrige Regelung im deutschen Recht

Das deutsche Personalausweisgesetz legt in § 20 Absatz 2 fest, dass ein Personalausweis nur mit Zustimmung des Ausweisinhabers kopiert werden darf. Da der vorliegende Fall in Rumänien spielte, hatte der EuGH keinen Anlass, auf diese Regelung einzugehen.

Sie widerspricht schlicht und einfach der DSGVO. Das mag sich zunächst merkwürdig anhören, denn das Gericht geht ja im vorliegenden Fall ausführlich darauf ein, wann eine wirksame Zustimmung des Ausweisinhabers vorliegt. Dabei muss man jedoch Folgendes bedenken:

  • Das Gericht betont ausdrücklich, dass Art. 6 DSGVO und Art. 7 DSGVO abschließend festlegen, wann eine Verarbeitung von personenbezogenen Daten zulässig ist.
  • Art. 6 DSGVO sieht jedoch neben der Einwilligung noch weitere Rechtsgrundlagen dafür vor, dass eine Verarbeitung zulässig ist. Die Einwilligung der betroffenen Person ist nur eine der dort aufgeführten Möglichkeiten (siehe Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a DSGVO). Daneben stehen weitere mögliche Rechtsgrundlagen. Dazu gehört beispielsweise die Verarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 Unterabsatz 1 Buchstabe b DSGVO).
  • Dann kann der nationale Gesetzgeber jedoch nicht hergehen und außer der Einwilligung alle anderen Rechtsgrundlagen gewissermaßen abschneiden. Denn damit setzt er für die Frage der Ausweiskopien die anderen denkbaren Rechtsgrundlagen von Art. 6 DSGVO gewissermaßen außer Kraft. Das verstößt gegen das Europarecht.

Das Urteil des Europäischen Gerichtshofs vom 11. November 2020 – C-61/19 ist abrufbar unter http://curia.europa.eu/juris/document/document.jsf;jsessionid=D5125C44C8D902E299D0C4D4A0437BB6?text=&docid=233544&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15347641

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
18. März 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Gilt die DSGVO auch für mündliche Auskünfte?

Urteil
EuGH Urteil
04. März 2024
Juristische Personen können sich nicht auf das Auskunftsrecht nach DSGVO berufen
Bild: iStock.com / adventtr

Daten juristischer Personen – geschützt oder nicht?

Urteil
EuGH
19. Februar 2024
Laut EuGH muss die betroffene Person einen Schaden nachweisen, um Schadensersatz zu bekommen
Bild: iStock.com / elenabs

Schadensersatz schon wegen eines „unguten Gefühls“?

Urteil
EuGH Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.