Schlechte Empfehlung der Aufsichtsbehörden? Der Beschluss des Düsseldorfer Kreis zur Fortgeltung von Einwilligungen unter der DSGVO als Haftungsrisiko?

Wieder eine „kräftige“ Überschrift, gell? Ich mag ja dieses Reißerische eigentlich nicht. Aber es wirkt halt. Sonst wären Sie vielleicht nicht hier…und in diesem Fall ist das Reißerische in der Überschrift vielleicht sogar gut, um Ihre Aufmerksamkeit auf ein wichtiges Thema zu lenken. Es geht um Folgendes:

Gestern habe ich über Twitter von einem Beschluss des Düsseldorfer Kreises zum Thema der Fortgeltung von Einwilligungserklärungen ab Geltung der Datenschutz-Grundverordnung (DSGVO) erfahren. In dem Beschluss vom 13./14. September 2016 geht es um die „Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung“ (PDF). Bevor ich auf den Beschluss und seine Probleme zu sprechen komme, möchte ich noch kurz etwas zum Düsseldorfer Kreis sagen.

Der Düsseldorfer Kreis ist – für die, die es noch nicht wissen – ein Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Also der Aufsichtsbehörden in den Bundesländern, die für die Datenschutzaufsicht der Unternehmen zuständig sind.

Beschlüsse des Düsseldorfer Kreises nehme ich immer besonders aufmerksam wahr. Denn sie gestalten die aufsichtsbehördliche Praxis und sind damit auch ein wesentlicher Aspekt, den ich in meine Beratung von Unternehmen regelmäßig mit einbeziehe. Schließlich wollen die Unternehmen ja bei Entscheidungen bezüglich der Verwendung von personenbezogenen Daten auch datenschutzstrategisch vorgehen. Und da kann es nur hilfreich sein, wenn man abschätzen kann, wie die Aufsichtsbehörden eine Datenverarbeitung wohl einschätzen werden. In vielen Bereichen ist das nicht der Fall. Da betreten auch wir Anwälte häufig Neuland und stochern etwas im Nebel.

Dort, wo aber schon ein Beschluss des Düsseldorfer Kreises vorliegt, können wir schon fast immer von einem Glücksgriff für die anwaltliche Beratung sprechen. Beispiel: Ein Unternehmen plant die Einführung einer bestimmten Datenverarbeitung. Ich recherchiere den Fall datenschutzrechtlich und finde dann einen Beschluss des Düsseldorfer Kreises zu exakt der Problematik, die mit der geplanten Datenverarbeitung des Mandanten einhergeht. Boom! Treffer! Da bekomme ich als Anwalt vielleicht sogar rote Bäckchen im Gesicht – vor lauter Freude. Zumindest dann, wenn der Düsseldorfer Kreis in seinem Beschluss zu dem Ergebnis kommt, dass die geplante Datenverarbeitung des Mandanten datenschutzrechtlich zulässig ist. Eine bessere Ausgangssituation kann es da aus Sicht der datenschutzrechtlichen Beratung eines Anwalts kaum geben. Daher liebe ich Beschlüsse des Düsseldorfer Kreises, weil sie mir einfach die Arbeit unwahrscheinlich erleichtern. Sicher…sehr häufig entstehen im Gesicht nicht rote Bäckchen vor Freude, sondern eher Sorgenfalten auf der Stirn. Das ist dann der Fall, wenn der Düsseldorfer Kreis in einem Beschluss zu dem Ergebnis gelangt, dass eine geplante Datenverarbeitung eines Mandanten definitiv datenschutzrechtlich gar nicht geht, also schlichtweg für unzulässig gehalten wird. Egal wie wir es drehen und wenden, Beschlüsse des des Düsseldorfer Kreises sind für uns Datenschutzrecht la immer immens wichtig.

