Aufsatz : Datenverarbeitung zu Werbezwecken nach der Datenschutz-Grundverordnung (Teil 1) : aus der RDV 5/2016, Seite 231 bis 240

Damit sind die gesetzgeberischen Schritte im Hinblick auf den werbewirtschaftlichen Datenschutz nach BDSG und Spezialgesetzen vorgegeben und der weiteren Betrachtung zugrunde zu legen: Der deutsche Gesetzgeber wird, um den inhaltlich zwingend erforderlichen Gleichlauf zwischen EURecht und nationalen Normen gesetzestechnisch herzustellen, bis zum 25.5.2018 eine umfassende Rechtsbereinigung vornehmen. Diese wird, bezogen auf die materiellen und formalen Vorgaben beim werbewirtschaftlichen Datenschutz, zur Aufhebung sämtlicher bislang einschlägiger Regelungen im BDSG (§ 28 Abs. 3 ff BDSG; § 29 BDSG) führen. Denn zentrale Tatbestandmerkmale von § 28 Abs. 3 BDSG, insbesondere die Begrenzung auf bestimmte Datenkategorien in § 28 Abs. 3 S. 2 BDSG („Listenprivileg“), kennt die DS-GVO schlichtweg nicht.^[15]

Die Regelungen des Gesetzes gegen den unlauteren Wettbewerb (UWG), insbesondere die im werbewirtschaftlichen Bereich neben der datenschutzrechtlichen Betrachtung immer mit zu bedenkenden Verbote nach § 7 UWG, werden bestehen bleiben. Letztere beruhen auf Art. 13 der weiterhin geltenden und somit unverändert umzusetzenden Richtlinie über den Datenschutz in der elektronischen Kommunikation (im Folgenden: ePrivacy-RL).^[16] Allerdings ist zu beachten, dass Verweise auf die ab Wirksamkeit der DS-GVO aufgehobene DSRL als Verweise auf die Grundverordnung gelesen und entsprechend interpretatorisch nachvollzogen werden müssen, Art. 94 Abs. 2 S. 1. Bedeutsam ist dies u.a. für das Verständnis der Einwilligung in Art. 13 ePrivacy-RL und damit auch für § 7 UWG.^[17]

Für die datenschutzrechtlichen Bestimmungen im vierten Abschnitt des TMG gilt Folgendes: Es ist zu erwarten, dass diese ebenfalls nahezu vollständig aufgehoben werden. Die den Erlaubnistatbeständen nach den §§ 12 ff TMG zugrundeliegende datenschutzrechtliche Trennung in Bestands-, Nutzungs- und Inhaltsdaten und die spezifisch telemedienrechtliche Erlaubnisregel des § 15 Abs. 3 TMG findet keine Entsprechung in der DS-GVO.^[18] Die datenschutzrechtlichen Vorgaben der ePrivacy-RL bleiben indes erhalten, so dass auch der entsprechende Umsetzungsbefehl für den deutschen Gesetzgeber ebenfalls fortbesteht, wobei Art 95 diese Parallelgeltung von Richtlinie und DS-GVO weiter ausgestaltet: „Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen“. Für das positiv-rechtliche Schicksal des derzeitigen telemedienrechtlichen Datenschutzes ist diese Bestimmung aber ohne Bedeutung. Die datenschutzrechtlichen Bestimmungen des TMG können als bereichsspezifische Umsetzung der zum 25.5.2018 aufgehobenen DSRL interpretiert werden, nicht jedoch als Umsetzung der ePrivacy-Richtlinie.^[19] Die Normen des TMG sind daher – als Konsequenz des auch für Dienste im Sinne des TMG umfassenden Geltungsanspruchs bzw. Anwendungsvorrangs der DS-GVO – zum 25.5.2018 aufzuheben.^[20] Praxisrelevante Fragestellungen ergeben sich allerdings für die werbewirtschaftlich bedeutsame Regelung in Art. 5 Abs. 3 ePrivacy-RL. Diese Vorgabe ist für den nationalen Gesetzgeber über den 25.05.2018 hinaus beachtlich, wenngleich der Streit um den eigentlichen Umsetzungsbefehl der Norm auch dann nicht beigelegt sein dürfte.^[21] Mit der DS-GVO werden sogar weitere Facetten hinzugefügt.^[22] Vor diesem Hintergrund verwundert es nicht, dass ErwG 173 davon spricht, die Richtlinie 2002/58/EG „einer Überprüfung“ zu unterziehen, sobald die „Verordnung angenommen worden ist, […] um insbesondere die Kohärenz mit der Verordnung zu gewährleisten“. Die EU-Kommission plant, dem Vernehmen nach, noch im Jahr 2016 einen Vorschlag zur Novellierung der ePrivacy-Richtlinie vorzulegen. Insofern steht die Bestandsaufnahme für den telemedienrechtlichen Datenschutz auch unter dem Vorbehalt der weiteren Rechtsentwicklung auf EU-Ebene.^[23] Die EU-Kommission ist gut beraten, neben der Evaluierung der Richtlinie auch die Leistungsfähigkeit der DS-GVO für die anstehenden Sachfragen zu untersuchen, um den Akteuren – Betroffene, Verantwortliche, Aufsicht und Justiz – eine unklare oder gar überflüssige Gesetzgebung zu ersparen. Die DS-GVO hat nach über vier Jahren intensiver Diskussion den Anspruch, das gesamte Datenschutzrecht für den nicht-öffentlichen Bereich umfassend unmittelbar europäisch zu regeln.

2. Bewertung

Im Unterschied zu anderen Rechtsgebieten, zum Beispiel dem Verbraucherschutz- und Wettbewerbsrecht bzw. dem Recht der unfairen Geschäftspraktiken (bei B2C-Verhältnissen), bei denen die EU-Gesetzgebung einen Mix aus allgemeiner oder sektoraler Gesetzgebung, hauptsächlich in Gestalt von Richtlinien und erläuternden (unverbindlichen) Beschlüssen und Mitteilungen verfolgt (und offenbar fortsetzen und ausbauen will)^[24], ist die Regulierungstiefe beim materiellen Datenschutzrecht von der DSRL zur DS-GVO keinesfalls gestiegen. Während der richtliniengeleitete nationale Normenbestand im Verbraucherschutz- und Wettbewerbsrecht immer umfänglicher und teilweise auch unübersichtlicher ausfällt^[25], wird die nationale Gesetzgebung für den werbewirtschaftlichen Datenschutz infolge des Anwendungsvorrangs der DS-GVO nahezu vollständig kassiert. Die Praxis muss damit ab dem 25.05.2018 auch für ganz grundlegende Rechtsfragen auf die allgemeinen Konzepte, Generalklauseln und unbestimmten Rechtsbegriffe der DS-GVO zurückgreifen. Allerdings ist die DS-GVO beim materiellen Datenschutz weitgehend strukturkonservativ. Das grundlegende Prinzip bleibt: Die Verarbeitung personenbezogener Daten steht unter Verbot mit Erlaubnisvorbehalt^[26], und auch die Erlaubnisnormen – jedenfalls für den werbewirtschaftlichen Kontext – stammen aus dem Arsenal bislang bekannter Kategorien (Einwilligung, Vertrag, Inte ressenabwägung). Inwiefern die spezifische Ausformung und Anwendung der im Prinzip bekannten Grundsätze infolge der langjährigen Rechtstraditionen der jeweiligen EU-Mitgliedstaaten – in Deutschland etwa in Gestalt des sogenannten „Listenprivilegs“ (§ 28 Abs. 3 S. 2 BDSG), das weiterhin in den Köpfen der Akteure aufbewahrt sein dürfte – fortlebt oder gar in die DS-GVO hineingetragen wird, ist für die Erreichung der Ziele der DS-GVO von entscheidender Bedeutung. Angemessen und rechtlich erfolgversprechend kann hier nur eine Auslegung der DS-GVO sein, die diese als eigenständige autonome Rechtsquelle betrachtet und sie so auch interpretiert.^[27]

