Wann ist eine Einwilligung notwendig?

Unternehmen dürfen zunächst gar keine personenbezogenen Daten verarbeiten. Ein grundlegendes Prinzip der Datenschutz-Grundverordnung (DSGVO) ist das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Viele Unternehmen sind jedoch darauf angewiesen, entsprechende Daten zu erheben und zu verarbeiten, damit ihre Dienstleistungen und Angebote funktionieren. Ein Soziales Netzwerk wie facebook funktioniert auch deshalb so gut, weil andere Menschen über ihren Namen, ihre Fotos oder ihr Netzwerk aus Kontakten gefunden werden können. Und ein Messenger wie WhatsApp benötigt die Telefonnummern der Kontakte, damit die Nachrichten bei den richtigen Personen ankommen. Damit solche personenbezogenen Daten überhaupt verarbeitet werden dürfen, ist entweder eine ausdrückliche Einwilligung oder eine gesetzliche Regelung notwendig.

Gab es auch Einwilligungen vor der DSGVO?

Auch vor Einführung der DSGVO war es oftmals notwendig, dass Unternehmen sich eine ausdrückliche Einwilligung erteilen lassen, bevor sie personenbezogene Daten verarbeiten. Bei den meisten Angeboten wurde das über die jeweiligen Nutzungsbedingungen geregelt. Wer ein bestimmtes Angebot wie Instagram nutzen möchte, musste vorher den Nutzungsbedingungen zustimmen. Damit wurde gleichzeitig eine Einwilligung in die Verarbeitung der personenbezogenen Daten erteilt. Wie umfangreich diese Einwilligung ist, hängt davon ab, was in den Nutzungsbedingungen oder Datenschutzerklärungen genau geregelt war. Das große Problem daran: Die Nutzungsbedingungen waren meist so umfangreich und kompliziert geschrieben, dass die wenigsten sie überhaupt gelesen hatten, bevor sie ihnen zustimmten. In manchen Fällen lagen die Nutzungsbedingungen gar nicht erst in deutscher Sprache vor oder waren so schlecht übersetzt, dass sie nur schwer verständlich waren.

Welche Anforderungen muss eine Einwilligung nach der DSGVO erfüllen?

Die DSGVO legt erhöhte Anforderungen an die Erteilung einer Einwilligung fest. Eine Einwilligung muss eine freiwillige, informierte und eindeutige Handlung sein. Die Handlung kann zum Beispiel das Anklicken eines Kästchens oder die Auswahl von verschiedenen technischen Einstellungen bei Online-Diensten sein. Ein stillschweigendes Einverständnis in Form von standardmäßig angekreuzten Kästchen ist dagegen nicht zulässig. Damit eine Handlung informiert sein kann, müssen Unternehmen ihre Nutzungsbedingungen bzw. Datenschutzerklärungen und notwendige Informationen in der jeweiligen Landessprache zur Verfügung zu stellen.

Auch das sogenannte Kopplungsverbot wurde verschärft. Es besagt, dass der Abschluss eines Vertrags nicht länger an die Erteilung einer Einwilligung gekoppelt sein darf, die für die Erfüllung des Vertrags nicht notwendig ist. Das wäre zum Beispiel der Fall bei einer Internetseite, die kostenlose Fotos nur dann zum Herunterladen bereitstellt, wenn man sich auch für einen E-Mail-Newsletter einträgt. Damit wird es für Unternehmen notwendig, dass sie über unterschiedliche Vorgänge der Datenverarbeitung informieren und jeweils gesonderte Einwilligungen einholen.

Eine erste Wirkung hat diese Pflicht bei der unter jungen Leuten sehr beliebten App musical.ly gezeigt. Im Dezember 2017 hat der Dienst seine Nutzungsbedingungen erstmals auch in deutscher Sprache zur Verfügung gestellt. Bei anderen Diensten wie Discord (ein Dienst für Gruppenchats und Internettelefonie) sind die Informationen nach wie vor nur in englischer Sprache vorhanden. In diesem Fall wäre die entsprechende Einwilligung in Deutschland mit Inkrafttreten der DSGVO möglicherweise unrechtmäßig. Stand: 16.05.2018

Darf ich die Kontakte aus meinem Telefonbuch an WhatsApp weitergeben? Oder brauche ich die Einwilligung meiner Kontakte?