Und daher habe ich gestern dann auch mit großem Interesse den Beschluss des Düsseldorfer Kreises zur „Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung“. Zeitlich passte das quasi wie die Faust aufs Auge. Denn kurz bevor ich den Hinweis zu dem Beschluss bei Twitter las, hatte ich gerade ein Webinar zum Thema der Einwilligung in der DSGVO für meine Teilnehmer des DSGVO-Coachings fertiggestellt. Und meinen Coaching-Teilnehmern habe ich doch tatsächlich eine andere Empfehlung im Hinblick auf die Fortgeltung von Einwilligungen nach Geltung der DSGVO gegeben. Welche? Dazu kommen wir gleich…

Es ist ja sicher nicht ungewöhnlich, dass ein Anwalt eine andere Auffassung als Aufsichtsbehörden vertritt. In diesem Fall vertrete ich aber tatsächlich eine strengere Auffassung als die Aufsichtsbehörden. Und das kommt bei mir zugegebenermaßen eher selten vor.

Warum ich eine striktere bzw. strengere Auffassung für die Fortgeltung von bestehenden Einwilligungserklärungen unter der DSGVO für rechtlich geboten und den Beschluss des Düsseldorfer Kreises für rechtlich problematisch und auch gewagt halte, möchte ich nachfolgend kurz ausführen.

Dazu müssen uns einmal anschauen, was der Düsseldorfer Kreis in seinem Beschluss denn genau gesagt hat. Den Beschluss zur Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung können Sie hier abrufen:

Es handelt sich um einen sehr kurzen Beschluss, den ich hier einmal mit vollständigem Text darstellen möchte:

Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung

Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 Datenschutz-Grundverordnung).

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.

Besondere Beachtung verdienen allerdings die folgenden Bedingungen der Datenschutz-Grundverordnung; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

  • Freiwilligkeit („Kopplungsverbot“, Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43 Datenschutz-Grundverordnung),
  • Altersgrenze: 16 Jahre (soweit im nationalen Recht nichts anderes bestimmt wird; Schutz des Kindeswohls, Artikel 8 Absatz 1 in Verbindung mit Erwägungsgrund 38 Datenschutz-Grundverordnung).

Liest sich ja soweit alles ganz gut, oder? Vorab möchte ich sagen, dass ich einen solchen Beschluss des Düsseldorfer Kreises zur brennenden Frage der Fortgeltung von bestehenden Einwilligungen nach Inkrafttreten der DSGVO sehr begrüße. Für die Unternehmen und damit natürlich auch meine Mandanten ist es sehr wichtig, eine verlässliche Praxis der Aufsichtsbehörden zu haben, nach der sich die Datenverarbeitung in den Unternehmen ausrichten kann. Insbesondere mit dem Blick auf die immensen Vorbereitungen, die Unternehmen derzeit im Hinblick auf künftige Compliance mit der DSGVO vorzunehmen haben, ist eine veröffentlichte Rechtsauffassung der Aufsichtsbehörden sehr, sehr hilfreich.

Im Hinblick auf einen bestimmten Punkt habe ich jedoch ein erhebliches Problem mit der Empfehlung bzw. dem Beschluss des Düsseldorfer Kreises zur Fortgeltung von bestehenden Einwilligungen. Der Beschluss selbst ist aus datenschutzrechtlicher Hinsicht sicherlich nicht falsch. Denn der Düsseldorfer Kreis schreibt wörtlich:

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Dass der Beschluss des Düsseldorfer Kreises hier noch als datenschutzrechtlich korrekt angenommen werden kann, hängt hier allerdings auch nur an einem Wort. Des Juristen Lieblingswort. Und das lautet: „Grundsätzlich“

Wir Juristen lieben zu großen Teilen sicher dieses Wort „grundsätzlich“. Denn während das Wort „grundsätzlich“ vermeintlich in der Laiensphäre positiv dahingehend besetzt ist (bzw. sein kann – empirische Belege dafür kenne ich nicht), dass ein Grundsatz auch eingehalten wird, verstehen wir Juristen dieses Wort eher als Einfallstor für Ausnahmen. Denn von jedem Grundsatz gibt es eben Ausnahmen. Ansonsten wäre es kein Grundsatz. Und daher ist auch die entsprechende Formulierung im Beschluss des Düsseldorfer Kreises hier nicht unwichtig. Wenn der Düsseldorfer Kreis geschrieben hätte, dass bisher rechtswirksame Einwilligungen den Bedingungen der DSGVO entsprechen, wäre dies (ohne das „grundsätzlich“) offensichtlich falsch gewesen.