II. Grundprinzipien des werbewirtschaftlichen Datenschutzes nach DS-GVO

Art. 5 Abs. 1 DS-GVO legt allgemein gültige Grundsätze für sämtliche in Art. 4 Nr. 2 umfassend definierten Datenverarbeitungstatbestände fest. Diese Grundsätze, als solche bereits aus Art. 6 DSRL bekannt, sind im Zusammenhang mit den jeweiligen Erlaubnistatbeständen und den weiteren Verpflichtungen für den Verantwortlichen oder Auftragsverarbeiter heranzuziehen und interpretatorisch zu verwerten. Auf dieser Basis erfolgen im Vergleich zum deutschen Recht eine Reihe von Neujustierungen: in Bezug auf die Anforderungen und Bedingungen für wirksame Einwilligungen^[28], zur Thematik der werbewirtschaftlich verfügbaren Datenquellen infolge des Wegfalls des Direkterhebungsgrundsatzes (§ 4 Abs. 2 BDSG) und des Listenprivilegs (§ 28 Abs. 3 S. 2 BDSG)^[29], im Hinblick auf die Transparenz der Datenverarbeitung (Art. 5 Abs. 1 lit. a) unter Berücksichtigung der ausgeweiteten Informations- und Benachrichtigungspflichten nach den Art. 13, 14^[30] und zur zweckändernden Datenverarbeitung (Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4)^[31]. Art. 5 Abs. 2 führt zudem den Begriff der Rechenschaftspflicht des Verantwortlichen ein, der nunmehr für die Einhaltung der Grundsätze der DS-GVO „verantwortlich“ ist und deren Einhaltung nachweisen können muss. Die Verpflichtung auf Rechtskonformität ist für den Verantwortlichen trotz des im Vergleich zu Art. 6 Abs. 2 DSRL geschärften Wortlauts nichts Neues und nach deutschem Rechtsverständnis selbstverständlich. Entscheidender ist, dass das Dokumentations-, Darlegungs-, Beweis- und Haftungsszenario nach der DSGVO an vielen Stellen materiell ausgeweitet und verschärft ist und – obschon Art. 5 Abs. 2 dies überraschenderweise nicht ausformuliert – auch der Auftragsverarbeiter nunmehr eigenständiger und neben dem Verantwortlichen (Auftraggeber) gleichrangiger Normadressat der Vorgaben der DSGVO ist.^[32]

III. Die materiellen Regelungen des werbewirtschaftlichen Datenschutzes nach der DS-GVO

Zur Datenverarbeitung für werbewirtschaftliche Zwecke kommen von den in Art. 6 Abs. 1 normierten Erlaubnistatbeständen im Wesentlichen die folgenden in Betracht:

• die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a),
• die Erforderlichkeit der Datenverarbeitung zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. b) und
• die Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f).

1. Verhältnis der Erlaubnistatbestände zueinander

Die Einwilligung des Betroffenen und die beiden gesetzlichen Erlaubnistatbestände stehen gleichrangig nebeneinander zur Verfügung. Ein Stufenverhältnis, wonach etwa die Einwilligung gegenüber den gesetzlichen Erlaubnistatbeständen vorrangig wäre, existiert nach dem Gesetzeswortlaut und der Intention des Erlaubnisvorbehalts weiterhin nicht.^[33] Die Einwilligung kann Datenverarbeitungen rechtfertigen, die nicht durch einen gesetzlichen Erlaubnistatbestand gedeckt sind, der Verantwortliche ist aber nicht gehalten, die Befugnis zur Datenverarbeitung vorrangig auf eine Einwilligung zu stützen. Datenverarbeitungen können auch bei formal unwirksamer Einwilligung sowie im Falle eines Widerrufs oder einer verweigerten Einwilligung des Betroffenen auf Grundlage eines gesetzlichen Erlaubnistatbestands zulässig sein.^[34] Der Umstand der Verweigerung oder des Widerrufs einer Einwilligung fließt in diesen Fällen jedoch als Abwägungsfaktor in die Interessenabwägung nach Art. 6 Abs. 1 lit. f ein. Außerdem ist – bei Wirksamkeit der Einwilligung – der hierdurch festgelegte Befugnisrahmen insoweit beachtlich, als dass der Eindruck des Betroffenen, der Verantwortliche werde sich nur innerhalb dieses Rahmens bewegen, als schutzwürdiges Interesse bei einer Interessenabwägung nach Art. 6 Abs. 1 f ebenfalls zu berücksichtigen ist.^[35]

2. Einwilligungsbasierte Datenverarbeitung

Im Vergleich zu Art. 2 lit. h DSRL ist die Legaldefinition der Einwilligung in Art. 4 Nr. 11 nur unwesentlich verändert; sie enthält weiterhin auch normative Anforderungen an die Wirksamkeit einer Einwilligung. Der Detaillierungsgrad bei den Anforderungen an eine rechtswirksame Einwilligung ist nach den Art. 7 und 8 und den für die Interpretation der Bestimmungen maßgeblichen ErwG 32 f, 38 und 42 f gegenüber der DSRL, § 4 a BDSG, und den speziellen Einwilligungsregelungen in § 38 Abs. 3, 3a, b BDSG aber merklich erhöht, wobei den Verantwortlichen nach Art. 7 Abs. 1 die Beweislast für das Vorliegen der Voraussetzungen trifft.

a) Informiertheit der Einwilligung

Die Einwilligungserteilung ist nur auf informierter Basis rechtskonform. Es gelten die aus der DSRL und dem BDSG bekannten Grundsätze, so dass die Einwilligung für den konkreten Fall und in Kenntnis der Sachlage abgegeben sein muss. Unspezifische General- und Blankoeinwilligungen sind nicht rechtmäßig. Erforderlich ist weiterhin eine konkrete Information vor Abgabe der Einwilligung, wobei der Umfang der nach der DS-GVO zu gebenden Information im Vergleich zum geltenden Recht spürbar ausgebaut ist. Nach ErwG 42 soll der Betroffene (weiterhin, s. § 4a Abs. 1 BDSG) „mindestens“ über die Identität des für die Verarbeitung Verantwortlichen und über die Zwecke der Verarbeitung informiert werden. Nach ErwG 32 hat sich die Einwilligung „auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge“ zu beziehen, über die folglich auch informiert werden muss: Im Rahmen der Einwilligungserklärung sollten alle zur Zweckerreichung erforderlichen Verarbeitungsphasen (vgl. Art. 4 Nr. 2 DS-GVO) aufgeführt werden. Gemäß Art. 7 Abs. 3 DS-GVO ist zudem auf die Möglichkeit und die Folgen eines Widerrufs der Einwilligung hinzuweisen. Art. 13 sieht schließlich eine Vielzahl weiterer Angaben vor, die das Informationsprogramm weiter aufladen^[36] und auch bei Datenerhebungen im Zuge der Einwilligung zu beachten sind. Die Umsetzung dieser Verpflichtungen wird in bestimmten Bereichen, etwa bei Postkartenformaten, größere praktische Schwierigkeiten bereiten, allerdings zeigt die DS-GVO Lösungswege auf: Zwar wird ein Verweis auf eine Webseite zur Informationserteilung im verfügenden Teil der DS-GVO nicht explizit erwähnt, ErwG 58 sieht aber, ebenso wie für die DSRL vertreten^[37], die Möglichkeit eines gestuften Informationskonzepts vor, so dass die Informationen in begründeten Fällen auch auf Webseiten zur Verfügung gestellt werden können. Kommt ein solches Verfahren zur Anwendung, ist der Betroffene sowohl hierauf als auch auf die Fundstelle der weiteren Informationen klar hinzuweisen.

b) Freiwilligkeit der Einwilligung und Kopplungsverbot

ŽDie Einwilligung muss freiwillig, d.h. ohne jeden Zwang, abgegeben werden. Gemäß ErwG 43 gilt eine Einwilligung nicht als freiwillig abgegeben, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen „ein klares Ungleichgewicht“ besteht und es deshalb in Anbetracht aller Umstände in dem speziellen Fall „unwahrscheinlich ist“, dass die Einwilligung ohne Zwang abgegeben wurde. Ein solches Ungleichgewicht könne „in besonderen Fällen“ bestehen, „insbesondere wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde handelt“.^[38] Für die werbewirtschaftliche Datenverarbeitung relevanter ist ErwG 42, wonach die Einwilligung freiwillig erteilt wurde, wenn die betroffene Person eine „echte oder freie Wahl“ hat und somit in der Lage ist, „die Einwilligung zu verweigern oder zurückzunehmen, ohne dadurch Nachteile zu erleiden.“ Damit können die zum geltenden Recht entwickelten Fallgruppen, nach denen „übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe von Daten“^[39] oder das Ausnutzen einer Position der rechtlichen oder wirtschaftlichen Schwäche oder Unerfahrenheit des Einwilligenden mit dem Merkmal der Freiwilligkeit nicht vereinbar sind, weiterhin herangezogen werden. Auch die Maßgaben der wettbewerbsrechtlichen „Umfeldkontrolle“ in Bezug auf die konkreten Umstände der Erlangung der Einwilligung sind weiter beachtlich.^[40]