Namen und Telefonnummern sind personenbezogene Daten. Entsprechend dürfen sie grundsätzlich nur dann verarbeitet werden, wenn die betroffenen Personen eingewilligt haben oder keine andere gesetzliche Erlaubnis vorliegt. Ein besonderes Problem entsteht dann, wenn ein Messenger auf die Kontakte eines Smartphones zugreifen kann. Das ist zum Beispiel bei WhatsApp der Fall. Der Messenger nutzt die im Telefon gespeicherten Kontakte, um zu überprüfen, wer davon ebenfalls WhatsApp benutzt. Nutzende haben jedoch in der Regel nicht das Recht, WhatsApp Zugriff auf diese personenbezogenen Daten zu geben, ohne vorher die Einwilligung der Kontakte eingeholt zu haben. Derzeit ist noch abschließend zu klären, ob die WhatsApp-Nutzung unter die DSGVO-Ausnahme der „ausschließlich privaten oder familiären Nutzung“ fällt. Sollte dies der Fall sein, dann finden die Regelungen der DSGVO keine Anwendung. Dies würde dann bedeuten, dass WhatsApp-Nutzer keine Einwilligungen von ihren Adressbuchkontakten einholen müssten, vorausgesetzt sie verwenden WhatsApp ausschließlich privat im Kreise von Familie und Freunden. Anders sieht es aus bei der nicht ausschließlich privaten Nutzung von WhatsApp z.B. wenn Lehrkräfte mit ihren Schülern, Unternehmen mit ihren Kunden, oder Vereine mit ihren Mitgliedern über WhatsApp kommunizieren. Da es sich hierbei nicht um eine „ausschließlich private oder familiäre Nutzung“ handelt, findet die DSGVO Anwendung und müssen Einwilligungen erfragt werden. Bislang stellt WhatsApp keine unkomplizierten Mittel zur Verfügung, um die App auch ohne den Zugriff auf das Telefonbuch nutzen zu können.
Stand: 16.05.2018

Ist eine Einwilligung bei Online-Computerspielen notwendig?

Auch bei vielen Online-Computerspielen oder Games auf Smartphones und Tablets werden personenbezogene Daten erhoben und verarbeitet. Die Daten können dabei von der Registrierung von Namen und E-Mail-Adressen bis zur umfassenden Nutzungsanalyse für personalisierte Werbung und Angebote reichen. Viele Spiele werden mittlerweile kostenlos angeboten (free to play). Sie finanzieren sich zum Teil dadurch, dass sie personenbezogene Daten erheben und diese Daten oder Nutzerprofile an Dritte weitergeben oder verkaufen. Und sie machen Milliardenumsätze mit so genannten In-Game-Käufen. Das sind meist virtuelle Gegenstände oder Funktionen im Spiel, die gegen Geld freigeschaltet werden können. Um diese In-Game-Käufe zu optimieren, wird das Spiel- und Kaufverhalten der Betroffenen analysiert und ausgewertet. Ob für die Verarbeitung dieser Nutzungsdaten einer App oder eines Geräts eine Einwilligung erforderlich ist, muss derzeit noch geklärt werden.

Können Minderjährige eine Einwilligung in die Datenverarbeitung selbst erteilen?

Kinder und Jugendliche nutzen ganz unterschiedliche Online-Angebote. Viele davon verarbeiten auch personenbezogene Daten. Im bisherigen Rechtsrahmen wurden die Daten von Kindern und Jugendlichen nicht anders behandelt als die von Erwachsenen. Ob eine Einwilligung wirksam war, hing bisher von der individuellen Einsichtsfähigkeit eines Minderjährigen ab. Eine klare Altersgrenze gab es nicht (oft wurde eine Einsichtsfähigkeit allen Jugendlichen ab 15 Jahren zugeschrieben). Das ändert sich mit der DSGVO. In Deutschland liegt die Grenze für eine Einwilligungspflicht durch die Eltern jetzt bei 16 Jahren. Für Kinder unter 16 Jahren müssen die Eltern selbst einwilligen oder einer Einwilligung zustimmen. Die Einwilligung muss dabei erteilt werden, bevor ein Angebot genutzt wird. Eine nachträgliche Einwilligung ist nicht ausreichend.

Mitgliedsstaaten der EU können diese Altersgrenze für eine alleinige Einwilligung durch die Heranwachsenden aber anpassen. Sie darf jedoch keinesfalls niedriger als 13 Jahre sein. Einige Mitgliedstaaten haben von dieser Öffnungsklausel Gebrauch gemacht, so gilt in Irland beispielsweise eine Grenze von 13 Jahren als ausreichend.
Was das in der Praxis bedeutet, wird derzeit unterschiedlich ausgelegt:

  • Eine Interpretation ist folgende: Wegen der Geltung nationalen Rechts für Unternehmen mit Sitz in Irland kann ein dort niedergelassenes Unternehmen seinen Dienst europaweit für ab 13-Jährige anbieten, ohne eine Einwilligung der Eltern einzuholen. Ob Heranwachsende zwischen 13 und 16 Jahren eigenständig eine Einwilligung zur Verarbeitung ihrer Daten geben können, hängt damit auch vom Hauptsitz eines Unternehmens innerhalb der EU ab.
  • Allerdings gibt es auch die gegenteilige Interpretation: Demnach muss sich das Unternehmen nach dem Wohnsitz der Nutzenden richten. Ein internationales Angebot könnte also von Jugendlichen in Irland ab 13 Jahren ohne Einwilligung der Eltern genutzt werden. Für Jugendliche in Deutschland gilt, dass sie bis zum 16. Lebensjahr die Einwilligung der Eltern brauchen.

