EuGH, Urt. v. 11.11.2020, Az. C-61/19

Sachverhalt – kurz zusammengefasst

Dem Urteil lag ein Verwaltungsverfahren zwischen einem rumänischen Telekommunikationsanbieter und der rumänischen Behörde zur Überwachung der Verarbeitung personenbezogener Daten zugrunde. Letztere hatte dem Telekommunikationsanbieter eine Geldbuße und die Verpflichtung zur Vernichtung von Dokumenten auferlegt, weil dieser Kopien der Ausweisdokumente seiner Kunden aufbewahrt hat, ohne deren ausdrückliche Einwilligung einzuholen. Der Anbieter schloss mit den Kunden seine Verträge über Mobiltelekommunikationsdienste in Papierform ab; darin war neben einem Kästchen eine Klausel enthalten. Diese Klausel besagte, dass die Kunden informiert worden seien und daher in die Aufbewahrung von Kopien der Ausweisdokumente zum Zwecke der Identifikation einwilligen. Das Kästchen war vor Unterzeichnung des Vertrages durch den Anbieter schon vorangekreuzt. Sofern die Kunden dem Vorgehen nicht zustimmten, hätten sie ein weiteres Formular unterzeichnen müssen, in dem sie ihre Weigerung erklären.

Aufgrund dieses Vorgehens hat die rumänische Datenschutzbehörde eine Geldbuße verhängt und auferlegt, die Dokumente zu vernichten. Wenngleich diese Verfügung noch vor Inkrafttreten der DSGVO[1] verhängt wurde, kommt es für die Rechtmäßigkeit der Einwilligung durch die Kunden dennoch auf die DSGVO-Konformität an, da die Aufforderung zur Vernichtung auch in den Geltungszeitraum der DSGVO hineinreicht.

Relevanz für Unternehmen

Sofern Sie zur Durchführung der Verträge oder zum Nachweis der Identifikation Ihrer Kunden deren persönliche Dokumente (Ausweise, Reisepass, etc.) in Kopie aufbewahren müssen, müssen die Kunden ausdrücklich einwilligen. Ein vorangekreuztes Kästchen reicht nicht aus.[2] Eine Einwilligung in die Verarbeitung personenbezogener Daten muss immer freiwillig sein, auf den konkreten Fall bezogen und in informierter und unmissverständlicher Weise abgegeben worden sein.

Sie muss – wenn sie durch den Unternehmer vorformuliert ist – stets in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Es reicht nicht aus, dass der Kunde auf ein vorangekreuztes Kästchen nicht reagiert hat, um eine Einwilligungserklärung nachzuweisen.

Entscheidung

Der EuGH stellte zunächst fest, dass obwohl die Verfügung vor Inkrafttreten der DSGVO ausgesprochen wurde, auf die Voraussetzungen der Einwilligung ankommt, wie sie in der DSGVO angelegt ist. Der Grund dafür ist, dass der Aufforderung, die Dokumente zu vernichten, bis zum Inkrafttreten der DSGVO am 25.5.2018 keine Folge geleistet wurde, sodass die DSGVO auch in zeitlicher Hinsicht auf diesen Sachverhalt Anwendung finden kann.

Der Schwerpunkt der Entscheidung lag darin, die Voraussetzungen, die an eine wirksame rechtmäßige Einwilligung zu stellen sind, darzulegen. Art. 4 Nr. 11 DSGVO beschreibt, was eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO voraussetzt. Danach muss die Einwilligung eine freiwillige, in informierter und unmissverständlicher Weise abgegebene Willensbekundung darstellen und dabei eindeutig zu verstehen geben, dass die betroffene Person mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Ein vorangekreuztes Kästchen genügt weder dem Erfordernis der Freiwilligkeit noch der Eindeutigkeit, die Art. 4 Nr. 11 DSGVO fordert. Wenngleich im 32. Erwägungsgrund zur DSGVO die Möglichkeit eines Kästchens generell eröffnet wird, so wird doch in S. 3 ausdrücklich ausgeschlossen, dass eine Einwilligung bei bereits angekreuzten Kästchen vorliegt. Das gilt in diesem Falle ebenso wie im Rahmen der Nutzung von Cookies – es kann nicht ausgeschlossen werden, dass etwaige Informationen nicht gelesen wurden oder dass das Kästchen überhaupt nicht wahrgenommen wurde.

Im Ergebnis, so der EuGH, ist die Tatsache, dass das Kästchen im Rahmen der Verträge angekreuzt  ist, nicht geeignet, um eine freiwillige, informierte, unmissverständliche und eindeutige Einwilligung in die Verarbeitung der personenbezogenen Daten im Sinne des Art. 6 Abs. 1 lit. a DSGVO nachzuweisen. Im Gegenteil: die Kunden seien deshalb nicht informiert gewesen, da die Möglichkeit, den Vertrag auch ohne die Einwilligung abzuschließen, nicht hinreichend kommuniziert wurde. Außerdem lässt sich an der Freiwilligkeit zweifeln, da eine aktive Erklärung der Einwilligung nicht erfolgt; vielmehr müsste sich der Kunde aktiv weigern.

 

[1] die Verordnung (EU) 2016/679 trat am 25.5.2018 in Kraft.

[2] einen vergleichbaren Fall entschied der EuGH im Jahre 2019 für die Verwendung von Cookies, EuGH Urt. v. 1.10.2019, Az. C-673/17 – besprochen in der Wissensbox (https://betrieb-machen.de/eugh-cookies/); der BGH setzte dieses Entscheidung mit seinem Urt. v. 28.5.2020, Az. I ZR 7/16 um.

 

Autorin: Stefanie Meyer | März 2021