Allerdings geht die DS-GVO noch weiter. Bei der Beurteilung, ob eine Einwilligung freiwillig abgegeben wurde, muss gemäß Art. 7 Abs. 4 DS-GVO dem Umstand „in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist.“ Die Regelung wird, obwohl es sich, dogmatisch betrachtet, um eine Subsumptionsanleitung zur Prüfung des Tatbestandsmerkmals der „Freiwilligkeit“ handelt, als (allgemeines) Kopplungsverbot eingeordnet, das die DS-RL nicht und das BDSG nur in eingeschränkter Form für den Bereich des Werbedatenschutzes kennt (§ 28 Abs. 3b BDSG). ErwG 43 führt dazu näher aus, dass die Einwilligung nicht als freiwillig erteilt gelte, wenn zu verschiedenen Datenverarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden könne, obwohl dies im Einzelfall angebracht sei, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig gemacht werde, obwohl diese Einwilligung nicht erforderlich sei. Bedeutung erlangt das einwilligungsbezogene Kopplungsverbot, wenn (die verschiedenen) Datenverarbeitungen nicht bereits auf gesetzlicher Grundlage, insbesondere Art. 6 Abs. 1 lit. b, legitimiert werden können.

Das Kopplungsverbot bezweckt nicht, dem Betroffenen bei Abschluss eines Vertrages Wahl- und Gestaltungsfreiheit schlechthin in Bezug auf weitere, einwilligungsbasierte Datenverarbeitungen neben einem gesetzlichen Erlaubnistatbestand einzuräumen. Art. 7 Abs. 4 soll vielmehr bewirken, dass sich die Einwilligung in der Praxis als Ausdruck informationeller Selbstbestimmung und nicht als aufoktroyierte Fremdbestimmung darstellt. Die Grundfreiheiten und -rechte des Verantwortlichen^[41] müssen demzufolge bei der Anwendung von Art. 7 Abs. 4 DS-GVO ebenso berücksichtigt werden wie alle Umstände des Einzelfalls. In diesem Sinne ist das Kopplungsverbot zwar als geschärft, aber nicht als statisch-absolut zu verstehen. Es muss in einem dem Verhältnismäßigkeitsgrundsatz entsprechendem Umfang ausgelegt und angewendet werden.^[42] Konstellationen, bei denen den in Art. 7 Abs. 4 und ErwG 43 aufgeführten Umständen in „größtmöglichem Umfang Rechnung getragen“ werden muss, liegen bei Monopolstellung nahe, etwa bei Verträgen im Öffentlichen Personenverkehr, in der Versorgungswirtschaft oder ggf. im Versicherungswesen oder auch bei sozialen Netzwerken. Das Kopplungsverbot greift dabei sicherlich, wenn über die Einwilligung eine dem Vertragszweck fremde und sachwidrig überschießende Datenverarbeitung legitimiert werden soll. Die Regelung muss sich aber auch bewähren, wenn für die betroffene Person entgeltfreie, weil werbefinanzierte, Inhalte und Dienstleistungen Vertragsgegenstand sind (z.B. Webmail-Dienste oder bestimmte Formen von gemischt refinanzierten Paid-Content). Die einwilligungsbasierte Datenerhebung ist hier in wirtschaftlicher Hinsicht notwendig. Als Mittel zur Erbringung der Gegenleistung ist sie, vertragstypologisch betrachtet, nachvollziehbar, zumal wenn sie mit den rechtsgeschäftlichen Abreden verbunden ist und der Erfüllung und Abwicklung der rechtsgeschäftlichen Beziehung dient, die vollständig oder teilweise entgeltlos, weil werbefinanziert ist. Auch dem Betroffenen dürfte dieser Zusammenhang bekannt sein (s. Art. 13 Abs. 1 lit. c), was für die Beurteilung der Freiwilligkeit der Einwilligung und deren Schutz vor einer zumindest mittelbaren Gefährdung – Zweck und Bezugspunkt von Art. 7 Abs. 4 – von Bedeutung ist. Vorstehende Leitlinie gilt insbesondere im Hinblick auf die leicht missverständliche Formulierung in ErwG 43 („… obwohl dies im Einzelfall angebracht ist …“). Zwar darf die Verweigerung einer Einwilligung gemäß ErwG 42 nicht zu „Nachteilen“ für die betroffene Person führen, die Ablehnung eines Vertragsangebots außerhalb monopolartiger Strukturen ist jedoch Ausdruck von Privatautonomie, die die DS-GVO in Bezug auf die Gültigkeit und das Zustandekommen von Verträgen anerkennt. So wenig das Nichtzustandekommen eines Vertrags – jedenfalls solange das europäische Recht keinen allgemeinen Kontrahierungszwang kennt – als schlichtweg unzulässig bzw. relevanter Nachteil angesehen werden kann, so wenig kann die Notwendigkeit zur Erteilung einer Einwilligung ohne Hinzutreten besondere Umstände als nach dem Kopplungsverbot unzulässige Gestaltung angesehen werden – auch wenn der Betroffene eine andere Gestaltung im Einzelfall für angebrachter halten mag.

c) Erteilung der Einwilligung

Die DS-GVO definiert in Art. 4 Nr. 11 die Einwilligung der betroffenen Person als unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Dies umfasst schriftliche, elektronische oder mündliche Willensbekundungen gleichermaßen. Nicht mehr explizit vorgeschrieben ist bei anderer Erteilung als durch Schriftform, dass der Inhalt der Einwilligung schriftlich zu bestätigen und bei elektronischer Erklärung die Protokollierung und Abrufbarkeit der Einwilligung sicherzustellen ist (bislang §§ 28 Abs. 3 a BDSG, § 13 Abs. 2 TMG). Um die Darlegungs- und Beweislast praktisch zu gewährleisten (Art. 7 Abs. 1; ErwG 42), sind entsprechende Routinen aber unverzichtbar. Als elektronisch-digitale Willensbekundung inkludiert ErwG 32 auch das Anklicken einer Tickbox beim Besuch einer Website sowie vom Nutzer vorgenommene PrivacyEinstellungen in einem Browser oder einer App („Einstellungen für Dienste der Informationsgesellschaft“. Ungewöhnlich ist die in ErwG 32 a.E. enthaltene Vorgabe für den Fall der Aufforderung zur Abgabe der Einwilligung auf elektronischem Wege. Die Aufforderung zur Einwilligungserteilung ist hiernach zwingend („so muss“) so „einzutakten“, dass der Dienst, für den die Befugnis zur Datenverarbeitung kraft Einwilligung erteilt werden soll, nicht durch diese Aufforderung unterbrochen wird – jedenfalls nicht „unnötig“. Der Erwägungsgrund betrifft zwar die Modalitäten der Erteilung einer Einwilligung, eine sachliche Verbindung besteht aber in erster Linie mit dem Merkmal der Freiwilligkeit nach Art. 4 Nr. 11, so dass dieser in diesem interpretatorischen Zusammenhang heranzuziehen ist. Offenbar geht der ErwG davon aus, dass die Freiwilligkeit der Einwilligungserteilung gefährdet ist, wenn der Dienst hierfür unterbrochen wird („Weiterklicken“), und verlangt deshalb – mittelbar – sachliche Gründe für nämliche Unterbrechung. Denkbar sind Konstellationen, bei denen aus Gründen des Marketings entweder eine „Vorschau“ des Dienstes erfolgt oder bei denen ein Verfahren automatisierter Datenverarbeitung im Sinne von § 13 Abs. 1 S. 2 TMG, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, stattfindet, etwa beim Aufruf einer mit datengetriebener Werbung refinanzierten Webseite („Targeting“) oder bei IP-TV-Angeboten. Ob eine derart kleinteilige Vorgabe erforderlich und sinnvoll ist, scheint jedoch nicht recht durchdacht. Schließlich muss die Einwilligung nach den allgemeinen Grundsätzen der Einwilligungsdogmatik vor der (dienstbezogenen) Datenverarbeitung vorliegen.^[43] Inwiefern der ErwG dazu beiträgt, pragmatische Gestaltungen zu unterstützen, etwa in Bezug auf die Datenverarbeitung mittels Cookies, bleibt abzuwarten. Das Verbot der Dienstunterbrechung resultiert streng genommen bereits unmittelbar aus Art. 7 Abs. 1. Sofern Ausnahmen hiervon denkbar sein sollen („ohne unnötige Unterbrechung“), darf der Grundsatz der vorherigen Einwilligung hierdurch nicht ausgehöhlt werden.

