Spielerisch selbstbestimmt: Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung [1 ed.] 9783428557851, 9783428157853

Auch nach den Vorgaben der DSGVO ist die Einwilligungserklärung das zentrale Ausübungsinstrument datenschutzrechtlicher

130 41 3MB

German Pages 390 [391] Year 2019

Report DMCA / Copyright

DOWNLOAD PDF FILE

Recommend Papers

Spielerisch selbstbestimmt: Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung [1 ed.]
 9783428557851, 9783428157853

  • 0 0 0
  • Like this paper and download? You can publish your own PDF file online for free in a few minutes! Sign Up
File loading please wait...
Citation preview

Internetrecht und Digitale Gesellschaft Band 18

Spielerisch selbstbestimmt Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung

Von

Martin Scheurer

Duncker & Humblot · Berlin

MARTIN SCHEURER

Spielerisch selbstbestimmt

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 18

Spielerisch selbstbestimmt Rechtskonforme Einwilligungserklärungen in Zeiten ubiquitärer Digitalisierung

Von

Martin Scheurer

Duncker & Humblot · Berlin

Veröffentlicht mit finanzieller Unterstützung der Universität Passau.

Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahre 2019 als Dissertation angenommen. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2019 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Fürstenwalde Druck: CPI buchbücher.de Gmbh, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-15785-3 (Print) ISBN 978-3-428-55785-1 (E-Book) ISBN 978-3-428-85785-2 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Meinen Eltern

Vorwort Auch nach den Vorgaben der DSGVO ist die Einwilligungserklärung das zentrale Ausübungsinstrument datenschutzrechtlicher Selbstbestimmung. Mit der grundrechtlichen Verankerung der Einwilligung in den Vorgaben der Charta sowie mit der entsprechenden Platzierung innerhalb des novellierten Sekundärrechts wurden bekannte und bewährte Aspekte der individuellen Datendispostion zementiert sowie jedenfalls partiell novelliert. Allerdings wird das Versprechen einer freiwilligen, selbstbestimmten und allem voran informierten Einwilligung im Kontext der voranschreitenden Vernetzung und Verdatung der Gesellschaft vermehrt kritisch beäugt. Gerade aber mit Blick auf die zunehmende Ökonomisierung personenbe­ zogener Daten sollten die Vorgaben des Datenschutzrechts nicht als Antago­ nist der datengetriebenen Wirtschaft identifiziert werden, sondern vielmehr als Innovationsmotor bei der Ausgestaltung kreativer Einwilligungsprozesse. In diesem Sinne untersucht die vorliegende Arbeit die Vereinbarkeit zwischen technischen und rechtlichen Innovationen im Kontext der selbstbestimmten Datendisposition. Die Herstellung einer entsprechenden Konvergenz zwi­ schen Technik und Recht bei der Ausgestaltung kreativer Einwilligungspro­ zesse ist dabei das zentrale Anliegen dieser Schrift, welche im Januar 2019 fertiggestellt und von der Juristischen Fakultät der Universität Passau im Sommersemester 2019 als Dissertation angenommen wurde. An dieser Stelle möchte ich zuvorderst meinem Doktorvater Herrn Prof. Dr. Dirk Heckmann herzlich für die inspirierende, konstruktive sowie umfas­ sende Betreuung während der Abfassung der vorliegenden Arbeit danken. Bei Herrn Prof. Dr. Meinhard Schröder bedanke ich mich sehr für die ­rasche Erstellung des Zweitgutachten. Mein besonderer Dank gilt zudem der Deutschen Forschungsgemeinschaft, welche diese Arbeit im Kontext des DFG Graduiertenkollegs 1681/2 „Privat­ heit und Digitalisierung“ umfassend finanziell gefördert hat. In diesem Zu­ sammenhang möchte ich mich herzlich bei den Kollegiatinnen und Kolle­ giaten des Kollegs für den fruchtbaren interdisziplinären wissenschaftlichen Austausch bedanken, wobei mein besonderer Dank dem Postdoc des Kollegs, Herrn Dr. Martin Hennig gilt. Zudem bedanke ich mich bei meinen ehemaligen Kolleginnen und Kolle­ gen am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht,

8 Vorwort

insbesondere bei Herrn Dipl. Jur. Thimo Brand, Herrn Dipl. Jur. Christoph Halder, Herrn Rechtsanwalt Jörn Jäger sowie bei Frau Dipl. Jur. Sarah Rachut. Zu ganz besonderem Dank bin ich meiner Familie, meinen Freunden so­ wie meiner Freundin Tatjana verpflichtet, die mich während der Promotions­ zeit bedingungslos unterstützt, motiviert und gefördert haben. Passau, Juni 2019

Martin Scheurer

Inhaltsübersicht Einleitung 

23

Erster Teil

Grundlagen 

27

Kapitel 1

Zum Begriff der informationellen Selbstbestimmung 

27

A. Das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 B. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Kapitel 2

Die Neuordnung des Datenschutzrechts durch die DSGVO 

40

A. Die Rechtssetzung durch die Europäische Union . . . . . . . . . . . . . . . . . . . . . . . 41 B. Die Einordnung der DSGVO im Gefüge des Unionsrechts . . . . . . . . . . . . . . . 47 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Zweiter Teil



Das Konzept der informationellen Selbstbestimmung nach den Vorgaben der DSGVO 

67

Kapitel 1

Die autonome Auslegung der DSGVO nach den Vorgaben des Unionsrechts 

67

A. Die primärrechtskonforme und autonome Auslegung des Sekundärrechts . . . 69 B. Die (weiteren) Auslegungskriterien des EuGH . . . . . . . . . . . . . . . . . . . . . . . . . 72 C. Exkurs: Europäische Auslegungsgrundsätze bei nationalen Umsetzungsge­ setzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

10 Inhaltsübersicht Kapitel 2

Die Charta als Prüfstein der Anwendung und Auslegung der DSGVO 

80

A. Der Schutz personenbezogener Daten, Art. 8 der Charta  . . . . . . . . . . . . . . . . 82 B. Die Achtung des Privat- und Familienlebens, Art. 7 der Charta  . . . . . . . . . . 93 C. Ergebnis und Abgleich mit der grundrechtlich garantierten informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Dritter Teil



Die Einwilligung – Voraussetzungen und Umsetzungsmöglichkeiten nach den Vorgaben der DSGVO 

116

Kapitel 1

Die DSGVO als Rechtsrahmen der datenschutzrechtlichen Einwilligungserklärung 

117

A. Die Anwendbarkeit der DSGVO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 B. Auswirkungen auf derzeitige Bestimmungen zur Einwilligungserklärung nach dem nationalen Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Kapitel 2

Die persönlichen Einwilligungsvoraussetzungen  

130

A. Die Einwilligungsberechtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 B. Die Einwilligungsfähigkeit nach den Vorgaben der DSGVO . . . . . . . . . . . . . 136 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Kapitel 3

Die formellen Einwilligungsvoraussetzungen 

157

A. Zeitliche Aspekte der Einwilligungserklärung . . . . . . . . . . . . . . . . . . . . . . . . . 157 B. Die Form- und Transparenzvorgaben der DSGVO . . . . . . . . . . . . . . . . . . . . . 159 C. Die Nachweispflichten im Rahmen der Erteilung der Einwilligungserklä­ rung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Inhaltsübersicht11 Kapitel 4

Die materiellen Einwilligungsvoraussetzungen 

208

A. Das Gebot der materiellen Transparenz – Die Bestimmtheit, Art. 4 Nr. 11 i. V. m. Art. 6 Abs. 1 Satz 1 lit. a DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 B. Das Gebot der Informiertheit, Art. 4 Nr. 11 i. V. m. Art. 7 DSGVO . . . . . . . . . 215 C. Das Gebot der Freiwilligkeit unter besonderer Berücksichtigung der Vorga­ ben des Art. 7 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 D. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Vierter Teil

Schlussbetrachtung 

331

Kapitel 1

Zusammenfassende Thesen 

331

Kapitel 2 Schlussbemerkung 

342

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Inhaltsverzeichnis Einleitung 

23

Erster Teil

Grundlagen 

27

Kapitel 1

Zum Begriff der informationellen Selbstbestimmung 

A. Das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Der Schutzbereich des informationellen Selbstbestimmungsrechts . . . . . 1. Die Abwehrdimension der informationellen Selbstbestimmung . . . . . 2. Die Gewährleistungsdimension der informationellen Selbstbestim­ mung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Eingriffe in das informationelle Selbstbestimmungsrecht . . . . . . . . . . . . 1. Allgemeine Eingriffe in das informationelle Selbstbestimmungs­ recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die Einwilligungserklärung als Grundrechtsverzicht? . . . . . . . . . . . . . III. Das informationelle Selbstbestimmungsrecht im nicht-öffentlichen Bereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die abwehrrechtliche Dimension der Grundrechte . . . . . . . . . . . . . . . 2. Die Schutzpflichtendimension der Grundrechte  . . . . . . . . . . . . . . . . .

27

28 29 30 31 33 33 34 35 36 36

B. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Kapitel 2

Die Neuordnung des Datenschutzrechts durch die DSGVO 

40

A. Die Rechtssetzung durch die Europäische Union . . . . . . . . . . . . . . . . . . . . . . . 41 I. Das Unionsrecht als supranationale Rechtsordnung . . . . . . . . . . . . . . . . . 41 II. Das Rechtsquellensystem des Unionsrechts . . . . . . . . . . . . . . . . . . . . . . . 43 B. Die Einordnung der DSGVO im Gefüge des Unionsrechts . . . . . . . . . . . . . . . 47 I. Die Kompetenznorm zum Erlass der DSGVO – Art. 16 Abs. 2 AEUV . 47

14 Inhaltsverzeichnis 1. Vorschriften über den Schutz natürlicher Personen bei der Verarbei­ tung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 2. Vorschriften über den freien Datenverkehr . . . . . . . . . . . . . . . . . . . . . 48 II. Die Wahl der Rechtsform im Gesetzgebungsverfahren . . . . . . . . . . . . . . 51 1. Ein Gesamtkonzept für den Datenschutz in der EU . . . . . . . . . . . . . . 52 2. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert . . . . . . 53 3. Beibehaltung des Verordnungscharakters im weiteren Gesetz­ gebungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 III. Die Festsetzung des Normcharakters in den Vorgaben der DSGVO . . . . 57 1. Die Erwägungsgründe der DSGVO als Erkenntnisquelle . . . . . . . . . . 58 2. Die Vorgaben der Erwägungsgründe der DSGVO . . . . . . . . . . . . . . . . 61 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Zweiter Teil



Das Konzept der informationellen Selbstbestimmung nach den Vorgaben der DSGVO 

67

Kapitel 1

Die autonome Auslegung der DSGVO nach den Vorgaben des Unionsrechts 

67

A. Die primärrechtskonforme und autonome Auslegung des Sekundärrechts . . . 69 B. Die (weiteren) Auslegungskriterien des EuGH . . . . . . . . . . . . . . . . . . . . . . . . . I. Die begrenzte Wirkmacht der Wortlautauslegung im Unionsrecht . . . . . II. Die historische Auslegung im Unionsrecht . . . . . . . . . . . . . . . . . . . . . . . . III. Systematik sowie Sinn und Zweck der Norm als maßgebliche Ausle­ gungskriterien  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

72 72 74 75

C. Exkurs: Europäische Auslegungsgrundsätze bei nationalen Umsetzungsge­ setzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 I. Überblick über die Positionen des EuGH und des Bundesverfassungs­ gerichts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 II. Konsequenzen für die nationalen Umsetzungsmaßnahmen im Bereich des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Kapitel 2

Die Charta als Prüfstein der Anwendung und Auslegung der DSGVO 

80

A. Der Schutz personenbezogener Daten, Art. 8 der Charta  . . . . . . . . . . . . . . . . 82 I. Der Schutzbereich des Art. 8 Abs. 1 der Charta . . . . . . . . . . . . . . . . . . . . 83 1. Sekundärrechtliche Begriffsbestimmung – Verstoß gegen das Gebot des Vorrangs des Primärrechts? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Inhaltsverzeichnis15 2. Der sachliche Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Die DSGVO als Bezugspunkt der Auslegung . . . . . . . . . . . . . . . . b) Das personenbezogene Datum im Sinne des Art. 4 Nr. 1 ­DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Der persönliche Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Eingriffe in das Grundrecht auf Schutz personenbezogener Daten, Art. 8 Abs. 2 der Charta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die Verarbeitung personenbezogener Daten als Eingriff in das Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die Einwilligung als eingriffsausschließender Tatbestand . . . . . . . . .

84 85 86 90 90 91 92

B. Die Achtung des Privat- und Familienlebens, Art. 7 der Charta  . . . . . . . . . . 93 I. Anwendbarkeit und Abgrenzung zu Art. 8 der Charta . . . . . . . . . . . . . . . 94 II. Der Schutzbereich der Norm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 1. Die Achtung des Privatlebens, Art. 7 Var. 1 der Charta . . . . . . . . . . . 97 a) Der Wortlaut – Zum Begriff Privatheit . . . . . . . . . . . . . . . . . . . . . 98 aa) Privatheit als Kontrollkonzept . . . . . . . . . . . . . . . . . . . . . . . . . 98 bb) (Informationelle) Privatheit und Digitalisierung . . . . . . . . . . . 100 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 b) Systematisch / teleologische Erwägungen: Das Recht auf Achtung des Privatlebens in Art. 8 EMRK  . . . . . . . . . . . . . . . . . . . . . . . . . 103 aa) Das Privatleben im Sinne des Art. 8 Abs. 1 Var. 1 EMRK . . 104 bb) Der Datenschutz als Konkretisierung des Privatlebens . . . . . 106 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 c) Historische Grundlagen: „The Right to be let alone“  . . . . . . . . . . 108 2. Die Achtung der Kommunikation, Art. 7 Var. 4 der Charta . . . . . . . . 109 III. Eingriffe in die Schutzdimensionen des Art. 7 der Charta . . . . . . . . . . . . 111 1. Eingriffe in das Recht auf Achtung des Privatlebens . . . . . . . . . . . . . 111 a) Die Erhebung personenbezogener Daten als qualifizierter Ein­ griff in das Privatleben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 b) Die Verarbeitung der personenbezogenen Daten als weitergehen­ der Eingriff in das Privatleben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 2. Eingriffe in das Recht auf Achtung der Kommunikation . . . . . . . . . . 113 C. Ergebnis und Abgleich mit der grundrechtlich garantierten informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

16 Inhaltsverzeichnis Dritter Teil



Die Einwilligung – Voraussetzungen und Umsetzungsmöglichkeiten nach den Vorgaben der DSGVO 

116

Kapitel 1

Die DSGVO als Rechtsrahmen der datenschutzrechtlichen Einwilligungserklärung 

A. Die Anwendbarkeit der DSGVO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Abgrenzung zu den Vorgaben der e-Privacy-VO in der Fassung des Kommissionsentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zielrichtung der e-Privacy-VO in der Fassung des Kommissions­ entwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Der Anwendungsbereich der e-Privacy-VO . . . . . . . . . . . . . . . . . . . . . a) Das Verhältnis zur DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Die Verarbeitung elektronischer Kommunikationsdaten bei elektronischen Kommunikationsdiensten, Art. 2 Abs. 1 Alt. 1 e-Privacy-VO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Schutz der Informationen in Bezug auf die Endeinrichtung der Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der sachliche Anwendungsbereich der DSGVO . . . . . . . . . . . . . . . . . . . III. Der räumliche Anwendungsbereich der DSGVO . . . . . . . . . . . . . . . . . . .

117 117 117 118 119 119 120 120 122 123 123 124

B. Auswirkungen auf derzeitige Bestimmungen zur Einwilligungserklärung nach dem nationalen Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 I. Die Möglichkeit zur Modifikation der Einwilligung bei besonderen Kategorien personenbezogener Daten, Art. 9 Abs. 2 lit. a DSGVO . . . . . 126 II. Die Möglichkeit zur Modifikation der Einwilligung im Kontext des Beschäftigtendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Kapitel 2

Die persönlichen Einwilligungsvoraussetzungen  

130

A. Die Einwilligungsberechtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 I. Die Einwilligung als höchstpersönliche Willensbekundung? . . . . . . . . . . 130 1. Wortlaut des Art. 4 Nr. 11 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 2. Systematische Erwägungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 3. Teleologische Erwägungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 II. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Inhaltsverzeichnis17 B. Die Einwilligungsfähigkeit nach den Vorgaben der DSGVO . . . . . . . . . . . . . I. Allgemeine Einwilligungsfähigkeit nach der DSGVO . . . . . . . . . . . . . . . II. Spezielle Vorgaben für Kinder bei Diensten der Informationsgesell­ schaft, Art. 8 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Verhältnis zu den allgemeinen Einwilligungsvoraussetzungen . . . . . . 2. Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Dienste der Informationsgesellschaft . . . . . . . . . . . . . . . . . . . . . . . aa) Einheitlicher sachlicher Anwendungsbereich trotz Verweis auf Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Das Kriterium der Entgeltlichkeit . . . . . . . . . . . . . . . . . . . . . . cc) Das Kriterium der elektronischen Übertragung . . . . . . . . . . . dd) Ausnahmen vom Anwendungsbereich . . . . . . . . . . . . . . . . . . . ee) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Das „direkte Angebot“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Alleinige Zielgruppenorientierung Kinder . . . . . . . . . . . . . . . bb) Alleinige Zielgruppenorientierung Erwachsene . . . . . . . . . . . cc) Keine eindeutige Zielgruppenorientierung  . . . . . . . . . . . . . . . c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Auswirkungen auf die Einwilligung des Kindes bei Eröffnung des Anwendungsbereiches des Art. 8 Abs. 1 DSGVO  . . . . . . . . . . . . . . . a) Nach Vollendung des 16. Lebensjahres, Art. 8 Abs. 1 Satz 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Vor Vollendung des 16. Lebensjahres, Art. 8 Abs. 1 Satz 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Einwilligung durch den Träger der elterlichen Verantwor­ tung, Art. 8 Abs. 1 Satz 2 Alt. 1 DSGVO . . . . . . . . . . . . . . . . bb) Einwilligung des Kindes mit Zustimmung des Trägers der elterlichen Verantwortung, Art. 8 Abs. 1 Satz 2 Alt. 2 ­DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

136 136 138 140 141 142 142 143 143 144 145 145 146 146 147 148 149 150 150 152 152 153

C. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Kapitel 3

Die formellen Einwilligungsvoraussetzungen 

157

A. Zeitliche Aspekte der Einwilligungserklärung . . . . . . . . . . . . . . . . . . . . . . . . . 157 B. Die Form- und Transparenzvorgaben der DSGVO . . . . . . . . . . . . . . . . . . . . . 159 I. Die unmissverständliche Willensbekundung . . . . . . . . . . . . . . . . . . . . . . . 159 1. Das Opt-Out-Verfahren als unmissverständliche Willensbekundung? . 160 a) Die rationale Entscheidung im Kontext der Einwilligungserklä­ rung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 aa) Grundlagen des Rationalmodells . . . . . . . . . . . . . . . . . . . . . . . 162

18 Inhaltsverzeichnis bb) Die rationale Einwilligungsentscheidung . . . . . . . . . . . . . . . . 163 cc) Zwischenergebnis: Die rationale Einwilligungserklärung . . . . 166 b) Tatsächliche Entscheidungen bei Abgabe der Einwilligungserklä­ rung im Rahmen des Opt-Out-Verfahrens . . . . . . . . . . . . . . . . . . . 166 c) Entscheidungserhebliche Faktoren bei der Ausgestaltung der Einwilligungserklärung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 aa) Fehlerquellen bei der Beurteilung der zugrundeliegenden Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 bb) Fehlerquellen bei der Entscheidungsfindung  . . . . . . . . . . . . . 171 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 2. Die grundsätzliche Zulässigkeit der konkludenten Einwilligungser­ klärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 3. Das Erfordernis der ausdrücklichen Erklärung in besonderen Ver­ arbeitungssituationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 II. Der Grundsatz des formfreien Erklärungsaktes . . . . . . . . . . . . . . . . . . . . 178 1. Die schriftliche Erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 a) Abkehr vom Grundsatz der Schriftform . . . . . . . . . . . . . . . . . . . . . 179 b) Die Ausgestaltung der schriftlichen Erklärung im Sinne der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 2. Die mündliche Erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 3. Die Erklärung auf elektronischem Wege . . . . . . . . . . . . . . . . . . . . . . . 182 a) Allgemeine Anforderungen an die elektronische Einwilligungs­ erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 b) Der Einsatz von „Personal Information Management Systems“ . . 184 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 III. Das Gebot der formellen Transparenz bei verbundenen Erklärungen, Art. 7 Abs. 2 Satz 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 1. Sinn und Zweck des formellen Transparenzgebots . . . . . . . . . . . . . . . 189 2. Anwendungsbereich der Norm  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 a) Einbeziehung weiterer Sachverhalte . . . . . . . . . . . . . . . . . . . . . . . . 189 b) Allgemeine Übertragbarkeit der Anforderungen auf vorformu­ lierte Einwilligungserklärungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 aa) Das Vorliegen einer planwidrigen Regelungslücke . . . . . . . . . 191 bb) Vergleichbare Interessenlage . . . . . . . . . . . . . . . . . . . . . . . . . . 192 3. Die verständliche und leicht zugängliche Form  . . . . . . . . . . . . . . . . . 193 4. Die klare und einfache Sprache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 a) Allgemeine Anforderungen an die klare und einfache Sprache . . 196 b) Besonderheiten bei kindlichen Adressatenkreisen . . . . . . . . . . . . . 198 c) Die Dichotomie zwischen klarer, einfacher Sprache und juris­ tisch erforderlicher Präzision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 5. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 C. Die Nachweispflichten im Rahmen der Erteilung der Einwilligungserklä­ rung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Inhaltsverzeichnis19 I. Die Nachweispflicht des Art. 7 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . II. Die Nachweispflichten im Rahmen des Anwendungsbereichs des Art. 8 DSGVO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anforderungen an den Grad des Nachweises  . . . . . . . . . . . . . . . . . . . 2. Angemessene Anstrengungen unter Berücksichtigung der verfüg­ baren Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

202 204 205 206 208

Kapitel 4

Die materiellen Einwilligungsvoraussetzungen 

A. Das Gebot der materiellen Transparenz – Die Bestimmtheit, Art. 4 Nr. 11 i. V. m. Art. 6 Abs. 1 Satz 1 lit. a DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Der Grundsatz der Zweckbindung im Rahmen der Einwilligungs­ erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Möglichkeiten der Abweichung vom Bestimmtheitsgrundsatz . . . . . . . . III. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

208

209 209 213 215

B. Das Gebot der Informiertheit, Art. 4 Nr. 11 i. V. m. Art. 7 DSGVO . . . . . . . . . 215 I. Der Mindestinformationsumfang – Das Informationsdefizit als Unter­ maßverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 II. Begrenzung durch Informationsaufnahmebeschränkungen der Betroffe­ nen  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 1. Subjektive Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 a) Die Problematik des „Information Overload“ . . . . . . . . . . . . . . . . 219 b) Unzureichendes Verständnis für komplexe Verarbeitungs­ vorgänge  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 aa) Warum Datenschutzerziehung? . . . . . . . . . . . . . . . . . . . . . . . . 222 bb) Allgemeine Pflicht zur Einbeziehung didaktischer Aspekte im Rahmen der Einwilligungserklärung? . . . . . . . . . . . . . . . . 225 2. Objektive Gegebenheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 III. Begrenzung durch Belange der Verantwortlichen  . . . . . . . . . . . . . . . . . . 229 1. Die Möglichkeit zur Einschränkung der Informationspflichten durch berechtigte Interessen des Verantwortlichen . . . . . . . . . . . . . . . . . . . . 230 a) Anwendbarkeit des Interessensausgleichs im Rahmen der Infor­ mationspflichten  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 b) Zum Begriff der berechtigten Interessen . . . . . . . . . . . . . . . . . . . . 232 2. Die Wahrung von Geschäftsgeheimnissen als berechtigtes Interesse des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 a) Die Wahrung des Geschäftsgeheimnisses als grundsätzliches Interesse des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 aa) Der Schutz des Geschäftsgeheimnisses auf primärrechtlicher Ebene  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

20 Inhaltsverzeichnis bb) Der Schutz des Geschäftsgeheimnisses auf sekundärrecht­ licher Ebene  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Die Wahrung des Geschäftsgeheimnisses als berechtigtes Inter­ esse im Rahmen der informierten Einwilligung . . . . . . . . . . . . . . . c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Das Prinzip der praktischen Konkordanz als Ausgleichsmechanis­ mus kollidierender Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Das Prinzip der praktischen Konkordanz nach Hesse . . . . . . . . . . b) Interessensausgleich im Kontext der Geschäftsgeheimnisse . . . . . aa) Bestimmung der Grundrechtskollision . . . . . . . . . . . . . . . . . . bb) Legitimes Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Geeignetheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Vertrauensbildende Maßnahmen als Risiko- und damit Informations­ minimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Vertrauen im Kontext des Datenschutzrechts  . . . . . . . . . . . . . . . . . . . a) Zum Begriff des Vertrauens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Übertragbarkeit auf datenschutzrechtliche Sachverhalte . . . . . . . . 2. Vertrauensbildende Maßnahmen zur Reduktion der Informations­ pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Transparente Verarbeitungsprozesse . . . . . . . . . . . . . . . . . . . . . . . . b) Zertifizierungsverfahren sowie korrespondierende Datenschutz­ siegel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Die praktische Ausgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Informationsbegrenzung durch den Einsatz von Bildsymbolen . . . . . . . . 1. Die Vorgaben der DSGVO – Anwendbarkeit im Kontext der ­Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Umsetzungsvorschläge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Anforderungen an ein gelungenes Datenschutzpiktogramm . . . . . b) Die praktische Ausgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Vorschlag des Europäischen Parlaments – Delegierte Rechtsakte der Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Privicons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Spielerisch selbstbestimmt – Informationsvermittlung durch den Einsatz spielerischer Mittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Grundlagen des Gamifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Begriffsbestimmung und Abgrenzung  . . . . . . . . . . . . . . . . . . . . . . aa) Die Integration spielerischer Elemente . . . . . . . . . . . . . . . . . . bb) Die Ausgestaltung im Sinne eines Spiel-Designs . . . . . . . . . .

236 238 241 241 242 244 245 246 246 247 248 251 252 252 253 254 257 258 260 264 271 271 273 274 275 277 277 279 281 282 283 283 285 286

Inhaltsverzeichnis21 cc) Die Platzierung innerhalb eines spielfremden Kontexts  . . . . 288 dd) „Zweckbindung“: Gamification als Werkzeug zur Problem­ lösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 b) Anwendungsbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 aa) Kontext Gesundheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 bb) Kontext Bildungswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 2. Die motivierende Wirkung gamifizierter Anwendungen auf den Spieler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 a) Zum Begriff der Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 b) Die motivierende Wirkung gamifizierter Anwendungen . . . . . . . . 300 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 3. Anwendbarkeit auf das System der datenschutzrechtlichen Einwilli­ gung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 a) Grundsätzliche Eignung des Datenschutzrechts zur Gamifizie­ rung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 b) Gamifizierte Elemente einer Einwilligungserklärung . . . . . . . . . . 306 aa) Das Ziel der gamifizierten Einwilligungserklärung . . . . . . . . 306 bb) Spezifische Spieldesign-Elemente im Anwendungsbereich der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 (1) Leicht integrierbare Spielelemente . . . . . . . . . . . . . . . . . . 308 (a) Das „doppelte Selbstbestimmungsrecht“ – Freiheit zur Wahl gamifizierter Einwilligungserklärungen . . . 308 (b) Der Einsatz eines Punktesystems im Kontext der Einwilligungserklärung . . . . . . . . . . . . . . . . . . . . . . . . 308 (c) Der Einsatz spezieller Achievements / Abzeichen im Kontext der Einwilligungserklärung . . . . . . . . . . . . . 310 (2) Weiterführende Elemente  . . . . . . . . . . . . . . . . . . . . . . . . . 312 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 VII. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 C. Das Gebot der Freiwilligkeit unter besonderer Berücksichtigung der Vorga­ ben des Art. 7 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 I. Grundlagen des Gebots der Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . 315 1. Freiwilligkeit als Freiheit, „Nein“ zu sagen . . . . . . . . . . . . . . . . . . . . . 315 2. Freiwilligkeit im Kontext evidenter Machtasymmetrien  . . . . . . . . . . 317 a) Grundsätzlich bedenkliche Machtgefälle . . . . . . . . . . . . . . . . . . . . 318 aa) Der Aspekt der Freiwilligkeit im Verhältnis Bürger-Staat . . . 318 bb) Der Aspekt der Freiwilligkeit innerhalb des Beschäftigungs­ verhältnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 cc) Der Aspekt der Freiwilligkeit innerhalb des Gesundheitswe­ sens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 b) Relevante Faktoren im Einzelfall . . . . . . . . . . . . . . . . . . . . . . . . . . 322 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

22 Inhaltsverzeichnis II. Das Koppelungsverbot des Art. 7 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . 1. Der Anwendungsbereich des Art. 7 Abs. 4 DSGVO . . . . . . . . . . . . . . a) Das Kriterium der Vertragserfüllung  . . . . . . . . . . . . . . . . . . . . . . . b) Abgrenzung zu den Vorgaben des Art. 6 Abs. 1 Satz 1 lit. b DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Umfang und Ausmaß . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

324 324 325 326 327 329

D. Zwischenfazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Vierter Teil

Schlussbetrachtung 

331

Kapitel 1

Zusammenfassende Thesen 

331

Kapitel 2 Schlussbemerkung 

342

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Einleitung Die Digitalisierung bestimmt zwischenzeitlich den Takt des Alltags, wobei die Schlagzahl technischer Innovationen rasant ansteigt. Die Entwicklung, Entfaltung und Ausgestaltung unserer Persönlichkeit wird digital und maß­ geblich datenbasiert abgewickelt. Im gleichen Maße werden die Stimmen laut, die der Privatheit in der „technisierten Informationsgesellschaft“1 kaum mehr Wert beimessen2 oder aber diese für verloren erklären3. Im besten Fall sei das Konzept der Privatheit altmodisch und fortschrittsfeindlich,4 im schlimmsten Fall Diebstahl5. Dabei stellt sich die Frage, ob die zunehmend komplexeren und umfassenderen Datenverarbeitungsvorgänge zwangsläufig zu einem Bedeutungsverlust der Privatheit, allem voran in Gestalt informati­ oneller Selbstbestimmung, führen müssen. Insbesondere im Kontext der Di­ gitalisierung sollte vielmehr die Frage auf der Hand liegen, ob und wie diese dazu genutzt werden kann, um die Datenkontrolle des Einzelnen effektiv und selbstbestimmt umzusetzen.6 Letzteres ist insbesondere mit Blick darauf, dass die Digitalisierung in Art und Umfang unumgänglich ist, die zukunfts­ orientierte, wenn nicht sogar die zwingend notwendige Maßnahme. Zentraler und legislativ novellierter Baustein zur Regulierung der „Macht der Datensammler“7 sowie zur Effektuierung digitaler Selbstbestimmung ist dabei die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO)8. Auch unter dem Regime der Verordnung bleibt die datenschutz­ rechtliche Einwilligungserklärung „ein entscheidender Pfeiler des Datenschut­ 1  So BVerfG, Urt. v. 09.02.2010  – 1 BvL 1 / 09 u. a.  – NJW 2010, 505 (508 Rn. 138). 2  Vgl. dazu etwa Heller, Post-Privacy. 3  Vgl. Prantl, DuD 2016, 347 (349); Grimm / Zöllner, Schöne neue Kommunika­ tionswelt oder Ende der Privatheit?; Schaar, Das Ende der Privatsphäre, S. 15 ff. 4  Vgl. dazu Cohen, Harvard Law Review 2013, 1904. 5  Nach Eggers, Der Circle: „Geheimnisse sind Lügen; Teilen ist Heilen; Alles Pri­ vate ist Diebstahl“, S. 346. 6  So bereits Heckmann, NJW 2012, 2631 (2634). 7  Dazu Morgenroth, Sie kennen dich! Sie haben dich! Sie steuern dich! Die wahre Macht der Datensammler. 8  Verordnung (EU) 2016 / 679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo­ gener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 / 46 / EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4. Mai 2016, S. 1.

