Die Einwilligung ist nicht „besser“ als das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

VG Mainz: Einwilligung nicht besser als Interessenabwägung

Die DSGVO kennt in Art. 6 Abs. 1 sechs Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Der Verordnungsgeber hat diese sechs Erlaubnistatbestände in den Buchstaben a–f hintereinander aufgezählt. Dass die Einwilligung dabei an erster Stelle in Buchstabe a zu finden ist, sagt nichts darüber aus, dass diese Rechtsgrundlage über den anderen steht oder in irgendeiner Weise „besser“ ist als die anderen.

Häufige Fehlvorstellung: Einwilligung hat keinen Vorrang

Immer wieder sieht man in Gerichtsentscheidungen aber liest in der juristischen Literatur, dass von einem Vorrang der Einwilligung ausgegangen wird, diese insofern als „besser“ oder datenschutzfreundlicher wahrgenommen wird.

So entschied beispielsweise der bayerische Verwaltungsgerichtshof in seinem Beschluss zur Weitergabe gehashter E-Mail-Adressen im Rahmen von Facebook Custom Audiences , dass die Datenweitergabe an Facebook auf Basis berechtigter Interessen (die Entscheidung erging noch zum alten BDSG, als Rechtsgrundlage wurde aber eine Norm vergleichbar zu Art. 6 Abs. 1 lit. f DSGVO herangezogen) nicht rechtmäßig sei. Als Begründung wurde unter anderem angeführt, die Datenverarbeitung auf dieser Rechtsgrundlage sei nicht erforderlich, weil das Unternehmen ja problemlos eine Einwilligung hätte einholen können:

„Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Ast. ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Ast., bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium i.R.d. Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben. …“

(BayVGH, Beschl. vom 26.9.2018, Az. 5 CS 18.1157, ZD 2019, 43, Rz. 29)

Ein solches Rechtsverständnis würde in der Praxis zu erheblichen Problemen führen, denn mit dieser Argumentation wäre in bestehenden Vertragsbeziehungen eine Datenverarbeitung auf Grundlage berechtigterer Interessen (Art. 6 Abs. 1 lit. f DSGVO) so gut wie nie möglich, denn man könnte dem Verantwortlichen immer vorhalten, dass es ihm ja möglich gewesen wäre, eine Einwilligung im Rahmen der bestehenden Rechtsbeziehung einzuholen.

Aktuelles Urteil des VG Mainz: Gleichwertigkeit der Rechtsgrundlagen

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem aktuellen Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es zwar nicht um das Onlinemarketing, sondern um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

„Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a, Art. 7 DSGVO – zulässig sein. Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

(VG Mainz Urt. v. 20.2.2020, Az. 1 K 467/19, BeckRS 2020, 5397, Rz. 27)

Dieser Aussage des VG Mainz ist auf ganzer Linie zuzustimmen. Schließlich stellt es einen erheblichen Eingriff in die Grundrechte des datenschutzrechtlich Verantwortlichen dar, wenn man davon ausginge, die Einwilligung hätte grundsätzlich Vorrang. Es ist daher Aufgabe von Verantwortlichen, Behörden und Gerichten, nicht in die „Einwilligungsfalle“ zu tappen und diesen Gedanken im Rahmen von Interessenabwägungen außen vor zu lassen.

Französische Datenschutzbehörde kündigt „Cookie-Untersuchungen“ an

Am 12. März veröffentlichte die französische Datenschutzbehörde CNIL ihre jährliche „Inspektionsstrategie“ für 2020. Die CNIL führt jedes Jahr etwa mehrere hundert Inspektionen durch.

Die CNIL kündigte an, dass sich etwa 20 % ihrer Inspektionen für 2020 im Rahmen dieser Strategie auf die folgenden drei Themen konzentrieren werden:

  1. Sicherheit von Gesundheitsdaten: Die jüngsten Entwicklungen in Bezug auf Gesundheitsdaten zeigten, dass der Sicherheit der Aktivitäten zur Verarbeitung von Gesundheitsdaten Aufmerksamkeit geschenkt werden solle.
  2. Geolokalisierung für Gemeinschafts- oder Nahverkehrsdienste (z.B. Empfehlung geeigneter Transportmodi auf der Grundlage einer definierten Route, Reiseoptimierung usw.): Die Inspektionen konzentrieren sich auf die Verhältnismässigkeit der in diesem Zusammenhang erhobenen Personendaten, die von der Organisation festgelegten Aufbewahrungsfristen, die Information der Personen über die Datenverarbeitung und die zum Schutz der Daten getroffenen Sicherheitsmassnahmen.
  3. Verwendung von Cookies und ähnlichen Technologien: Am 18. Juli 2019 veröffentlichte die CNIL in dieser Hinischt bereits neue Richtlinien zu Cookies und ähnlichen Technologien, die die Cookie-Empfehlungen der CNIL aus dem Jahr 2013 aufheben und die für die Verwendung von Cookies und ähnlichen Technologien in Frankreich geltenden Regeln neu konzipieren.

Darüber hinaus veröffentlichte die CNIL am 14. Januar 2020 Empfehlungen zu den praktischen Modalitäten für die Einholung der Einwilligung der Benutzer zur Speicherung oder zum Lesen von „nicht-essentiellen“ Cookies und ähnlichen Technologien.

Diese Empfehlungen standen bis zum 25. Februar 2020 zur öffentlichen Konsultation offen. Wichtig zu wissen ist insoweit, dass diese Empfehlungen keinen Gesetzescharakter haben. Eine endgültige Version der Empfehlungen wird in den kommenden Wochen veröffentlicht werden. Die CNIL wird dann nach der Verabschiedung der endgültigen Empfehlungen eine Frist von sechs Monaten einräumen, bevor sie ihre neuen Richtlinien in Kraft setzt. Die Untersuchungen werden voraussichtlich – aber abhängig von der COVID-19 Entwicklung – im Herbst 2020 beginnen und im Jahr 2021 fortgesetzt.