Auch konkludente Einwilligungen, sofern die betroffene Person im jeweiligen Kontext der Datenverarbeitung durch eine entsprechende „Verhaltensweise“ (s. ErwG 32) eindeutig signalisiert, dass sie mit der Datenverarbeitung einverstanden ist, sind möglich, beispielsweise in Gestalt des Einwerfens einer Visitenkarte in eine Box an einem Messestand. Auch Formulierungen im Header einer Webseite, wonach sich der Besucher im Zuge der weiteren Nutzung der Webseite auch mit der Verwendung von Cookies einverstanden erklärt – deren Beitrag zur Verarbeitung personenbeziehbarer Daten unterstellt – sind, sofern die weiteren Voraussetzungen für die Einwilligung erfüllt sind, insbesondere in Bezug auf die Informiertheit, hiernach denkbar.^[44] Die Möglichkeit, konkludent einzuwilligen, gilt jedoch nicht für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sine von Art. 9 Abs. 1. Sofern die Datenverarbeitung in diesen Fällen nicht schon per se ausgeschlossen ist (Art. 9 Abs. 2 lit. a), muss die betroffene Person gemäß Art. 9 Abs. 2 lit. a ausdrücklich in die Verarbeitung dieser Daten, einschließlich des „Wie“ der Datenverarbeitung, einwilligen.

Allerdings führt ErwG 32 DS-GVO aus, dass Stillschweigen, standardmäßig angekreuzte Kästchen oder Untätigkeit nicht als Einwilligung gewertet werden können. Im Hinblick auf verarbeitungsrelevante Voreinstellungen bei der Inanspruchnahme von Telemedien, etwa in Browser- oder AppKonfigurationen, ist dies als Absage an deren Rechtskonformität zu werten. Ob vor diesem Hintergrund Opt-Out Einwilligungen, sei es für postalisches Marketing^[45] oder in Bezug auf Erhebungs- und Speichertechnologien im Internet^[46], weiterhin genutzt werden können, ist damit gleichfalls überaus fraglich und nicht mehr anzuraten. Die für das postalische Direktmarketing bislang gegebenen Möglichkeiten zur Generierung datenschutzrechtlich bestandskräftiger Einwilligungen werden hierdurch spürbar eingeschränkt.^[47] Das Informationspotential von Daten kann in Rechts sicherheit unter der DS-GVO bei einwilligungsbasierter Datenverarbeitung nur noch durch bejahende Handlungen des Betroffenen, das heißt bei vorformulierten Einwilligungstexten: mittels zu aktivierender Opt-In Klauseln, genutzt werden.

Damit wird die Frage aufgeworfen, inwieweit Hinweise in Vertragsabreden auf Einwilligungsklauseln – wie etwa: „Mit der vertraglichen Unterschriftserteilung wird auch eine Einwilligung erteilt“ – zulässig sind. Klar ist, dass sämtliche Zwecke in der Erklärung aufgeführt werden müssen, wenn die Einwilligung mehrere Zwecke legitimieren soll. Außerdem müssen sich entsprechende Gestaltungen am Kopplungsverbot messen lassen.^[48] Wird die Einwilligung der betroffenen Person durch eine schriftliche Erklärung eingeholt, die „noch andere Sachverhalte“ betrifft, wie Art. 7 Abs. 2 formuliert, muss die Einwilligungserklärung „in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ erfolgen. Der Betroffene muss die Einwilligungserklärung also von anderen Erklärungen klar unterscheiden können. Eine solche Hervorhebungspflicht ist dem geltenden Recht aber bereits bekannt, §§ 4a Abs. 1 Satz 4, 28 Abs. 3a Satz 2 BDSG. ErwG 42 S. 2 spricht in diesem Zusammenhang von „Garantien“, die sicherstellen sollen, dass „die betroffene Person weiß, in welchem Umfang sie ihre Einwilligung erteilt hat.^[49] Nach alledem ist die Positionierung von (vorformulierten) Einwilligungen auch in AGB nicht ausgeschlossen, zumal die DS-GVO die Thematik in Art. 7 Abs. 2 praktisch aufgreift und detaillierte Vorgaben hierzu macht^[50]. Das datenschutzrechtliche Erfordernis einer „eindeutigen bestätigenden Handlung“ verlangt hier aber, dass die AGB und mit ihnen die Einwilligungserklärung positiv, etwa in Gestalt einer Klickbox, in den Geschäftsablauf eingebunden werden.^[51] Denkbar sind Formulierungen, wonach etwa bei Bestellprozessen beim eCommerce „mit der Anerkennung der AGB auch eine Einwilligung erteilt wird“, und der hervorgehobene Terminus „Einwilligung“ direkt auf den eigentlichen Einwilligungstext verlinkt. Abgesichert werden kann hiermit aber weiterhin nur die datenschutzrechtliche Einwilligung; die wettbewerbsrechtlichen Vorgaben nach § 7 UWG für die Marketingkanäle Telefon, Fax, E-Mail und SMS sind bei AGB-Sachverhalten für die geplante werbliche Ansprache von Verbrauchern weiterhin (zusätzlich) beachtlich.^[52]

d) Einwilligungen Minderjähriger

Art. 8 enthält eine dem deutschen Datenschutzrecht bislang unbekannte Vorgabe zu den Wirksamkeitsbedingungen für die Einwilligung Minderjähriger. Die Thematik als solche ist unter dem Aspekt der Voraussetzung der Einwilligungsfähigkeit bei nicht voll geschäftsfähigen Personen (§§ 106 ff. BGB) bekannt, wobei BDSG und TMG den von der DS-GVO verwendeten Begriff „Kind“ nicht kennen.^[53] Leitlinie bislang ist, dass auch Minderjährige je nach Verarbeitungszusammenhang und in Ansehung ihrer (altersabhängigen) Einsichtsfähigkeit in die Tragweite der zu treffenden Entscheidung bei verständlicher Information über Zweck und Folgen der Datenerhebung einwilligen können.^[54] Art. 8 Abs. 1 legt nun die Altersgrenze für die Wirksamkeit selbständig erteilter Einwilligungen von Minderjährigen auf mindestens 16 Jahre fest, erlaubt aber zugleich die Absenkung durch die mitgliedsstaatliche Gesetzgebung, setzt die Schwelle allerdings beim vollendeten 13. Lebensjahr. Außerhalb dieses gemischt europäisch-nationalstaatlichen Korridors ist die Einwilligung direkt durch den Träger der elterlichen Verantwortung oder aber mit deren Zustimmung abzugeben. Allerdings gilt diese Grenzziehung nicht schlechthin, sondern nur für das „Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird“. Auch wenn die betreffenden Angebote einigermaßen verlässlich bestimmt werden können^[55], sind die Bedenken gegen die Regelung damit nicht ausgeräumt^[56] – und die praktischen Probleme evident. Wann von einem direkten Angebot auszugehen ist, insbesondere wenn sich der Dienst als solcher an die Allgemeinheit richtet oder zumindest von jedermann tatsächlich genutzt werden kann („Facebook“), ist nicht klar. Es liegt nahe, für die Abgrenzung nicht nur auf die vertraglichen Zugangsregeln, sondern auch auf die Marketingkommunikation des Dienstes abzustellen. Sofern das Per-se-Verbot nach Nr. 28 zu § 3 Abs. 3 UWG mit dem vollharmonisierendes europäisches Richtlinienrecht umgesetzt wird^[57], erfüllt ist, dürfte das Tatbestandsmerkmal eines direkten Angebots im Sinne von Art. 8 Abs. 1 indiziert sein. Weitere Fallkonstellationen sind jedoch denkbar. Das Wettbewerbsrecht unterbindet lediglich „die in eine Werbung einbezogene unmittelbare Aufforderung an Kinder, selbst die beworbene Ware zu erwerben oder die beworbene Dienstleistung in Anspruch zu nehmen.“ Für Art. 8 kommt es auf die tatsächliche Ausrichtung des Dienstes an. Um die altersmäßige Mindestgrenze(n) in Bezug auf Einwilligungserklärungen einzuhalten, respektive sicherzustellen, dass die Erklärung des Trägers der elterlichen Verantwortung vorliegt, hat der für die Verarbeitung Verantwortliche gemäß Art. 8 Abs. 2 „unter Berücksichtigung der verfügbaren Technik“ angemessene Anstrengungen zu unternehmen. Es bleibt abzuwarten, wie praktische Lösungen jenseits der existierenden Altersverifikationssysteme und der Möglichkeit, ein Double-Opt-In Verfahren zur Absenderverifikation einzusetzen, aussehen werden und wie etwa die Aufsichtsbehörden diese einschätzen.^[58] Eine gewisse Erleichterung resultiert jedoch daraus, dass das allgemeine Vertragsrecht der Mitgliedstaaten nach Art. 8 Abs. 3 unberührt bleibt. Ist ein Minderjähriger nach nationalem Zivilrecht zum Vertragsschluss berechtigt, ist die mit dem Vertrag verbundene Datenverarbeitung nach Art. 6 Abs. 1 Buchst. b DS-GVO auch ohne Einwilligung legitimierbar. Einer zusätzlichen datenschutzrechtlichen Einwilligung der Eltern bzw. des Minderjährigen bedarf es nicht.^[59] Vollständig aufgehoben ist das Nachweisproblem in Bezug auf das erforderliche Mindestalter der einwilligenden Person damit aber natürlich nicht.

