Wie lässt sich die Einwilligung eines Kunden nachweisen?
Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.
Ausgangspunkt ist der Abschluss eines Vertrags über Mobilfunkleistungen, also ein „Telefonvertrag“. Der Mobilfunkanbieter kopiert beim Vertragsschluss die Ausweisdokumente des neuen Kunden. Rechtsgrundlage hierfür ist angeblich jeweils eine individuelle Einwilligung des Kunden. Der Mobilfunkanbieter heftet die Ausweiskopien an den Mobilfunkvertrag. Dann bewahrt er sie zusammen mit dem Vertrag auf.
Geldbuße und Vernichtungs-Anordnung für Ausweiskopien
Diese Vorgehensweise rief die rumänische Datenschutzaufsicht auf den Plan. Nach ihrer Auffassung hat das Telefonunternehmen nicht nachgewiesen, dass die Kunden jeweils eine gültige Einwilligung erteilt haben. Deshalb ergriff sie in einer förmlichen Entscheidung vom 28. März 2018 zwei Maßnahmen:
- Erstens verhängte sie eine Geldbuße gegen das Telefonunternehmen. Ihre Höhe nennt die Entscheidung nicht.
- Zweitens forderte sie das Telefonunternehmen auf, die vorhandenen Kopien von Ausweisdokumenten zu vernichten.
Fragen an den EuGH
Gegen beide Anordnungen wehrt sich das Unternehmen durch eine Klage zum Landgericht Budapest. Das Landgericht möchte daraufhin vom EuGH in einer sogenannten Vorabentscheidung wissen, wann davon auszugehen ist, dass ein Unternehmen die Einwilligung eines Kunden ordnungsgemäß nachgewiesen hat.
Einwilligungsklausel im Vertrag
Die Verträge des Telefonunternehmens mit seinen Kunden enthalten folgende Passage:
„Der Kunde erklärt, dass … er informiert worden ist und sein Einverständnis erklärt hat hinsichtlich … des Einbehaltens von Kopien der Dokumente, die personenbezogene Daten mit Identifikationsfunktion enthalten.“
Unterschiedliche Handhabung
Bei einem Teil der Verträge ist das Kästchen angekreuzt, bei anderen nicht. Das hat folgenden Hintergrund:
- Beim Vertragsschluss ist es üblich, dass die Kunden das Kästchen für die Einwilligung nicht selbst ankreuzen. Vielmehr sieht die Praxis des Unternehmens so aus, dass ein Mitarbeiter den Kunden befragt, ob er seine Einwilligung erteilen will. Bejaht das der Kunde, kreuzt der Mitarbeiter das Kästchen für ihn an.
- Weigert sich ein Kunde, dem Ankreuzen des Kästchens zuzustimmen, lehnt das Unternehmen den Vertragsschluss nicht ab. Die Ablehnung ist für einen solchen Fall zwar in den allgemeinen Geschäftsbedingungen vorgesehen. Die Praxis des Unternehmens sieht jedoch anders aus.
Kreuzt ein Kunde das Kästchen nicht an, wird das in einem speziellen Vordruck dokumentiert. Sofern der Kunde diesen Vordruck unterschreibt, bekommt er den gewünschten Vertrag, obwohl er das Kästchen nicht angekreuzt hat. Die Kopien seiner Ausweisdokumente bewahrt das Unternehmen auch in diesen Fällen auf.
Das Landgericht fragt den EuGH, ob sich angesichts dieses Ablaufs davon ausgehen lässt, dass die Kunden wirksam eingewilligt haben.
Gilt die DSGVO hier überhaupt?
Zunächst prüft der EuGH, ob im vorliegenden Fall bereits die Datenschutz-Gruundverordnung (DSGVO) anwendbar ist oder nicht. Bekanntlich gilt die DSGVO erst seit 25. Mai 2018. Die Anordnung der Datenschutzaufsicht stammt jedoch bereits vom 28. März 2018. Das scheint dafür zu sprechen, dass die DSGVO hier noch keine Rolle spielt, sondern dass von ihrem Vorgänger, der Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995, auszugehen ist.
Praktischer Kunstgriff des EuGH
Mit einem kleinen Kunstgriff gelangt der EuGH zu dem Ergebnis, dass er bei seiner Antwort auf die Fragen des Landgerichts sowohl auf die Datenschutz-Richtlinie aus dem Jahr 1995 als auch auf die DSGVO aus dem Jahr 2018 eingehen muss. Dabei argumentiert er so:
- An sich ist zwar die Datenschutz-Richtlinie aus dem Jahr 1995 maßgeblich. Denn als die Anordnung der Datenschutzaufsicht erging, galt die DSGVO noch nicht.
- Allerdings liegt kein Nachweis dafür vor, dass das Telefonunternehmen die Anordnung befolgt hat, die Ausweiskopien seiner Kunden zu vernichten. Deshalb sei nicht auszuschließen, dass für diesen Teil der Anordnung die DSGVO doch eine Rolle spielt.
- Um die Fragen des Landgerichts sachgerecht zu beantworten, sei es deshalb notwendig, auf beide Rechtsquellen einzugehen.
Vorteile für den Leser
Dem Leser des Urteils kann diese Vorgehensweise nur recht sein. Denn auf diese Art und Weise bekommt er nicht nur aktuelle Aussagen des EuGH zur Auslegung der DSGVO. Vielmehr erhält er außerdem noch einen Vergleich zwischen beiden Rechtsquellen. Daraus lässt sich gut entnehmen, was sich durch die DSGVO gegenüber früher geändert hat – hier im Ergebnis nichts.