24 Einleitung

zes“9, welcher den Betroffenen die Kontrolle über ihre personenbezogenen Daten ermöglichen soll. Die grundrechtliche Verankerung der Einwilligung in Art. 8 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union (Charta)10 als primären Rechtfertigungstatbestand sowie die entsprechende Platzierung in Art. 6 Abs. 1 Satz 1 lit. a DSGVO schaffen eine (zumindest auf absehbare Zeit) unumgängliche Rechtswirklichkeit, die es nunmehr um­ zusetzen gilt. Gerade mit Blick auf die zunehmende Ökonomisierung perso­ nenbezogener Daten sollte darin aber kein Verhinderungs-, sondern vielmehr ein Gestaltungsauftrag gesehen werden. Unter Berücksichtigung bestehender rechtlicher, insbesondere datenschutzrechtlicher Grundlagen ist die Herstel­ lung gerade dieser Konvergenz zwischen technischen und rechtlichen Inno­ vationen bei der Ausgestaltung entsprechender Einwilligungserklärungen das zentrale Anliegen dieser Arbeit. Zusammengefasst beruht der vorliegende Forschungsansatz damit auf der folgenden These: Im Kontext der Digitalisierung kann die Antizipation informationeller Selbstbestimmung insbesondere durch eine entsprechend digitale Modifikation der Einwilligungserklärung erfolgen. Das korrelierende Datenschutzrecht sollte in diesem Sinne weniger als Antagonist der zunehmend datengetriebenen Wirtschaft, sondern vielmehr als wichtiger Protagonist eines zukunftsorientierten, digitalisierten und grundrechtlich fundierten Europas identifiziert werden. Mit Blick auf die bereits angedeutete Neujustierung des grundrechtlichen Fluchtpunktes, untersucht die vorliegende Arbeit dabei zunächst die Grund­ lagen datenschutzrechtlicher Selbstbestimmung nach Geltung der DSGVO. Als Ausgangs- und Vergleichspunkt soll dazu auf das Konzept der informa­ tionellen Selbstbestimmung nach den Vorgaben des Grundgesetzes (GG) zu­ rückgegriffen werden. Wie in Kapitel 1 des ersten Teils der Arbeit dargestellt wird, bildet dieses – zusammen mit dem Schwestergrundrecht auf Gewähr­ leistung der Vertraulichkeit und Integrität informationstechnischer Systeme – die grundrechtliche Basis der bisher national gedachten datenschutzrecht­ lichen Selbstbestimmung. Unter Berücksichtigung der Besonderheiten der DSGVO soll daran anschließend gezeigt werden, dass die Grundverordnung für eine grundlegende und allem voran einheitliche Neuordnung des einfachaber auch grundrechtlichen Datenschutzes innerhalb Europas steht (Kapi­ tel 2). Darauf aufbauend widmet sich der zweite Teil der Arbeit dem europäi­ schen Grundrechte-Kanon unter besonderem Fokus auf die Charta. Mithin 9  Albrecht,

CR 2016, 88 (91). der Grundrechte der Europäischen Union, ABl. C 326 vom 26. Oktober 2012, S.  391 ff. 10  Charta

Einleitung25

werden die insofern maßgeblichen primärrechtlichen Vorgaben unter Einbe­ ziehung des deutschen Konzepts der informationellen Selbstbestimmung analysiert. Mit Blick auf die Spezifika der Methodik des Europäischen Ge­ richtshofs (EuGH) (Kapitel 1) sind die datenschutzrechtlich relevanten Be­ stimmungen des Art. 8 sowie des Art. 7 der Charta zu untersuchen (dazu Kapitel 2). Wenngleich die Charta nicht ausdrücklich auf das Konzept der informationellen Selbstbestimmung rekurriert, ist zu zeigen, dass auch der europäische Datenschutz den Schutz der Betroffenen, nicht aber den Schutz der Daten um ihrer selbst willen forciert. Vielmehr soll gezeigt werden, dass die Verschmelzung innovativer Datenschutzvorgaben mit dem historisch ge­ wachsenen Privatheits- beziehungsweise Persönlichkeitsschutz einen jeden­ falls vergleichbaren Grundrechtsschutz bietet. Den Schwerpunkt der Arbeit bildet sodann der dritte Teil, der sich umfas­ send mit der Frage auseinandersetzt, wie das Sekundärrecht der grundrecht­ lich fundierten Einwilligung zur Geltung verhilft. Dass es dabei maßgeblich auf die Vorgaben der DSGVO ankommt wird in Kapitel 1 aufgezeigt. Abseits der formellen und materiellen Einwilligungsvoraussetzungen ist vorab die Frage der Einwilligungsberechtigung grundlegend zu klären (dazu unter ­Kapitel 2). Neben der Frage, ob die Einwilligung als höchstpersönliche Er­ klärung einzuordnen ist, sollen dabei insbesondere die novellierten Vorgaben des Art. 8 DSGVO untersucht werden. Darauffolgend sind die formellen Anforderungen an den Einwilligungsprozess zu beleuchten, wobei neben dem Aufzeigen technischer Möglichkeiten zur Einholung der Einwilligung insbesondere darauf eingegangen werden soll, unter welchen Voraussetzun­ gen überhaupt von einer bewussten Einwilligung gesprochen werden kann. Dies soll insbesondere am Beispiel des „Opt-Out-Verfahrens“ gezeigt werden (Kapitel 3). Die Frage wie der Einwilligungsprozess im konkreten Fall ausgestaltet werden kann, wird sodann anhand der Ausführungen zu den materiellen Ein­ willigungsvoraussetzungen behandelt (Kapitel 4). Im Hinblick auf die mate­ riellen Anforderungen an die Einwilligungserklärung ist allem voran zu un­ tersuchen, welche Anforderungen an die Informiertheit zu stellen sind. Dabei ist insbesondere zu klären, ob mittels des Instruments der praktischen Kon­ kordanz sowie des Vertrauensschutzes die zu befürchtende und letztlich kontraproduktive Informationsüberflutung des Betroffenen verhindert werden kann. Stellvertretend für zahlreiche weitere denkbare Ansätze soll darüber hinaus analysiert werden, ob und gegebenenfalls wie spielerische („gamifizierte“) Mittel herangezogen werden können, um komplexe datenschutzrechtliche Sachverhalte in einer verständlichen, leicht zugänglichen Form in klarer und einfacher Sprache abzubilden. Dabei soll insbesondere gezeigt werden, dass

26 Einleitung

der grundsätzlich spielfremde Einwilligungskontext aufgrund der novellier­ ten datenschutzrechtlichen Anforderungen an die Einwilligungserklärung keineswegs (mehr) spielfeindlich ist. Vor dem Hintergrund der zunehmenden gesellschaftlichen Akzeptanz und wirtschaftlichen Relevanz der Computerund Videospiele soll daher geklärt werden, ob mit der Einbeziehung spieleri­ scher Elemente innerhalb der Einwilligungserklärung ein Mehr an Infor­ miertheit und Verständlichkeit für die gewünschte Datenverarbeitung erreicht werden kann. Abschließend ist das Merkmal der Freiwilligkeit, welches ebenfalls eine zentrale Rolle innerhalb des rechtskonformen Einwilligungsprozesses ein­ nimmt, zu untersuchen. Der Schwerpunkt der Arbeit liegt dabei freilich auf dem Gebot der Informiertheit. Die Schlussbetrachtungen im Rahmen des vierten Teils der Untersuchung führen die zentralen Erkenntnisse zusammen und beenden die Arbeit im Rahmen einer Schlussbemerkung.

Erster Teil

Grundlagen Kapitel 1

Zum Begriff der informationellen Selbstbestimmung Wenngleich sich das neugeordnete Datenschutzrecht, wie zu zeigen ist, allein an den Vorgaben des europäischen Primärrechts messen lassen muss, sind die Grundlagen der informationellen Selbstbestimmung in Deutschland als „Mutterland des Datenschutzes“1 zu suchen. Das Europarecht steht zwar einer unbesehenen Übernahme der deutschen Datenschutzdogmatik entgegen,2 als Orientierungsgrundlage ist diese allerdings von großem Wert.3 Insbesondere da der Einfluss der bisherigen Rechtsprechung des Bundesver­ fassungsgerichts auf die europäische Judikatur nicht zu vernachlässigen ist,4 ist ein grundlegendes Verständnis informationeller Selbstbestimmung nach den Vorgaben des Grundgesetzes unabdingbar. Das Konzept der informatio­ nellen Selbstbestimmung beschreibt demnach den Kerngedanken, das Rege­ lungsziel5 datenschutzrechtlicher Bestimmungen.6 Datenschutz hat nicht den Schutz des einzelnen Datums im Blick, sondern vielmehr die Entscheidungs­ freiheit des Einzelnen über den Umgang mit seinen Daten.7 Der informatio­ nell selbstbestimmte Betroffene soll in die Lage versetzt werden, autonom über seine Daten verfügen zu können. Das Recht auf informationelle Selbst­

Selmayr, ZD 2013, 525. dazu die Ausführungen unter Kapitel 2. 3  So auch Paal / Pauly, in: Paal / Pauly, DSGVO / BDSG, Einleitung Rn. 19. 4  Sandfuchs spricht von einem „faktischen Einfluss, den das deutsche Verfassungs­ recht (in seiner Auslegung durch das Bundesverfassungsgericht) auf das Europarecht hat […]“, vgl. Sandfuchs, Privatheit wider Willen? S. 61; so auch von Lewinski, Die Matrix des Datenschutzes, S. 44. 5  So von Lewinski, in: Eßer / Kramer / v. Lewinski (Hrsg.), Auernhammer – DSGVO /  BDSG, Einleitung Rn. 28. 6  Statt vieler Weichert, in: Däubler / Klebe / Wedde / Weichert, Bundesdatenschutzge­ setz, Einleitung Rn. 1; Roßnagel, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, Einleitung Rn. 4. 7  So bereits 1971 Steinmüller et al., Grundfragen des Datenschutzes, S. 48; für die DSGVO: Pötters, in: Gola, DSGVO, Art. 1 Rn. 7. 1  So

2  Vgl.

28

Erster Teil: Grundlagen

bestimmung ist daher die Leine, mittels derer die Datenkrake gebändigt werden soll, nicht das Schwert, um diese zu töten.8

A. Das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1  GG Bereits 1971, lange vor dem Karlsruher Urteil zur Volkszählung9, wurde der Datenschutz als der Schutz vor Beeinträchtigungen der autonomen Pri­ vatsphäre durch die öffentliche oder private Verwaltung definiert.10 Mithin kam es frühzeitig zur Definition der informationellen Selbstbestimmung als das zentrale Schutzgut des Datenschutzrechts.11 Wenngleich der Begriff des Datenschutzes zunächst eine andere Interpretation suggeriert, ist nicht der Verarbeitungsvorgang als solcher geschützt, sondern der von der Datenverar­ beitung betroffene Mensch.12 Letztlich ist Datenschutz Persönlichkeitsschutz durch Privatsphärenschutz13 oder mit den Worten Steinmüllers: Die „Infor­ mationsseite des Persönlichkeitsrechts“14. Bei der Entscheidung zur Überprüfung des Volkszählungsgesetzes legt das Bundesverfassungsgericht diesen Gedanken letztlich zugrunde und definiert den „grundrechtlichen Datenschutz“15 als Konkretisierung des allgemeinen Persönlichkeitsrechts im Sinne des Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Dieses umfasst nach der Überzeugung des Verfassungsgerichts, insbesondere unter den gegenwärtigen Bedingungen der automatisierten Datenverarbei­ 8  Anders Heller, Post-Privacy, S. 88, für den informationelle Selbstbestimmung bedeutet, „den Datendrachen [zu] töten, statt auf ihm zu reiten.“ 9  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419. 10  Steinmüller et al., Grundfragen des Datenschutzes – Gutachten im Auftrag des Bundesministeriums des Innern, BT-Drs. VI / 3826, S. 48. 11  Steinmüller et al. folgerten aus Art. 2 Abs. 1 GG ein Selbstbestimmungsrecht des Einzelnen darüber, welche Individualinformationen dieser unter welchen Umstän­ den an wen abgibt, vgl. Grundfragen des Datenschutzes – Gutachten im Auftrag des Bundesministeriums des Innern, BT-Drs. VI / 3826, S. 88. 12  von Lewinski, Die Matrix des Datenschutzes, S. 5. Anders hingegen die ersten deutschen Ansätze zur Regulierung des Datenschutzrechts, welche maßgeblich den Schutz der Verarbeiter nicht aber den der Betroffenen forcierten, vgl. m.  w.  N. Rüpke / v. Lewinski / Eckhardt, Datenschutzrecht, § 2 Rn. 53 ff.; Lorenz, in: Kahl / Wald­ hoff / Walter, Bonner Kommentar zum Grundgesetz, Art. 2 GG Rn. 138; Rudolf, in: Merten / Papier, Handbuch der Grundrechte Band IV, § 90 Rn. 8. 13  H. D. Horn, Schutz der Privatsphäre, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VI, § 149 Rn. 46; Schmitt Glaeser, Schutz der Privatsphäre, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VI (2. Aufl. 2001), § 129 Rn. 76, 77. 14  Vgl. Steinmüller, DuD 84, 91 (92). 15  So BVerfG, Urt. v. 27.06.1991 – 2 BvR 1493 / 89 – NJW 1991, 2129 (2132).



Kap. 1: Zum Begriff der informationellen Selbstbestimmung29

tung, die „[…] Befugnis des einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offen­ bart werden […].“16 Freilich war damals noch nicht absehbar, welches Ausmaß die moderne Datenverarbeitung annehmen würde. Weitsichtig17 erkannte das Bundesver­ fassungsgericht allerdings, dass mittels der automatischen Datenverarbeitung „in einer bisher unbekannten Weise die Möglichkeiten einer Einsicht- und Einflussnahme erweitert [werden], welche auf das Verhalten des einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen.“18 Prägnant stellt das Gericht fest, dass es „unter den Bedingun­ gen der automatischen Datenverarbeitung kein belangloses Datum mehr [gibt].“19 Wenn aber der Einzelne nicht mehr in der Lage ist, die ihn betref­ fenden Datenströme zu kontrollieren, kommt es zur Erosion seiner freiheit­ lichen Entscheidungsgewalt.20 Die quantitative Zunahme der Datenverarbei­ tung erfordert daher nach Ansicht des Bundesverfassungsgerichts eine quali­ tative Aufwertung und Erweiterung des nicht abschließend definierten Per­ sönlichkeitsrechts21. I. Der Schutzbereich des informationellen Selbstbestimmungsrechts Die Möglichkeiten der automatisierten Datenverarbeitung führen dazu, dass bereits eine datenbedingte Gefährdungslage für die Persönlichkeitsentwick­ lung zur Eröffnung des Schutzbereichs der informationellen Selbstbestim­ mung führen kann.22 Mithin ist eine konkrete Gefahr für das betroffene Rechtsgut im Kontext der elektronischen Datenverarbeitung und dessen Cha­ rakteristika nicht erforderlich.23 Im Gegensatz zu der allgemeinen Dogmatik des Persönlichkeitsrechts ist das informationelle Selbstbestimmungsrecht als ein „äußerst schneidiges abstraktes Gefährdungsdelikt“24 ausgestaltet. 16  BVerfG,

Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (421). Datenschutzrecht, S. 73 Rn. 152 sprechen von einer visionären Reaktion des Bundesverfassungsgerichts im „Lochkarten-Zeitalter“. 18  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (421, 422). 19  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (422). 20  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (422). 21  Vgl. zu Umfang und Ausgestaltung des allgemeinen Persönlichkeitsrechts nach den Vorgaben des Grundgesetzes u. a. BVerfG Beschl. v. 03.06.1980 – 1 BvR 185 / 77  – NJW 1980, 2070 (2071); Di Fabio, in: Maunz / Dürig, Grundgesetz-Kom­ mentar, Art. 2 Rn. 147 ff. 22  BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074 / 07 – NJW 2008, 1505 (1506 Rn. 64). 23  BVerfG, Urt. v. 11.03.2008 – 1 BvR 2074 / 07 – NJW 2008, 1505 (1506 Rn. 65). 24  So Peifer, JZ 2012, 851 (853); in diesem Sinne auch Krönke, Der Staat 55 (2016), 319 (343); kritisch hierzu: Bull, JZ 2017, 797 (799); Stentzel, PinG 2016, 45 (47). 17  Kühling / Seidel / Sivridis,

30

Erster Teil: Grundlagen

In Übereinstimmung mit dem zugrundeliegenden allgemeinen Persönlich­ keitsrecht lässt sich allerdings feststellen, dass auch das Recht auf informa­ tionelle Selbstbestimmung zwei wesentliche Kernbereiche beinhaltet,25 deren Bezugspunkt, gleichsam als „Gefahrenquelle“26, das personenbezogene Da­ tum ist. 1. Die Abwehrdimension der informationellen Selbstbestimmung Das allgemeine Persönlichkeitsrecht dient, auch in Gestalt der informatio­ nellen Selbstbestimmung, letztlich dem Schutz des Werts und der Würde des Grundrechtsträgers.27 Wenngleich die Einbeziehung der Menschenwürde programmatisch und nicht absolut zu verstehen ist,28 soll auch das allgemeine Persönlichkeitsrecht im Kern die Objektivierung des Einzelnen durch staat­ liches Handeln unterbinden.29 Die Gefahr der Verdinglichung des Einzelnen durch staatliches Handeln ist aber nicht nur eine Frage des Freiheitsentzugs30 oder eines theoretischen Flugzeugabschusses31. Wesentlich subtiler besteht bei automatischen Datenverarbeitungsprozessen die Gefahr der Disposition über die Menschenwürde im Sinne einer „digitalisierten Entmenschlichung“.32 Es bedarf daher einer „normativen Barriere“ gegen die Degradierung des Einzelnen zum „Informationsobjekt“.33 Zu diesem Zweck gewährleistet das Recht auf informationelle Selbstbestimmung den „Schutz des einzelnen ge­ gen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe per­ sönlicher Daten“34. 25  Vgl. Lindner, Die datenschutzrechtliche Einwilligung, S. 46; Gersdorf, in: Gers­ dorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG Rn. 17; zur Differen­ zierung innerhalb des allgemeinen Persönlichkeitsrechts: Dreier, in: Dreier, Grundge­ setz Kommentar Band 1, Art. 2 Rn. 71. 26  So Grimm, JZ 2013, 585 (586). 27  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (421). 28  Dreier, in: Dreier, Grundgesetz Kommentar Band 1, Art. 2 Rn. 69 sieht in dem Menschenwürde-Bezug eine Leit- und Auslegungsrichtlinie bezüglich des allgemei­ nen Persönlichkeitsrechts; so auch Di Fabio, in: Maunz / Dürig, Grundgesetz-Kom­ mentar, Art. 2 Rn. 127. 29  Zur Objektformel m. w. N. Herdegen, in: Maunz / Dürig, Grundgesetz-Kommen­ tar, Art. 1 Rn. 36 ff. 30  BVerfG, Urt. v. 21.06.1977 – 1 BvL 14 / 76 – NJW 1977, 1525 (1526). 31  BVerfG, Urt. v. 15.02.2006 – 1 BvR 357 / 05. 32  Vgl. dazu bereits die Ausführungen des sog. Mikrozensus-Beschlusses: „Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlich­ keit zu registrieren und zu katalogisieren […]“ – BVerfG, Beschl. v. 16.07.1969 – NJW 1969, 1707. 33  So Simitis, NJW 1984, 398 (399). 34  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (422).



Kap. 1: Zum Begriff der informationellen Selbstbestimmung31

In dieser Ausgestaltung stellt das Grundrecht auf informationelle Selbstbe­ stimmung ein klassisches Abwehrrecht gegen die Einsichtnahme des Staates in die digitalisierte Persönlichkeit der Betroffenen dar.35 Dabei gilt es jedoch im Auge zu behalten, dass das primäre Wesen der informationellen Selbstbe­ stimmung die Möglichkeit zur Persönlichkeitsentfaltung im Kontext der Da­ tenverarbeitung ist.36 Die Einbeziehung der Menschenwürde und die daraus resultierende Abwehrfunktion der informationellen Selbstbestimmung dürfen daher grundsätzlich nicht zu dem Ergebnis führen, bestimmte Verhaltenswei­ sen des Betroffenen per se zu unterbinden.37 Vielmehr soll die Einschränkung externer Verarbeitungsvorgänge stets der Erhaltung interner persönlichkeits­ bildender Freiräume dienen.38 2. Die Gewährleistungsdimension der informationellen Selbstbestimmung Kernfunktion informationeller Selbstbestimmung ist „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“39. Der zentrale Gedanke informationeller Selbstbestimmung ist der Schutz individueller Datendispositionen, indem die „Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlun­ gen einschließlich der Möglichkeit […], sich auch entsprechend dieser Ent­ scheidung tatsächlich zu verhalten“40, eingeräumt wird. Dadurch soll dem zugrundeliegenden Schutzgut der autonomen Persönlichkeitsentwicklung auch unter den Bedingungen moderner Datenverarbeitung Rechnung getra­ gen werden.41 Wenngleich das Bundesverfassungsgericht davon spricht, dass es kein „be­ langloses Datum“ mehr geben kann, verdeutlichen bereits die aufgezeigten Schutzdimensionen, dass allein personenbezogene Daten dem Schutzbereich unterfallen können.42 Vor dem Hintergrund, dass die informationelle Selbst­ 35  Rudolf, Recht auf informationelle Selbstbestimmung, in: Merten / Papier (Hrsg.), Handbuch der Grundrechte Band IV, § 90 Rn. 2. 36  Kutscha, in: Kutscha / Thomé (Hrsg.), Grundrechtsschutz im Internet?, S. 28. 37  Trute, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, Verfassungsrechtliche Grundlagen Rn. 48; Sandfuchs, Privatheit wider Willen?, S. 131. 38  von Lewinski, Die Matrix des Datenschutzes, S. 46. 39  Jüngst BVerfG, Beschl. v. 20.12.2016  – 2 BvR 1541 / 15  – NJW 2017, 1014 (1015 Rn. 16); BVerfG,  Urt. v. 19.04.2016  – 1 BvR 3309 / 13  – NJW 2016, 1939 (1942 Rn. 56); erstmals: BVerfG, Urt.  v. 15.12.1983  – 1 BvR 209 / 83  – NJW 1984, 419 (422). 40  BVerfG, Urt. v. 15.12.1983 – 1 BvR 209 / 83 – NJW 1984, 419 (422). 41  Grimm, JZ 2013, 585; Hermstrüwer, Informationelle Selbstgefährdung, S. 33. 42  Di Fabio, in: Maunz / Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 177; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG Rn. 19; a. A.

32

Erster Teil: Grundlagen

bestimmung letztlich ein Teilaspekt des allgemeinen Persönlichkeitsrechts ist, kann der Schutzbereich nur solche Daten umfassen, die tatsächlich mit der Persönlichkeit des Betroffenen in Zusammenhang stehen.43 Sofern ein Personenbezug allerdings gegeben ist oder hergestellt werden kann, ist die Art der Daten, anders als bei der etwa in den Mediengrundrechten einschlä­ gigen Sphärentheorie44, nicht mehr entscheidend.45 Der Einzelne ist nicht mehr von der Determinierung einzelner Sphären durch Staat, Justiz oder Wissenschaft abhängig; er kann grundsätzlich selbstbestimmt (mittels seiner Einwilligung) entscheiden, welche personenbezogenen Daten in welchem Kontext verfügbar sind.46 Im Schutzbereich der informationellen Selbstbe­ stimmung gibt es in der Konsequenz kein „belangloses personenbezogenes Datum“.47 Damit konstituiert die informationelle Selbstbestimmung letztlich die Möglichkeit, externe Informationsflüsse zu kontrollieren, um so interne Freiräume zur Persönlichkeitsentwicklung erhalten beziehungsweise aus­ bauen zu können.48 Die Datenherrschaft des Einzelnen ist jedoch nicht uneingeschränkt ge­ währleistet. Insbesondere folgt aus der grundrechtlichen Gewährleistung informationeller Selbstbestimmung kein „unbeschränktes dingliches Herr­ ­ schaftsrecht“49 über die eigenen personenbezogenen Daten. Der entspre­ chende Ausgleich erfolgt anhand datenschutzrechtlicher Normierungen, die einerseits der „Gefahrenabwehr“ insbesondere IT-bedingter Missbrauchsrisi­ ken dienen, andererseits dem Konnex zwischen Digitalisierung und Daten­ verarbeitung Rechnung tragen.50 wohl: Kühling / Seidel / Sivridis, Datenschutzrecht, S. 73 Rn. 151, welche den Schutz­ bereich der informationellen Selbstbestimmung denkbar weit auslegen. 43  Grimm, JZ 2013, 585 (586); Stern, in: Stern, Das Staatsrecht der Bundesrepu­ blik Deutschland Band IV / 1, § 99, S. 233. 44  Vgl. dazu Nebel, ZD 2015, 517 (519); allgemein zur Abgrenzung beider Rechts­ institute vgl. Albers, Informationelle Selbstbestimmung, S. 275 f.; für die Heranzie­ hung einer Form der Stufentheorie: Stark, in: Mangoldt / Klein / Stark, Kommentar zum Grundgesetz Band I, Art. 2 Rn. 118. 45  BVerfG, Urt. v. 15.12.1983  – 1 BvR 209 / 83  – NJW 1984, 419 (421, 422); Simitis, in: Simitis, Bundesdatenschutzgesetz, Einleitung Rn. 34; Weichert, in: Däubler /  Klebe / Wedde / Weichert, Bundesdatenschutzgesetz, Einleitung Rn. 11. 46  Geminn / Roßnagel, JZ 2015, 703 (707). 47  So ausdrücklich BVerfG Beschl. v. 13.06.2007  – 1 BvR 1550 / 03 u. a.  – NJW 2007, 2464 (2466 Rn. 88); ausführlich dazu mit weiteren Nachweisen Albers, Infor­ mationelle Selbstbestimmung, S. 159. 48  Hermstrüwer, Informationelle Selbstgefährdung, S. 34. 49  BVerfG, Beschl. v. 28.07.2016 – 1 BvR 335 / 14 u. a. – NJW 2017, 466 (467). 50  Schaar, Der Funktionswandel des Datenschutzes, in: Mehde / Ramsauer / Seckel­ mann (Hrsg.), Staat, Verwaltung, Information – Festschrift für Hans Peter Bull, S. 1058.