e) Widerruf der Einwilligung

Gemäß Art. 7 Abs. 3 hat die betroffene Person das Recht, die Einwilligung „jederzeit zu widerrufen“. Das BDSG schweigt sich zum Widerrufsrecht bekanntlich aus, die Intervention der betroffenen Person gegen eine einmal erteilte Einwilligung gehört aber zum gesicherten Bestand des Datenschutzrechts. Auch wenn sich die Bestimmungen zum Widerrufsrecht nach der DS-GVO größtenteils auf bekanntem Terrain bewegen^[60], sind einige Spezifikationen und Abweichungen zu verzeichnen. Die wichtigste lautet: Das Widerrufsrecht ist nicht an das Vorliegen besonderer Voraussetzungen geknüpft, und zwar auch dann nicht, wenn die Datenverarbeitung bereits stattgefunden hat.^[61] Die Ausübung des Widerrufs muss „so einfach wie die Erteilung der Einwilligung“ sein; sie ist gegenüber dem Verantwortlichen zu erklären und (weiterhin) an keine besondere Form gebunden. Auf das Widerrufsrecht ist spätestens zum Zeitpunkt der Einholung der Einwilligung, jedoch vor deren Abgabe, hinzuweisen, Art. 7 Abs. 3 S. 2. Bislang hat sich dies explizit nur aus § 13 Abs. 3 TMG ergeben. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch den Widerruf nicht berührt. Der Widerruf wirkt weiterhin ex nunc und betrifft ausschließlich die Datenverarbeitungsbefugnis des Verantwortlichen. Wird der Widerruf ordnungsgemäß ausgeübt, resultieren hieraus regelmäßig weitere, bereits etablierte, Betroffenenrechte, insbesondere das Recht auf Datenlöschung (Art. 17). Etwaige vertragliche Verpflichtungen bleiben hiervon jedoch unberührt, was für werbefinanzierte Dienste von praktischer Bedeutung ist: Ist die Einwilligung zur Datenverarbeitung Bestandteil der Gegenleistung der betroffenen Person, führt diese schuldrechtliche Verpflichtung nicht zur Unzulässigkeit oder Unwirksamkeit des Widerrufs.^[62] Dem Vertragspartner stehen in diesem Fall aber neben dem Leistungsverweigerungsrecht nach § 320 BGB die Rechtsbehelfe gemäß den §§ 313, 314 Abs. 1, 2 BGB zu, also praktisch das Recht zur außerordentlichen Kündigung des Vertrags. Freilich ist, datenschutzrechtlich betrachtet, der Rückgriff auf die gesetzlichen Erlaubnistatbestände in Art. 6 Abs. 1 lit. b und f für zukünftige Datenverarbeitung auch im Widerrufsfall nicht verwehrt.^[63] Die inhärenten Grenzen dieser Befugnisse sind in diesem Fall, etwa wenn zugesichert wurde, ausschließlich aufgrund und im Rahmen einer Einwilligung Daten zu verarbeiten, aber zu beachten.^[64]

f) Rechtsfolgen bei Verstößen gegen die Erfordernisse der DS-GVO

Art. 7 Abs. 2 S. 2 bestimmt, dass „Teile der Erklärung“ – gemeint ist die Einwilligungserklärung – nicht verbindlich sind, „wenn sie einen Verstoß gegen diese Verordnung darstellen.“ Bezugspunkt der Vorschrift sind Verstöße inhaltlicher oder formaler Natur gegen die vorstehend einwilligungsspezifischen Vorgaben der DS-GVO, wobei diese natürlich auch relevant sind, wenn die Einwilligung nicht durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, erfolgt (§ 7 Abs. 1 S. 1). Ist eine Einwilligung hiernach vollumfänglich unwirksam und stehen keine anderen Erlaubnistatbestände zur Verfügung, ist die Datenverarbeitung unzulässig; die darüber erhobenen Daten sind zu löschen, Art. 17 DS-GVO. Inwiefern teilweise fehlerhaft eingeholte Einwilligungen unwirksam sind, ist anhand der Umstände des jeweiligen Einzelfalls zu entscheiden.^[65] Gegen eine automatische „Infizierung“ der rechtswirksamen Bestandteile einer Einwilligungserklärung durch unwirksame Bestandteile, etwa bei unvollständiger Information, spricht der Gesetzeswortlaut von Art. 7 Abs. 2 S. 2 („Teile der Erklärung sind dann nicht verbindlich, wenn … “). Maßgebliche Kriterien sind die Art des Verstoßes und der Wille der betroffenen Person unter Berücksichtigung ihres Wissenstands.

g) Zum Schicksal von Alteinwilligungen

Mit Wirksamwerden der DS-GVO am 25.05.2018 müssen sich sämtliche Datenverarbeitungen an den neuen Vorgaben messen lassen. Fraglich ist, wie Alteinwilligungen, die rechtmäßig vor dem Stichtag erlangt wurden, einzuschätzen sind. Art. 96 trifft eine Regelung lediglich für die Fortgeltung internationaler datenschutzrechtlicher Abkommen, sagt aber nichts zur Zulässigkeit von Alteinwilligungen ab dem Wirksamkeitsdatum der DS-GVO. Spezifische Aussagen zur der Thematik trifft allerdings ErwG 171, S. 3.^[66] Einwilligungen, die noch nach altem Recht eingeholt wurden, bleiben hiernach unter bestimmten Bedingungen weiterhin wirksam. Bezugspunkt sind Einwilligungen „gemäß der DSRL“, also solche, die den Vorgaben des BDSG und TMG entsprechen.^[67] Für diese ist es „nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung (dazu) erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen [der DS-GVO] entspricht“. In diesem Rahmen besteht Bestandsschutz und fortdauernde Verarbeitungsbefugnis. Wollte die DS-GVO nur solchen Einwilligungen „Bestandsschutz“ attestieren, die vollumfänglich nach dem Recht der DS-GVO eingeholt wurden, wären die expliziten Ausführungen zur Einwilligung in ErwG 171, S. 3 überflüssig. Damit dem Erwägungsgrund also überhaupt Bedeutung zukommt, müssen die Begriffe „Art“ und „Bedingungen“ ernst genommen und einschränkend ausgelegt werden. Mit „Bedingungen“ gemeint sind demnach die materiellen Kernbestandteile einer Einwilligung. Sind Einwilligungen nach den Vorgaben des bisher geltenden Rechts freiwillig und hinsichtlich der wesentlichen Umstände informiert eingeholt worden, entsprechen sie den Bedingungen der DS-GVO, und es kann vertreten werden, dass sie nach Wirksamwerden der DS-GVO weiterhin gelten. Die Nichtbeachtung einzelner allgemeiner, die Informiertheit der Einwilligung im Kern nicht betreffender formeller Informationspflichten, sollte Alteinwilligungen hingegen nicht unwirksam werden lassen. Bei der Abgrenzung, die wohl nur im jeweiligen Einzelfall überzeugend geleistet werden kann, besteht Rechtsunsicherheit. Wegen der Rechtsfolgen einer unzulässigen Datenverarbeitung, die nach der DS-GVO erheblich geschärft sind, und den erweiterten Durchsetzungsbefugnisse von Aufsichtsbehörden und qualifizierten Stellen (nach dem UKlaG), sollten Einwilligungen daher möglichst frühzeitig ab Inkrafttreten der DS-GVO nur noch nach ihren Maßgaben der eingeholt werden. Bei rein formellen Pflichten, wie dem Hinweis auf das bestehende Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO, bietet sich eine Nachinformation der betroffenen Person an.