Bereits geklärte Grundsätze
Was die Einwilligung angeht, weist der Gerichtshof zunächst auf folgende Grundsätze hin, die er schon in früheren Entscheidungen aufgestellt hat:
- Eine Einwilligung setzt stets ein aktives Verhalten des Kunden voraus.
- Dass der Kunde ein Formular mit einem schon vorangekreuzten Kästchen unterschreibt, genügt nicht. Darin ist kein aktives Verhalten des Kunden zu sehen. In diesem Fall ist nämlich nicht sichergestellt, dass der Kunde die Einwilligungsklausel tatsächlich gelesen und verstanden hat.
- Die Beweislast dafür, dass eine Einwilligung vorliegt, liegt ausschließlich bei dem Unternehmen, das das Vertragsformular verwendet (so inzwischen ausdrücklich Art. 7 Abs. 1 DSGVO).
Unzulässigkeit aller „vorangekreuzten“ Kästchen
Es liegt auf der Hand, dass das Unternehmen schon diese eher formalen Vorgaben nicht beachtet hat, weil die Kästchen vorangekreuzt waren. Ein Vertrag mit einem vorangekreuzten Kästchen ist nicht als Nachweis für eine Einwilligung geeignet.
Fehlende Wahlfreiheit des Kunden
Die Wirksamkeit der Einwilligung scheitert zudem an der fehlenden Wahlfreiheit des Kunden. Weigert sich ein Kunde, die Einwilligung zu unterschreiben, verlangt das Unternehmen von ihm eine schriftliche Erklärung, dass er in die Aufbewahrung von Kopien seines Ausweisdokuments nicht einwilligt.
Den Vertrag bekommt er dann jedoch trotzdem. Die Aufforderung zu einer solchen zusätzlichen Erklärung beeinträchtigt die freie Entscheidung des Kunden, sich für oder gegen die Aufbewahrung von Kopien zu entscheiden.
Ergebnis des Gerichts
Im Ergebnis gilt somit:
Ein Vertrag ist nicht dazu geeignet, eine Einwilligung nachzuweisen,
- wenn das Kästchen im Vertrag, aus dem sich die Einwilligung ergeben soll, schon vorangekreuzt ist – auch wenn ein Mitarbeiter es erst beim Gespräch mit dem Kunden ankreuzt, oder
- wenn für den Kunden nicht klar ist, dass er den gewünschten Vertrag auch erhalten kann, obwohl er sich weigert, in die Verarbeitung seiner Daten einzuwilligen, oder
- wenn die freie Entscheidung des Kunden dadurch beeinträchtigt wird, dass das Unternehmen von ihm verlangt, die Verweigerung seiner Einwilligung in einem Formular schriftlich zu bestätigen.
Gleich mehrere Hintertürchen geschlossen
Damit hat das Gericht bildlich gesprochen mehrere Hintertürchen im Zusammenhang mit dem Einholen einer Einwilligung geschlossen. Eine Einwilligung ist positiv ausgedrückt nur dann wirksam, wenn
- der Kunde das Kästchen, aus dem sich eine Einwilligung ergeben soll, selbst ankreuzt und
- der Kunde genau erkennen kann, was von seiner Einwilligung abhängt und was nicht und
- der Kunde die Tatsache, dass er eine Einwilligung verweigert, nicht zusätzlich dokumentieren muss.
Exkurs: eine rechtswidrige Regelung im deutschen Recht
Das deutsche Personalausweisgesetz legt in § 20 Absatz 2 fest, dass ein Personalausweis nur mit Zustimmung des Ausweisinhabers kopiert werden darf. Da der vorliegende Fall in Rumänien spielte, hatte der EuGH keinen Anlass, auf diese Regelung einzugehen.
Sie widerspricht schlicht und einfach der DSGVO. Das mag sich zunächst merkwürdig anhören, denn das Gericht geht ja im vorliegenden Fall ausführlich darauf ein, wann eine wirksame Zustimmung des Ausweisinhabers vorliegt. Dabei muss man jedoch Folgendes bedenken:
- Das Gericht betont ausdrücklich, dass Art. 6 DSGVO und Art. 7 DSGVO abschließend festlegen, wann eine Verarbeitung von personenbezogenen Daten zulässig ist.
- Art. 6 DSGVO sieht jedoch neben der Einwilligung noch weitere Rechtsgrundlagen dafür vor, dass eine Verarbeitung zulässig ist. Die Einwilligung der betroffenen Person ist nur eine der dort aufgeführten Möglichkeiten (siehe Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a DSGVO). Daneben stehen weitere mögliche Rechtsgrundlagen. Dazu gehört beispielsweise die Verarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 Unterabsatz 1 Buchstabe b DSGVO).
- Dann kann der nationale Gesetzgeber jedoch nicht hergehen und außer der Einwilligung alle anderen Rechtsgrundlagen gewissermaßen abschneiden. Denn damit setzt er für die Frage der Ausweiskopien die anderen denkbaren Rechtsgrundlagen von Art. 6 DSGVO gewissermaßen außer Kraft. Das verstößt gegen das Europarecht.
Das Urteil des Europäischen Gerichtshofs vom 11. November 2020 – C-61/19 ist abrufbar unter CURIA – Dokumente (europa.eu)