Kap. 1: Zum Begriff der informationellen Selbstbestimmung33

II. Eingriffe in das informationelle Selbstbestimmungsrecht Zur Beantwortung der Frage, ob und unter welchen Umständen in das Grundrecht auf informationelle Selbstbestimmung eingegriffen werden kann, ist zunächst darauf einzugehen, wann grundsätzlich von einem entsprechen­ den Eingriff auszugehen ist (dazu unter 1.). In diesem Kontext ist die daten­ schutzrechtliche Einwilligung gesondert zu untersuchen (dazu unter 2.). 1. Allgemeine Eingriffe in das informationelle Selbstbestimmungsrecht Grundlegend gilt, dass jede staatliche Form der Verarbeitung personenbe­ zogener Daten, welche nicht auf einer Einwilligung beruht (dazu sogleich), als Eingriff in das informationelle Selbstbestimmungsrecht zu werten ist.51 Im Sinne des modernen (weiten) Eingriffsverständnisses52 genügt eine dem Betroffenen nicht bekannte und damit nicht kontrollierbare Datenverarbei­ tung, um in dessen informationelle Selbstbestimmung einzugreifen.53 Mithin kommen die klassischen Eingriffsmerkmale der Finalität und Unmittelbarkeit im Bereich des informationellen Selbstbestimmungsrechts selten zum Tra­ gen.54 Für den Fall, dass die entsprechenden personenbezogenen Daten bereits vorab veröffentlicht und somit allgemein zugänglich sind, ist zu differenzie­ ren. In steter Rechtsprechung geht das Bundesverfassungsgericht davon aus, dass auch staatliche Stellen diese grundsätzlich zur Kenntnis nehmen dürfen, ohne dass ein Eingriff in das informationelle Selbstbestimmungsrecht vor­ liegt.55 Die Eingriffsqualität wird hingegen dann erreicht, „wenn die aus öf­ fentlich zugänglichen Quellen stammenden Daten durch ihre systematische Erfassung, Sammlung und Verarbeitung einen zusätzlichen Aussagewert er­ halten, aus dem sich die für das Grundrecht auf informationelle Selbstbe­ stimmung spezifische Gefährdungslage für die Freiheitsrechte oder die Pri­ vatheit des Betroffenen ergibt.“56 Selbiges gilt für den Fall, dass die betrof­ 51  Brink,

in: Wolff / Brink, BeckOK Datenschutzrecht, Verfassungsrecht Rn. 82. einer Eingriffsbejahung bei jeglicher Verkürzung grundrechtlich geschütz­ ter Verhaltensweisen durch staatliches Handeln, vgl. dazu m. w. N. Voßkuhle, JuS 2009, 313. 53  Simitis, in: Simitis, Bundesdatenschutzgesetz, § 1 Rn. 80; kritisch hierzu Albers, Informationelle Selbstbestimmung, S. 164. 54  Di Fabio, in: Maunz / Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 55  Vgl. BVerfG, Beschl. v. 10.03.2008 – 1 BvR 2388 / 03 – NJW 2008, 2099 (2100 Rn. 66); BVerfG, Beschl. v. 21.06.2016  – 2 BvR 637 / 09  – NJOZ 2017, 599 (600 Rn. 31); Di Fabio, in: Maunz / Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 56  BVerfG, Beschl. v. 10.03.2008  – 1 BvR 2388 / 03  – NJW 2008, 2099 (2100 Rn. 66). 52  Also

34

Erster Teil: Grundlagen

fene Person personenbezogene Daten unmittelbar in die Öffentlichkeit trägt. Auch innerhalb des öffentlichen Raums schützt das informationelle Selbst­ bestimmungsrecht;57 ein Eingriff ist jedoch regelmäßig erst dann zu bejahen, wenn die erhobenen personenbezogenen Daten „[…] Grundlage weiterer Maßnahmen werden […]“58. 2. Die Einwilligungserklärung als Grundrechtsverzicht? Für den Fall, dass der Schutzbereich eines Grundrechts berührt wird, kann die Eingriffsqualität letztlich dennoch verneint werden, wenn der Grund­ rechtsträger auf die Ausübung seines Grundrechts aktiv verzichtet.59 Dem liegt die Vorstellung zugrunde, dass ein Eingriff stets gegen den (hypotheti­ schen oder tatsächlichen) Willen des Betroffenen erfolgt, im Umkehrschluss allerdings zu verneinen ist, wenn ein solcher gerade nicht gegeben ist.60 Der Verzicht gestaltet sich dabei als freiwillige grundrechtsverkürzende Disposition durch die Einwilligung des Grundrechtsträgers.61 In Abgrenzung zur bloßen Nichtausübung grundrechtlich gewährleisteter Freiheiten ent­ scheidet sich der Verzichtende bewusst im Sinne eines „Grundrechtsaus­ übungsverzichts“ für eine Begrenzung seiner Grundrechte.62 Da mittels der datenschutzrechtlichen Einwilligungserklärung nicht nur die Verfügungsbe­ fugnis über personenbezogene Daten wahrgenommen, sondern zugleich auch der grundsätzliche Schutz dieser Daten vor der Verarbeitung aufgegeben wird, wird teils vertreten, dass es sich dabei um eine Form des Grundrechts­ verzichts handelt.63 Mit Blick auf den grundrechtlichen Gehalt der datenschutzrechtlichen Ein­ willigungserklärung lässt sich allerdings feststellen, dass der Schwerpunkt der Erklärung weniger der bewusste „Verzicht“ auf den Schutzgehalt, als vielmehr die bewusste Ausübung datenschutzrechtlicher Selbstbestimmung 57  BVerfG,

Beschl. v. 23.02.2007 – 1 BvR 2368 / 06 – NVwZ 2007, 688 (690). Urt. v. 11.03.2008  – 1 BvR 2074 / 05, 1 BvR 1254 / 07  – NJW 2008, 1505 (1507 Rn. 69). 59  Voßkuhle, JuS 2009, 313 (314). 60  Dreier, in: Dreier, Grundgesetz-Kommentar, Vorb. Rn. 129. 61  Bethge, Wahrnehmung, Verzicht, Verwirkung, in: Handbuch des Staatsrechts Band 9, § 203 Rn. 92, 93. 62  Bethge, Wahrnehmung, Verzicht, Verwirkung, in: Handbuch des Staatsrechts Band 9, § 203 Rn. 92 ff. m. w. N. 63  Geiger, NVwZ 1989, 35 (37); Wybitul, in: Wybitul, Handbuch EU-DatenschutzGrundverordnung, Art. 7 DSGVO Rn. 3; Pötters, Grundrechte und Beschäftigten­ datenschutz, S. 97; vgl. dazu auch Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 70. 58  BVerfG,



Kap. 1: Zum Begriff der informationellen Selbstbestimmung35

ist.64 Allem voran gewährt das Instrument der Einwilligung dem Einzelnen die Befugnis, tatsächlich über seine personenbezogenen Daten zu verfügen und stellt somit das maßgebliche Kontroll- und damit Ausübungsinstrument informationeller Selbstbestimmung dar.65 Insbesondere mit Blick auf die zunehmende Bedeutung der Inszenierung und Darstellung der eigenen Persönlichkeit in sozialen Netzwerken wie Face­book, Instagram oder Snapchat ist eine Veröffentlichung personenbezo­ gener Daten gerade kein Grundrechtsverzicht, sondern bewusstes und moder­ nes Ausleben grundgesetzlich garantierter Freiheit.66 Informationelle Selbst­ bestimmung garantiert im Grundsatz eben auch die Freiheit zum „informa­ tionellen Exhibitionismus“67. Unabhängig davon, ob extensiv oder zurück­ haltend, ist die gesellschaftliche Interaktion des Grundrechtsträgers der Grundpfeiler der Persönlichkeitsentfaltung.68 Freilich kann dies nur unter den Voraussetzungen einer vorab eingeholten, rechtskonformen Einwilligungserklärung gewährleistet werden. Deren Vor­ aussetzungen, insbesondere im Kontext der Digitalisierung, sind Gegenstand der weiteren Ausführungen dieser Arbeit. III. Das informationelle Selbstbestimmungsrecht im nicht-öffentlichen Bereich Soweit auf des Grundrecht informationeller Selbstbestimmung innerhalb des nicht-öffentlichen Bereichs rekurriert werden soll, ist zwischen der ab­ wehrrechtlichen (dazu unter 1.) und der schutzpflichtbegründenden Dimen­ sion (dazu unter 2.) des Grundrechts zu unterscheiden.

64  So auch Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 70; Hermstrüwer, Informationelle Selbstgefährdung, S. 72. 65  Statt vieler Simitis, der die Einwilligung als „manifestes Zeichen […] verfas­ sungsrechtlich [garantierter informationeller] Selbstbestimmung“ bezeichnet, vgl. Simitis, in: Simitis, Bundesdatenschutzgesetz, §4a BDSG a. F. Rn. 2; Kühling, in: Wolff /  Brink, BeckOK Datenschutzrecht, § 4a BDSG a. F. Rn. 28; Ingold konstatiert selbiges für die Vorgaben des europäischen Primärrechts, vgl. Ingold, in: Sydow, ­DSGVO, Art. 7 Rn. 10. 66  Vgl. Fünfter Zwischenbericht der Enquete-Kommission „Internet und digitale Gesellschaft“, BT-Drs. 17 / 8999, S. 37. 67  In Anlehnung an Petri, Tätigkeitsbericht des bayerischen Datenschutzbeauftrag­ ten 2008, Punkt 2.2, der einer „informationellen Selbstentblößung“ der Betroffenen einen Schutzauftrag des Staates entgegensetzen möchte; kritisch dazu: Sandfuchs, Privatheit wider Willen?, S.  116 ff. m. w. N. 68  Klement, JZ 2017, 161 (168).

36

Erster Teil: Grundlagen

1. Die abwehrrechtliche Dimension der Grundrechte „Klassisch“ gilt, dass die Grundrechte des Grundgesetzes in erster Linie als subjektive Abwehrrechte des Bürgers gegen den Staat konzipiert sind („status negativus der Grundrechte“69).70 Als konsequente Ableitung aus den Schrecken des totalitären NS-Regimes kommt dieser Ausformung nach wie vor eine – wenn nicht die – prägende Rolle zu.71 Grundrechtsverpflichtet ist daher, wie sich maßgeblich aus Art. 1 Abs. 3 GG ergibt, die staatliche Gewalt. Die (grundsätzlich) alleinige Verpflichtung der Staatsgewalt bedingt aber, dass die Grundrechte keine unmittelbare Wir­ kung zwischen den Grundrechtsberechtigten entfalten können.72 Daraus folgt jedoch keine generelle Unzulässigkeit staatlicher Eingriffe in grundrechtliche Schutzbereiche.73 Im Gegensatz zu der grundsätzlichen Freiheit der Bürger unterliegt der Staat dabei jedoch einem Zwang zur Rechtfertigung.74 In sei­ ner abwehrrechtlichen Dimension kann das Recht auf informationelle Selbst­ bestimmung im Dreiecksverhältnis Bürger – Bürger – Staat regelmäßig nicht zum Tragen kommen, da es den Bürgern grundsätzlich auf Grundlage ihrer Grundrechte (Art. 2, 5, 12 GG) freisteht, Daten zu verarbeiten respektive preiszugeben, solange es nicht verboten ist.75 2. Die Schutzpflichtendimension der Grundrechte Die historische Dimension der Grundrechte sah sich bereits früh in der Geschichte der Bundesrepublik damit konfrontiert, dass nicht mehr nur noch allein der Staat der Grundrechtsverwirklichung des Einzelnen entgegen­ wirkt.76 Persönliche Freiheit ist in zunehmendem Maß keine Frage der Staatsferne mehr, sondern der Gewährleistung durch den Staat („status posi­ tivus der Grundrechte“).77 dazu: Jellinek, System der subjektiven öffentlichen Rechte, S. 94 ff. Rechtsprechung seit BVerfG, Urt. v. 15.01.1958  – 1 BvRF 400 / 57  – NJW 1958, 257; Dreier, in: Dreier (Hrsg.), Grundgesetz Kommentar Band 1, Vorb. Rn. 85. 71  Isensee, Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: Handbuch des Staatsrechts Band 9, § 191 Rn. 32. 72  Isensee, Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: Handbuch des Staatsrechts Band 9, § 191 Rn. 6. 73  Dreier, in: Dreier (Hrsg.), Grundgesetz Kommentar Band 1, Vorb. Rn. 84. 74  Dreier, in: Dreier (Hrsg.), Grundgesetz Kommentar Band 1, Vorb. Rn. 88. 75  Masing, NJW 2012, 2305 (2307); Di Fabio, in: Maunz / Dürig, GrundgesetzKommentar, Art. 2 Rn 189. 76  Vgl. dazu etwa Calliess, JZ 2006, 321. 77  Vgl. Voßkuhle / Kaiser, JuS 2011, 411. 69  Grundlegend 70  Ständige



Kap. 1: Zum Begriff der informationellen Selbstbestimmung37

Allem voran im Bereich der informationellen Selbstbestimmung ist festzu­ stellen, dass die abwehrrechtliche Dimension aufgrund der ubiquitären und maßgeblich durch Private veranlassten Vernetzung mehr und mehr in den Hintergrund gedrängt wird.78 Der effektive Grundrechtsschutz des Einzelnen bedarf daher multifunktionaler Grundrechtsdimensionen.79 Für das informa­ tionelle Selbstbestimmungsrecht spielt dabei vor allem (neben der mittelba­ ren Drittwirkung der Grundrechte) die Schutzpflichtdimension eine entschei­ dende Rolle.80 Normativer Ausgangspunkt ist dabei Art. 1 Abs. 1 Satz 2 GG. Die staatli­ che Pflicht zum Schutz der Menschenwürde gilt auch für den Fall, dass diese durch Private gefährdet wird.81 In der Konsequenz ist der Staat bei einer entsprechenden Gefährdungslage gehalten, sowohl legislativ als auch tat­ sächlich wirksame Gegenmaßnahmen zu ergreifen.82 Wenngleich der Staat grundsätzlich über eine weite Einschätzungsprärogative verfügt,83 gilt es im Bereich des Datenschutzes sowohl die Grundrechtspositionen des Betroffe­ nen als auch desjenigen Privaten, der die Daten verarbeiten möchte, zu be­ achten (Über- und Untermaßverbot)84. Das Bundesverfassungsgericht hat auf Grundlage dessen eine ausdrückliche Schutzpflicht des Staates im Bereich des informationellen Selbstbestimmungsrechts anerkannt.85 Wenngleich es dem Einzelnen freisteht, seine personenbezogenen Daten preiszugeben, ist es Aufgabe des Staates, insbesondere in Gestalt der Rechtssetzung, strukturelle Machtasymmetrien der Vertragsparteien auszugleichen.86 Dadurch soll si­ chergestellt werden, dass „sich für einen Vertragsteil die Selbstbestimmung 78  Schliesky / Hoffmann / Luch / Schulz / Borchers, Schutzpflichten und Drittwirkung im Internet, S. 135. 79  Stern, DÖV 2010, 241 (243). 80  Di Fabio, in: Maunz / Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 190; zu den weiteren objektiv-rechtlichen Dimensionen vgl. Dreier, in: Dreier (Hrsg.), Grundge­ setz Kommentar Band 1, Vorb. Rn. 94 ff. 81  Herdegen, in: Maunz / Dürig, Grundgesetz-Kommentar, Art. 1 Rn. 78; grundle­ gend zur Begründung der Schutzpflicht aus Art. 1 Abs. 1 Satz 2 GG: Dürig, Der Grundrechtssatz der Menschenwürde, in: Dürig, Gesammelte Schriften (1952 – 1983), S. 128. 82  Isensee, Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: Handbuch des Staatsrechts Band 9, § 191 Rn. 149. 83  Voßkuhle / Kaiser, JuS 2011, 411 (412); Herdegen, in: Maunz / Dürig, Grundge­ setz-Kommentar, Art. 1 Rn. 80; Dreier, in: Dreier (Hrsg.), Grundgesetz Kommentar Band 1, Vorb. Rn. 103. 84  So Grimm, JZ 2013, 585 (588). 85  Vgl. dazu BVerfG, Beschl. v. 23.10.2006  – 1 BvR 2027 / 02  – MMR 2007, 93; BVerfG, Beschl. v. 17.07.2013 – 1 BvR 3167 / 08 – NJW 2013, 3086 (3087 Rn. 20). 86  BVerfG, Beschl. v. 17.07.2013  – 1 BvR 3167 / 08  – NJW 2013, 3086 (3087 Rn. 20).

38

Erster Teil: Grundlagen

[nicht] in eine Fremdbestimmung verkehrt […].“87 Dabei hält das Verfas­ sungsgericht allerdings fest, dass auch im Bereich der informationellen Selbstbestimmung der (weite) Ermessensspielraum des Gesetzgebers gege­ ben ist, da sich dem Grundgesetz keine Vorgaben entnehmen lassen, wie diese Schutzpflicht auszugestalten ist.88 Im Kontext der globalen Datenverarbeitung verbleibt allerdings das Pro­ blem, dass jedenfalls grundgesetzliche Schutzpflichten vorrangig eine Frage nationaler Sachverhalte sind. Die notwendige Beachtung kann daher sowohl aus rechtlichen, aber auch aus schlicht tatsächlichen Gründen problematisch sein.89 Das Prinzip der weltweiten Datenverarbeitung kennt keinen territorial eingeengten Geltungsanspruch, indes ist aber die Möglichkeit staatlicher Einflussnahme darauf begrenzt.90 Ob und wieweit die verstärkte Verankerung des Datenschutzrechts innerhalb der supranationale Rechtsordnung der Euro­ päischen Union darauf adäquat reagieren kann, wird im Laufe der Arbeit darzustellen sein.

B. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Da die Ausübung informationeller Selbstbestimmung in zunehmendem Maß von der Nutzung informationstechnischer Systeme abhängig ist, er­ gänzte das Bundesverfassungsgericht das allgemeine Persönlichkeitsrecht im Jahr 2008 um einen weiteren Aspekt.91 Das Gericht legt dabei die Überlegung zugrunde, dass die Informations­ technik zugleich Chance und Risiko für die Entfaltung und Entwicklung der 87  BVerfG, Beschl. v. 17.07.2013  – 1 BvR 3167 / 08  – NJW 2013, 3086 (3087 Rn. 20). 88  BVerfG, Beschl. v. 17.07.2013  – 1 BvR 3167 / 08  – NJW 2013, 3086 (3087 Rn. 21); zur Frage, ob der Staat in diesem Bereich bereits präventiv tätig werden muss vgl. Sandfuchs, Privatheit wider Willen?, S. 116. 89  Isensee, Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: Handbuch des Staatsrechts Band 9, § 191 Rn. 208; Dreier, in: Dreier (Hrsg.), Grund­ gesetz Kommentar Band 1, Vorb. Rn. 104; Di Fabio, in: Maunz / Dürig, GrundgesetzKommentar, Art. 2 Rn. 190. 90  Schliesky / Hoffmann / Luch / Schulz / Borchers, Schutzpflichten und Drittwirkung im Internet, S. 181 m. w. N. 91  BVerfG, Urt. v. 27.2.2008 – 1 BvR 370 / 07, 1 BvR 595 / 07 – NJW 2008, 822 ff. Ausführlich dazu Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleis­ tung von IT-Sicherheit – Erste Folgerungen aus dem Urteil des Bundesverfassungsge­ richts zur „Online-Durchsuchung“, in: Rüßmann (Hrsg.), Festschrift Käfer, S. 129 ff.; Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informa­ tionstechnischer Systeme und die Gewährleistung digitaler Privatheit im grundrecht­ lichen Kontext.



Kap. 1: Zum Begriff der informationellen Selbstbestimmung39

Persönlichkeit des Einzelnen sei.92 Dieser neuen Gefährdungssituation kann aber nicht allein durch das Recht auf informationelle Selbstbestimmung Rechnung getragen werden, sodass im Wege der „lückenfüllenden Funktion“ des allgemeinen Persönlichkeitsrechts eine weitere Ausprägung desselben geschaffen werden müsse.93 Ubiquitäre Informationstechnologien sowie die damit einhergehende Digitalisierung des Einzelnen gebieten daher die Ver­ traulichkeit und Integrität entsprechender Systeme.94 In dieser Ausgestaltung schütze das Persönlichkeitsrecht insbesondere vor der heimlichen Infiltrie­ rung etwaiger IT-Systeme respektive der Ausspähung der dort befindlichen Daten.95 Die Fortschreibung des allgemeinen Persönlichkeitsrechts in Form des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informa­ tionstechnischer Systeme (im Sinne Heckmanns als IT-Grundrecht bezeich­ net)96 trägt letztlich der Dichotomie Rechnung, dass der Betroffene in zuneh­ mendem Maß von der Nutzung digitaler Instrumente abhängig wird, ander­ seits gleichermaßen die Kontrolle über diese Geräte verliert.97 Zwischen diesen Positionen vermittelt das IT-Grundrecht, indem es das Interesse des Betroffenen an der Vertraulichkeit und Integrität der eigenen IT-Systeme grundrechtlich gewährleistet.98

C. Zwischenfazit Die zuweilen kritisierte Unschärfe des Schutzbereichs stellt sich nicht als ein „Recht auf Willkür“ dar,99 sondern vielmehr als scharfes Schwert grund­ rechtlicher Datenkontrolle. Der Schutz der informationellen Selbstbestim­ 92  BVerfG, Urt. v. 27.2.2008  – 1 BvR 370 / 07, 1 BvR 595 / 07  – NJW 2008, 822 (824 Rn. 170). 93  BVerfG, Urt. v. 27.2.2008  – 1 BvR 370 / 07, 1 BvR 595 / 07  – NJW 2008, 822 (824 Rn. 201). 94  BVerfG, Urt. v. 27.2.2008  – 1 BvR 370 / 07, 1 BvR 595 / 07  – NJW 2008, 822 (827 Rn. 201). 95  BVerfG, Urt. v. 27.2.2008  – 1 BvR 370 / 07, 1 BvR 595 / 07  – NJW 2008, 822 (827 Rn.  205 ff.). 96  Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit – Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: Rüßmann (Hrsg.), Festschrift Käfer, S. 130. 97  Roßnagel / Schnabel, NJW 2008, 3534; Schantz / Wolff, Das neue Datenschutz­ recht, Rn. 187. 98  BVerfG, Urt. v. 27.2.2008  – 1 BvR 370 / 07, 1 BvR 595 / 07  – NJW 2008, 822 (827 Rn. 204). 99  So Ladeur, DÖV 2009, 45, 50; ebenfalls kritisch Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 3 Rn. 6.

40

Erster Teil: Grundlagen

mung soll die Entfaltung der individuellen Persönlichkeit trotz der ubiquitä­ ren Digitalisierung ermöglichen. Verdeutlichend und zugleich schutzbereichs­ begrenzend ist der Umstand, dass allein personenbezogene beziehungsweise -beziehbare Daten vom Schutzbereich der informationellen Selbstbestimmung erfasst sind. Mit Blick auf die allumfassende, von Raum und Zeit losgelöste Gefährdungslage des Grundrechtsträgers bedarf es eines entsprechend weit­ reichenden Schutzkonzepts, welches Raum für die Entfaltung der Persönlich­ keit im digitalen Kontext schafft. Die Ausgestaltung der entsprechenden Einwilligungserklärungen als un­ mittelbarste Form informationeller Selbstbestimmung ist daher nicht bloße juristische Förmelei, sondern unmittelbarer Persönlichkeitsschutz innerhalb des digitalen Zeitalters. Kapitel 2

Die Neuordnung des Datenschutzrechts durch die DSGVO Die Beantwortung der Frage, wie das Konzept der informationellen Selbst­ bestimmung knapp 50 Jahre nach ihrer erstmaligen Benennung ausgestaltet ist, hängt nunmehr maßgeblich von den Vorgaben der seit dem 25. Mai 2018 geltenden DSGVO ab. Ob die Verordnung tatsächlich die gewünschte Ver­ einheitlichung100 des europäischen Datenschutzes bewirkt, wurde allerdings bereits vielfach in Frage gestellt.101 Das vorliegende Kapitel widmet sich daher zunächst der Frage, wie sich die DSGVO im Gefüge des Europarechts einordnen lässt (dazu unter A.). Insbesondere mit Blick auf das bereits ange­ sprochene Ziel der Vereinheitlichung des Datenschutzrechts in der Europäi­ schen Union soll dabei gezeigt werden, dass aller Kritik zuwider ein homo­ genes Datenschutzrecht auf Grundlage der DSGVO geschaffen worden ist (dazu unter B.). In der Konsequenz wird dadurch das Selbstbestimmungs­ recht des Grundgesetzes, wie zu zeigen ist, durch die maßgebliche Einbezie­ hung und Orientierung an primärrechtlichen Vorgaben verdrängt. Ob dadurch eine neue Epoche informationeller Selbstbestimmung eingeläutet wird,102 100  Vgl. dazu beispielhaft Erwägungsgrund 10 Satz 1 der DSGVO. Bereits mit der Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011 / 2025(INI)) wurde das Ziel der „vollen Harmonisierung“ des Datenschutzes in Europa ausgerufen. 101  Aufgrund der zahlreichen Öffnungsklauseln bezeichnen beispielsweise Kühling / Martini et  al. die DSGVO als „Richtlinie im Verordnungsgewand“, vgl. Kühling / Martini et al., die DSGVO und das nationale Recht, S. 1. 102  So Maisch, Informationelle Selbstbestimmung in Netzwerken, S. 344.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO41

oder ob der „Abschied von den Grundrechten“103 droht, ist anhand einer da­ rauffolgend vorzunehmenden Analyse der primärrechtlichen Grundlagen zu klären.

A. Die Rechtssetzung durch die Europäische Union Das maßgebliche Kontroll- und Steuerungsinstrument der Europäischen Union ist die Rechtssetzung.104 Allein durch die „Herrschaft des Rechts“ kann die Idee der Europäischen Union verwirklicht werden.105 Das Unions­ recht weist dabei als supranationale Rechtsordnung106 Besonderheiten auf, die mit Blick auf die DSGVO im Folgenden skizziert werden sollen. I. Das Unionsrecht als supranationale Rechtsordnung Durch die Gründung der Europäischen Wirtschaftsgemeinschaft bezie­ hungsweise nunmehr der Europäischen Union und der damit verbundenen Übertragung von Hoheitsrechten der Mitgliedstaaten wurde eine eigene, au­ tonome Rechtsordnung geschaffen, die für die Union und ihre Mitglieder verbindlich ist.107 Nach Ansicht des Europäischen Gerichtshofs (EuGH) folgt daraus, dass aufgrund dieser „Eigenständigkeit keine wie immer geartete ­innerstaatliche Rechtsvorschrift vorgehen könne“108. Aus dem Vorrang des Unionsrechts folgt allerdings keine Nichtigkeit des nationalen Rechts. Dieses tritt im Kollisionsfall lediglich zurück.109

103  So Masing, Süddeutsche Zeitung Beitrag v. 09.01.2011, Ein Abschied von den Grundrechten. Abrufbar unter: https: /  / www.datenschutzbeauftragter-online.de / wpcontent / uploads / 2012 / 01 / 20120109_SZ_Masing_Datenschutz.pdf. Zuletzt abgerufen am 08.10.2018. 104  Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn. 13. 105  Voßkuhle, JZ 2016, 161 (168); So auch Oppermann, in: Oppermann / Classen /  Nettesheim, Europarecht, § 3 Rn. 26. 106  Eine einheitliche Definition des Begriffs existiert bislang nicht. Jedenfalls um­ fasst der Begriff die Besonderheiten des Unionsrechts, insbesondere mit Blick auf dessen Vorrang und dessen unmittelbarer Anwendbarkeit in den Mitgliedstaaten. Vgl. dazu Streinz, Europarecht, S. 49 f.; Haratsch / Koenig / Pechstein, Europarecht, S. 27 ff.; Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 1 Rn. 7; Nettesheim, in: Grabitz /  Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 1 Rn. 65; Stettner, in: Dau­ ses, EU-Wirtschaftsrecht, Teil A. IV. Rn. 6. 107  EuGH, Urt. v. 15.07.1964 Rs. 6 / 64, Slg. 1964, 1259 (1269). 108  EuGH, Urt. v. 15.07.1964 Rs. 6 / 64, Slg. 1964, 1259 (1270). 109  Das Unionsrecht hat lediglich einen Anwendungs-, aber keinen Geltungsvor­ rang. Vgl. dazu EuGH Urt. v. 15.07.1964 Rs. 6 / 64, Slg. 1964, 1259 (1269); Wegener,

42

Erster Teil: Grundlagen

Der Anwendungsvorrang des Unionsrechts stützt sich maßgeblich darauf, dass das Recht der Union eine Integrationsfunktion innehat.110 Die einheitli­ che Wirksamkeit des Unionsrechts ist auch nach Auffassung des Bundesver­ fassungsgerichts grundlegend für den Bestand der Union als Rechtsgemein­ schaft.111 Es folgert daraus aber im Gegensatz zum EuGH nicht den unbe­ dingten Anwendungsvorrang112 des Unionsrechts. Vielmehr ist dieses nach der Diktion des Bundesverfassungsgerichts ein „völkerrechtlich übertragenes und damit abgeleitetes Institut“113. In der Konsequenz ist der Anwendungs­ vorrang nach Ansicht des Bundesverfassungsgerichts nicht uneingeschränkt gewährleistet. Dieser reicht nur soweit, „wie das Grundgesetz und das Zu­ stimmungsgesetz die Übertragung von Hoheitsrechten erlauben oder vorsehen“114. Der Vorrang des Unionsrechts steht daher aus Karlsruher Per­ spektive unter dem Vorbehalt der Grundrechts-, Ultra-vires- und Identitäts­ kontrolle.115 Das Unionsrecht ist jedoch nicht nur (grundsätzlich) vorrangig zu beach­ ten, es kann zudem unmittelbare Geltung gegenüber den Bürgern der Euro­ päischen Union entfalten. In der Rechtssache van Gend & Loos gegen die Niederländische Finanzverwaltung führt der EuGH diesbezüglich aus, dass die Rechtsordnung der Gemeinschaft „[…] eine Rechtsordnung [ist], deren Rechtssubjekte nicht nur die Mitgliedstaaten, sondern auch die Einzelnen sind.“116 Der EuGH konkretisiert diesen Grundsatz in der Simmenthal-Ent­ scheidung, indem er klarstellt, dass das Unionsrecht eine unmittelbare Quelle von Rechten und Pflichten sei.117 Adressaten des Unionsrechts können dabei in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 29; kritisch dazu m. w. N.: Hwang, EuR 2016, 355 ff. 110  Vgl. dazu etwa Kirchhof, NVwZ 2014, 1537. 111  BVerfG, Beschl. v. 06.07.2010 – 2 BvR 2661 / 06 – EuZW 2010, 828 (830). 112  Grundlegend zum Anwendungsvorrang des Unionsrecht: EuGH, Urt. v. 15.07.1964 Rs. 6 / 64, Slg. 1964, S. 1253 f.; EuGH, Urt. v. 09.03.1978 Rs. 106 / 77, Slg. 1978, 629; EuGH, Urt. v. 22.10.1998  – verb. Rs. C-10 / 97 bis C-22-97  – NJW 1999, 200; EuGH, Urt. v. 29.04.1999 – Rs. C-224 / 97 – EuZW 1999, 405. 113  BVerfG, Beschl. v. 06.07.2010 – 2 BvR 2261 / 06 – EuZW 2010, 828 (835). 114  BVerfG, Urt. v. 15.12.2015  – 2 BvR 2735 / 14  – NJW 2016, 1149 (1151); vgl. dazu ebenfalls BVerfG, Beschl. v. 29.05.1974  – 2 BvL 52 / 71  – NJW 1974, 1697; BVerfG, Beschl. v. 22.10.1986  – 2 BvR 197 / 83  – NJW 1987, 577; BVerfG, Urt. v. 12.10.1993 – 2 BvR 2134 / 92 und 2 BvR 2159 / 92 – NJW 1993, 3047; BVerfG, Urt. v. 30.06.2009 – 2 BvE 2 / 08 u. a. – NJW 2009, 2267; BVerfG, Beschl. v. 06.07.2010 – 2 BvR 2661 / 06  – NJW 2010, 3422; BVerfG, Beschl. v. 19.07.2011  – 1 BvR 1916 /  09  – NJW 2011, 3428; BVerfG, Vorlagebeschluss v. 14.01.2014  – 2 BvR 2728 / 13 u. a. – NJW 2014, 907. 115  Vgl. dazu m. w. N. Dederer, JZ 2014, 313 (314). 116  EuGH, Urt. v. 05.02.1963, Rs. 26–62, Slg. 1963, 3 (25). 117  EuGH, Urt. v. 09.03.1978, Rs. 106 / 77, Slg. 1978, 630 (643).