IV. Fazit (Teil 1)

Die weitreichende Geltung der mit Anwendungsvorrang ausgestatteten DS-GVO hat zur Folge, dass die materiellen datenschutzrechtlichen Vorgaben für die Werbewirtschaft ab dem 25. Mai 2018 nicht mehr im nationalen Datenschutzrecht, sondern durch die DS-GVO geregelt werden. Für den werbewirtschaftlichen Datenschutz bei Telemedien wird es darauf ankommen, wie die Überarbeitung der ePrivacy-RL ausfällt. Mit der DS-GVO werden die Wirksamkeitsanforderungen für den Erlaubnistatbestand der Einwilligung stärker akzentuiert. Sofern verschiedene Datenverarbeitungen nicht auf einen gesetzlichen Erlaubnistatbestand gestützt werden können, will das Unionsrecht die Freiwilligkeit der Einwilligung durch das neu formulierte Kopplungsverbot absichern. Die Stärkung der informationellen Privatautonomie des Betroffenen geht aber nicht so weit, dass diesem die rechtsgeschäftliche Wahl und Gestaltungsfreiheit einseitig zugewiesen wird. Das Kopplungsverbot muss immer – auch und gerade bei werbefinanzierten Geschäftsmodellen – in einer dem Verhältnismäßigkeitsgrundsatz entsprechenden Weise angewendet werden. Die Einwilligung muss auf informierter Basis erteilt werden, wobei das Informationsprogramm mit der DS-GVO ausgeweitet wurde. Gestuften Informationskonzepten steht die DS-GVO aber nicht entgegen. Vorformulierte Opt-Out-Einwilligungserklärungen dürften zukünftig nicht mehr rechtswirksam sein; alternative Gestaltungsmöglichkeiten, auch in AGB, sind aber denkbar. Von den Bordmitteln der DS-GVO erfasst ist auch die Möglichkeit zur konkludenten Einwilligung. Pragmatische Gestaltungen im Bereich der digitalen Datenverarbeitung zu Werbezwecken, etwa bei Cookies, können damit rechtskonform aufgesetzt werden. Die DS-GVO setzt eine neue Untergrenze für die Einwilligungsfähigkeit von Minderjährigen bei bestimmten Online-Sach-verhalten. Die Befolgung der Regelung wird Unternehmen in tatsächlicher Hinsicht Probleme bereiten. Für das ex nunc wirkende zwingende Widerrufsrecht gelten zukünftig keine Einschränkungen mehr – auch wenn die Datenverarbeitung bereits stattgefunden hat. Alteinwilligungen, erfahren Bestandsschutz: Eine erneute Einwilligung ist nicht erforderlich, wenn die Alteinwilligung den wesentlichen Bedingungen der DS-GVO entspricht. Unternehmen sind indes gut beraten, bereits vor der Verbindlichkeit der DS-GVO die neuen Maßgaben zu beachten.

_{[1] Teil 1 thematisiert den relevanten Normenbestand, die für die werbewirtschaftliche Datenverarbeitung grundlegenden Prinzipien und die einwilligungsbasierte Datenverarbeitung. Teil 2 (RDV 6/2016) umfasst die Datenverarbeitung im Rahmen rechtsgeschäftlicher Verhältnisse, aufgrund der Interessenabwägung und ausgewählte Problem lagen.}

_{[2] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG, ABl. L 119 v. 4.5.2016. Alle Artikel und Erwägungsgründe (ErwG) ohne Gesetzesangabe beziehen sich auf die DS-GVO.}

_{[3] Wobei die letztlich verbindliche Interpretation der DS-GVO nach Maßgabe des Vorabentscheidungsverfahrens dem EuGH obliegt, Art. 267 Abs. 1 AEUV. Bei entscheidungserheblichen Rechtsfragen sind sämtliche deutschen Gerichte angehalten, den EuGH anzurufen und bis zu dessen Entscheidung das eigene Verfahren ruhen zu lassen. Unterbleibt ein solches Vorlageverfahren, ist für betroffene Personen, Verantwortliche oder Auftragsverarbeiter der Weg zum BVerfG verschlossen, vgl. Schwartmann, RDV 2015, 55.}

_{[4] Funktional vergleichbar mit den bereits seit dem 24.2.2016 erweiterten datenschutzrechtlichen Rechtsdurchsetzungsbefugnissen anspruchsberechtigter Stellen nach dem Unterlassungsklagegesetz (UKlaG), BGBl. I Nr. 8 vom 23.02.2016, S. 233ff.}

_{[5] Spindler DB 2016, 946.}

_{[6] Rechtsakte der EU sind nach Art. 296 Abs. 2 AEUV mit einer Begründung zu versehen. Anders als die Gesetzesbegründung bei deutschen Gesetzen, die als Teil des parlamentarischen Verfahrens betrachtet wird, ist die Begründung in Gestalt der ErwG Teil des Rechtsakts selbst und unterliegt als wesentliche Förmlichkeit des Rechtsakts der gerichtlichen Kontrolle (Art. 263 Abs. 2 AEUV). Wenngleich aus den ErwG als solche keine verbindlichen Rechtsfolgen resultieren, sind sie bei der Auslegung des verfügenden Teils höchst bedeutsam. Der EuGH greift hierauf regelmäßig im Rahmen seiner stärker systematischen und teleologischen Methoden verpflichteten Auslegung des Unionsrechts zurück.}

_{[7] Roßnagel, Stellungnahme zum Fachgespräch zur DS-GVO im Bundestagsausschuss Digitale Agenda, S. 2, abrufbar unter: http://isi.fraunhofer.de/forum-privatheit-de/aktuelles/aktuelles_dokumente/Stellungnahme-zu-Fragen-des-Ausschusses-digitale-Agenda.pdf .}

_{[8] ErwG 47 a.E. „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Verglichen mit anderen Verarbeitungszwecken ist dies eine materiell bedeutsame, weil für den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f unmittelbar abwägungsrelevante, Determinante, näheres unter Teil 2. Weitere Erwähnungen in ErwG 58 (Transparenz der Datenverarbeitung und Information der Betroffenen), ErwG 70 (Widerspruchsrecht).}

_{[9] Gesetz zur Änderung datenschutzrechtlicher Vorschriften v. 14.08.2009 (BGBl. I, S. 2814).}

_{[10] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG Nr. L 281 v. 23.11.1995, S. 31}

_{[11] Werbung wird dort lediglich erwähnt in Art. 14 lit. b: Widerspruchsrecht gegenüber Direktwerbung, ErwG 30: Mitgliedsstaaten können im Rahmen der Richtlinienvorgaben nähere Bedingungen festlegen, unter denen Daten an Dritte zwecks Werbung weitergegeben werden; sowie ErwG 70.}