Mein Problem mit dem Beschluss des Düsseldorfer Kreises zur „Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung“ besteht jetzt darin, dass der Düsseldorfer Kreis im Hinblick auf die Ausnahmen den Fokus auf nur zwei Aspekte setzt:

  1. Freiwilligkeit (insbes. Koppelungsverbot)
  2. Altersgrenze

Wenn ich aber mal Revue passieren lasse, was mir in den letzten 14 Jahren Anwaltstätigkeit im Datenschutzrecht an Einwilligungserklärungen über den Weg gelaufen ist, muss ich sagen, dass der Düsseldorfer Kreis hier im Hinblick auf einen ganz wesentlichen Punkt Informationen vermissen lässt: In dem Beschluss des Düsseldorfer Kreises fehlt m.E. der Hinweis darauf, dass in der Einwilligungserklärung auf die Möglichkeit des Widerrufs hingewiesen werden muss. Diese Verpflichtung ergibt sich nämlich konkret aus Artikel 7 Abs. 3 Satz 3 DSGVO:

Artikel 7 Bedingungen für die Einwilligung

[…]

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

[…]

Da bestehende Einwilligungserklärungen nach Erwägungsgrund 171 der DSGVO nur dann unter der DSGVO fortgelten, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht, ist ein entsprechender Hinweis zum Widerrufsrecht in Einwilligungserklärungen zwingend. Der Düsseldorfer Kreis liegt zwar m.E. richtig damit, dass der Erwägungsgrund 171 der DSGVO nicht zwingend die Einhaltung der neuen Informationspflichten aus Art. 13, 14 DSGVO für die Fortgeltung von bestehenden Einwilligungserklärungen voraussetzt.

ABER: Der Hinweis auf das Widerrufsrecht ist nach Art. 7 Abs. 3 Satz 3 DSGVO Voraussetzung für eine wirksame Einwilligung. Das außer acht zu lassen, ist sehr mutig vom Düsseldorfer Kreis. Ich als Anwalt würde mich zu so einer Empfehlung schon aus Haftungsgründen nicht hinreißen lassen.

Während bei der elektronischen Einwilligungen nach § 13 Abs. 3 TMG eine Pflicht des Anbieters besteht, die Nutzer auf das Widerspruchsrecht hinzuweisen, fehlt eine entsprechende Regelung zur Hinweispflicht im BDSG. Zwar finden wir in der Praxis auch viele Einwilligungserklärungen außerhalb des Internets, in denen ein entsprechender Hinweis zum Widerrufsrecht enthalten ist. Aber es sind eben nicht alle. Meiner Meinung nach sitzen hier eine Reihe von Unternehmen sprichwörtlich auf einem Pulverfass von Haftungsrisiko. Wenn wir uns nämlich überlegen, dass eine Datenverarbeitung auf Basis einer nach der DSGVO nicht zulässigen Einwilligungserklärung basiert, drohen hier Bußgelder in Höhe von bis zu 20 Millionen Euro (bzw. bis zu 4 % des Jahresumsatzes weltweit bei Unternehmensgruppen).

Ich befürchte, dass viele Unternehmen (und deren Berater) sich auf Basis des Beschlusses des Düsseldorfer Kreises zur „Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung“ nicht hinreichend mit der Prüfung alter Einwilligungserklärungen bezüglich des Vorliegens eines Hinweises zum Widerrufsrecht beschäftigen. Das ist sicher nicht förderlich.

Ich würde es sehr begrüßen, wenn der Düsseldorfer Kreis diesen meiner Meinung nach praktisch extrem wichtigen Punkt noch einmal „adressieren“ und aufgreifen würde. Ich lasse die Kommentarfunktion hier (vorerst) einmal offen. Vielleicht mag sich ja eine Mitarbeiterin oder ein Mitarbeiter einer Aufsichtsbehörde hier zu diesem Thema äußern…natürlich auch gerne Pseudonym 😉