Welche Verfahren für die Einwilligung von Eltern für ihre Kinder wird es geben?

Bislang sind unterschiedliche Verfahren im Gespräch:

  • So könnte ein Formular bereitgestellt werden, in dem eine Mailadresse eines Elternteils angegeben werden soll. Von dieser Mailadresse aus, soll dann die Nutzung bestätigt werden. Dies ist ein recht leicht manipulierbares Verfahren.
  • Das Unternehmen YouTube der Unternehmensgruppe Google/Alphabet wird voraussichtlich ein anderes Verfahren nutzen. Hier erfolgt die Verifikation über die Zahlung eines geringen Betrags über eine Kreditkarte, der sofort zurücküberwiesen wird.
  • Andere Angebote fordern von Eltern eine Kopie oder einen Scan eines offiziellen Dokuments, das die Beziehung zum Kind ausweist.

Das Unternehmen facebook wird von Erziehungsberechtigten auch eine Einwilligung einholen, ob von Heranwachsenden zwischen 13 und 15 Jahren besonders sensible Daten wie Religion und politische Ansichten verarbeitet werden dürfen und ob die Angabe „Interessiert an” im Profil angezeigt werden darf. Das Verfahren sieht vor, dass die unter 16 Jahre alten Nutzenden das facebook-Account ihrer/ihres Erziehungsberechtigten benennen, von denen dann die Einwilligung erteilt wird. Welche Prüfverfahren hierbei zusätzlich eingeführt werden, ist nicht bekannt. Wichtig ist aber zu betonen, dass es bei dieser Einwilligung nicht um die grundsätzliche Einwilligung zur Datenverarbeitung geht. Hier beruft sich facebook auf den Umstand, dass es dieser Einwilligung nicht bedarf, sondern das Unternehmen ein „berechtigtes Interesse” an der Verarbeitung der Daten habe. Stand: 16.05.2018

Wird überprüft, von wem eine Einwilligung stammt?

Unternehmen sind jetzt dazu verpflichtet zu prüfen, ob die Einwilligung tatsächlich von den Eltern kommt. Jedoch nur, soweit dies im Rahmen ihrer technischen Möglichkeiten liegt und es sich um einen zumutbaren Aufwand handelt. Dadurch bekommen Unternehmen einen relativ großen Spielraum in der Umsetzung. Die DSGVO lässt außerdem offen, wie das Alter der Nutzenden oder die Identität der Eltern festgestellt werden soll. Hier wird sich zeigen, wie die Unternehmen die Regelungen in ihren Angeboten umsetzen. Es ist davon auszugehen, dass die Nutzenden ihr Alter bei vielen Angeboten selbst eingeben können, ohne dass eine weitere Überprüfung stattfindet. Für den Fall, dass ein Kind sich unter Vorgabe eines falschen Alters ohne die Zustimmung der Eltern bei einem Angebot anmeldet, ist die Einwilligung ungültig. Die Eltern können in diesem Fall die Löschung sämtlicher personenbezogener Daten bei dem Unternehmen einfordern (siehe „Rechte für Privatpersonen – Pflichten für Unternehmen“).

Es ist wahrscheinlich, dass einige Unternehmen ihre Angebote erst ab 16 Jahren freigeben werden, um die Notwendigkeit einer elterlichen Zustimmung zu umgehen. facebook hat dies bereits getan und die Altersfreigabe für den Messenger WhatsApp entsprechend nach oben angepasst. Andere Angebote wie Discord und musical.ly haben ihre Nutzungsbedingungen aktualisiert und das Mindestalter auf 13 Jahre festgelegt. Die beiden Angebote erfordern aktuell jedoch weder eine Altersüberprüfung noch eine Zustimmung der Erziehungsberechtigten. Sie legen lediglich fest, dass sie die Verarbeitung einstellen und gespeicherte Daten löschen, wenn sie über die Unwirksamkeit einer Einwilligung informiert werden. Unwirksam ist eine Einwilligung für Angebote mit Sitz außerhalb der EU aber immer dann, wenn sie bei unter 16-Jährigen ohne Zustimmung der Eltern erfolgt ist. Stand: 16.05.2018