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO43

sowohl die Mitgliedstaaten als auch die an einem dem Unionsrecht unterlie­ genden Rechtsverhältnis Beteiligten sein.118 Normen, die unmittelbare Wir­ kung entfalten, sind insbesondere die Verordnung im Sinne des Art. 288 Uabs. 2 Satz 1 AEUV, können aber auch Vertragsvorschriften sowie Richt­ linien und Beschlüsse sein.119 Aufgrund des Anwendungsvorrangs und der Möglichkeit der Rechtssetzung in Form von unmittelbar geltenden Normen unterscheidet sich das Unionsrecht daher wesentlich von allgemeinen völker­ rechtlichen Bestimmungen.120 Zur Umsetzung dieser Supranationalität121 stehen der Union dabei verschiedene Möglichkeiten zur Verfügung. II. Das Rechtsquellensystem des Unionsrechts Das Rechtsquellensystem122 der Union differenziert zunächst zwischen dem durch die Mitgliedstaaten geschaffenen Primärrecht (als eine Art verfas­ sungsrechtliche Grundlage123) und dem autonom durch die Organe der Union gesetzten, letztlich abgeleiteten Sekundärrecht.124 Weiterhin umfasst das Unionsrecht die abstrakt-generellen Rechtssätze, die in der Regel durch die Kommission auf Grundlage des Sekundärrechts als sog. Tertiärrecht erlassen werden.125

118  EuGH,

Urt. v. 09.03.1978, Rs. 106 / 77, Slg. 1978, 630 (643). in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 288 Rn. 11 AEUV. 120  Geismann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 288 Rn. 3 AEUV. 121  Zum Begriff m. w. N. Streinz, Europarecht, S. 49 Rn. 129  f.; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn.  38 ff.; Haratsch / Koenig / Pechstein, Europarecht, S. 27 Rn. 57 ff. 122  So der EuGH, Urt. v. 10.10.1973 – Rs. 34 / 73, Slg. 1973, 982 (990). 123  So Ramsauer mit Verweis auf Art. 1 Abs. 2 AEUV, wonach dieser Vertrag (AEUV) und der Vertrag über die Europäische Union die Verträge bilden, auf die sich die Union gründet. Vgl. Ramsauer, in: Kopp / Ramsauer, Verwaltungsverfahrensge­ setz, Einführung II Rn. 12. Jedenfalls die Gründungsverträge bezeichnete der EuGH 1986 erstmals als „Verfassungsurkunde der Gemeinschaft“, vgl. EuGH, Urt. v. 23.04.1986, Rs. 294 / 83, Slg. 1986, S. 1139 Rn. 23. Auch das Bundesverfassungsge­ richt bezeichnet in seiner Lissabon-Entscheidung das Primärrecht als die „Verfassung Europas“, BVerfG, Urt. v. 30.06.2009 – 2 BvE 2 / 08 u. a. – NJW 2009, 2267 (2271). Für diese Auffassung spricht, dass der Inhalt des gescheiterten Verfassungsvertrages aus dem Jahr 2004 im Wesentlichen in dem letztlich unterzeichneten Vertrag von Lissabon übernommen wurde, vgl. Schroeder, in: Streinz, EUV / AEUV, Art. 288 Rn. 19. 124  Haratsch / König / Pechstein, Europarecht, S. 160 Rn. 165. 125  Vgl. dazu Streinz, Europarecht, S. 2 Rn. 4 a. E. 119  Geismann,

44

Erster Teil: Grundlagen

Das Primärrecht setzt sich seit dem Vertrag von Lissabon126 insbesondere aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV)127, dem Vertrag über die Europäische Union (EUV)128, der durch Art. 6 Abs. 1 Halbsatz 2 EUV einbezogenen Charta, den Protokollen im Sinne des Art. 51 EUV129, sowie den durch den Gerichtshof der Europäischen Union entwi­ ckelten allgemeinen Rechtsgrundsätzen130 zusammen.131 Wenngleich sich das Primärrecht aus unterschiedlichen Quellen speist, besteht zwischen die­ sen kein Rangverhältnis; es hat einen einheitlichen Charakter.132 Das Sekundärrecht umfasst insbesondere die Rechtssetzung durch die Or­ gane der Europäischen Union auf Grundlage des Primärrechts, kann aber auch gewohnheitsrechtlich oder in Form allgemeiner Rechtsgrundsätze ent­ stehen.133 Aufgrund der Ableitung aus dem Primärrecht ist das Sekundärrecht diesem normenhierarchisch untergeordnet.134 Die wesentlichen Handlungs­ formen, die den Organen der Europäischen Union bei der Rechtssetzung zur Verfügung stehen, sind in Art. 288 UAbs. 1 AEUV normiert. 126  Vertrag von Lissabon zur Änderung des Vertrages über die Europäischen Union und des Vertrages zur Gründung der Europäischen Gemeinschaft, ABl. 2007 C 306 / 1. 127  Vertrag über die Arbeitsweise der Europäischen Union (konsolidierte Fassung) i. d. F. vom 26.10.2012, ABl. 2012 C 326, S. 47 ff. 128  AEUV und EUV bilden gem. Art. 1 UAbs. 3 Satz 1 EUV die „Grundlage der Union“. 129  Umfasst sind dadurch die Protokolle und Anhänge, die bei Abschluss bezie­ hungsweise Änderung der Verträge (EWGV, EGV, EUV, AEUV) aus dem Vertrags­ text ausgelagert wurden, als solche jedoch Grundlage des mitgliedstaatlichen Konsens sind, vgl. dazu m. w. N. Dörr, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäi­ schen Union, Art. 51 EUV Rn. 1. 130  Die Anerkennung allgemeiner Grundsätze als Bestandteil des Primärrechts er­ folgte maßgeblich durch das Urteil des EuGH, v. 17.12.1970 in der Rechtssache 11 / 70, Slg. 1970, 1125 (1335). Der EuGH weist in dieser Entscheidung darauf hin, dass (mitunter) die „Beachtung der Grundrechte zu den allgemeinen Rechtsgrundsät­ zen gehört, deren Wahrung der Gerichtshof zu sichern hat.“ Die Rechtsfortbildung ist nach Ansicht des EuGH mitunter deshalb notwendig, da das kodifizierte Unionsrecht allein nicht ausreichend ist, um den gewünschten Rechtsschutz zu erreichen, vgl. m. w. N. Wieland, NJW 2009, 1841 (1843). Die aufgrund des Prinzips der begrenzten Einzelermächtigung notwendige Kompetenz des EuGH zur Rechtsfortbildung wird überwiegend aus Art. 19 Abs. 1 UAbs. 2 Satz 2 EUV abgeleitet, vgl. Streinz, Europa­ recht, S. 154 Rn. 458. 131  Gärditz, in: Rengeling / Middeke / Gellermann, Handbuch des Rechtsschutzes in der Europäischen Union, § 34 B. II Rn. 6. 132  Streinz, Europarecht, S. 151 Rn. 449. 133  Haratsch / Koenig / Pechstein, Europarecht, S. 163 Rn. 374, S. 164 Rn. 376. 134  Vgl. dazu m. w. N. Nettesheim, EuR 2016, 737 (746); Wölker, EuR 2007, 32 ff.; Bergmann, Handlexikon der Europäischen Union, Normenhierarchie; Geismann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 288 AEUV Rn.  25 ff.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO45

Rechtshandlungen, die auf Grundlage des Art. 288 Abs. 1 AEUV erlassen werden können, sind Verordnungen (Art. 288 UAbs. 2 AEUV), Richtlinien (Art. 288 UAbs. 3 AEUV), Beschlüsse (Art. 288 UAbs. 4 AEUV) sowie Empfehlungen und Stellungnahmen (Art. 288 UAbs. 5 AEUV). Da das Se­ kundärrecht aber auch abseits der dort aufgezählten Handlungsformen entste­ hen kann, ist die Aufzählung nicht als abschließend zu verstehen.135 Aus Art. 288 AEUV lässt sich allerdings nicht entnehmen, wann welche Handlungsform zum Tragen kommt. Dies richtet sich vielmehr nach der je­ weiligen Kompetenznorm sowie letztlich nach den politischen Erwägungen des europäischen Gesetzgebers.136 Aus der bloßen Benennung der Hand­ lungsmöglichkeiten folgt zudem keine Kompetenz zur Rechtssetzung. Diese ergibt sich, dem Prinzip der begrenzten Einzelermächtigung folgend,137 aus der jeweiligen Kompetenznorm.138 Der Rechtssetzung anhand einer Verordnung kommt dabei eine herausra­ gende Bedeutung zu, da mit diesem Instrument das Ziel der Vereinheitli­ chung des Rechtsrahmens in Europa am effektivsten verwirklicht werden kann.139 Die Verordnung hat gem. Art. 288 UAbs. 2 Satz 1 AEUV allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, Art. 288 UAbs. 2 Satz 2 AEUV. Die allgemeine Geltung hat zur Folge, dass die Verordnung als abstrakt-generelle Regelung des Unions­ rechts zu qualifizieren ist.140 Ausgehend von der konkreten Verordnung ist dabei sowohl eine horizontale als auch eine vertikale Bindungswirkung mög­ lich.141 Die Verordnung kann daher als (zumindest materielles) europäisches Gesetz bezeichnet werden.142

135  Schroeder,

in: Streinz, EUV / AEUV, Art. 288 AEUV Rn. 1. in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn. 15. 137  Normiert in Art. 5 Abs. 1 Satz 1, Abs. 2 Satz 1 des Vertrags über die Europäi­ sche Union idF des Vertrags von Lissabon vom 13.12.2007, zuletzt geändert durch Art. 13, 14 Abs. 1 EU-Beitrittsakte 2013 vom 09.12.2011, ABl. 2012 Nr. L 112 S. 21, (EUV). Die Europäische Union darf lediglich solche Bereiche regeln, die dieser von den einzelnen Mitgliedstaaten (als „Herren der Verträge“) übertragen worden sind, vgl. m. w. N. Callies, in: Callies / Ruffert, EUV / AEUV, Art. 5 EUV Rn. 6. 138  Pieper, in: Dauses, EU-Wirtschaftsrecht, B. I. Rechtsquellen Rn. 4. 139  Schroeder, in: Streinz, EUV / AEUV, Art. 288 AEUV Rn. 53. 140  Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 288 AEUV Rn. 16; Streinz, Eu­ roparecht, S. 163 Rn. 471. 141  Haratsch / Koenig / Pechstein, Europarecht, S. 163 Rn. 374, S. 164 Rn. 381. 142  Streinz, Europarecht, S. 162 Rn. 471; Pieper, in: Dauses, EU-Wirtschaftsrecht, B. I. 2 Rn. 5; Schroeder, in: Streinz, EUV / AEUV, Art. 288 AEUV Rn. 54; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn. 89. 136  Nettesheim,

46

Erster Teil: Grundlagen

Verordnungen gelten in der gesamten Union als Teil der mitgliedstaat­ lichen Rechtsordnung, wobei zwischen der unmittelbaren Geltung und der unmittelbaren Anwendbarkeit der Verordnung zu differenzieren ist.143 Mit In-Kraft-Treten der Verordnung im Sinne des Art. 297 AEUV entfaltet die Verordnung ihre Rechtswirkung. Eine nochmalige Umsetzung durch den na­ tionalen Gesetzgeber ist daher nicht notwendig.144 Vielmehr hat der Gesetz­ geber dafür Sorge zu tragen, dass Rechtsnormen des Gemeinschaftsrechts auch klar als solche erkennbar bleiben.145 Mithin ist das sog. Normwiederho­ lungsverbot zu beachten.146 Das Verschleiern europäischer Rechtsnormen mit gleichlautenden nationalen Bestimmungen würde neben der daraus resultie­ renden Intransparenz dazu führen, dass die für die einheitliche Auslegung des Gemeinschaftsrechts notwendige Zuständigkeit des Gerichtshofs gefähr­ det werden würde.147 Die Wiederholung des Verordnungstextes im nationalen Recht berührt daher den „Wesenskern der gemeinschaftsrechtlichen Vor­ schriften sowie das Grundprinzip des Vorrangs der Gemeinschafts­ rechts­ ordnung“148. Eine Ausnahme vom Wiederholungsverbot greift nach der Rechtsprechung des EuGH lediglich dann, wenn im Interesse des inneren Zusammenhangs und der Verständlichkeit für die Adressaten der Verordnung lediglich bestimmte Punkte der Verordnung wiederholt werden.149 Die unmittelbare Anwendbarkeit der Verordnung ist dann zu bejahen, wenn diese eine klare und unbedingte Verpflichtung begründet, zu deren Durchsetzung es keinerlei weiterer Maßnahmen der Gemeinschaftsorgane oder der Mitgliedstaaten bedarf, die Verordnung also „rechtlich vollkommen“ ist.150 Im Einzelfall ist daher mittels Auslegung zu klären, ob der Regelungs­ befehl der Verordnung ohne weitere Maßnahmen der Mitgliedstaaten zur Anwendung gelangen kann.151 Dabei kann eine Verordnung ausdrücklich zum Erlass weiterer Durchführungsakte verpflichten, es handelt sich in die­ sem Fall um eine sog. „hinkende Verordnung“.152 Für den Fall, dass es zwin­ gender Umsetzungshandlungen durch die Mitgliedstaaten bedarf, sind diese gem. Art. 4 Abs. 3 EUV, Art. 291 Abs. 1 AEUV zum Erlass der Rechtsakte verpflichtet.153 143  Haratsch / Koenig / Pechstein,

Europarecht, S. 167 Rn. 380, 381. nur Schroeder, in: Streinz, EUV / AEUV, Art. 288 Rn. 57. 145  EuGH, Urt. v. 10.10.1973 – Rs. 34 / 73, Slg. 1973, 982 (990). 146  Calliess / Kahl / Puttler, in: Calliess / Ruffert, EUV / AEUV, Art. 4 EUV Rn. 102. 147  EuGH, Urt. v. 10.10.1973 – Rs. 34 / 73, Slg. 1973, 982 (990). 148  EuGH, Urt. v. 10.10.1973 – Rs. 34 / 73, Slg. 1973, 982 (991 ff.). 149  EuGH, Urt. v. 28.03.1985 – Rs. 272 / 83, Slg. 1985, 1066 (1074). 150  EuGH, Urt. v. 16.06.1966 – Rs. 57 / 65, Slg. 1966, 259 (266). 151  Haratsch / Koenig / Pechstein, Europarecht, S. 158 Rn. 381. 152  Schroeder, in: Streinz, EUV / AEUV, Art. 288 Rn. 61; Ruffert, in: Calliess / Ruf­ fert, EUV / AEUV, Art. 288 AEUV Rn. 21. 144  Vgl.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO47

B. Die Einordnung der DSGVO im Gefüge des Unionsrechts Zur Bestimmung, ob eine Verordnung im Sinne des Art. 288 UAbs. 1 i. V. m. Art. 288 UAbs. 2 AEUV vorliegt, ist nicht die formale Bezeichnung als Verordnung entscheidend.154 Wenngleich diese „prima-facie“ zur Ausle­ gung des Rechtsaktes herangezogen werden muss,155 sind Rechtsnatur und Rechtswirkung der Maßnahme entscheidend für die Einordnung im System der möglichen Rechtsakte.156 Mit Blick darauf, dass der Normcharakter der DSGVO jedenfalls kritisch hinterfragt wurde,157 sollen die Besonderheiten der Datenschutz-„Grundverordnung“ anhand ihrer Ermächtigungsgrundlage (I.), des Gesetzgebungsverfahrens (II.) sowie des geltenden Verordnungstexts (III.) beleuchtet werden. I. Die Kompetenznorm zum Erlass der DSGVO – Art. 16 Abs. 2 AEUV Ausgehend vom Grundsatz der begrenzten Einzelermächtigung gem. Art. 5 Abs. 2 EUV bedurfte es zum Erlass der DSGVO zunächst158 einer entspre­ chenden Kompetenznorm. Die DSGVO stützt sich ausweislich des Erwägungsgrundes 12 auf Art. 16 Abs. 2 AEUV und führt diesbezüglich aus, dass diese Norm das Europäische Parlament und den Rat ermächtigt, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen.159 Mit Art. 16 AEUV wurde eine Kompe­ tenzgrundlage geschaffen, welche die Kompetenznorm des Art. 286 Abs. 2 153  Streinz,

Europarecht, S. 163 Rn. 475. Urt. v. 14.12.1962  – verb. Rs. 16 und 17 / 62, Slg. 1962, 961 (979); EuGH Urt. v. 05.05.1977 – Rs. 101 / 76, Slg. 1977, 797 (806); EuGH, Urt. 29.01.1985 – Rs. 147 / 83, Slg. 1985, 266 (271). 155  Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn. 85. 156  EuGH, Urt. v. 29.01.1985 – Rs. 147 / 83, Slg. 1985, 266 (271). 157  Vgl. dazu u. a. Albrecht, CR 2016, 88; Albrecht / Jansen, CR 2016, 500 (501); Damman, ZD 2016, 307 (309); Hofmann / Johannes, ZD 2017, 221; Kühling / Martini et al., die DSGVO und das nationale Recht, S. 1; Kühling / Martini, EuZW 2016, 448 (449); Laue, ZD 2016, 463 (467); Roßnagel, DuD 2016, 561 (564); Roßnagel, DuD 2017, 277. 158  Neben dem Vorbehalt durch die Notwendigkeit einer gesetzlichen Kompetenz­ grundlage sind zudem der Grundsatz der Subsidiarität und der Verhältnismäßigkeit zu beachten, vgl. m. w. N. Trstenjak / Beysen, EuR 2012, 265 ff. 159  Vgl. Erwägungsgrund 12 DSGVO. 154  EuGH,

48

Erster Teil: Grundlagen

EGV ersetzt und einen Rückgriff auf die allgemeine Binnenmarktkompe­ tenz160 des Art. 114 AEUV obsolet macht.161 Die Vorschrift benennt dabei zwei Anwendungsbereiche in denen das Eu­ ropäische Parlament und der Rat im Rahmen des ordentlichen Gesetzge­ bungsverfahrens162 tätig werden können. Die Union kann auf Grundlage dieser Vorschrift die Konkretisierung des Datenschutzrechts im Rahmen des Unionsrechts sowie die Regelung des freien Datenverkehrs bestimmen.163 1. Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Gem. Art. 16 Abs. 2 Satz 1 HS. 1 AEUV sind Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu erlas­ sen. Regelungsadressat sind dabei sowohl die Einrichtungen und Institutio­ nen der Union als auch die Mitgliedstaaten, sofern diese Tätigkeiten ausüben, die in den Anwendungsbereich des Unionsrechts fallen. Mit Schaffung dieser Rechtsgrundlage ist es der Union möglich, den Datenschutz unabhängig von einer möglichen Auswirkung auf den Binnenmarkt zu regulieren.164 2. Vorschriften über den freien Datenverkehr Art. 16 Abs. 2 Satz 1 HS. 2 AEUV versteht sich als spezielle Ausprägung der allgemeinen Binnenmarktkompetenz des Art. 114 AEUV.165 Ob daraus aber auch eine umfassende datenschutzrechtliche Kompetenz abgeleitet wer­ den kann, wird mitunter kritisch gesehen. Vertreten wird dabei, dass jeden­ 160  Die Kompetenz zum Erlass der allgemeinen Datenschutz-Richtlinie (RL 95 /  46 / EG des Europäischen Parlaments und des Rates vom 24.  Oktober 1995) wurde hingegen noch mit der notwendigen Angleichung des Binnenmarktes (Art. 95 EGV / Art. 114 AEUV) begründet, vgl. dazu Simitis, NJW 1997, 281 (282); Gundel, EuR 2009, 536 (541) sowie das Urteil des EuGH, v. 20.05.2003 – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01 – EuR 2004, 276 (283). 161  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 16 AEUV Rn. 5. 162  Das ordentliche Gesetzgebungsverfahren besteht in der gemeinsamen Annahme einer Verordnung, einer Richtlinie oder eines Beschlusses durch das Europäische Par­ lament und den Rat auf Vorschlag der Kommission, vgl. Art. 289 Abs. 1 Satz 1, 294 AEUV. 163  Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 29. 164  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 16 AEUV Rn. 5. 165  Herrmann, in: Streinz, EUV / AEUV, Art. 16 Rn. 8; Kingreen, in: Calliess / Ruf­ fert, EUV / AEUV, Art. 16 AEUV Rn. 7; Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 32.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO49

falls aus der bloßen Kompetenz hinsichtlich des freien Datenverkehrs keine Befugnis zur Regelung des Datenschutzes abgeleitet werden kann.166 Im Er­ gebnis wäre die Kompetenz der Union im Bereich des Datenschutzes damit auf den unionsrechtlich bestimmten Bereich des Art. 16 Abs. 2 Satz 1 HS. 1  AEUV begrenzt.167 Dem ist entgegenzuhalten, dass die Angleichung und Vereinheitlichung des Datenschutzes eine umfassende Kompetenz der Union erfordert. Die Begrenzung der Kompetenz durch den Wortlaut der Norm („über den freien Datenverkehr“) verkennt,168 dass freier Datenverkehr stets auch eine Frage des Datenschutzes ist.169 Nur der einheitlich, umfas­ send und unionsweit geregelte Datenschutz vermeidet 28 unterschiedliche Datenschutzregime, die den freien Datenverkehr maßgeblich einschränken können.170 Der Bezug auf den freien Warenverkehr ist vielmehr eine Remi­ niszenz an die Bedeutung des Binnenmarktes für den Erlass datenschutz­ rechtlicher Vorschriften,171 soll die Kompetenz aber mitnichten einschrän­ ken.172 Zur Gewährleistung des freien Binnenmarktes innerhalb des Euro­ päischen Wirtschaftsraums ist eine Angleichung der datenschutzrechtlichen Bestimmungen notwendig, um Begrenzungen des Datenaustausches durch verschiedene innerstaatliche Regelungen zu vermeiden.173 Daraus folgt aber nicht, dass mittels Art. 16 Abs. 2 Satz 1 HS. 2 AEUV bloß grenzüberschreitende Sachverhalte datenschutzrechtlich durch die Union geregelt werden können.174 Es ist nicht von der Hand zu weisen, dass die Kompetenz bezüglich des freien Datenverkehrs sowohl historisch als auch in der Sache in einem engen Zusammenhang mit der Binnenmarktkompetenz des Art. 114 AEUV steht. Richtig ist, dass der Binnenmarkt im Sinne des Art. 3 Abs. 3 UAbs. 1 Satz 1 EUV, Art. 26 Abs. 2 AEUV die Grundfreiheiten des AEUV und damit einen grenzüberschreitenden Sachverhalt im Blick hat.175 So umfasst dieser einen Raum ohne Binnengrenzen, in dem der freie Verkehr von Waren, Personen, Dienstleistungen und Kapital gemäß den Be­ stimmungen der Verträge gewährleistet ist. Zur Eröffnung des Schutzberei­ 166  Giesen,

CR 2014, 550 ff.; Ronellenfitsch, DuD 2012, 561 ff. Ronellenfitsch, DuD 2012, 561 (562). 168  So Giesen, CR 2014, 550. 169  So im Ergebnis ebenfalls Kieck / Pohl, DuD 2017, 567 (568). 170  So auch Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 45 Rn. 22. 171  Reding, ZD 2012, 195. 172  Brühann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV Rn. 75. 173  Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 32. 174  So Roßnagel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverord­ nung, S. 76 Rn. 29. 175  Streinz, Europarecht, S. 319 Rn. 845. 167  So

50

Erster Teil: Grundlagen

ches der Grundfreiheiten bedarf es daher in der Folge stets eines grenzüber­ schreitenden Sachverhalts,176 da diese eben maßgeblich den zwischenstaat­ lichen Austausch optimieren möchten.177 Art. 16 Abs. 2 Satz 1 HS. 2 AEUV dient aber, anders als die genannten Grundfreiheiten, nicht nur der Herstellung und Wahrung eines geeinten euro­ päischen Binnenmarktes. Die Kompetenznorm ist vielmehr in engem Zusam­ menhang mit den Vorgaben des Halbsatzes 1 zu sehen. Bereits der Wortlaut der Vorschrift verdeutlicht, dass der „freie Datenverkehr“ geschützt werden soll, nicht etwa der „freie Datenverkehr zwischen den Mitgliedstaaten“. Selbst wenn man isoliert darauf abstellen möchte, dass der freie Datenver­ kehr im Sinne der Norm lediglich der Verwirklichung des Binnenmarktes dient, kann die Notwendigkeit eines grenzüberschreitenden Sachverhalts letztlich mit der Rechtsprechung des EuGH abgelehnt werden. Mit Urteil vom 20. Mai 2003 entschied der Gerichtshof178, dass nicht der tatsächliche Zusammenhang mit dem freien Verkehr zwischen den Mitgliedstaaten das entscheidende Kriterium sei, sondern, dass der erlassene Rechtsakt die Be­ dingungen für die Errichtung und das Funktionieren des Binnenmarktes ver­ bessern solle.179 Der Binnenmarkt soll durch die Angleichung der unter­ schiedlichen Rechts- und Verwaltungsvorschriften gewährleistet werden, ohne dass es eines unmittelbaren Zusammenhangs mit der Gewährleistung der Grundfreiheiten bedarf.180 Die durch den EuGH aufgestellten Kriterien lassen sich entsprechend auf die Gesetzgebungskompetenz der Union über­ tragen. Insbesondere durch die dezidierte Regelung der Datenschutzkompe­ tenz in Art. 16 Abs. 2 AEUV wurde dessen besondere Stellung unterstrichen. Es sollte eine zentrale und spezielle Kompetenznorm entwickelt werden, die gerade auch auf die Besonderheiten der Regelungsmaterie Rücksicht nehmen kann. Datenschutz im Kontext des Binnenmarktes bedeutet dabei nicht zwin­ gend die Abschaffung etwaiger Handelshemmnisse zwischen den Staaten. Ansatzpunkt ist vielmehr die Schaffung eines digitalen Binnenmarktes durch 176  Dies wird bereits im Wortlaut der verschiedenen Normen deutlich herausge­ stellt: Art. 34 AEUV (Einfuhrbeschränkungen): „[…] zwischen den Mitgliedstaaten […]“, Art. 49 AEUV (Recht auf freie Niederlassung): „[…] eines anderen Mitgliedstaats […]“, Art. 56 AEUV (Recht auf freie Dienstleistung): „[…] in einem anderen Mitgliedstaat […]“, Art. 63 Abs. 1 AEUV (Freier Kapital- und Zahlungsverkehr): „[…] zwischen den Mitgliedstaaten […]“. 177  Haratsch / Koenig / Pechstein, Europarecht, S. 384 Rn. 830. 178  EuGH, Urt. v. 20.05.2003  – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01  – EuR 2004, 276 ff. 179  EuGH, Urt. v. 20.05.2003  – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01  – EuR 2004, 276 (283). 180  EuGH, Urt. v. 20.05.2003  – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01  – EuR 2004, 276 (283).



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO51

die Angleichung der Rechtsordnungen. Ein digitaler Binnenmarkt im Kon­ text des Datenschutzes bedeutet eben auch, dass die Daten der Unionsbürger in jedem Mitgliedstaat ein gleich hohes Schutzniveau genießen. Eine um­ fangreiche Einschränkung der Union im Bereich des Datenschutzes würde diesem Ziel jedoch entgegenwirken. Vielmehr muss der Union eine umfas­ sende Kompetenz im Bereich des Datenschutzes zugebilligt werden, und zwar sowohl im öffentlichen, privaten, grenzüberschreitenden als auch im innerstaatlichen Bereich.181 Dabei determiniert die Norm den Gesetzgeber aber nicht auf eine Rechts­ handlungsform. Vielmehr ist unter dem Begriff der Vorschriften im Sinne der Norm jedweder Rechtsakt im Sinne des Art. 288 AEUV zu verstehen.182 Mithin hätte auf Grundlage des Art. 16 Abs. 2 Satz 1 AEUV auch das Instru­ ment der Richtlinie gewählt werden können.183 II. Die Wahl der Rechtsform im Gesetzgebungsverfahren Art. 16 Abs. 2 Satz 1 AEUV sieht zum Erlass datenschutzrechtlicher Vor­ schriften das ordentliche Gesetzgebungsverfahren im Sinne der Art. 289 Abs. 1 Satz 1, 294 AEUV vor. Entsprechend wurde die DSGVO gem. Art. 294 Abs. 2 AEUV von der Kommission vorgeschlagen und letztlich durch den Rat am 7. April 2016 und im Parlament am 14. April 2016 in zweiter Lesung angenommen.184 Die Unterzeichnung im Sinne des Art. 297 Abs. 1 AEUV erfolgte am 27. April 2016, die Verkündung im Amtsblatt der Europäischen Union gem. Art. 297 Abs. 1 UAbs. 2 AEUV am 4. Mai 2016185. 181  So auch Albrecht, ZD 2013, 588; Hornung, ZD 2012, 99; Epiney, ZaöRV 2014, 465 (473); Ernst / Krämer, DANA 2012, 14; Koós, ZD 2014, 9; Reding, ZD 2012, 195; von Lewinski, DuD 2012, 564 (565); Raab, Die Harmonisierung des einfachge­ setzlichen Datenschutzes, S. 155; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 45 Rn. 22; Brühann, in: von der Groeben / Schwarze / Hatje, Europäisches Unions­ recht, Art. 16 AEUV Rn. 75; Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Einführung Rn. 75; Selmeyr / Ehmann, in: Ehmann / Selmeyr, DSGVO, Einführung Rn. 36; (noch) offen gelassen: Döhmann / Eisenbarth, JZ 2011, 169 (172). Kritisch: Ronellenfitsch, DuD 2012, 561 (562), der in Art. 16 Abs. 2 AEUV keine umfassende Datenschutzkompetenznorm erblickt; Schild / Tinnefeld, DuD 2012, 312 (313); Giesen, CR 2014, 550, (551); Ronellenfitsch, DuD 2016, 357 (359). 182  Brühann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 Rn. 60. 183  Eckhardt et al., DuD 2013, 623 (625); Masing sprach sich sogar ausdrücklich für das Instrument der Richtlinie aus, vgl. NJW 2012, 2305 (2311); Ebenso Schaar, Konsultationsbeitrag BfDI / LfD vom 13.01.2011, S. 6 mit Verweis auf die „gewach­ senen Traditionen und Rechtsstandards in den Mitgliedstaaten“. 184  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 42 Rn. 17. 185  ABl. L 2016 / 119, S. 1.

52

Erster Teil: Grundlagen

1. Ein Gesamtkonzept für den Datenschutz in der EU Bereits sehr früh im Gesetzgebungsverfahren wurde deutlich, dass das neue europäische Datenschutzrecht maßgeblich durch eine Verordnung im Sinne des Art. 288 UAbs. 2 AEUV bestimmt werden soll. Mit dem „Gesamt­ konzept für den Datenschutz in der Europäischen Union“186 bereitete die Kommission im Jahr 2010 das Feld für die Reform vor und legte zugleich den Grundstein für die weiteren legislativen Schritte. Die einschneidenden technischen, wirtschaftlichen und rechtlichen Veränderungen machten die Revision des Datenschutzrechts nach Ansicht der Kommission zwingend er­ forderlich. Ausgangspunkt des Reformvorhabens war die Überprüfung der bestehenden Europäischen Datenschutzbestimmungen im Frühjahr 2009.187 Dabei wurde festgestellt, dass die zentralen Grundsätze der Richtlinie auch unter den veränderten technischen Gegebenheiten Bestand haben, verschie­ dene Anpassungen jedoch notwendig geworden waren.188 Als zentraler As­ pekt wurde dabei die Binnenmarktdimension des Datenschutzes benannt, da insbesondere international agierende Unternehmen auf Grund der unzurei­ chenden Harmonisierung der verschiedenen Datenschutzvorschriften vor große Probleme gestellt würden.189 Obwohl bereits die Datenschutz-Richtli­ nie nach der Rechtsprechung des EuGH in allen Mitgliedstaaten ein gleich­ wertiges Datenschutzniveau herstellen sollte,190 führt die Kommission die starken Unterschiede der mitgliedstaatlichen Datenschutzbestimmungen ge­ rade auf die Besonderheiten des Instruments der Richtlinie zurück.191 Der EuGH führte dazu aus, dass die Datenschutz-Richtlinie zwingend allgemein gehalten sei, da sie auf eine Vielzahl von Situationen Anwendung finden müsse.192 Mithin beinhalte sie „eine gewisse Flexibilität“ bei der Umsetzung durch die Mitgliedstaaten, sodass diese Einzelheiten regeln und zwischen 186  Kommission, Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg.; vgl. dazu Schaar, Kon­ sultationsbeitrag zur Mitteilung „Gesamtkonzept für den Datenschutz der Europäi­ schen Union“, KOM (2010) 609 endg.; Schaar / Onstein, BRJ 2011, 126 ff. 187  Kommission, Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg., S. 3. 188  Kommission, Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg., S. 3. 189  Kommission, Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg., S. 4. 190  EuGH, Urt. v. 06.11.2003  – C-101 / 01  – EuZW 2004, 245 (252); EuGH, Urt. v. 16.12.2008  – C-524 / 06  – EuZW 2009, 183 (185); EuGH, Urt. v. 24.11.2011  – C-468, 469 / 10 – EuZW 2012, 37 (39). 191  Kommission, Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg., S. 11. 192  EuGH, Urt. v. 06.11.2003 – C-101 / 01 – EuZW 2004, 245 (251).