_{[12] Nach Art. 3 Abs. 2 gilt das datenschutzrechtliche Marktortprinzip, wonach die GVO auch dann Anwendung findet, wenn personenbezogene Daten von Bürgern, die sich in der EU „befinden“, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter verarbeitet werden und diese Datenverarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen, auch unentgeltlichen (werbefinanzierten), erfolgt. Ebenso bereits zuvor EuGH, Urteil v. 13.05.2014, C-131/12 – Google Spain; vgl. auch EuGH, Urteil v. 01.10.2015, C-230/14 – Weltimmo.}

_{[13] Vgl. Dammann, ZD 2016, 310, 314, der zugleich aber auch auf die recht umfangreichen mitgliedstaatlichen Regelungsbefugnisse („Öffnungsklauseln“) hinweist, wenngleich diese im werbewirtschaftlichen Kontext kaum Bedeutung erlangen sollten.}

_{[14] S. ErwG 7, 11.}

_{[15] Zur damit hinfälligen Frage nach der Richtlinienkonformität der durch die BDSG-Novelle II modifizierten Regelungen vor dem Hintergrund des Vollharmonisierungsansatzes der DSRL vgl. Hoeren, RDV 2009, 95 ff; Drewes, ZD 2012, 114. Zum Vollharmonisierungskonzept der DSRL, s. EuGH, Urt. v. 24.11.2011 – Rs. 468/10 – ASNEF“, RS. 469/10 – FECEMD, Slg. 2011, I-12181 Rn. 29 ff. Inwiefern außerhalb des werbewirtschaftlich relevanten Kontextes gewisse Bestimmungen punktuell erhalten bleiben werden, z.B. § 28 a BDSG, gilt es abzuwarten.}

_{[16] RL 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation v. 12.7.2002, geändert durch RL 2009/136/EG zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz v. 25.11.2009 ABl. L 337/1.}

_{[17] Zu den Vorgaben für die Einwilligung nach der DS-GVO, s. unten III, 2.}

_{[18] Inwiefern der Regelungsgehalt von § 15 Abs. 3 TMG nach den Bestimmungen der DS-GVO erhalten bleiben kann, s. unten Teil 2.}

_{[19] Der Anwendungsbereich der Richtlinie umfasst gemäß Art. 3 Abs. 1 ePrivacy-RL Dienste, die öffentlich zugängliche elektronische Kommunikationsdienste in öffentlichen Kommunikationsnetzen anbieten, mithin Dienste i.S.v. § 3 Nr. 24 TKG. Das TMG ist für diese Dienste aber nahezu vollständig nicht anwendbar, § 1 Abs. 1 TMG. Zutreffend verweisen Nebel/Richter, ZD 2012, 407 f und Keppeler, MMR 2016, 781 deshalb auch darauf, dass die Vorgaben der ePrivacy-RL im TKG umgesetzt wurden, weshalb die §§ 91 TKG, nicht aber §§ 11 TMG bestehen bleiben können. Die Kritik der Aufsichtsbehörden und von Teilen der Literatur an der deutschen Umsetzungsgesetzgebung zur ePrivacy-RL setzt sich hiermit nicht auseinander, vgl. Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Verfolgung des Nutzungsverhaltens im Internet v. 5.2.2015; Schmidt/Babilon, K&R 2016, 86 ff.}

_{[20] Einzige Ausnahme mag § 15 Abs. 8 TMG in seiner Bedeutung für Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, sein.}

_{[21] Vgl. Art. 29-Arbeitsgruppe, Opinion 2/2010, Opinion 4/2010 und Working Document 02/2013, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf; Schmidt/Babilon, K&R 2016, 86 ff; Rauer/Ettig, ZD 2015, 255 ff; OLG Frankfurt, MMR 2016, 245.}

_{[22] In Bezug auf das Erfordernis einer Einwilligung in Art. 5 Abs. 3 ePrivacy-RL für den Fall der Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Betroffenen oder Nutzers gespeichert sind, werden die Vorgaben der DS-GVO maßgeblich sein, Art. 94 Abs. 1 S.2. Allerdings muss dies wiederum mit der Vorgabe nach Art. 95 abgeglichen werden, um sicherzustellen, dass die DS-GVO keine zusätzlichen Pflichten im Sinne dieses Artikels auferlegt}

_{[23] Soweit Änderungen bei den wettbewerbsrechtlichen Regelungen in Art. 13 ePrivacy-RL vorgenommen werden, müssen auch die entsprechenden Umsetzungen in § 7 UWG „nachziehen“.}

_{[24] Zum Rechtsbestand, s. http://www.eu-consumer-law.org/ . Zur Thematik unfairer Geschäftspraktiken, s. hier: http://ec.europa.eu/consumers/consumer_rights/unfair-trade/unfair-practices/index_en.htm und zum Buquet der KOM für die weitere Maßnahmen s. http://ec.europa.eu/consumers/consumer_rights/review/index_en.htm}

_{[25] Vgl. nur die Änderungen des UWG seit 2000 bis zur letzten Überarbeitung im Jahr 2015.}

_{[26] ErwG 40; Hornung, ZD 2012, 101.}

_{[27] Was zugleich auch für das Funktionieren des Kohärenzmechanismus (Art. 60 ff), die Aufstellung von Verhaltensregeln und das Zertifizierungsverfahren (Art. 40 ff) zentral sein dürfte; zu letzten Schwartmann, RDV 2016, 68 ff.}

_{[28] Nachfolgend unter III, 2. ff.}

_{[29] Siehe unter Teil 2.}

_{[30] Siehe unter Teil 2.}

_{[31] Siehe unter Teil 2.}

_{[32] In Bezug auf die Kernnorm der Auftragsdatenverarbeitung ist er bei unautorisierter Datenverarbeitung als Verantwortlicher anzusehen, Art. 28 Abs. 10. Nach Art. 82 Abs. 1 steht der Auftragsverarbeiter mit dem Auftraggeber in einer gemeinsamen, gesamtschuldnerischen Haftung gegenüber dem Betroffenen für materielle und immaterielle Schäden und ist nach Art. 83 Abs. 3, 4 bei Verstoß gegen die dort aufgeführten Bestimmungen bußgeldpflichtig. Zu diesem Paradigmenwechsel und den daraus resultierenden Konsequenzen für Auftragsgeber und -verarbeiter instruktiv Müthlein, RDV 2016, 74 ff, 77ff; Petri, ZD 2015, 305.}

_{[33] ErwG 40 und ausdrücklich für den Widerruf der Einwilligung Art. 17 Abs. 1 lit. b; zur DSRL ebenso Simitis/Dammann, EG-Datenschutzrichtlinie, Art. 7, Rz. 3.}

_{[34] Zu prüfen ist aber, ob Verweigerung oder Widerruf der Einwilligung zugleich auch als Widerspruch (Art. 21 Abs. 1, 2) zu verstehen sind.}

_{[35] Wobei hier – als Konsequenz der Regelung zu Zweckänderungen nach der DS-GVO – zwischen kompatiblen und inkompatiblen Zweckänderungen zu differenzieren ist, vgl. unten Teil 2.}

_{[36] Näher dazu unter Teil 2.}

_{[37] Art. 29-Arbeitsgruppe, WP 100, abrufbar unter: http://www.cnpd.public.lu/de/publications/groupe-art29/wp100_de.pdf.}

_{[38] Zur Freiwilligkeit der Einwilligung im Arbeitsverhältnis, vgl. BAG, K&R 2015, 433.}

_{[39] BGHZ 177, 253 – Payback; Gola/Reif, Kundendatenschutz, Rz. 282 ff.}

_{[40] Vgl. BGH, GRUR 2014, 682 – Nord-Job Messe, wo der BGH zwischen der Wirksamkeit der Einwilligung und der wettbewerbsrechtlichen Beurteilung der Situation ihrer Erlangung gemäß den §§ 3, 4 Nr. 2 UWG a.F. unterscheidet (nunmehr § 3 Abs. 4, § 4 a UWG).}