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO53

Optionen entscheiden können.193 Auf Grund dieser Gestaltungsspielräume innerhalb der Richtlinie sowie der teilweise mangelhaften Umsetzung der Vorgaben in den Mitgliedstaaten kam die Kommission zu der Überzeugung, „Ansätze für eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene prüfen [zu wollen].“194 Weniger zurückhaltend forderte das Europäische Parlament die Kommis­ sion dazu auf, im Rahmen der Überprüfung des Datenschutzrechts die „volle Harmonisierung auf höchstem Niveau“ zu gewährleisten195. Die Ver­ einheitlichung des Datenschutzrechts war nach Ansicht des Berichterstatters für die DSGVO, Albrecht, die wichtigste Forderung des Europäischen Par­ laments.196 2. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert Auf Grundlage des Datenschutzkonzepts, weitreichender Gespräche mit den nationalen und europäischen Datenschutzbehörden und der Arti­ kel‑29‑Datenschutzgruppe197 schlägt die Kommission mit Mitteilung vom 25. Januar 2012 einen kohärenten, zweigliedrigen Rechtsrahmen vor, der insbesondere die Rechte der Menschen stärkt, die Binnenmarktdimension des Datenschutzes fördert sowie den allgemeinen Verwaltungsaufwand verrin­ gern sollte.198 Kernstück der Reform der EU-Datenschutzvorschriften ist der Vorschlag der DSGVO.199 Bei der Wahl der Rechtsform folgt die Kommis­ sion letztlich dem präferierten Vorschlag der Dienststellen200.201

193  EuGH,

Urt. v. 06.11.2003 – C-101 / 01 – EuZW 2004, 245 (251). Mitteilung vom 04.11.2010 – Gesamtkonzept für den Daten­ schutz in der Europäischen Union, KOM (2010) 609 endg., S. 11. 195  Europäisches Parlament, Entschließung des Europäischen Parlaments vom 6.  Juli 2011, Ziffer 9, S. 6. Abrufbar unter: http: /  / www.europarl.europa.eu / sides / get Doc.do?pubRef=- / / EP / NONSGML+TA+P7-TA-2011-0323+0+DOC+PDF+V0 / /  DE, zuletzt abgerufen am 08.10.2018. Da die Resolution maßgeblich durch den Deut­ schen Axel Voss vorbereitet wurde, ist diese auch unter dem Namen Voss-Bericht be­ kannt, vgl. Reding, Pressemitteilung vom 6. Juli 2011. Online abrufbar unter: http: /  / europa.eu / rapid / press-release_MEMO-11-489_en.htm?locale=en, zuletzt ab­ gerufen am 08.10.2018. 196  Albrecht, ZD 2013, 587 (588). 197  Die Gründung des Beratungsgremiums erfolgte 1996 auf Grundlage des Art. 29 der Datenschutz-Richtlinie, die Gruppe ist unabhängig und hat beratende Funktion, vgl. Art. 29 Abs. 1 der Datenschutz-Richtlinie. 198  Kommission, Mitteilung vom 25.01.2012 – Ein europäischer Datenschutzrah­ men für das 21. Jahrhundert, KOM (2012) 9 endg., S. 4. 199  Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener 194  Kommission,

54

Erster Teil: Grundlagen

Die Dienststellen der Kommission benennen im Rahmen ihrer Folgenab­ schätzung zur DSGVO drei Hauptprobleme, wobei die „Unterschiede in den Rechtsregelungen, Rechtsunsicherheiten und uneinheitliche Rechtssetzung“ als primäres Problem erkannt werden.202 Wenngleich die Datenschutz-Richt­ linie nach der Rechtsprechung des EuGH bereits vollharmonisierend wirken sollte, mangelte es oftmals an der entsprechenden Umsetzung durch die na­ tionalen Gesetzgeber, sodass sich die für die Verarbeitung Verantwortlichen mit bis zu 28 unterschiedlichen Datenschutzbestimmungen auseinandersetzen mussten.203 Resultat des zersplitterten Rechtsrahmens sind Rechtsunsicher­ heiten, Kosten bei Wirtschaft und Verwaltung sowie Expansionshindernis­ se.204 Zur Lösung führt die Folgenabschätzung drei Optionen mit zunehmender Eingriffswirkung aus: Als Minimaloption werden „weiche Maßnahmen“ vor­ geschlagen, wobei diese regelmäßig in Gestalt von Auslegungshilfen durch die Kommission erfolgen sollten. Option Zwei beinhaltet eine grundlegende Aktualisierung der bestehenden Regelungen, sieht dabei allerdings von einer detaillierten Normierung ab. Lösungsansatz drei baut auf Option zwei auf, beinhaltet darüber hinaus aber eine detaillierte, mitunter auch sektorspezifi­ sche Datenschutzregulierung durch die Union. Da eine solche Regulierung des Datenschutzes auf europäischer Ebene jedoch mit erheblichen Kosten verbunden wäre und zudem auf weitreichenden Widerstand stoßen würde, wurde der „Mittelweg“ im Sinne der Option zwei als erfolgversprechendste Lösung angesehen.205 In der den Kommissionsentwurf begleitenden Mitteilung206 greift die Kommission diese Argumentation auf und führt diesbezüglich aus, dass der digitale Binnenmarkt durch eine straffe, eindeutige und einheitliche europäi­ sche Regulierung des Datenschutzes erheblich profitiere.207 Insbesondere für kleine und mittelständische Unternehmen (KMU) bietet das Rechtsinstrument Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM (2012) 11 endg. 200  Kommission, Zusammenfassung der Folgenabschätzung – Begleitunterlage zu der Datenschutz-Grundverordnung, SEK (2012) 73 endg. 201  Kommission, KOM (2012) 11 endg., S. 5. 202  Kommission, SEK (2012) 73 endg. S. 2; darüber hinaus benennt die Dienst­ stelle die Stärkung der Datenschutzrechte des Einzelnen sowie den Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit als weitere zentrale daten­ schutzrechtliche Problemstellungen. 203  Kommission, SEK (2012) 73 endg., S. 2. 204  Kommission, SEK (2012) 73 endg., S. 3. 205  Vgl. Komission, SEK (2012) 73 endg., S. 7, 10. 206  Kommission, KOM (2012) 9 endg. 207  Kommission, KOM (2012) 9 endg., S. 8.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO55

der Verordnung und die damit verbundene Vereinheitlichung des Rechtsrah­ mens in den 28 Mitgliedstaaten die Möglichkeit, neue Märkte zu erschlie­ ßen.208 Diesen Gedanken greift die Kommission in der Begründung zum Vorschlag der DSGVO nochmals auf und führt diesbezüglich aus, dass das Rechtsinstrument der Verordnung im Sinne des Art. 288 AEUV am besten dazu geeignet sei, den Schutz personenbezogener Daten zu gewährleisten und zur Rechtsvereinheitlichung und Rechtssicherheit beizutragen.209 Der „sehr nachvollziehbare“210 Schritt hin zur Verordnung wurde zwar teils kritisch gesehen,211 überwiegend jedoch positiv aufgenommen.212 Insbe­ sondere der europäische Datenschutzbeauftragte äußerte sich „besonders froh“ über die Rechtsform der Verordnung.213 In der Form der „Grundverordnung“214 ist die Angleichung des Daten­ schutzrechts in einem zweistufigen („gestreckten“)215 Verfahren voranzu­ treiben216. Grundlegende und zentrale Bestimmungen erfolgen anhand der ­DSGVO, die Ausgestaltung und Konkretisierung sodann auf Ebene der EU und der Mitgliedstaaten.217 Dabei sollte die Kommission eine zentrale Be­ deutung bei der Ausgestaltung des Prozesses einnehmen.218 Die vorgesehe­ nen umfangreichen Befugnisse für die Kommission, den Datenschutz maß­ 208  Kommission,

KOM (2012) 9 endg., S. 8. KOM (2012) 11, S. 6; Während Reding den Wechsel der Form als natürliche Evolution bezeichnet, ZD 2012, 195 (196), spricht Roßnagel von einer „sehr radikalen Lösung“, Roßnagel, in: Roßnagel (Hrsg.), Europäische DatenschutzGrundverordnung, S. 55 Rn. 17. 210  So Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Einführung Rn. 73. 211  Mitunter wurde in Frage gestellt, ob das Gesetzesvorhaben in dieser Gestalt auf Art. 16 Abs. 2 AEUV gestützt werden kann, diesen Zweifeln können die vorstehen­ den Ausführungen zu der Ermächtigungsgrundlage entgegengehalten werden. 212  Vgl. dazu u. a. Albrecht, ZD 2013, 587; Hornung, ZD 2012, 99 (100); Reding, ZD 2012, 195; von Lewinski, DuD 2012, 564 (570); Kritisch: Stellungnahme des Ausschusses der Regionen: „Datenschutzpaket“, ABl. C 391 / 127, S. 128; Roßnagel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, S. 55 Rn. 17; ders., DuD 2012, 553. 213  Der Europäische Datenschutzbeauftragte, Zusammenfassung der Stellung­ nahme des EDSB vom 7. März 2012 zum Datenschutzreformpaket, ABl. C 192, 7, S. 9. 214  Englisch: General Data Protection Regulation; Französisch: règlement general sur la protection des données; Spanisch: Reglamento general de protección de datos. 215  So Wolff / Brink, in: Wolff / Brink, BeckOK Datenschutzrecht, DSGVO, Einlei­ tung zur DSGVO Rn. 20. 216  Kühling / Martini, EuZW 2016, 448 (449). 217  Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 82; Kühling /  Martini, EuZW 2016, 448 (449); Wolff / Brink, in: Wolff / Brink, BeckOK Datenschutz­ recht, DSGVO, Einleitung zur DSGVO Rn. 20. 218  Kühling / Martini, EuZW 2016, 448 (449). 209  Komission,

56

Erster Teil: Grundlagen

geblich durch delegierte Rechtsakte219 und Durchführungsrechtsakte220 zu bestimmen, wurden allerdings äußerst kritisch aufgenommen.221 Der Kom­ missionsentwurf sah mitunter 26 Befugnisse der Kommission zum Erlass delegierter Rechtsakte sowie zahlreiche Kompetenznormen bezüglich etwai­ ger Durchführungsrechtsakte vor.222 Dabei gilt es allerdings aus „strategi­ scher Perspektive“ zu beachten, dass es im Rahmen des europäischen Ge­ setzgebungsverfahrens durchaus üblich ist, frühe Entwurfsstadien mit Ver­ weis auf diese Regelungsinstrumente auf das Nötigste zu reduzieren, um so Verhandlungsspielräume gegenüber Rat und Parlament zu eröffnen.223 3. Beibehaltung des Verordnungscharakters im weiteren Gesetzgebungsverfahren Wenngleich die Verhandlungen über die DSGVO noch weitere vier Jahre in Anspruch nahmen, wurde die grundlegende Ausgestaltung in Form der Verordnung durch das Europäische Parlament und den Europäischen Rat nicht in Frage gestellt. Auch Albrecht begrüßte in seinem Berichtsentwurf vom 16. Januar 2013 ausdrücklich die Wahl der Verordnung.224 Unter Be­ rücksichtigung von 3.999 Änderungsvorschlägen225 nahm das Parlament am 12. März 2014 den Entwurf in der ersten Lesung als Standpunkt an226. 219  Der Kommission kann durch sog. delegierte Rechtsakte die Befugnis übertra­ gen werden, Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergän­ zung oder Änderung bestimmter nicht wesentlicher Vorschriften des betreffenden Gesetzgebungsaktes zu erlassen, Art. 290 Abs. 1 AEUV. Sinngemäß können diese Rechtssetzungsakte mit denen auf Grundlage des Art. 80 GG verglichen werden, da diese kein Verfahren im Sinne des Art. 289 AEUV voraussetzen aber rechtlich bin­ dend sind, vgl. m. w. N. Gellerman, in: Streinz, EUV / AEUV, Art. 290 AEUV Rn. 2; Weiß, EuR 2016, 631 (643). 220  Grundsätzlich obliegt die Durchführung des Unionsrechts den Mitgliedstaaten, Art. 291 Abs. 1 AEUV. Soweit es allerdings einheitlicher Bedingungen für die Durch­ führung der verbindlichen Rechtsakte der Union bedarf, kann die Kommission oder in begründeten Sonderfällen der Rat Durchführungsrechtsakte erlassen, Art. 291 Abs.  2 AEUV. Vgl. dazu m. w. N. Stelkens, EuR 2012, 511 f. 221  Vgl. dazu Stellungnahme des Ausschusses der Regionen: „Datenschutzpaket“, ABl. C 391 / 127, S. 128; Hornung, ZD 2012, 99 (106); Kahler, RDV 2013, 69; Stel­ lungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Datenschutz-Grundverordnung vom 11. Juni 2012; Roßnagel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, S. 55 Rn. 17; ders., DuD 2012, 553. 222  Vgl. dazu Schild / Tinnefeld, DuD 2012, 312 (316). 223  Vgl. Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 56. 224  Europäisches Parlament, Berichtsentwurf vom 16.01.2013, S. 230. 225  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 42 Rn. 15. 226  Europäisches Parlament, P7_TA-PROV(2014)0212; kritisch hierzu: Härting, CR 2013, 715 ff.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO57

Auch der Entwurf des Rates vom 11. Juni 2015227 erkennt die Rechtsform der Verordnung an, wendet sich aber mit Nachdruck gegen die vorgesehenen Befugnisse der Kommission.228 Im Ergebnis verbleiben lediglich zwei von 26 Ermächtigungsbefugnissen i. S. d. Art. 290 AEUV sowie sieben Grundla­ gen für etwaige Durchführungsrechtsakte i. S. d. Art. 291 AEUV in der ver­ abschiedeten Fassung229. Damit wurde keine Konkretisierung der Vorgaben der DSGVO verbunden, vielmehr wurde die Spezifizierung nunmehr in die Hand der Mitgliedstaaten gelegt.230 Dadurch wurde zwar der „Aufschwung der Kommission zum primären Gesetzgeber“231 im Bereich des Datenschut­ zes vermieden, zugleich aber auch das Ziel der Vereinheitlichung und Rechtssicherheit gefährdet232. Hierbei ist allerdings zu beachten, dass auch die zahlreichen sog. Öff­ nungsklauseln233, mit denen nunmehr die Mitgliedstaaten anstelle der Kom­ mission die Konkretisierung der DSGVO vorantreiben sollen, nicht in den Normcharakter der DSGVO als Verordnung eingreifen. Vielmehr handelt es sich bei der Ausgestaltung der Spezifizierungsmöglichkeiten ausschließlich um eine Frage der unmittelbaren Anwendbarkeit, nicht aber der unmittelba­ ren Geltung der Verordnung.234 III. Die Festsetzung des Normcharakters in den Vorgaben der DSGVO Die gesetzgeberische Intention, den Datenschutz einheitlich für den euro­ päischen Rechtsraum mittels einer Verordnung festzuschreiben, findet sich sowohl innerhalb des erläuternden als auch letztlich innerhalb des verfügen­ den Teils der DSGVO wieder. Von besonderer Bedeutung sind dabei die 227  Fassung

des Rats der Europäischen Union v. 15. Juni 2015, 9565 / 15. ZD 2015, 456. 229  Roßnagel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, S. 57 Rn. 24. 230  Kühling / Martini, EuZW 2016, 448 (449); Roßnagel / Nebel / Richter, ZD 2015, 455 (456); Wolff / Brink, in: Wolff / Brink, BeckOK Datenschutzrecht, DSGVO, Einlei­ tung zur DSGVO Rn. 20. 231  So Kühling / Martini, EuZW 2016, 448 (449). 232  Roßnagel / Nebel / Richter, ZD 2015, 455 (456). 233  Zum Begriff: Albrecht, CR 2016, 500 (501); Buchner, DuD 2016, 155 (159); Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 1, 4; Laue, ZD 2016, 463. Selmayr / Ehmann sprechen in Anlehnung an Erwägungsgrund 10 von „Spezifi­ zierungsklauseln“, vgl. Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 84. Gola hingegen bevorzugt den Begriff der „Regelungsmöglichkeit“, vgl. Gola, in: Gola, DSGVO, Einleitung Rn. 46. 234  So auch Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 88. 228  Roßnagel / Nebel / Richter,

58

Erster Teil: Grundlagen

insgesamt 173 Erwägungsgründe der DSGVO. Diese sind nicht nur das Er­ gebnis des langwierigen Gesetzgebungsprozesses, sondern zugleich ein inte­ graler Bestandteil des gesetzgeberischen Verfahrens.235 Sie dienen als Be­ gründung für die Bestimmungen des verfügenden Teils236 und sind somit eine wichtige Erkenntnisquelle hinsichtlich der Auslegung der Verordnung237. Die entsprechende Rechtsgrundlage zur Begründung etwaiger Rechtsakte der Europäischen Union findet sich in Art. 296 UAbs. 2 AEUV. Da eine solche Begründungspflicht in den Rechtsordnungen der Unionsmitglieder regelmä­ ßig nicht vorgesehen ist,238 soll zunächst grundlegend auf deren Besonder­ heiten eingegangen werden (dazu unter 1). Daran anschließend sind die Er­ wägungsgründe der DSGVO mit Blick auf den Rechtscharakter des Normen­ werkes zu analysieren (dazu unter 2.). 1. Die Erwägungsgründe der DSGVO als Erkenntnisquelle Mit Blick auf die Begründungsplicht der europäischen Legislative lässt sich vorweg festhalten, dass der Europäische Gesetzgeber mehr als das bloße Gesetz schuldet.239 Gem. Art. 296 UAbs. 2 AEUV sind Rechtsakte240 mit 235  Vgl. dazu Geismann, in: von der Groeben / Schwarze / Hatje, Europäisches Uni­ onsrecht, Art. 296 AEUV Rn. 10. 236  Vgl. EuGH, Urt. v. 15.06.1994 – C-137 / 92 – BeckEuRS 1994, 203879 Rn. 67; vgl. dazu auch Amt für Veröffentlichungen, Interinstitutionelle Regeln für Veröffent­ lichungen der Europäischen Union. Abrufbar unter: http: /  / publications.europa. eu / code / de / de-120200.htm, zuletzt abgerufen am 08.10.2018. Der EuGH führt dies­ bezüglich aus, dass es „nur im Lichte der Begründung (…) möglich [ist], den verfü­ genden Teil einer derartigen Entscheidung zu verstehen und seine Tragweite einzu­ schätzen.“; dazu m. w. N. Colneric, ZEuP 2005, 225 (227). 237  Ebenso Paal / Pauly, in: Paal / Pauly, DSGVO / BDSG Einleitung Rn. 10; Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einleitung Rn. 97; Wolff / Brink, in: Wolff / Brink, BeckOK Datenschutzrecht, Einleitung zur DSGVO Rn. 18. 238  Krajewski / Rösslein, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 296 AEUV Rn. 14. 239  In Deutschland hingegen wird eine Gesetzesbegründungspflicht in Abgrenzung zu den (in der Regel begründungspflichtigen) Handlungen der Verwaltung (vgl. nur § 39 Abs. 1 Satz 1 VwVfG) überwiegend abgelehnt, Erbguth, JZ 2008, 1038 (1040). In diesem Zusammenhang wird oftmals auf die prägnante Formulierung Geigers zu­ rückgegriffen: „Der Gesetzgeber schuldet den Verfassungsorganen und Organen im Staat, auch den Verfassungsgerichten, nichts als das Gesetz. Er schuldet ihnen weder eine Begründung noch gar die Darlegung aller seiner Motive, Erwägungen und Abwägungen“, Geiger, Gegenwartsprobleme der Verfassungsgerichtsbarkeit aus deut­ scher Sicht, in: Berberich / Holl / Maaß (Hrsg.), Neue Entwicklungen im Öffentlichen Recht, S. 141. Mit Blick auf die neuere Rechtsprechung des Bundesverfassungsge­ richts dem zustimmend: Hebeler, DÖV 2010, 754 (762); Merten, DÖV 2015, 349 (360). Für eine Begründungspflicht: Redeker / Karpenstein, die eine Gesetzesbegrün­ dungspflicht auf nationaler Ebene unter anderem aus dem Demokratieprinzip (Art. 20



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO59

einer Begründung zu versehen, die auf die in den Verträgen vorgesehenen Vorschläge, Initiativen, Empfehlungen und Anträge oder Stellungnahmen Bezug nimmt. Bereits der Wortlaut der Vorschrift verdeutlicht, dass es sich tatsächlich um eine Pflicht zur Begründung handelt. Verstößt die Legislative gegen diese Pflicht, hat dies zwar nicht unmittelbar die Nichtigkeit der Norm zur Folge, es kommt allerdings ein Verstoß gegen wesentliche Formvor­ schriften im Sinne des Art. 263 UAbs. 2 AEUV in Betracht.241 Unter Berücksichtigung der Funktion der Begründung ist dies nur folge­ richtig. Schließlich soll die Begründung „die Überlegungen des Gemein­ schaftsorgans, das den beanstandeten Rechtsakt erlassen hat, so klar und eindeutig zum Ausdruck bringen, dass die Betroffenen ihr die Gründe für die erlassene Maßnahme entnehmen können und der Gemeinschaftsrichter seine Kontrollaufgabe wahrnehmen kann.“242 Der EuGH weist der Begründungs­ pflicht damit keine für den Rechtsakt konstituierende, sondern vielmehr eine (externe) Kontrollfunktion zu.243 Damit einhergehend ist die Verbesserung des Rechtsschutzes der Betroffenen beabsichtigt, die unter Abwägung der maßgeblichen Motivationen des Gesetzgebers die Erfolgsaussichten eines Rechtsmittels besser einschätzen können.244 Die Begründungspflicht ver­ stärkt im Ergebnis die Transparenz, Akzeptanz und Nachvollziehbarkeit eines Rechtsaktes der Europäischen Union.245 Darüber hinaus dient die Begrün­

Abs. 2 GG) ableiten; Redeker / Karpenstein, NJW 2001, 2825 (2827); Zuck, NJW 2016, 3573 (3577) mit Verweis auf das europäische Vorbild der Erwägungsgründe. 240  Im Gegensatz zu Art. 253 EGV sind nunmehr alle Rechtsakte der Union gem. Art. 296 UAbs. 2 AEUV zu begründen, vgl. Krajewski / Rösslein, in: Grabitz / Hilf / Net­ tesheim, Das Recht der Europäischen Union, Art. 296 AEUV Rn. 14. Einschränkend vertritt Gellermann die Ansicht, dass trotz des Wortlauts lediglich verbindliche Rechtsakte zu begründen sind, sodass Empfehlungen, Stellungnahmen sowie in den Verträgen nicht normierte Rechtsakte nicht zu begründen sind, vgl. Gellermann, in: Streinz, EUV / AEUV, Art. 296 AEUV Rn. 4. 241  EuGH, Urt. v. 15.06.1994  – C-137 / 92  – BeckEuRS 1994, 203879 Rn. 78; EuGH, Urt. v. 02.04.1998  – C-367 / 95 P  – EuZW 1998, 336 (340); EuGH, Urt. v. 21.01.2003 – C-378 / 00 – BeckEuRS 2003, 277569 Rn. 34; Calliess, in: Calliess / Ruf­ fert, EUV / AEUV, Art. 296 AEUV Rn. 35; Gellermann, in: Streinz, EUV / AEUV, Art. 296 AEUV Rn. 16. 242  EuGH, Urt. v. 30.04.2009 – C-494 / 06 P – BeckRS 2009, 70465 Rn. 48. 243  Ständige Rechtsprechung des EuGH, vgl. dazu m.  w.  N. EuGH, Urt. v. 30.04.2009 – C-494 / 06 P – BeckRS 2009, 70465 Rn. 48. 244  Geismann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 296 AEUV Rn. 10; Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 296 AEUV Rn. 12; Gellermann, in: Streinz, EUV / AEUV, Art. 296 AEUV Rn. 5. 245  Calliess, Gerichtliche Kontrolldichte und institutionelle Begründungspflicht im Europarecht – ein Kompensationsverhältnis, in: Hendler / Ibler / Soria, „Für Sicherheit, für Europa“ – Festschrift für Volkmar Götz zum 70. Geburtstag, S. 252.

60

Erster Teil: Grundlagen

dungspflicht letztlich aber auch dem erlassenden Organ.246 Durch die Not­ wendigkeit der Begründung ist der Gesetzgeber zumindest in der Theorie dazu angehalten, einen wohldurchdachten und rechtskonformen Rechtsakt zu schaffen.247 Aus der somit festgelegten Funktion der Begründungspflicht ergibt sich zugleich deren (rechtliche) Begrenzung – mit anderen Worten: der dem Ge­ setzestext vorangestellte, erläuternde Teil kann nicht zugleich dessen norma­ tive Bindung vorwegnehmen.248 Ohne weitergehende Begründung stellt der EuGH dazu fest, „dass die Begründungserwägungen eines Rechtsaktes der Gemeinschaft rechtlich nicht verbindlich [sind] und […] nicht zur Rechtfer­ tigung einer Abweichung von den Bestimmungen des betreffenden Rechtsak­ tes angeführt werden [können].“249 Gestützt werden kann dieses Ergebnis aber sowohl auf Grundlage einer funktionalen Betrachtung als auch unter Berücksichtigung der allgemeinen Gesetzesstruktur.250 Der grundlegende Unterschied zwischen den Erwägungsgründen und den Normen innerhalb des verfügenden Teils des Rechtsaktes ist darin zu sehen, dass letztere stets aus Tatbestand und Rechtsfolge bestehen, während Erwägungsgründe diese strukturellen Merkmale gerade nicht aufweisen.251 Wenngleich die Erwä­ gungsgründe wesentlicher Teil des Rechtsaktes sind, haben sie allein deskrip­ tiven Charakter, ohne dass aus diesen eine konkrete (Rechts-)Folge abgeleitet werden kann.252 Letztlich sind die Erwägungsgründe als wesentlicher Teil des Gesetzge­ bungsprozesses eine maßgebliche, wenn nicht sogar primäre253, Erkenntnis­ quelle des verfügenden Teils des Rechtsaktes. Mittelbar ist den Erwägungs­ gründen daher eine normative Wirkung nicht gänzlich abzusprechen.254 Je­ 246  Krajewski / Rösslein, in: Grabitz / Hilf / Nettesheim, das Recht der Europäischen Union, Art. 296 Rn. 7; Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 296 AEUV Rn. 14; Gellermann, in: Streinz, EUV / AEUV, Art. 296 AEUV Rn. 5. 247  Geismann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 296 AEUV Rn. 9. 248  So auch Mahlmann, EuZW 2008, 314 (319). 249  EuGH, Urt. v. 19.11.1998  – C-162 / 97  – BeckRS 2004, 74578 Rn. 54; EuGH, Urt. v. 24.11.2005  – C-136 / 04  – BeckRS 2005, 70929 Rn. 32; EuGH, Urt. v. 02.04.2009 – C-134 / 08 – BeckRS 2009, 70379 Rn. 16. 250  So der Generalanwalt beim EuGH im Rahmen seines Schlussantrags vom 06.09.2007 – C-267 / 06 – BeckRS 2007, 70624. 251  Generalanwalt beim EuGH, Schlussantrag vom 06.09.2007  – C-267 / 06  – BeckRS 2007, 70624 Rn. 74. 252  Generalanwalt beim EuGH, Schlussantrag vom 06.09.2007  – C-267 / 06  – BeckRS 2007, 70624. Rn. 74. 253  So Leisner, EuR 2007, 689 (703). 254  Klöhn, WM 2016, 1665 (1667).



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO61

denfalls aber entfalten diese aus funktionalen und strukturellen Gründen keine unmittelbare Bindungswirkung im Sinne eines Rechtssatzes.255 2. Die Vorgaben der Erwägungsgründe der DSGVO Mit Blick auf die vorstehenden Erläuterungen finden sich die bereits zu Beginn des Gesetzgebungsverfahrens aufgegriffenen Leitmotive zum Rechts­ charakter der DSGVO in deren Erwägungsgründen wieder. Insbesondere wird vorab klargestellt, dass das Rechtsinstrument der Verordnung erforder­ lich ist, um die duale Zielsetzung der DSGVO (gleichmäßiges Datenschutz­ niveau sowie Stärkung des digitalen Binnenmarktes) umsetzen zu können.256 Die Ausgestaltung als Verordnung dient der Rechtssicherheit und Transpa­ renz, der Sicherstellung einheitlicher Rechte, Pflichten, Zuständigkeiten und Kontrollmechanismen sowie der Gewährleistung einer wirksamen Zusam­ menarbeit zwischen den Aufsichtsbehörden.257 Darüber hinaus soll die Ver­ ordnung zur Vollendung des Rechts-, Freiheits- und Sicherheitsraumes in Europa beitragen.258 Ergänzt wird diese Trias durch das Bestreben, den wirtschaftlichen und sozialen Fortschritt innerhalb des Binnenmarktes zu fördern sowie das Wohl der Unionsbürger zu steigern.259 Insbesondere auf Grund der Herausforderungen durch neue Technologien260 ist ein solides, kohärentes und letztlich durchsetzbares Datenschutzrecht notwendig, um das Vertrauen der digitalen Wirtschaft zu gewinnen und so den Binnenmarkt zu stärken.261 Dabei steht es den Mitgliedstaaten allerdings frei, Rechtsvorschriften zu erlassen oder beizubehalten, welche Vorschriften der Verordnung genauer festlegen.262 Die Spezifizierung einzelner Bereiche durch Union oder Mit­ gliedstaaten ist nicht ungewöhnlich263 und nach der Rechtsprechung des EuGH264 grundsätzlich mit dem Instrument der Verordnung vereinbar. Insbe­ sondere bleibt davon die unmittelbare Geltung der Verordnung im Übrigen unberührt.265 Im Rahmen der Konkretisierungsmöglichkeiten wird den Mit­ auch Gola, K&R 2017, 145. Satz 1 DSGVO. 257  Erwägungsgrund 13 Satz 1 DSGVO. 258  Erwägungsgrund 2 Satz 2 DSGVO. 259  Erwägungsgrund 2 Satz 2 DSGVO. 260  Vgl. dazu Erwägungsgrund 6 DSGVO. 261  Erwägungsgrund 7 DSGVO. 262  Erwägungsgrund 10 Satz 3 DSGVO. 263  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 133 Rn. 3. 264  EuGH, Urt. v. 27.09.1979 – Rs. 230 / 78 – Slg. 1979, 2749. 265  EuGH, Urt. v. 27.09.1979 – Rs. 230 / 78 – Slg. 1979, 2749. Rn. 34. 255  So

256  Erwägungsgrund 13

62

Erster Teil: Grundlagen

gliedstaaten allerdings ein eng begrenzter Rahmen gesetzt, etwaige Spezifi­ zierungen dürfen nur in dem Umfang getroffen werden, in denen diese un­ erlässlich sind.266 Die DSGVO gilt also unmittelbar in den Mitgliedstaaten, mithin kann sie aber als sog. „hinkende Verordnung“267 bezeichnet werden, zu deren Umsetzung es teils weiterer nationaler Durchführungsakte bedarf. Da die DSGVO auf die Vereinheitlichung des Datenschutzes abzielt, sind die Möglichkeiten der Mitgliedstaaten als stark begrenzt zu verstehen.268 Insbesondere steht es diesen nicht frei, von den Vorgaben der DSGVO abzu­ weichen. Vielmehr wird diesen die Möglichkeit eingeräumt beziehungsweise die Pflicht auferlegt, bestimmte Aspekte der Grundverordnung zu spezifizie­ ren.269 Sofern die Unionsmitglieder von dieser Möglichkeit der Präzisie­ rung270 Gebrauch machen, ist diese restriktiv anzuwenden und an hohe Rechtfertigungshürden geknüpft271. Fixpunkt der Konkretisierung durch die Mitgliedstaaten ist stets die Grundverordnung als „supranationales Basis­ recht“272 respektive das darin verkörperte Primärrecht.273 Mithin sollten auch die über 70274 Regulierungsmöglichkeiten der Mitgliedstaaten das Ziel der Vereinheitlichung nicht durchbrechen.275 Einerseits spricht die Anzahl an Ausgestaltungsmöglichkeiten gerade dafür, dass den Mitgliedstaaten ledig­ lich in bestimmten, konkreten Fällen die Möglichkeit zur Spezifizierung ge­ geben werden soll.276 Andererseits sind diese auch bei der Ausgestaltung stets an die Vorgaben der DSGVO gebunden, sodass bei der Ausgestaltung durch die Mitgliedstaaten europaweit annähernd vergleichbare Resultate zu erwarten sind.

266  Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 288 AEUV Rn. 101. 267  Jelinek, in: Knyrim (Hrsg.), Datenschutz-Grundverordnung, S. 7. 268  So auch Albrecht, CR 2016, 500 (501); Gola, in: Gola, DSGVO, Einleitung Rn. 46. 269  Selmayr spricht insofern von vier denkbaren Fällen, in denen dem nationalen Gesetzgeber überhaupt noch ein Regelungsspielraum verbleibt: Bei der Sicherstellung der Anwendung und Durchführung der Vorschriften der DSGVO, im Rahmen fakul­ tativer und / oder obligatorischer Spezifizierungsklauseln sowie durch einzelne, dezi­ diert genannte Abweichungsmöglichkeiten, vgl. Selmayr, ZD-Aktuell 2016, 04206. 270  Vgl. Erwägungsgrund 8 DSGVO. 271  Albrecht / Wybitul, ZD 2016, 457. 272  So Klement, JZ 2017, 161 (162). 273  Vgl. in diesem Sinne EuGH Urt. v. 27.06.2006  – C-540 / 03  – NVwZ 2006, 1033 (1036 Rn. 104). 274  Vgl. Buchner, in: Kühling / Buchner, DSGVO / BDSG, Art. 1 Rn. 5. 275  So aber Roßnagel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundver­ ordnung, S. 61 Rn. 35. 276  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 134 Rn. 4.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO63

Der Verordnungsgeber verkennt dabei nicht, dass die Mitgliedstaaten auf Grund der Vorgaben der Datenschutz-Richtlinie „mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern“277, erlassen haben.278 In diesem Bereich soll die DSGVO den Mitgliedstaaten daher einen „Spielraum für die Spezifizierung ihrer Vor­ schriften“ bieten.279 Den Mitgliedstaaten steht es frei, besondere Verarbei­ tungsvorgänge näher auszugestalten,280 wobei die Kompetenzen der Mit­ gliedstaaten mit Blick auf Sinn und Zweck der Verordnung ebenfalls eng auszulegen sind. Auch für den Fall, dass die DSGVO eine Einschränkung ihrer Vorschriften vorsieht,281 bildet der in Art. 1 Abs. 2 DSGVO verankerte Grundrechtsschutz das datenschutzrechtliche Mindestmaß, welches mitglied­ staatliche Maßnahmen nicht unterschreiten dürfen.282 Durch den Schutz des freien Verkehrs personenbezogener Daten im Sinne des Art. 1 Abs. 3 ­DSGVO wird eine übergebührliche Ausdehnung nationaler Datenschutzbestimmungen vermieden, sodass die Vereinheitlichung des Datenschutzes durch die DSGVO trotz zahlreicher Spezifizierungsmöglichkeiten nicht ausgehebelt ­ wurde.283 Die Spezifizierungsermächtigungen der Mitgliedstaaten sind daher in dem schmalen Korridor zwischen Art. 1 Abs. 2 und Art. 1 Abs. 3 DSGVO anzusiedeln.

277  Erwägungsgrund 10

Satz 4 der DSGVO. in Deutschland findet sich eine ausdifferenzierte und weitver­ zweigte bereichsspezifische Datenschutzgesetzgebung, welche bisweilen kaum mehr überblickt werden kann, vgl. Dix, in: Simitis, Bundesdatenschutzgesetz a. F., § 1 Rn. 161. Beispielhaft kann hierfür der Gesundheitssektor herangezogen werden, in welchem abhängig vom jeweiligen Akteur (Leistungsnehmer – Leistungserbringer – Leistungsträger) eine Vielzahl unterschiedlicher (nahezu unüberschaubarer, vgl. Duchow, GesR 2016, 401) Rechtsvorschriften beachtet werden muss. Neben den Vorga­ ben des Bundesdatenschutzgesetzes (BDSG) sind (mitunter vorrangig, vgl. § 1 Abs. 2 Satz 1 BDSG) die Landesdatenschutzgesetze, die Landeskrankenhausgesetze, Gesetze der Religionsgemeinschaften (beispielsweise die Anordnung über den Kirchlichen Datenschutz der katholischen Kirche [KDO]), sozialdatenschutzrechtliche Vorgaben (SGB I, SGB V, SGB X) sowie weitere bundesrechtliche Vorgaben wie die Röntgen­ verordnung (RöV), die Strahlenschutzverordnung (StrlSchV), das Infektionsschutzge­ setz (IfSG) oder das Transplantations- und Transfusionsgesetz (TPG / TFG) zu beach­ ten. Darüber hinaus ist die Schweigepflicht gem. § 203 StGB sowie gegebenenfalls das Zeugnisverweigerungsrecht gem. § 53 StPO von Bedeutung. 279  Erwägungsgrund 10 Satz 5 DSGVO. 280  Erwägungsgrund 10 Satz 6 DSGVO. 281  Erwägungsgrund 8 DSGVO. 282  Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 89. 283  Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 89. 278  Insbesondere

64

Erster Teil: Grundlagen

Zur Festigung dieses Ergebnisses kann zudem die Rechtsprechung des EuGH bezüglich der Datenschutz-Richtlinie herangezogen werden.284 Unter Verweis auf die Rechtsache Lindqvist285 führt der Gerichtshof in der Rechts­ sache ASNEF286 aus, dass „die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95 / 46 / EG287 einführen, noch zusätzliche Bedingungen stellen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden.“288 Den Mitgliedstaaten verblieb nach der Überzeugung des EuGH lediglich die Möglichkeit zur Konkretisierung der Bestimmungen der Datenschutz-Richtlinie, wobei ein Gleichgewicht zwi­ schen dem freien Datenverkehr und dem Grundrechtsschutz der Betroffenen gewahrt werden müsse.289 Erst recht muss diese Annahme dann aber für das deutlich stärkere Instrument der Verordnung gelten.290 Dass die bereits ergangene Rechtsprechung des EuGH zur Daten­ schutz‑Richtlinie unter dem Regime der DSGVO nicht obsolet wird, kann wiederum mit den Erwägungsgründen der Verordnung begründet werden. So sollen ausweislich Erwägungsgrund 9 der DSGVO die Ziele und Grundsätze der Datenschutz-Richtlinie nach wie vor Gültigkeit besitzen.291 Die Bestim­ mung der Ziele und Grundsätze erfolgt allerdings maßgeblich durch den EuGH, der gem. Art. 19 Abs. 1 Satz 2 EUV die Wahrung der „Rechtsunion“292 284  Ausführlich dazu: Raab, Die Harmonisierung des einfachgesetzlichen Daten­ schutzes, S.  17 ff. 285  EuGH, Urt. v. 06.11.2003 – C-101 / 01 – EuZW 2004, 245. 286  EuGH, Urt. v. 24.11.2011 – verb. Rs. C-468 / 10 und C-469 / 10 – EuZW 2012, 37 Rn. 32. Dazu: Brühann, EuZW 2009, 639 sowie Freund, CR 2012, 29 (33) der zu Recht kritisiert, dass der vollharmonisierende Charakter der Richtlinie bereits durch den Richtliniengeber hätte konkretisiert werden sollen und nicht erst durch die Recht­ sprechung des EuGH. 287  Art. 7 der Datenschutz-Richtlinie benannte die Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten. Die Mitgliedstaaten waren demnach dazu verpflichtet, dafür Sorge zu tragen, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der in Art. 7 Datenschutz-Richtlinie genannten ­Voraussetzungen vorlag. 288  EuGH, Urt. v. 24.11.2011 – verb. Rs. C-468 / 10 und C-469 / 10 – EuZW 2012, 37 (39 Rn. 32). 289  EuGH, Urt. v. 24.11.2011 – verb. Rs. C-468 / 10 und C-469 / 10 – EuZW 2012, 37 (39 Rn. 35). 290  So auch Pötters, in: Gola, DSGVO, Art. 88 Rn. 3; Spelge, DuD 2016, 775 (778). Ebenfalls für eine Heranziehung der Rechtsprechung zur Datenschutz-Richt­ linie, allerdings ohne weitergehende Begründung: Gola, EuZW 2012, 332 (336); in der Tendenz ebenfalls: Kühling / Raab, DSGVO / BDSG, Einführung Rn. 98. 291  Vgl. Erwägungsgrund 9 Satz 1 DSGVO. 292  Zum Begriff mit weiteren Nachweisen vgl. Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 5.



Kap. 2: Die Neuordnung des Datenschutzrechts durch die DSGVO65

sichert. Diese Pflicht erstreckt sich dabei, wie das Bundesverfassungsgericht ausdrücklich anerkennt, nicht nur auf den Erhalt der Rechtstaatlichkeit inner­ halb der Union, vielmehr obliegt es dem EuGH zudem, das Unionsrecht im Rahmen der Auslegung293 maßvoll und unter Wahrung der eigenen Kompe­ tenzen fortzubilden.294 Die Einbeziehung der Ziele und Grundsätze der Da­ tenschutz-Richtlinie erfordert in der Konsequenz die Inklusion der zugrunde­ liegenden Rechtsprechung des EuGH, welche bereits der Datenschutz-Richt­ linie einen grundsätzlich „erschöpfenden und abschließenden Charakter“295 zugestand. Jedenfalls eine übertragene Anwendung296 der Rechtsprechung zur Richtlinie ist daher vom Willen des Verordnungsgebers gedeckt. Die mitgliedstaatlichen Möglichkeiten zur Ausgestaltung des Datenschutzrechts sind daher letztlich auch anhand dieser Erwägungen äußerst begrenzt zu ver­ stehen. Im Ergebnis sollte der nationale Gesetzgeber die sich nunmehr ergebende Chance nutzen und das Dickicht der bereichsspezifischen Normen mit Ver­ weis auf die DSGVO entflechten.297

C. Zwischenfazit Gestützt auf Art. 16 Abs. 2 AEUV konnte die allgemeine, unmittelbar gel­ tende und letztlich verbindliche DSGVO erlassen werden. Mit dem Rechts­ instrument der Verordnung im Sinne des Art. 288 UAbs. 2 AEUV wurde die Grundlage für ein einheitliches und gleichmäßiges Datenschutzrecht in der Europäischen Union gelegt. Die Ausgestaltung als „Grundverordnung“ intendiert dabei weder eine umfassende Ermächtigung der Mitgliedstaaten zum Erlass eigener daten­ schutzrechtlicher Bestimmungen, noch stellt diese den verbindlichen Verord­ nungscharakter der DSGVO in Frage. Die Kommission hat frühzeitig be­ wusst auf eine detaillierte Regelung des Datenschutzes auf europäischer 293  Das extensive Verständnis des Begriffs der „Auslegung“ im Europarecht ent­ springt mitunter der französischen Rechtspraxis, vgl. Wendel, ZaöRV 2008, 803 (808). 294  Vgl. dazu die Rechtsprechung des Bundeverfassungsgerichts, die diese Rechts­ fortbildungskompetenz des EuGH in steter Rechtsprechung anerkennt: BVerfG, Be­ schl. v. 08.04.1987  – 2 BvR 687 / 85  – NJW 1988, 1459 (1461); BVerfG, Urt. v. 30.06.2009 – 2 BvE 2 / 08 u.a – NJW 2009, 2267 (2293 Rn. 398); BVerfG, Beschl. v. 06.07.2010  – 2 BvR 2661 / 06  – NJW 2010, 3422 (3424 Rn. 62); BVerfG, Urt. v. 21.06.2016 – 2 BvR 2728 / 13 u. a. – NJW 2016, 2473 (2478 Rn. 149). 295  Vgl. EuGH Urt. v. 24.11.2011 – C-468, 469 / 10 – EuZW 2012, 37 (39 Rn. 31). 296  So Maschmann, in: Kühling / Buchner, DSGVO / BDSG, Art. 88 Rn. 40. 297  Weichert, in: Kühling / Buchner, DSGVO / BDSG Art. 9 Rn. 170. So auch: Kühling / Klar, ZD 2017, 24 (29).

66

Erster Teil: Grundlagen

Ebene verzichtet. Stattdessen sollte ein zweistufiges Verfahren implementiert werden, welches eine flexible und zentrale Bestimmung der DSGVO anhand Delegation und Durchführungsrechtsakten durch die Kommission ermöglicht hätte. Der Umstand, dass die Spezifizierungskompetenz nunmehr weitgehend auf die Mitgliedstaaten übertragen wurde, ändert nichts an dem Konzept der Vereinheitlichung des Datenschutzes durch die DSGVO. Vielmehr verbleibt es bei der unmittelbaren Geltung der Verordnung, wobei lediglich bei der Frage der unmittelbaren Anwendbarkeit im Einzelfall weitergehende Konkre­ tisierungsmaßnahmen durch die Mitgliedstaaten getroffen werden können. Dabei haben diese allerdings die duale Zielsetzung der Grundverordnung stets zu beachten. Der Schutz der Grundrechte und Grundfreiheiten natür­ licher Personen sowie die Gewährleistung des freien Verkehrs personenbezo­ gener Daten sind nicht etwa als widersprüchliche Zielsetzungen des Verord­ nungsgebers zu verstehen,298 sondern als eine Art Unter- und Übermaßver­ bot299, welches den Mitgliedstaaten enge Grenzen bei der Ausgestaltung der Verordnungsvorgaben setzt.

aber Körner, NZA 2016, 1383 (1386). führt diesbezüglich aus, dass dem Staat im Bereich des Datenschutzes gegenüber Privaten genau in diesem Bereich ein „rechtspolitischer Spielraum“ zu­ steht, vgl. Grimm, JZ 2013, 585 (588). 298  So

299  Grimm

Zweiter Teil

Das Konzept der informationellen Selbstbestimmung nach den Vorgaben der DSGVO „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.“ (Erwägungsgrund 1 Satz 1 der DSGVO)

Auf Grundlage der vorweg dargestellten Ergebnisse stellt die Charta den maßgeblichen grundrechtlichen Bezugspunkt der DSGVO dar. Im Folgenden ist damit zu untersuchen, ob und wie sich die Grundsätze der informationel­ len Selbstbestimmung nach deutschem Verständnis innerhalb der Vorgaben der Charta wiederfinden. Mit Blick darauf, dass der EuGH eine zentrale Rolle bei der Auslegung der Charta-Bestimmungen einnimmt, soll dessen Methodik vorab untersucht werden (Kapitel 1). Daran anschließend sind die aus datenschutzrechtlicher Perspektive maßgeblichen Vorschriften der Charta zu beleuchten und letztlich mit dem grundgesetzlichen Verständnis informa­ tioneller Selbstbestimmung abzugleichen (Kapitel 2). Kapitel 1

Die autonome Auslegung der DSGVO nach den Vorgaben des Unionsrechts Von besonderer Bedeutung bei der Einordnung der informationellen Selbst­ bestimmung nach den Vorgaben der DSGVO wird deren zukünftige Ausle­ gung1 durch den EuGH sein. Dabei ist vorab festzuhalten, dass sich dieser bereits in den vergangenen Jahren mitunter durch die Entscheidungen Österreichischer Rundfunk,2 Lindqvist,3 Digital Rights,4 Google Spain,5 Safe Har1  Zum Begriff der Auslegung vgl. Höpfner, Die systemkonforme Auslegung, S.  143 m. w. N. 2  EuGH, Urt. v. 20.05.2003  – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01  – EuR 2004, 276. 3  EuGH, Urt. v. 06.11.2003 – C-101 / 01 – EuZW 2004, 245. 4  EuGH, Urt. v. 08.04.2014 – C-293 / 12, C-594 / 12 – EuZW 2014, 459. 5  EuGH, Urt. v. 13.05.2014 – C-131 / 12 – EuZW 2014, 541.

68

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

bor6, Tele27 oder jüngst im Rahmen der Facebook-Verantwortlichkeit8 als Bollwerk des Datenschutzes positioniert hat. Gleichsam als „Hüter der Rechtsstaatlichkeit“9 obliegt die Bestimmung der Vorgaben des europäischen Datenschutzes letztverantwortlich dem EuGH.10 Ein kurzer Abriss der dabei verwendeten Methodik ist daher grundlegende Voraussetzung für die daran anschließende Einordnung der unionsrechtlich determinierten informationel­ len Selbstbestimmung. Wenngleich der EuGH regelmäßig auf die gängigen Auslegungsmethoden zurückgreift,11 sollen die entscheidenden Besonderhei­ ten mit Blick auf die DSGVO im Folgenden dargestellt werden. Die normativen Grundlagen der europäischen Verfassungsgerichtsbarkeit12 finden sich in Art. 19 EUV sowie in den Art. 251 ff. AEUV. Art. 19 Abs. 1 Satz 2 EUV verpflichtet den EuGH zur Wahrung des Rechts bei der Ausle­ gung und Anwendung der Verträge, wobei insbesondere ein einheitlicher Rechtsrahmen in der Europäischen Union gewährleistet werden soll13. Über den Wortlaut hinaus unterliegt der europäische Rechtsrahmen grundsätzlich in seiner Gänze der Kontrolle des Gerichtshofs.14 Berücksichtigt man, dass den mitgliedstaatlichen Gerichten in begrenztem Umfang ebenfalls die Aus­ legung des Unionsrechts möglich ist, sollte nicht von einem „Ausle­ gungsmonopol“15 des Gerichtshofs, sondern vielmehr von der letztverbind­ lichen „Auslegungshoheit“ des EuGH ausgegangen werden.16 6  EuGH,

Urt. v. 06.10.2015 – C-362 / 14 – EuZW 2015, 881. Urt. v. 21.12.2016 – C-203 / 15, C-698 / 15 – EuZW 2017, 153. 8  EuGH, Urt. v. 05.06.2018 – C-210 / 16 – EuZW 2018, 534. 9  Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 1; Wegener spricht von der „Rechtlichkeit der Union“, vgl. Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 5. 10  Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 27; Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 91. 11  Streinz, Europarecht, S. 226 Rn. 625. 12  So Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 4; Streinz, Europarecht, S. 225 Rn. 621; zur Frage des zugrundeliegenden Verfassungsrechts vgl. die Ausführungen unter Kap. 2. 13  Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 5. 14  Vgl. dazu Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 10; Mayerk, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 23; Gaitanidesk, in: von der Groeben / Schwarze / Hatje, Europäisches Uni­ onsrecht, Art. 19 EUV Rn. 12. Zu den Ausnahmen im Bereich der gemeinsamen Au­ ßen- und Sicherheitspolitik sowie im Bereich der polizeilichen und justiziellen Zu­ sammenarbeit vgl. Streinz, Europarecht, S. 143 Rn. 419. 15  Schroeder, JuS 2004, 181, der dem Begriff allerdings ebenfalls kritisch gegen­ übersteht. Auch Jaeger sieht in dem Auslegungsmonopol des EuGH keine ausschließ­ liche Interpretationsmöglichkeit durch den EuGH, sondern die Zuständigkeit zur „letztverbindlichen Auslegung von Unionsrecht“, vgl. Jaeger, EuR 2016, 203 (215). 7  EuGH,



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht69

Da die Umsetzung des Unionsrechts regelmäßig durch die Mitgliedstaaten erfolgt,17 sind insbesondere diese mit Blick auf das Loyalitätsgebot (Art. 4 Abs. 3 i. V. m. Art. 19 Abs. 1  Satz 2  EUV)18 durch die Rechtsprechung des EuGH gebunden.19 Die regelmäßig im Rahmen des Vorabentscheidungsver­ fahrens (Art. 267 AEUV) festgelegten Auslegungsmaßstäbe sind dabei zwar nicht allgemeinverbindlich im Sinne einer erga-omnes-Wirkung, werden tat­ sächlich aber maßgeblich zur Rechtsfindung herangezogen.20 Bei der Nicht­ beachtung der Vorgaben durch den EuGH droht den Mitgliedstaaten im Zweifel ein Vertragsverletzungsverfahren.21 Insofern kann von einer „ver­ bindlichen Interpretation“ des Rechts der Union durch den EuGH gesprochen werden.22

A. Die primärrechtskonforme und autonome Auslegung des Sekundärrechts Die im Rechtsquellensystem der Union angelegte Normenhierarchie hat die primärrechtskonforme Auslegung des Sekundärrechts zur Folge.23 Auch als spezialgesetzliche Ausgestaltung wie im Falle der DSGVO24 ist das abge­ leitete Unionsrecht letztlich richtigerweise vollumfänglich am Prüfstein des Primärrechts zu messen25. Dieser Grundsatz kommt immer dann zum Tragen, Henninger, Europäisches Privatrecht und Methode, S. 273. in: Merten / Papier, Handbuch der Grundrechte VI / 1 Europa I, V. § 165 Rn. 4. 18  Dabei wird vertreten, dass Art. 19 Abs. 1 Satz 2 EUV im Bereich der Recht­ sprechung eine (zumindest teilweise) spezialgesetzliche Ausformung des allgemeinen Loyalitätsgebots aus Art. 4 Abs. 3 EUV darstellt, vgl. Kahl, in: Calliess / Ruffert, EUV / AEUV, Art. 4 EUV Rn. 52. 19  Düsterhaus, EuR 2017, 30 (34). 20  Knauf, DÖV 2013, 375 (377). 21  Martini / Weinzierl, NVwZ 2017, 177 (183). 22  So Haratsch / Koenig / Pechstein, Europarecht, S. 206 Rn. 469. 23  Nettesheim, EuR 2006, 737 (751); Schroeder, in: Streinz, EUV / AEUV, Art. 288 AEUV Rn. 20; Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 288 AEUV Rn. 9; Streinz, Europarecht, S. 227 Rn. 626 mit Verweis darauf, dass die primärrechtskonforme Auslegung Folge der Systematik ist und daher keine grundlegende Auslegungsme­ thode darstellt. A. A.: Hennninger, der in der primärrechtskonformen Auslegung einen Spezialfall der systematischen Auslegung erblickt, vgl. Henninger, Europäisches Pri­ vatrecht und Methode, S. 284 m. w. N. Ebenso: Oppermann / Classen / Nettesheim, Eu­ roparecht, S. 143 Rn. 173. 24  Pötters, in: Gola, DSGVO, Art. 1 Rn. 21. 25  Schiff, EuZW 2015, 899 (902); Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 288 AEUV Rn. 9. Anders hingegen Schönberger, der jedenfalls von einer ver­ gleichsweise geringen Inhaltskontrolle des Sekundärrechts durch das Primärrecht ausgeht, EuR 2003, 600 (627). Differenzierend Siegel, der auch unter Berücksichti­ 16  So

17  Haratsch,

70

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

wenn eine Vorschrift des sekundären Unionsrechts in verschiedener Weise ausgelegt werden kann – in diesem Fall ist die unionsrechtskonforme Vari­ ante vorzuziehen.26 Seinem Wesen nach entspricht die primärrechtskonforme Interpretation der verfassungskonformen Auslegung im Recht der Mitglied­ staaten.27 Sie dient im Ergebnis der Erhaltung der betroffenen Norm28. Nach der Rechtsprechung des EuGH ist das Sekundärrecht daher „in [sei­ nem] Zusammenhang zu sehen und im Lichte des gesamten Gemeinschafts­ rechts, seiner Ziele und seines Entwicklungsstandes zur Zeit der Anwendung der betreffenden Vorschrift auszulegen.“29 Zur Erhaltung einer einheitlichen Unionsrechtsordnung ist das abgeleitete Recht mit den allgemeinen Grundsät­ zen30 des Unionsrechts auszulegen.31 Diese erfassen insbesondere die Grund­ rechte, sodass der EuGH bereits 1974 festlegte, dass „er keine Maßnahmen als Rechtens anerkennen [kann], die unvereinbar sind mit den von den Verfassun­ gen dieser Staaten anerkannten und geschützten Grund­rechten“32. Dass die Grundrechte allen voran im Rahmen der Auslegung der maßgeb­ lichen datenschutzrechtlichen Vorschriften von besonderem Gewicht sind, hat der EuGH im Zuge der Rechtsprechung zur Datenschutz-Richtlinie stets betont. Mithin ist eine Auslegung, welche die Grundrechte der betroffenen Person nicht hinreichend berücksichtigt, zu vermeiden.33 Die nunmehr in der Charta festgelegten Grundrechte determinieren daher in einem „umfassenden Verständnis“34 die Vorgaben des datenschutzrechtlichen Sekundärrechts.35 gung des Stufenverhältnisses zwischen Primär- und Sekundärrecht eine Interpretation unbestimmter Rechtsbegriffe des Primärrechts anhand der Vorgaben des Sekundär­ rechts für möglich hält, DÖV 2010, 1 (5). 26  Vgl. Höpfner, Die systemkonforme Auslegung, S. 221. 27  Streinz, Europarecht, S. 227 Rn. 626. 28  Höpfner, Die systemkonforme Auslegung, S. 229. 29  EuGH, Urt. v. 06.10.1982  – Rs. 283 / 81  – Slg. 1982, 3415 Rn. 20. So auch EuGH, Urt. v. 01.04.2004 – C-1 / 02 – EuZW 2004, 505 (506 Rn. 30); EuGH, Urt. v. 09.03.2006 – C-499 / 04 – EuZW 2006, 276 (277 Rn. 32). 30  Potacs spricht gestützt auf Art. 2 EUV von einer wertekonformen Auslegung, vgl. Potacs, EuR 2016, 164 ff. m. w. N. 31  EuGH, Urt. v. 09.03.2006 – C-499 / 04 – EuZW 2006, 276 (277 Rn. 32). 32  EuGH, Urt. v. 14.05.1974 – Rs. 4 / 73 – Slg. 1974, 491 Rn. 13. 33  EuGH, Urt. v. 20.05.2003  – verb. Rs. C-465 / 00, C-138 / 01 und C-139 / 01  – EuR 2004, 276 (285 Rn. 68); EuGH, Urt. v. 06.11.2003  – C-101 / 01  – EuZW 2004, 245 (251 Rn. 87); EuGH, Urt. v. 13.05.2014  – C-131 / 12  – EuZW, 2014, 541 (545 Rn. 68). 34  Der EuGH spricht von einem „umfassenden Schutz der Grundrechte und Grundfreiheiten“ bei der Verarbeitung personenbezogener Daten, vgl. beispielsweise EuGH, Urt. v. 06.10.2015 – C-362 / 14 – EuZW 2015, 881 (882 Rn. 39). 35  EuGH, Urt. v. 13.05.2014  – C-131 / 12  – EuZW, 2014, 541 (545 Rn. 68); EuGH, Urt. v. 06.10.2015 – C-362 / 14 – EuZW 2015, 881 (882 Rn. 38).