_{[41] Art. 15, 16 GrCh sowie Art. 12, 14 GG.}

_{[42] Zu weitgehend daher Dammann, ZD 2016, 311, der von einem strikten Kopplungsverbot spricht, das das Potenzial habe, „Verbraucher umfassend vor Verführungssituationen zu schützen, wie sie insbesondere bei der Nutzung von Online-Diensten bestehen“. Daher dürfe man gespannt sein, „wie sich die Regelung gegen das Geschäftsmodell `Service gegen Daten‘ durchsetze“. Weder der Wortlaut noch die Teleologie von Art. 7 Abs. 4 sichern eine solche, wohl eher rechtspolitisch inspirierte, Auffassung ab, denn hierdurch würde ein quasi abstraktes Gefährdungsdelikt kreiert, bei dem der Bezugspunkt und die immanenten Begrenzungen der Regelung aus dem Blickfeld geraten.}

_{[43] Unbestritten, vgl. nur Gola/Schomerus, BDSG, § 4 a, Rz. 15. Für den Einsatz von Cookies, vgl. Art. 29-Arbeitsgruppe, Working Document, a.a.O. (Fn.22) S. 4.}

_{[44] Vor dem Hintergrund unterschiedlicher Interpretationen und nationaler Umsetzungen von Art. 5 Abs. 3 ePrivacy-RL ist diese Praxis bislang umstritten, vgl. Rauer/Ettig, ZD 2015, 258 mw.N. zu den jeweiligen Rechtsauffassungen der Aufsichtsbehörden in den MS der EU. Bejahend zu dieser Möglichkeit Art. 29-Arbeitsgruppe, Working Document 02/2013, S. 4.}

_{[45] BGH, RDV 2008, 201 ff. – Payback; BGH, RDV 2010, 77 ff. – Happy Digits.}

_{[46] Vgl. OLG Frankfurt, MMR 2016, 245, wonach eine Opt-Out-Einwilligung zulässig ist.}

_{[47] Nach Auffassung der Art. 29-Arbeitsgruppe wurde eine Opt-Out-Einwilligung bereits in Bezug auf zu Art. 2 Buchst. h DSRL kritisch bewertet, vgl. WP 187, S. 11, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf.}

_{[48] Vgl. oben III, 2. b).}

_{[49] Vgl. auch die Orientierungshilfe des Düsseldorfer Kreises zur datenschutzrechtlichen Einwilligungserklärung in Formularen, abrufbar unter https://www.lda.bayern.de/media/oh_einwilligung.pdf.}

_{[50] Vgl. ErwG 42 S. 3, wo ausdrücklich auf die Klauselkontrolle nach den Vorgaben der RL 93/13/EWG über missbräuchliche Klauseln in Verbraucherverträgen v. 5.4.1993, ABl. L 95 v. 21.04.1993, S. 29, verwiesen wird.}

_{[51] Aus AGB-Recht ergibt sich keine explizite Pflicht zum aktiven „Ankreuzen“ von AGB.}

_{[52] Vgl. hierzu instruktiv Gola/Reif, a.a.O. (Fn. 39) Rz. 372 ff. Die Zusammenfassung von (hervorgehobener) datenschutzrechtlicher Einwilligung mit anderen Vertragsregelungen in AGB mit einer Unterschrift (oder Klick) kann wegen des UWG-Erfordernisses einer spezifischen Angabe im Sinne einer dezidierten Opt-In Erklärung daher faktisch nur für die Verwendung von Adressdaten von Verbrauchern zwecks Briefwerbung genutzt werden, vgl. Anwendungshinweise des Düsseldorfer Kreises zur Werbung (Stand: Sept. 2014), S. 12.}

_{[53] Zum geltenden Recht: Taeger, in: Taeger/Gabel, BDSG, § 4 a Rz. 28; Kühling, in: Wolf/Brink, Datenschutzrecht, § 4 a Rz. 32 f.}

_{[54] Gola/Schulz, ZD 2013, 478.}

_{[55] Die Legaldefinition in Art. 4 Nr. 25 verweist wie auch sonst im sekundären EU-Recht auf Art. 1 Nr. 2 der Richtlinie 98/34/EG: Jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Hierunter fallen insbesondere: Social-Media-, e-Commerce- und Gaming-Angebote.}

_{[56] Albrecht, CR 2016, 97; zutreffend weist Frank, RDV 2016, 112, darauf hin, dass die Einwilligung nach Art. 8 Abs. 2 S. 1 GRCh stets nach Treu und Glauben zu ermöglichen ist, die Regelung also nicht nur eine Beschränkung des Verantwortlichen bedeutet, sondern auch Betroffenenrechte verkürzt.}

_{[57] Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11.05.2005 über unlautere Geschäftspraktiken von Unternehmen gegenüber Verbrauchern im Binnenmarkt und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates, ABl. L 149 vom 11.6.2005, S. 22; berichtigt im ABl. L 253 vom 25.09.2009, S. 18.}

_{[58] Gola/Schulz, a.a.O. (Fn.57), 480.}

_{[59] Gola/Schulz, a.a.O.}

_{[60] Zum Widerrufsrecht allgemein, Gola/Schomerus, BDSG, § 4a Rz. 17 ff.}

_{[61] Nach überwiegender Auffassung zum deutschen Datenschutzrecht kann der Widerruf hier nur unter Berücksichtigung von Treu und Glauben erfolgen, insbesondere, wenn die für die Erteilung der Einwilligung maßgeblichen rechtlichen oder tatsächlichen Gründe weggefallen sind oder sich wesentlich geändert haben, Gola/Schomerus, a.a.O. (Fn. 63), Rz. 18. Auch wenn die DS-GVO in Art. 5 Abs. 1 lit a die Datenverarbeitung unter Treu und Glauben stellt, wird man angesichts des jederzeitigen und damit unbedingten Widerspruchsrechts keine Einschränkung mehr annehmen können.}

_{[62] So bislang wohl Gola/Reif, a.a.O. (Fn. 39) Rz. 833 m.w.N. Spindler, DB 2016, 940, spricht für die Rechtslage nach der DS-GVO davon, die Einwilligung müsse „wieder erteilt werden“, was jedoch nicht recht überzeugt, denn damit würde das nach Art. 7 Abs. 3 „jederzeitige“ und damit praktisch unabdingbare Widerrufsrecht im Ergebnis ausgehebelt.}

_{[63] Umkehrschluss aus Art. 17 Abs. 1 lit. b.}

_{[64] S. oben III, 1.}

_{[65] Gegen eine vollumfängliche Unwirksamkeit bislang Kühling, in: Wolf/ Brink, Datenschutzrecht, § 4 a Rz. 43; a.A. Simitis, in: Simitis, BDSG, § 4a Rz. 76.}

_{[66] Die Grundregel für sonstige Verarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO (ab 25.5.2018) begonnen haben, lautet gemäß ErwG 171, S. 2 dagegen, dass „diese innerhalb des zweijährigen Zeitraums ab ihrem Inkraftreten (am 25.05.2016) „mit ihr in Einklang gebracht werden.“}

_{[67] Wobei die Einwilligung noch „aktiv“ sein, d.h. zum Wirksamkeitszeitpunkt der DS-GVO noch rechtliche Gültigkeit beanspruchen muss. Diese Frage ist nach nationalem Recht umstritten. Die deutschen Aufsichtsbehörden neigen unter Verweis auf (die nicht gefestigte) Rsp. zur Werbeeinwilligung nach § 7 UWG offenbar zu der Ansicht, dass Einwilligungen durch Zeitablauf ihre Gültigkeit verlieren, wobei eine Frist hierfür nicht benannt wird, vgl. Anwendungshinweise des Düsseldorfer Kreises zur Werbung (Stand: Sept. 2014), S. 5; hiergegen mit überzeugenden Argumenten: Schulz, CR 2012, 688; Schirmbacher/Schätzle, WRP 2014, 1148. Wie sich die DS-GVO zu der Frage, die auch jenseits der Altfallproblematik Bedeutung hat, verhält, ist nicht ausdrücklich geregelt. Da die Datenverarbeitung gemäß Art. 5 Abs. 1 lit a „nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise“ erfolgen muss, spricht viel dafür, dass entgegen der bisherigen Ansicht der Aufsichtsbehörden zwar kein generelles Erlöschen (nach bestimmten Zeitablauf) anzunehmen ist, dass aber ein werbendes Unternehmen sich nicht mehr auf die Einwilligung berufen kann, wenn die Befugniserteilung im konkreten Einzelfall unter Berücksichtigung des Willens des Einwilligenden „erkaltet“ ist, insbesondere bei Zweckerreichung}