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht71

Wenngleich zwar eine Eingriffsmöglichkeit36 besteht, ist diese nach der Rechtsprechung des EuGH auf das „absolut Notwendige“ beschränkt.37 Wesentlich ist dabei zudem der in Art. 18 AEUV normierte Gleichbehand­ lungsgrundsatz. Nach der Rechtsprechung des EuGH ist „jeder Gemein­ schaftsrechtsakt […] im Einklang mit dem gesamten Primärrecht auszulegen, darunter auch mit dem Grundsatz der Gleichbehandlung, der verlangt, dass vergleichbare Sachverhalte nicht unterschiedlich und unterschiedliche Sach­ verhalte nicht gleichbehandelt werden, sofern eine solche Behandlung nicht objektiv gerechtfertigt ist.“38 Das allgemeine Diskriminierungsverbot ist als zentrales Motiv des europäischen Primärrechts bei der Auslegung spezielle­ rer Normen stets heranzuziehen,39 wobei der EuGH insbesondere die Not­ wendigkeit der einheitlichen Auslegung des Unionsrechts mit dem Grundsatz der Gleichbehandlung begründet40. Diese Form der Auslegung dient dabei aber nicht nur der Umsetzung des Grundsatzes der Gleichbehandlung, viel­ mehr soll die eigenständige Interpretation der unionsrechtlichen Begriffe der Vereinheitlichung der Rechtsanwendung innerhalb der Union dienen.41 Dazu ist es erforderlich, dass die „Begriffe einer unionsrechtlichen Vorschrift […] in der Regel in der gesamten Union eine autonome und einheitliche Ausle­ gung erhalten müssen […].“42 Letztlich verbietet sich bei der Auslegung des Unionsrechts der Rückgriff auf nationale Bestimmungen, „sofern dies nicht ausdrücklich vorgesehen ist“43. Damit ist freilich der Rechtsvergleich44 mit den nationalen Rechtsord­ 36  Vgl. nunmehr Erwägungsgrund 4 Satz 2 der DSGVO, wonach das Recht auf den Schutz der personenbezogenen Daten in verhältnismäßiger Abwägung mit kolli­ dierenden Grundrechten einschränkbar ist. 37  EuGH, Urt. v. 21.12.2016  – C-203 / 15, C-698 / 15  – EuZW 2017, 153 (157 Rn. 96) mit Verweis auf die ständige Rechtsprechung des EuGH. 38  EuGH, Urt. v. 19.11.2009 – C-402, 432 / 07 – EuZW 2009, 890 (892 Rn. 48). 39  Epiney, in: Calliess / Ruffert, EUV / AEUV, Art. 18 AEUV Rn. 1. 40  EuGH, Urt. v. 17.07.2008  – C-66 / 08  – EuZW 2008, 581 (583 Rn. 42); EuGH, Urt. v. 18.10.2016 – C-135 / 15 – EuZW 2016, 940 (941 Rn. 28). 41  Grundlegend dazu EuGH, Urt. v. 21.06.1978  – Rs. 150 / 77  – Slg. 1978, 1431 Rn. 12 / 16; EuGH, Urt. v. 19.01.1993  – Rs. C 89 / 91  – NJW 1993, 1251 Rn. 13; jüngst: EuGH, Urt. v. 16.05.2013 – C-228 / 11 – EuZW 2013, 544 Rn. 22. 42  EuGH, Urt. v. 10.12.2015  – C-350 / 14  – NJW 2016, 466 (467 Rn. 21) unter Verweis auf die ständige Rechtsprechung des EuGH. 43  EuGH, Urt. v. 14.01.1982  – Rs. 64 / 81  – Slg. 1982, 13 Rn. 8; EuGH, Urt. v. 24.  Mai 2016  – C-108 / 16  – juris Rn. 28; EuGH, Urt. v. 18.10.2016  – C-135 / 15  – EuZW 2016, 940 (941 Rn. 28). 44  Als mögliche fünfte Auslegungsmethode neben Wortlaut, Systematik, Historie sowie Sinn und Zweck, vgl. Häberle, JZ 1989, 916 (917). Vertieft zur Methodik des EuGH im Folgenden.

72

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

nungen als Erkenntnisquelle nicht ausgeschlossen.45 Allen voran bei der Er­ mittlung allgemeiner Rechtsgrundsätze sowie der Bestimmung der mitglied­ staatlichen Verfassungsgrundsätze fließen die mitgliedstaatlichen Rechtstra­ ditionen bei der Rechtsfindung mit ein.46

B. Die (weiteren) Auslegungskriterien des EuGH Der EuGH bedient sich bei der Rechtsfindung durch Auslegung grundsätz­ lich der in den Mitgliedstaaten anerkannten Auslegungsmethoden.47 Zur In­ terpretation des Rechts stützen sich diese maßgeblich auf das „Savigny’sche Quart“48. Nach Savigny sind „vier Elemente [zu unterscheiden]:ein grammatisches, logisches, historisches und systematisches“49. Im Detail sind allerdings sowohl in Bedeutung als auch Gewichtung der einzelnen Instrumente deutliche Unterschiede zwischen der Praxis des Ge­ richtshofs und den mitgliedstaatlichen Gerichten festzustellen.50 I. Die begrenzte Wirkmacht der Wortlautauslegung im Unionsrecht Die Sprachvielfalt ist, in Abgrenzung zum Prinzip des „Schmelztiegels“, grundlegender Bestandteil des Wertekanons der Europäischen Union.51 Ent­ sprechend sind rechtlich relevante Dokumente der EU in allen 24 Amtsspra­ chen52 der Union zu veröffentlichen.53 Wenngleich sich auch der Richter am 45  Streinz,

Europarecht, S. 227 Rn. 627. ZEuP 2002, 701 (719 ff.). 47  Schroeder, JuS 2004, 180 (182); Oppermann / Classen / Nettesheim, Europa­ recht, S. 143 Rn. 168; Streinz, Europarecht, S. 226 Rn. 625; Haratsch / Koenig / Pechstein, Europarecht, S. 207 Rn. 474. 48  Reimer, Juristische Methodenlehre, S. 136 Rn. 269 sowie S. 141 Rn. 279. 49  von Savigny, System des heutigen römischen Rechts, Bd. 1, § 33 Rn. 212. 50  Haratsch / Koenig / Pechstein, Europarecht, S.  207 Rn. 474; Streinz, Europa­ recht, S. 226 Rn. 625; Wegener, in: Calliess / Rufert, EUV / AEUV, Art. 19 EUV Rn. 13; Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 53. 51  Vgl. dazu Europäische Kommission, Eine neue Rahmenstrategie für Mehrspra­ chigkeit, KOM (2005) 596 endg. vom 22. 11. 2005, S. 2 ff. mit Verweis auf Art. 22 der Charta, wonach die Union die Vielfalt der Kulturen, Religionen und Sprachen achtet. 52  Amtssprachen und die Arbeitssprachen der Organe der Union sind gem. Art. 1 der Verordnung Nr. 1 des Rates vom 15 April 1958, ABl. 1958 Nr. 17 / 385 zuletzt geändert durch die VO 517 / 2013, ABl. L 158 vom 13. Mai 2013, 1, 71: Bulgarisch, Dänisch, Deutsch, Englisch, Estnisch, Finnisch, Griechisch, Irisch, Italienisch, Kroa­ tisch, Lettisch, Litauisch, Maltesisch, Niederländisch, Polnisch, Portugiesisch, Rumä­ nisch, Schwedisch, Slowakisch, Slowenisch, Spanisch, Tschechisch und Ungarisch. 46  Kohler / Knapp,



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht73

EuGH der Norm über den Wortlaut54 annähert55, steht die grammatikalische Auslegung im Unionsrecht auf Grund der zahlreichen Sprachfassungen vor beträchtlichen Herausforderungen. Ihr wird in der Literatur daher überwie­ gend verhältnismäßig wenig Bedeutung zugemessen.56 Anerkannt ist jedoch, dass die Wortlautgrenze auch im europäischen Recht nicht überschritten werden kann.57 Die wesentliche Problematik der Wortlautauslegung ergibt sich dabei nicht aus dem Umstand, dass verschiedene Sprachfassungen der jeweiligen Rechtstexte vorliegen, sondern vielmehr daraus, dass diese „gleichermaßen verbindlich sind“58.59 Daraus leitet der EuGH in ständiger Rechtsprechung ab, dass sich eine „isolierte“ Betrachtung einer einzelnen Sprachfassung ver­ bietet. Die Auslegung und Anwendung der entsprechenden Norm hat stets unter Berücksichtigung aller Amtssprachen zu erfolgen.60 Konsequenterweise kann daher auch die englische Sprachfassung der DSGVO keinen Vorzug genießen, wenngleich das Gesetzgebungsverfahren zur Verordnung überwie­ gend auf Englisch stattfand.61 53  Schilling,

ZEuP 2007, 754 (756). der Auslegung über den Wortlaut bezieht sich der EuGH auf den „Sprach­ gebrauch des Vertrages“, EuGH, Urt. v. 08.04.1976 – Rs. 43 / 75 – Slg. 1976, 455, 475 Rn. 28. Die Erforderlichkeit einer unabhängigen unionsrechtlichen Auslegung des Wortlauts ergibt sich mitunter aus dem bereits dargestellten Grundsatz der Autonomie des Unionsrechts, vgl. dazu auch: Schroeder, JuS 2004, 181, 184; Wegener, in: Cal­ liess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 13. 55  Colneric, ZEuP 2005, 226; Weiler, ZEuP 2010, 861 (870). 56  Wegener, in: Calliess / Rufert, EUV / AEUV, Art. 19 EUV Rn. 13; Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 53. Dederichs hingegen hält die Wortlautauslegung auf Grund einer Untersuchung der Entscheidungen des EuGH aus dem Jahr 1999 für gewichtiger als bislang angenom­ men, vgl. Dederichs, EuR 2004, 345. Kritisch wiederum hierzu: Calliess, NJW 2005, 929 mit Verweis darauf, dass die Untersuchung lediglich einen begrenzten Zeitraum im Blick hatte sowie signifikante Entscheidungen des Gerichtshofs nicht entspre­ chend berücksichtigte. 57  Vgl. dazu m. w. N. Grundmann, Die Auslegung des Gemeinschaftsrecht durch den Europäischen Gerichtshof, S. 213 ff. 58  EuGH, Urt. v. 06.10.1982  – C-283 / 81  – Slg. 1985, 3417 (3430 Rn. 18). Dass die jeweiligen Sprachfassungen im Primär- und Sekundärrecht gleichermaßen ver­ bindlich sind ergibt sich zwischenzeitlich zudem aus Art. 55 Abs. 1 EUV, Art. 358 AEUV i. V. m. Art. 55 EUV sowie Art. 342 AEUV i. V. m. Art. 1 der VO Nr. 1 zur Regelung der Sprachfrage. 59  Vgl. dazu Weiler, ZEuP 2010, 861 (864). 60  Ständige Rechtsprechung des EuGH, vgl. nur EuGH, Urt. v.29.01.2009 – C-311 / 06 – EuZW 2009, 144 (146 Rn. 53); Wichard, in: Calliess / Ruffert, EUV / AEUV, Art. 342 AEUV Rn. 17; Herrmann, in: Streinz, EUV / AEUV, Art. 342 AEUV Rn. 35. 61  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 48 Fn. 109; Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 93. 54  Bei

74

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Sofern die einzelnen Bestimmungen in den unterschiedlichen Sprachfas­ sungen voneinander abweichen, ist die Norm mittels allgemeiner Systematik sowie dem Telos des zugrundeliegenden Regelungswerkes auszulegen.62 Mithin kann in einem solchen Fall die Wortlautauslegung nicht mehr zum Tragen kommen.63 Für den Fall, dass der Wortlaut allerdings eindeutig und ohne Zweifel die Auslegung der Norm erlaubt, wird teilweise vertreten, dass ein Rückgriff auf weitere Auslegungsmethoden ausgeschlossen ist („acte claire“).64 Die zwischenzeitliche Vielzahl an Amtssprachen,65 etwaige Übersetzungs­ fehler66 sowie letztlich auch rechtskulturelle Aspekte67 erschweren jeden­ falls die Heranziehung des Wortlauts zur Bestimmung des Normgehalts. Es ist daher durchaus nachvollziehbar, dass sich der EuGH regelmäßig nicht mit der Wortlautauslegung „begnügt“68. Unbenommen bleibt jedoch, dass der erste Zugriff maßgeblich durch die Interpretation des geschriebenen Wortes erfolgt. II. Die historische Auslegung im Unionsrecht Der historischen Auslegung des Unionsrechts wird im Allgemeinen eine nachrangige Bedeutung zugemessen.69 Zur Begründung wird zunächst da­rauf 62  Ständige Rechtsprechung des EuGH vgl. nur EuGH, Urt. v. 14.06.2007 – C-56 / 06 – BeckEuRS 2007, 450425 Rn. 27. 63  Honer, JuS 2017, 409 (410). 64  Oppermann / Classen / Nettesheim, Europarecht, S.  142 Rn.  170; Hennninger spricht sich gegen eine Anwendung der acte-claire-doctrine im Rahmen der Ausle­ gung aus, da diese ihrem Wesen nach lediglich die Vorlagepflicht determiniert, nicht aber Teil der Auslegungslehre ist, vgl. Henninger, Europäisches Privatrecht und Me­ thode, S. 282. 65  Weiler bezeichnet die Wortlautauslegung auf Grund der zahlreichen Amtsspra­ chen im Unionsrecht als Methode, die „vom Rechtsanwender Unmögliches verlangt“, vgl. Weiler, ZEuP 2010, 861 (869). 66  Vgl. dazu Streinz, Europarecht, S. 101 Rn. 284; Wegener begründet die oftmals vorhanden Differenzen zwischen den unterschiedlichen Sprachfassungen zudem da­ mit, dass insbesondere Mitgliedstaaten, die einem Gesetzesvorhaben kritisch gegen­ überstehen, versuchen, den Anwendungsbereich der Normen durch die Ausgestaltung der Übersetzung einzuengen, vgl. Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 13. 67  Vgl. dazu Schilling, ZEuP 2007, 754 ff. 68  EuGH, Urt. v. 16.12.1960 – Rs. 6 / 60 – Slg. 1960, 1169 (1194). 69  Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 14; Gaitanides, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 19 EUV Rn. 47; Oppermann / Classen / Nettesheim, Europarecht, S. 143 Rn. 174; Haratsch /  Koenig / Pechstein, Europarecht, S. 208 Rn. 474. A. A. Leisner, EuR 2007, 689 (706), der der historischen Auslegung „erhebliches Gewicht“ beimisst.



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht75

verwiesen, dass oftmals die zugrundeliegenden Gesetzgebungsmaterialien nicht einsehbar sind.70 Zudem stehen auch methodische Bedenken einer his­ torischen Auslegung entgegen71. Insbesondere, da das Ergebnis des europäi­ schen Gesetzgebungsverfahrens von zahlreichen Kompromissen und Ver­ handlungsrunden zwischen den beteiligten Organen geprägt ist, lässt sich ein einheitlicher Wille des Gesetzgebers oftmals nicht eindeutig feststellen.72 Es bleibt allerdings zu hoffen, dass die zunehmende Digitalisierung auch im Bereich des Gesetzgebungsverfahrens ein Mehr an Transparenz erzeugt, so­ dass die Auslegung anhand der Entstehungsmaterialien an Bedeutung ge­ winnt.73 Albrecht / Jotzo weisen zu Recht darauf hin, dass insbesondere der Entstehungsprozess der DSGVO diese Tendenz untermauert.74 Insofern lässt sich die historische Auslegung zwischenzeitlich jedenfalls soweit heranzie­ hen, soweit die Quellen (beispielsweise über die Webseiten des Rates oder des Parlaments) veröffentlicht wurden.75 Dabei gilt es jedoch zu berücksich­ tigen, dass allein aus der Zunahme der verfügbaren historischen Dokumente kein Bedeutungsaufschwung der Auslegungsmethode folgen muss.76 Darü­ ber hinaus muss sich die (historische) Quelle im auszulegenden Normgefüge jedenfalls ansatzweise wiederfinden, damit der EuGH diese berücksichtigt.77 III. Systematik sowie Sinn und Zweck der Norm als maßgebliche Auslegungskriterien Der EuGH zieht den „Geist […] des Vertrages“78, also den Sinn und Zweck der Norm, allen Auslegungskriterien voran heran.79 Die Interpreta­ tion einer Norm erfolgt nach der ständigen Rechtsprechung des Gerichtshofs 70  Vgl. Gaitanides, in: von der Groeben / Schwarze / Hatje, Europäisches Unions­ recht, Art. 19 EUV Rn. 47. 71  Vgl. Oppermann / Classen / Nettesheim, Europarecht, S. 143 Rn. 174 mit Ver­ weis darauf, dass oftmals bereits nicht klar ist, wessen Willen im verflochtenen Ge­ setzgebungsprozess anhand der Materialien erforscht werden kann. 72  Statt vieler Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 14. 73  In diesem Sinne Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäi­ schen Union, Art. 19 EUV Rn. 66. 74  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 49 Rn. 30. 75  Müller, in: Mankowski / Müller / J. Schmidt, EuInsVO 2015, Einl. Rn. 42. 76  So Wendel, ZaöRV 2008, 803 (825 ff.). 77  EuGH, Urt. v. 26.02.1991  – C-292 / 89  – BeckEuRS 1991, 176674 Rn. 18; Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 97. 78  EuGH, Urt. v. 05.02.1963 – Rs. 26 / 62, Slg. 1963, 7 (27). 79  Schroeder, JuS 2004, 181 (183); Wegener, in: Calliess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 16; Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäi­ schen Union, Art. 19 EUV Rn. 53; Gaitanides, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 19 EUV Rn. 42. Das Bundesverfassungsgericht nutzt

76

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

unter Einbeziehung „[des] Zusammenhangs und [der] Ziele, die mit der Re­ gelung, zu der sie gehört, verfolgt werden“80. Damit verdeutlicht der EuGH zugleich, dass eine klare Trennung zwischen der systematischen („Zusam­ menhang“) und teleologischen („der Ziele“) Auslegung im Bereich des Uni­ onsrechts kaum möglich ist.81 Die notwendige Verknüpfung zwischen der Auslegung mittels Systematik und Telos der Norm lässt sich allen voran an­ hand des regelmäßig stattfindenden Rückgriffs auf die Erwägungsgründe verdeutlichen.82 Insbesondere bei der DSGVO kann der Sinn und Zweck des Regelwerks am deutlichsten anhand der Erwägungsgründe ermittelt wer­ den.83 Die Heranziehung der Erwägungsgründe als Teil des „äußeren Sys­ tems“84 ist wiederum eine Form der systematischen Auslegung anhand der Normumgebung85. Grundlegend stützt sich der Gerichtshof bei der Auslegung nach Sinn und Zweck auf den (völkerrechtlich geprägten)86 Gedanken der „praktischen Wirksamkeit („effet utile“) als besondere Form der teleologischen Ausle­ gung.87 Insbesondere bei der Interpretation des abgeleiteten Rechts gilt es, anhand des Zwecks der Vorschrift ihre „Wirksamkeit und Effektivität“88 umfänglich zur Geltung zu bringen.89 Gerade bei der bereits ergangenen Rechtsprechung zur Datenschutz-Richtlinie zieht der EuGH regelmäßig den diese Form der Auslegung hingegen kaum, vgl. Sodan / Ziekow, Grundkurs Öffentli­ ches Recht, § 2 Rn. 18 ff. 80  Vgl. EuGH, Urt. v. 03.09.2015  – C-383 / 14 Rn. 20  – BeckEuRS 2015, 446124 mit Verweis auf die ständige Rechtsprechung des EuGH. 81  So auch: Oppermann / Classen / Nettesheim, Europarecht, S. 143 Rn. 172; Streinz, Europarecht, S. 226 Rn. 625. 82  Pieper, in: Dauses, EU-Wirtschaftsrecht, Teil B. I. Rn. 44 f. 83  Schröder, Datenschutzrecht, Kapitel 7 I. 1; Selmayr / Ehmann, in: Ehmann / Sel­ mayr, DSGVO, Einführung Rn. 97. 84  Reimer erfasst darunter „Aufbau, Gliederung und Struktur“ des Regelwerkes, vgl. Reimer, Juristische Methodenlehre, S. 156 Rn. 311. Als wesentlicher struktureller Bestandteil europäischer Gesetzgebungsakte stellen die Erwägungsgründe jedenfalls eine systematische Einbettung des verfügenden Teils der DSGVO dar, vgl. dazu die Ausführungen unter Erster Teil Kap. 2 B. III. 85  Reimer, Juristische Methodenlehre, S. 156 Rn. 312. 86  Henninger, Europäisches Privatrecht und Methode, S. 289; Wegener, in: Cal­ liess / Ruffert, EUV / AEUV, Art. 19 EUV Rn. 16. Nach Potacs beruht der effet utileGrundsatz auf dem, aus dem römischen Recht stammenden Prinzip „Verba ita sunt intelligenda, ut res magis valeat quam pereat“, vgl. Potacs EuR 2009, 465 m. w. N. 87  Reimer, Juristische Methodenlehre, S. 179 Rn. 373; Gaitanides, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 19 EUV Rn. 45; Mayer, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 19 EUV Rn. 58. 88  EuGH, Urt. v. 03.09.2009 – C-489 / 07 – MMR 2009, 744 (745 Rn. 24). 89  Vgl. dazu Riesenhuber, in: Riesenhuber, Europäische Methodenlehre, § 10 Rn. 45.



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht77

Grundsatz der praktischen Wirksamkeit heran, sodass davon auszugehen ist, dass auch die Rechtsprechung zur DSGVO maßgeblich im Lichte dieser In­ terpretationsmethode erfolgen wird. Mithin stellt der EuGH damit sicher, dass es zu keiner Verarbeitung personenbezogener Daten kommt, die „die praktische Wirksamkeit […] und den wirksamen und umfassenden Schutz der Grundrechte und Grundfreiheiten natürlicher Personen […] einschränken würde“90.

C. Exkurs: Europäische Auslegungsgrundsätze bei nationalen Umsetzungsgesetzen Es verbleibt abschließend zu klären, ob auch das mitgliedstaatliche Recht auf Grundlage der fakultativen, respektive obligatorischen, Spezifizierungs­ möglichkeiten allein nach den (grundrechtlichen) Vorgaben des Unionsrechts zu interpretieren ist. Dies hängt maßgeblich davon ab, ob der formelle An­ wendungsbereich der Charta im konkreten Fall eröffnet ist. Den normativen Ausgangspunkt bildet dabei Art. 51 Abs. 1 Satz 1 der Charta. Im Gegensatz zu den Vorgaben des Grundgesetzes91 bindet die Charta die Mitgliedstaaten lediglich bei der „Durchführung des Rechts der Union“. Zum Schwur kommt es bei der Frage, ob die nationale Ausgestaltung des abgeleiteten Unions­ rechts zugleich deren Durchführung ist.92 I. Überblick über die Positionen des EuGH und des Bundesverfassungsgerichts Bisher herrscht lediglich Einigkeit dahingehend, dass die Unionsgrund­ rechte maßgeblich sind, sofern ausschließlich Unionsrecht durch die Mit­ gliedstaaten angewendet oder stringent umgesetzt wird.93 Umstritten ist hin­ gegen, ob auch im Bereich nationaler Umsetzungsspielräume ein Unions­ grundrechtsmonopol eingreift.94

90  EuGH, Urt. v. 13.05.2014  – C-131 / 12  – EuZW 2014, 541 (545 Rn. 58). In diesem Sinne ebenfalls EuGH, Urt. v. 21.12.2016 – C-203 / 15 u. C-698 / 15  – EuZW 2017, 153 (155 Rn. 73). 91  Art. 1 Abs. 3 GG normiert eine umfassende Bindung der Exekutive, Legisla­ tive sowie Judikative an die Grundrechte, vgl. Höfling, in: Sachs, GG, Art. 1 Rn. 85 m. w. N. 92  Ruffert, EuGRZ 2017, 241 (245); Masing, JZ 2015, 477 (481); Franzius, ­ZaöRV 2015, 383 (387); Latzel, EuZW 2015, 658 (663); Ludwigs, EuGRZ 2014, 274 (280). 93  Grimm, JZ 2013, 585 (589); Britz, EuGRZ 2015, 275 mit Verweis auf die stän­ dige Rechtsprechung des Bundesverfassungsgerichts. 94  Latzel, EuZW 2015, 658 (663); Ludwigs, EuGRZ 2014, 274 (280).

78

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Nach der Überzeugung des Gerichtshofs unterliegt eine nationale Vor­ schrift dessen grundrechtlicher Deutungshoheit, soweit die Vorschrift in den Anwendungsbereich des Unionsrechts und damit in den Geltungsbereich der Grundrechtecharta fällt.95 Dieser ist dabei denkbar extensiv zu verstehen; bereits der bloße (mittelbare) Bezug zum Unionsrecht soll ausreichend sein.96 Mithin interpretiert der EuGH das Tatbestandsmerkmal der „Durchführung“ gem. Art. 51 Abs. 1 Satz 1 der Charta im Sinne einer bloßen Anwendbarkeit des Unionsrechts.97 Zur Begründung zieht der Gerichtshof auch in diesem Fall vorrangig den Sinn und Zweck der Grundrechte heran.98 Die Gewähr­ leistung eines umfassenden europäischen Grundrechtsschutzes dient der Si­ cherung eines wirksamen, einheitlichen und vorrangig zu beachtenden Uni­ onsrechts.99 Unter Wahrung dieses Schutzzwecks verbleibt den Mitgliedstaa­ ten allerdings der zusätzliche Rückgriff auf nationale Grundrechte100 („Kumulationsthese“)101. Das Bundesverfassungsgericht hingegen behält sich eine Prüfungskompe­ tenz nationaler Akte öffentlicher Gewalt anhand der nationalen Grundrechte vor, „solange“ die zugrundeliegenden Vorschriften nicht durch das Unions­ recht „determiniert“ sind102 („Alternativitätsthese“)103. Der bloße „sachliche Bezug“ zum Unionsrecht reiche hingegen nicht aus104. Konkret ist zu hinter­ fragen, ob der Mitgliedstaat durch das Unionsrecht zu einer bestimmten Handlung verpflichtet wird. Nur in diesem Fall ist diese anhand der Unions­ grundrechte zu überprüfen.105 Verbleiben hingegen nationale Gestaltungs­ 95  EuGH,

Urt. v. 26.02.2013 – C-617 / 10 – NVwZ 2013, 561 Rn. 19. JZ 2016, 161 (164); Thym, JZ 2015, 53; Lenaerts spricht von der Charta als „Schatten“ des Unionsrecht – konsequenterweise tritt dieser stets zum Vor­ schein, wenn das Recht der Union tangiert wird, vgl. Lenaerts, EuGRZ 2015, 353 (354). Äußerst kritisch zu dieser Auslegung statt vieler Masing, JZ 2015, 477 (481). 97  Vgl. dazu m. w. N. Krebber, EuZA 2016, 3 (7). 98  Latzel, EuZW 2015, 658 (663). 99  Vgl. EuGH, Urt. v. 26.02.2013  – C-617 / 10  – NVwZ 2013, 561 (562 Rn. 29); EuGH, Urt. v. 10.07.2014 – C-198 / 13 – EuZW 2014, 795 (798 Rn. 47). Kritisch dazu Kirchhof, der in den nationalen Grundrechten die Verkörperung der diversifizierten mitgliedstaatlichen (Rechts-)Kulturen erblickt, deren Vereinheitlichung tendenziell sogar mit ihrem Schutzcharakter in Konflikt geraten kann, vgl. Kirchhof, NVwZ 2014, 1537 (1540). 100  EuGH, Urt. v. 26.02.2013 – C-617 / 10 – NVwZ 2013, 561 Rn. 29. 101  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 51 Charta Rn. 12. 102  BVerfG, Urt. v. 24.04.2013 – 1 BvR 1215 / 07 – NJW 2013, 1499, 1500 Rn. 88. 103  Vgl. dazu m. w. N. Kingreen, JZ 2013, 801 (802); ders., in: Calliess / Ruffert, EUV / AEUV, Art. 51 Charta Rn. 12. 104  BVerfG, Urt. v. 24.04.2013  – 1 BvR 1215 / 07  – NJW 2013, 1499 (1500 Rn. 91). 105  Britz, EuGRZ 2015, 275 (278). 96  Voßkuhle,



Kap. 1: Autonome Auslegung der DSGVO nach dem Unionsrecht79

möglichkeiten, bleibt es bei der Anwendbarkeit der nationalen Grundrech­ te.106 Die Rechtsprechung des Bundesverfassungsgerichts macht deutlich, dass es von einer klaren Trenn- und Abgrenzbarkeit der Grundrechtsbereiche ausgeht.107 II. Konsequenzen für die nationalen Umsetzungsmaßnahmen im Bereich des Datenschutzes Auf Grundlage der Karlsruher Rechtsprechung wird vertreten, dass die nationalen Grundrechte in den Fällen zur Anwendung gelangen, in denen den Mitgliedstaaten Ausgestaltungsmöglichkeiten durch die DSGVO eingeräumt werden.108 Da dem Gesetzgeber in diesen Bereichen ein Ermessen zugebil­ ligt worden und er somit gerade nicht unionsrechtlich determiniert ist, sollen allein die mitgliedstaatlichen Grundrechte entscheidend sein.109 Überzeugend ist aber vielmehr, die DSGVO als auch die nationalen Aus­ gestaltungen des europäischen Datenschutzrechtes einheitlich anhand der Charta zu beurteilen. Dies wird unter anderem systematisch mit dem jeden­ falls grundrechtlich abschließenden Charakter der DSGVO begründet, wel­ cher keinen Raum für nationale Grundrechte lasse.110 Darüber hinaus spre­ chen aber auch der Sinn und Zweck, insbesondere die Vereinheitlichung des europäischen Datenschutzes dafür, nationale Spezifizierungen der DSGVO (allein) am Primärrecht zu messen. Richtig ist zwar, dass bestimmte Bereiche einer zwingenden mitgliedstaatlichen Umsetzung bedürfen (Stichwort „hin­ kende Verordnung“), aus den bereits genannten Erwägungen wird das Ermes­ sen des Gesetzgebers allerdings durch die restriktiven Vorgaben der Grund­ verordnung (als Über- und Untergrenze)111 erschöpfend festgelegt.112 Den Mitgliedstaaten wird keine umfassende autonome Rechtssetzungsbefugnis eingeräumt, sondern vielmehr die Möglichkeit zur „Präzisierung und Ein­ schränkung“113, ein „Spielraum“114, der sich stets an den Vorgaben der Ver­ ordnung messen lassen muss. Dieser Spielraum wird auch nicht durch den hohen Abstraktionsgrad der DSGVO erweitert, da die dadurch bedingte vieler Kingreen, JZ 2013, 801 (803). ZaöRV 2015, 383 (388). 108  So etwa Greve, NVwZ 2017, 737 (744); Duchow, GesR 2016, 401 (402). 109  Duchow, GesR 2016, 401 (402). 110  So Klement, JZ 2017, 161 (168). 111  So Pötters, in: Gola, DSGVO, Art. 1 Rn. 24. 112  In diesem Sinne bereits zur vollharmonisierenden Datenschutz-Richtlinie vgl. Bäcker, EuR 2015, 389 (392). 113  Erwägungsgrund 8 Satz 1 DSGVO. 114  Erwägungsgrund 10 Satz 5 DSGVO. 106  Statt

107  Franzius,

80

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Konkretisierung gerade eine Frage der Auslegung durch den Gerichtshof, nicht aber der Ergänzung durch die Mitgliedstaaten ist115. Im Ergebnis sind die Mitgliedstaaten damit durch die Vorgaben der DSGVO hinreichend „de­ terminiert“, so dass auch mit Blick auf die Rechtsprechung des Bundesver­ fassungsgerichts eine grundrechtliche Interpretation allein anhand der uni­ onsrechtlichen Vorgaben vorzunehmen ist. Letztlich würde es zu einer un­ natürlichen Spaltung einheitlich zu bewertender Maßnahmen kommen, wenn je nach Rechtsgrundlage (DSGVO / BDSG) ein unterschiedliches Grund­ rechtsregime herangezogen werden würde116. Kapitel 2

Die Charta als Prüfstein der Anwendung und Auslegung der DSGVO Die Auslegung und Anwendung der DSGVO sowie etwaiger Umsetzungs­ akte in den Mitgliedstaaten hat sich, wie gezeigt, allein an primärrechtlichen Vorgaben zu orientieren. Der grundrechtliche Schutz personenbezogener Daten ist dabei in diesen fest verankert. Im Gegensatz zur bereits aufgezeig­ ten deutschen Datenschutzdogmatik normiert das europäische Primärrecht dezidiert in zwei Bestimmungen ein Grundrecht auf Datenschutz. Die Säulen dieser „grundrechtlichen Doppelung“117 finden sich dabei in Art. 8 der Charta sowie in Art. 16 Abs. 1 AEUV. Wenngleich seit 2009 aufgrund der Inkorporation der Charta gem. Art. 6 Abs. 1 HS. 2 EUV zwischen den Verträgen und der Charta ein Verhältnis der Gleichrangigkeit besteht, entschied der EuGH bereits im Dezember 2010, dass etwaige Eingriffe in das Grundrecht auf den Schutz der personenbezo­ genen Daten anhand der Vorgaben der Charta zu bestimmen sind.118 Im Rahmen des Gutachtens zur Vereinbarkeit der Übermittlung von Fluggastda­ ten zwischen der EU und Kanada hat der EuGH diesen Standpunkt jüngst bekräftigt.119 Dabei führt der Gerichtshof aus, dass zwar sowohl Art. 16 Abs. 1 AEUV als auch Art. 8 der Charta das Grundrecht auf den Schutz der personenbezogenen Daten beinhalten.120 Da aber die Verarbeitungsvorausset­ 115  Britz,

EuGRZ 2015, 275 (279). wohl Koerner, Wirksamer Beschäftigtendatenschutz im Lichte der Euro­ päischen Datenschutz-Grundverordnung, S. 19. 117  So Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 16 Rn. 3. 118  EuGH, Urt. v. 9.11.2010 – C-92, 93 / 09 – EuZW 2010, 939 (941 Rn. 45). 119  Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592. 120  Vgl. Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 120. 116  A. A.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung81

zungen allein in Art. 8 der Charta normiert sind, sei nur diese Vorschrift einschlägig.121 Die (alleinige) Heranziehung der Charta lässt sich unter anderem damit begründen, dass Art. 16 UAbs. 1 AEUV keine Schranken benennt, Art. 8 Abs. 2 der Charta hingegen umfangreiche Eingriffsmöglichkeiten vorsieht, welche nur schwer auf die Vorgaben des AEUV anwendbar sind.122 Da aber weder die Literatur123 noch die Rechtsprechung124 von der uneingeschränk­ ten Gewährleistung des Schutzes personenbezogener Daten ausgehen, ist das alleinige Abstellen auf das diesbezüglich „spezieller“ ausgestaltete Grund­ recht in der Charta folgerichtig.125 Die Konstruktion der informationellen Selbstbestimmung auf primärrecht­ licher Ebene erfordert aber nicht nur die formelle Kontrolle des Betroffenen über seine personenbezogenen Daten, wie sie in Art. 8 der Charta vorgesehen ist.126 Mithin wird der Schutz personenbezogener Daten nicht um seiner selbst willen gewährleistet, sondern soll als Garant eines selbstbestimmten Lebens fungieren.127 Dazu bedarf es zwar maßgeblich der Möglichkeit, ex­ terne Informationsflüsse zu kontrollieren, entscheidend ist aber das Resultat interner Freiräume zur Persönlichkeitsentwicklung.128 Auch wenn der EuGH das Konzept der informationellen Selbstbestimmung nicht unmittelbar über­ 121  Vgl. Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 120. 122  Vgl. Brink / Heinrich, JZ 2011, 201 (206); Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Einführung Rn. 35. 123  Vgl. statt vieler Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäi­ schen Union, Art. 16 AEUV Rn. 8. Unter Verweis auf die Entstehungsgeschichte der Vorschrift geht Brühann davon aus, dass die Integration des Datenschutzgrundrechts in Art. 16 UAbs. 1 lediglich aus Gründen der Verständlichkeit erfolgte, da anderen­ falls die Kompetenzregelung in UAbs. 2 ohne weiteren Anknüpfungspunkt im Vertrag platziert wäre, vgl. Brühann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV Rn. 31; Auch nach Spiecker gen. Döhmann / Eisenbarth ist die Funktion des Art. 16 UAbs. 1 AEUV überwiegend im Kontext der Gesetzge­ bung nach Art. 16 UAbs. 2 AEUV zu sehen, der Gesetzgeber soll frühzeitig auf die fundamentale Bedeutung des Datenschutzes hingewiesen werden, vgl. Spiecker gen. Döhmann / Eisenbarth, JZ 2011, 169 (172). 124  Ebenfalls bereits mit der Schecke-Entscheidung urteilte der EuGH, dass die Verletzung der Art. 7 und 8 der Charta anhand der Vorgaben des Art. 52 Abs. 1 der Charta zu rechtfertigen sind, vgl. EuGH, Urt. v. 9.11.2010  – C-92, 93 / 09  – EuZW 2010, 939 (942 Rn. 64). 125  So wohl auch Jung, Grundrechtsschutz auf europäischer Ebene, S. 75; Wagner, Der Datenschutz in der Europäischen Union, S. 109. 126  Klement, JZ 2017, 161 (169). 127  Grimm, JZ 2013, 585. 128  Vgl. dazu bereits die Ausführungen unter Erster Teil Kap. 1 A.

82

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

nommen hat,129 findet sich die datenschutzrechtliche Rückkoppelung an die Gewährleistung der Persönlichkeitsentwicklung130 in der Rechtsprechung des EuGH wieder. Der Gerichtshof betont, dass der Schutz personenbezogener Daten zugleich Schutz der Privatsphäre des Betroffenen ist.131 Privatheit aber wiederum schützt, wie zu zeigen ist, im Kern die Gewährleistung eines auto­ nomen, selbstbestimmten Lebens.132 Zur Bestimmung, des Konzepts der in­ formationellen Selbstbestimmung auf primärrechtlicher Ebene sollen daher nicht nur die maßgeblichen Vorgaben des Art. 8 der Charta (dazu unter A.) untersucht werden. Vielmehr ist zu hinterfragen, ob bei der Abbildung des Konzepts der informationellen Selbstbestimmung anhand der Vorgaben der Charta auch der Schutz der Privatheit im Sinne des Art. 7 der Charta ergän­ zend herangezogen werden sollte (dazu unter B.).

A. Der Schutz personenbezogener Daten, Art. 8 der Charta Die zentrale Bedeutung des Art. 8 der Charta innerhalb des neugeordneten Datenschutzrechts wird von der DSGVO exponiert hervorgehoben. Mithin stellt Art. 1 Abs. 2 DSGVO klar, dass die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere das Recht auf den Schutz personenbezogener Daten schützt. Allen voran ist also das durch Art. 8 Abs. 1 der Charta normierte Recht zu gewährleisten:133 Jeder Mensch134 hat das Recht auf den Schutz der ihn betreffenden personenbezogenen Daten. Die historische Grundlage und den Ausgangspunkt des Datenschutzgrund­ rechts bilden die Bestimmungen des Art. 286 EG, Art. 8 der Europäischen Menschenrechtskonvention (EMRK)135, das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Ver­ arbeitung personenbezogener Daten sowie die Normierungen der Daten­ schutz-Richtlinie.136 Mitgliedstaatliche Vorgaben wurden hingegen nicht un­ 129  von

Lewinski, Die Matrix des Datenschutzes, S. 44. JZ 2013, 585. 131  Jüngst Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 119; vgl. auch: EuGH Urt. v. 21.12.2016  – C-203 / 15 u. C-698 / 15 – EuZW 2017, 153 (157 Rn. 93); EuGH Urt. v. 9.11.2010 – C-92, 93 / 09 – EuZW 2010, 939 (941 Rn. 47). 132  Rössler, Der Wert des Privaten, S. 137; Rössler, Autonomie, S. 282. 133  Vgl. Erwägungsgrund 1 und 2 DSGVO. 134  Der durch die DSGVO gewährte Schutz soll für die Verarbeitung personenbe­ zogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten, vgl. Erwägungsgrund 14 Satz 1 DSGVO. 135  Vom 4.11.1950 / 15.12.1953, BGBl. 1954 II, S. 14. 136  Vgl. Erläuterung zur Charta der Grundrechte, Erläuterung zu Artikel 8, ABl. 2007 C 303, S. 20. 130  Grimm,



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung83

mittelbar herangezogen.137 Als „Destillat der europäischen Grundrechts­ entwicklung“138 versteht sich die verfassungsrechtliche Verbürgung daten­ schutzrechtlicher Grundsätze als nachhaltige Reaktion auf sich wandelnde technische Gegebenheiten139. Zugleich wirkt Art. 8 der Charta als Fixpunkt der (verfassungsrechtlichen) Vereinheitlichung des europäischen Datenschut­ zes.140 Die „innovative“141 Vorschrift ist damit jedenfalls die Grundlage eines informationellen Selbstbestimmungsrechts auf europäischer Ebene.142 I. Der Schutzbereich des Art. 8 Abs. 1 der Charta Im Rahmen des sachlichen Schutzbereichs des Art. 8 Abs. 1 der Charta ist zunächst das Verhältnis zwischen primärrechtlicher Verbürgung sowie sekun­ därrechtlicher Konkretisierung zu bestimmen (dazu unter 1). Daran anschlie­ ßend gilt es sowohl den sachlichen (2.) als auch den persönlichen Schutzbe­ reich (3.) der Grundrechtsbestimmung zu untersuchen. 1. Sekundärrechtliche Begriffsbestimmung – Verstoß gegen das Gebot des Vorrangs des Primärrechts? Es gilt der Grundsatz der primärrechtskonformen Auslegung des Sekun­ därrechts.143 Bei der Auslegung und Anwendung des Schutzbereichs des Datenschutzgrundrechts spielt trotz des Vorrangs des Primärrechts das daten­ schutzrechtliche Sekundärrecht eine entscheidende Rolle.144 Allen voran, da sich die Erläuterungen der Charta zu Art. 8 ausdrücklich auf die Vorgaben der Datenschutz-Richtlinie stützen,145 sind die nunmehr in der DSGVO zu findenden konkretisierenden Vorgaben zur Interpretation des Schutzbereiches heranzuziehen. Mit Blick auf die bestehende Normenhierarchie darf eine 137  Bernsdorff,

Rn. 3.

in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 8

Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 36. in: Ehmann / Selmayr, DSGVO, Einführung Rn. 35. 140  Schiedermair, Der Schutz des Privaten als internationales Grundrecht, S. 349. 141  So unter anderen Streinz / Michl, EuZW 2011, 384 (385), wobei das Grundrecht weniger inhaltlich innovativ sein soll, sondern vielmehr dessen Verankerung in der Charta. 142  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 1. 143  Vgl. dazu die Ausführungen in Kapitel 1 A. 144  Allgemein zur Heranziehung des Sekundärrechts zur Auslegung und Konkreti­ sierung der Grundrechte Jarass, EuR 2013, 29 (34). 145  Vgl. Erläuterung zur Charta der Grundrechte, Erläuterung zu Artikel 8, ABl. 2007 C 303, S. 20. Diese sind gem. Art. 6 Abs. 1 UAbs. 3 EUV bei der Auslegung und Anwendung der Charta gebührend zu berücksichtigen. 138  So

139  Selmayr / Ehmann,

84

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

solche Konkretisierung freilich nicht dazu führen, dass sekundärrechtliche Vorgaben als vorrangig gewertet werden.146 Vielmehr sind die primärrecht­ lich geadelten147 und sekundärrechtlich konkretisierten Grundsätze und Be­ griffsbestimmungen des Datenschutzes vice versa zu berücksichtigen.148 Die Einbeziehung sekundärrechtlicher Begriffe ist daher nicht nur mit der Normenhierarchie des Europarechts vereinbar, sie wurde wohlwissend bei der Entstehung der Charta forciert und ist letztlich die Konsequenz daraus, dass sich die Ausgestaltung datenschutzrechtlicher Bestimmungen zunächst auf sekundärrechtlicher Ebene manifestiert hat.149 2. Der sachliche Schutzbereich Gem. Art. 8 Abs. 1 der Charta hat jede Person das Recht auf den Schutz der sie betreffenden Daten. Der grundrechtliche Schutz des Art. 8 Abs. 1 der Charta ist daher eröffnet, sobald personenbezogene Daten verarbeitet wer­ den.150 Der Schutzbereich des Art. 8 Abs. 1 der Charta zielt damit im We­ sentlichen auf die Schaffung spezifischer Vorgaben zur Verarbeitung perso­ nenbezogener Daten ab.151 In Übereinstimmung mit dem deutschen Verständnis informationeller Selbstbestimmung findet sich auch in den Vorgaben der Charta kein umfas­ sender Schutz der Daten; es bedarf eines Personenbezugs wofür auch die Personenbeziehbarkeit ausreicht.152 Mithin bleibt es bei der Grundannahme, dass nicht der Schutz des Datums, sondern die dahinterstehende Person im Fokus des Datenschutzes steht.153 Die dogmatische Rückkoppelung dieser dazu Jarass, in: Jarass, Charta der Grundrechte der EU, Einleitung Rn. 55. sprechen von der „‚Hochzonung‘ von Rechtsgrundsätzen der DS-RL durch Art. 8 GRCh […]“, vgl. Selmayr / Ehmann, in: Ehmann / Selmayr, ­DSGVO, Einführung Rn. 34. 148  So auch Klement, der das Datenschutzrecht als das Ergebnis einer „Schaukel­ bewegung“ zwischen den verschiedenen datenschutzrechtlichen Normebenen inter­ pretiert, vgl. Klement, JZ 2017, 161 (162). I. E. ebenfalls bereits zu den Vorgaben der Datenschutz-Richtlinie Burgkardt, Grundrechtlicher Datenschutz zwischen Grundge­ setz und Europarecht, S. 315. 149  Klement spricht von einer historischen Entwicklung des Datenschutzrechts von „unten nach oben“, vgl. Klement, JZ 2017, 161; zu diesem Ergebnis gelangt grund­ sätzlich auch Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 44. 150  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 8 Rn. 15. 151  Bock / Engeler, DVBl 2016, 593 (596). 152  Vgl. dazu etwa Nebel, ZD 2015, 517 (521). 153  Karg, DuD 2015, 520 (521); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 58. 146  Vgl.

147  Selmayr / Ehmann



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung85

Annahme lässt sich dabei aber nicht unmittelbar aus Art. 8 Abs. 1 der Charta ableiten, da dieser letztlich den Verarbeitungsvorgang als solchen reglemen­ tieren will, nicht aber dessen Auswirkungen auf die Persönlichkeit des Be­ troffenen. Dieser Zusammenhang lässt sich allerdings, wie noch zu zeigen ist, aus dem engen Zusammenwirken mit Art. 7 der Charta konstruieren.154 Hinsichtlich der Schutzdimensionen gestaltet sich auch das Grundrecht auf Schutz der personenbezogenen Daten, wie bereits dem Wortlaut der Norm deutlich zu entnehmen ist, maßgeblich als Abwehrrecht gegen den Staat.155 Darüber hinaus wird aber auch Art. 8 der Charta, insbesondere im Zusam­ menspiel mit der Kompetenznorm des Art. 16 Abs. 2 AEUV, die Pflicht zum Erlass entsprechender Datenschutzvorschriften entnommen, sodass ebenfalls eine Schutzpflichtendimension des Grundrechts anzuerkennen ist.156 a) Die DSGVO als Bezugspunkt der Auslegung Im Zusammenhang mit der Bestimmung des sachlichen Schutzbereichs des Art. 8 Abs. 1 der Charta ist fraglich, auf welcher Grundlage der Begriff des personenbezogenen Datums auszulegen ist. Einigkeit besteht dahinge­ hend, dass der Begriff des personenbezogenen Datums bislang auf Grundlage des Art. 2 lit. a der Datenschutz‑Richtlinie zu bestimmen war.157 Mit Geltung der DSGVO seit dem 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) kam es gem. Art. 94 Abs. 1 DSGVO zur Aufhebung der Richtlinie, sodass ein Bezug auf deren Vorgaben ins Leere liefe. Zugleich bestimmt Art. 94 Abs. 2 Satz 1 ­DSGVO allerdings, dass Verweise auf die aufgehobene Richtlinie als Ver­ weise auf die DSGVO zu verstehen sind. Dem Wortlaut lässt sich dabei nicht entnehmen, welche Qualität diese Verweise haben müssen. Mithin kommt in Betracht, dass lediglich Verweise in tatsächlich verfügende Rechtsquellen umgedeutet werden sollen, nicht aber in bloße Erläuterungen. Zur Vermei­ dung etwaiger Schutzlücken und zur Wahrung eines effektiven Grundrechts­ schutzes ist die Vorschrift allerdings weit zu verstehen, so dass sämtliche 154  Bock / Engeler, DVBl 2016, 593 (596); vgl. hierzu umfassend die Ausführun­ gen unter B. I. Kritisch insgesamt hierzu Schneider, ZD 2015, 245 f. 155  Streinz / Michl, EuZW 2011, 384 (385); Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 Charta Rn. 12. 156  Klement, JZ 2017, 161 (166); Spiecker gen. Döhmann / Eisenbarth, JZ 2011, 169 (172); von Lewinski in: Eßer / Kramer / von Lewinski, Auernhammer  – DSGVO /  BDSG, Einleitung Rn. 12; Augsberg, in: von der Groeben / Schwarze / Hatje, Europäi­ sches Unionsrecht, Art. 8 Charta Rn. 8; Gersdorf, in: Gersdorf / Paal, BeckOK Infor­ mations- und Medienrecht, Art. 8 Charta Rn. 12. 157  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 9; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 8 Charta Rn. 5; Gersdorf, in: Gersdorf /  Paal, BeckOK Informations- und Medienrecht, Art. 8 Charta Rn. 13.

86

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Bezugnahmen auf die Datenschutz-Richtlinie als Verweis auf die DSGVO zu verstehen sind.158 Entsprechend sind die Erläuterungen der Charta zu Art. 8 nunmehr dergestalt zu interpretieren, dass sich das Datenschutzgrundrecht in seiner Ausgestaltung an den Vorgaben der DSGVO anlehnt.159 b) Das personenbezogene Datum im Sinne des Art. 4 Nr. 1 DSGVO Art. 8 Abs. 1 der Charta gewährleistet den Schutz personenbezogener Da­ ten, ohne diese weitergehend zu bestimmen. Zur Konkretisierung des perso­ nenbezogenen Datums im Sinne des Art. 8 Abs. 1 der Charta kann nach vorliegend dargelegter Überzeugung die Begriffsbestimmung des Art. 4 Nr. 1 DSGVO maßgeblich herangezogen werden. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. In wesentlicher Übereinstimmung mit der Datenschutz-Richtlinie setzt sich auch nach den Vorgaben der DSGVO das personenbezogene Datum aus den vier Tatbe­ standsmerkmalen Information, Personenbezug, natürliche Person und Identi­ fizierbarkeit beziehungsweise Identifikation der Person zusammen.160 Auf Grund dieser strukturellen Übereinstimmung spricht daher vieles dafür, so­ wohl die Rechtsprechung des EuGH zum Personenbezug,161 als auch die Vorgaben der Artikel-29-Datenschutzgruppe162 zur Auslegung der einzelnen Merkmale heranzuziehen. Ein Rückgriff auf bereits vorhandene Materialien kann insbesondere deshalb lohnenswert sein, da auch die Vorgaben der ­DSGVO nicht deutlich benennen, wessen Wissen bei der Identifizierung der betroffenen Person entscheidend ist.163 Mit Blick auf das Konzept der infor­ mationellen Selbstbestimmung nach den Vorgaben der DSGVO ist es aber 158  So auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guideli­ nes on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 4; Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Art. 94 Rn. 7; Piltz, in: Gola, DSGVO, Art. 94 Rn. 16; Schild, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 94 DSGVO Rn. 12. 159  A. A. Wagner, Der Datenschutz in der Europäischen Union, S. 111, der auf­ grund der ausdrücklichen Benennung der Datenschutz-Richtlinie in den Erläuterun­ gen zu der Charta eine dynamische Einbeziehung des auf die Richtlinie folgenden Sekundärrechts ausschließt. 160  Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 Rn. 8. 161  Herbst, NVwZ 2016, 902 (903); Kühling / Klar, ZD 2017, 24 (28). 162  Artikel-29-Datenschutzgruppe, WP 136 Stellungnahme  4 / 2007 zum Begriff „personenbezogene Daten“. Online abrufbar unter: https: /  / www.lda.bayern.de / me dia / wp136_de.pdf, zuletzt abgerufen am 08.10.2018. 163  Hofmann / Johannes, ZD 2017, 221 (222); Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Rn. 26; Heckmann, in: Heckmann, jurisPK – Internetrecht, Kap. 9 1. Überarbeitung Rn. 102.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung87

durchaus entscheidend, herauszuarbeiten, auf wessen Wissen es letztlich bei der Identifizierung der dahinterstehenden Person ankommt. Dadurch wird nicht nur maßgeblich der Anwendungsbereich des Datenschutzrechts, son­ dern zugleich auch der Schutzbereich des Grundrechts determiniert. Diesbezüglich werden im Wesentlichen zwei Ansichten (in unterschied­ licher Ausgestaltung) postuliert:164 Es wird einerseits vertreten, dass ein personenbezogenes Datum bereits dann gegeben ist, wenn objektiv die Mög­ lichkeit besteht, dass eine beliebige Person anhand der vorhandenen Daten die betroffene Person identifizieren kann (absoluter Personenbezug).165 An­ dererseits wird der Ansatz des relativen Personenbezugs vertreten, wonach es für die Identifizierung darauf ankommt, ob der Verantwortliche den Bezug zu der betroffenen Person mit den ihm zur Verfügung stehenden Mitteln herstel­ len kann.166 Der Wortlaut des Art. 4 Nr. 1 DSGVO hilft bei der Lösung dieses Pro­ blems nur bedingt weiter.167 Zwar werden in Art. 4 Nr. 1 HS. 2 DSGVO Kriterien genannt, welche zur Identifikation der betroffenen Person herange­ zogen werden sollen, nicht aber, welchem Akteur es auf Grundlage dieser Kriterien möglich sein muss, die Person zu identifizieren. Im Sinne eines relativen Ansatzes wäre eine Klarstellung des Wortlauts wie etwa „als identi­ fizierbar für den Verantwortlichen wird eine natürliche Person angesehen, […]“ hilfreich gewesen. Dass der Wortlaut entsprechend offen gestaltet wurde, kann aber freilich auch dahingehend ausgelegt werden, dass es gerade nicht auf den Verantwortlichen ankommen soll. Ein solches absolutes Verständnis lässt sich jedoch nicht mit den weiteren (entscheidenden) Auslegungskriterien, insbesondere mit dem Sinn und Zweck der Verordnung, vereinbaren.168 Diesbezüglich führt Erwägungsgrund 26 Satz 2 der DSGVO aus, dass zur Prüfung, ob eine natürliche Person identifi­ zierbar ist, „alle Mittel berücksichtigt werden [sollten], die von dem Verant­ wortlichen oder einer anderen Person nach allgemeinem Ermessen wahr­ dazu m. w. N. Bergt, ZD 2015, 365 ff. definiert beispielsweise Pahlen-Brandt noch zu den Vorgaben der Daten­ schutz-Richtlinie das Merkmal der Bestimmbarkeit „[als] Möglichkeit, eine Person zu identifizieren […]“, vgl. Pahlen-Brandt, DuD 2008, 34 (38); ebenfalls für den abso­ luten Personenbezug, allerdings leicht modifiziert, spricht sich Herbst für ein „fak­ tisch-absolutes“ Verständnis aus, wonach die Personenbezogenheit dann gegeben sein soll, wenn „die Herstellung des Bezugs der Daten zur Person nicht ganz unwahr­ scheinlich ist“, vgl. Herbst, NVwZ 2016, 902 (905). 166  Vgl. dazu m. w. N. Brink / Eckhardt, ZD 2015, 205. 167  So auch Buchner, DuD 2016, 155 (156); Hofmann / Johannes, ZD 2017, 221 (222). 168  Hofmann / Johannes, ZD 2017, 221 (223); zum Telos des Regelwerks als maß­ gebliches Auslegungskriterium vgl. die Ausführungen unter Kapitel 1 B. III. 164  Vgl. 165  So

88

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

scheinlich genutzt werden […]“169. Albrecht möchte daraus folgern, dass die DSGVO grundsätzlich im Sinne eines absoluten Personenbezugs konzipiert ist.170 Da aber nur die Mittel zur Identifikation herangezogen werden sollen, die wahrscheinlich genutzt werden, relativiert Albrecht sogleich und spricht sich dafür aus, dass auch unter Berücksichtigung moderner Techniken Raum für nicht personenbezogene Daten verbleiben solle.171 Auch Klabunde ver­ tritt tendenziell einen entsprechend modifizierten absoluten Personenbezug innerhalb der Vorgaben der DSGVO.172 Ihm zur Folge sei es ausreichend, wenn „irgendein Dritter“ die Identifizierung durchführen könne, die Faktoren Zeit, Geld und Technik seien dabei aber hinreichend zu berücksichtigen.173 Barlag hingegen vertritt die Auffassung, dass Erwägungsgrund 26 Satz 2 DSGVO deutlich im Sinne eines relativen Personenbezugs zu interpretieren sei, da letztlich die Möglichkeiten des Verantwortlichen im konkreten Einzel­ fall entscheiden, ob der Personenbezug gegeben sei.174 Für diese Auffassung spricht deutlich, dass nur solche Mittel herangezogen werden sollen, die nach allgemeinem Ermessen wahrscheinlich genutzt werden. Die Wahrscheinlich­ keit aber, dass der Verantwortliche Informationen Dritter heranzieht, die mit ihm in keinerlei Beziehung stehen, ist zumindest sehr gering.175 Dass auch der EuGH diese Linie verfolgt, lässt sich auf Grundlage der bereits ergangenen Rechtsprechung zur Frage der Bestimmbarkeit anhand der Vorgaben der Datenschutz-Richtlinie erkennen. Diesbezüglich führt der EuGH zu dem (annähernd wortlautgleichen) Erwägungsgrund 26 Satz 2 der Datenschutz‑Richtlinie176 aus, dass es nicht notwendig sei, dass sich alle In­ formationen zur Identifizierung der betroffenen Person „in den Händen einer einzigen Person befinden“177. Sofern die Einbeziehung dieser Informationen allerdings auf Grund Gesetzes verboten ist oder aber faktisch nicht vollzogen werden kann, scheidet die Identifizierbarkeit anhand des Zusatzwissens aus, 169  Vgl.

Erwägungsgrund 26 Satz 2 DSGVO. Das neue Datenschutzrecht der EU, S. 58; so auch Buchner, DuD 2016, 155 (156); für ein in der Tendenz „vermittelnd relatives Verständnis“ Heckmann, in: Heckmann, jurisPK – Internetrecht, Kapitel 9 1. Überarbeitung Rn. 102. 171  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 59. 172  Vgl. Klabunde, in: Ehmann / Selmayr, DSGVO Art. 4 Rn. 17. 173  Klabunde, in: Ehmann / Selmayr, DSGVO, Art. 4 Rn. 17. 174  Barlag, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, S. 111. 175  Vgl. Hofmann / Johannes, ZD 2017, 221 (224); Schreiber, in: Plath, BDSG / ­ DSGVO, Art. 4 Rn. 11; Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 DSGVO Rn. 26. 176  Vgl. dazu Erwägungsgrund 26 Satz 2 Datenschutz-Richtlinie. 177  EuGH, Urt. v. 19.10.2016 – C-582 / 14 – EuZW 2016, 909 (911 Rn. 43). 170  Albrecht / Jotzo,



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung89

da sie vernünftigerweise nicht geboten ist.178 Entscheidend ist, dass der Ver­ antwortliche „über die rechtlichen Mittel verfügt, die es ihm erlauben, die betreffende Person anhand Zusatzinformationen […] bestimmen zu lassen“179. Wenngleich der EuGH damit grundlegend feststellt, dass eine Identifizierung der betroffenen Person auch anhand des Zusatzwissens Dritter erfolgen kann, stellt er diese Möglichkeit unter die Bedingung, dass dieses Zusatzwissen vernünftigerweise (also rechtskonform und in Relation zum technischen Auf­ wand) dem Verantwortlichen zugerechnet werden darf. Maßgeblich im Sinne der relativen Theorie ist daher letztlich der Verantwortliche, wobei modifizie­ rend das Wissen Dritter einbezogen werden kann.180 Zwar wurde das Krite­ rium der „Vernunft“ in den Erwägungsgründen der DSGVO durch ein „all­ gemeines Ermessen“ ersetzt, die diesbezügliche Rechtsprechung lässt sich aber ohne weiteres übertragen.181 Wenn der EuGH davon ausgeht, dass ein Mittel dann nicht mehr vernünftigerweise herangezogen werden kann, wenn es „einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde“182, so konstatiert Erwägungsgrund 26 Satz 3 der DSGVO eben diese Vorgaben für das Kriterium des allgemeinen Ermessens. Zur Be­ stimmung des allgemeinen Ermessens kommt es maßgeblich auf die objekti­ ven Faktoren Kosten, Zeit sowie die zur Verfügung stehende Technik an.183 Neben den benannten Erwägungen sprechen aber auch weitere teleologi­ sche Argumente der DSGVO für einen relativen Personenbezug. Ein nahezu unbegrenzt zur Anwendung gelangendes Datenschutzrecht, als Folge des absoluten Personenbezugs,184 würde mit der dualen Zielbestimmung der ­DSGVO in Konflikt geraten.185 Insbesondere, da anhand moderner Big DataAnalysen der objektive Ausschluss des Personenbezugs für jedermann (annä­ hernd) unmöglich ist,186 müsste die digitale Wirtschaft stets die Vorgaben des Datenschutzes beachten. Dass das aber nicht das Ziel der DSGVO ist, zeigt nicht zuletzt auch die Tatsache, dass die Verordnung zwischen anonymen187 178  EuGH,

Urt. v. 19.10.2016 – C-582 / 14 – EuZW 2016, 909 (911 Rn. 45, 46). Urt. v. 19.10.2016 – C-582 / 14 – EuZW 2016, 909 (911 Rn. 49). 180  So auch Kühling / Klar, ZD 2017, 24 (28); Mantz / Spittka, NJW 2016, 3579; Moos / Rothkegel, MMR 2016, 842 (845). 181  So auch Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 28. 182  EuGH, Urt. v. 19.10.2016 – C-582 / 14 – EuZW 2016, 909 (911 Rn. 45, 46). 183  Vgl. Erwägungsgrund 26 Satz 3 DSGVO. 184  So Schmitz, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil  16. 2 Rn. 103. 185  So auch Hofmann / Johannes, ZD 2017, 221 (225). 186  Boehme-Neßler, DuD 2016, 419 (423). 187  Vgl. Erwägungsgrund 26 Satz 4 DSGVO; vgl. dazu auch Geminn / Laubach / Fujiwara, ZD 2018, 413 (416). 179  EuGH,

90

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

und personenbezogenen Daten unterscheidet.188 Mithin sollen (automati­ sierte) Verarbeitungssituationen denkbar sein, in denen das Datenschutzrecht gerade nicht zur Anwendung gelangen soll. 3. Der persönliche Schutzbereich Anerkannt und jedenfalls vom Wortlaut des Art. 8 Abs. 1 der Charta um­ fasst ist der grundrechtliche Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.189 Ob und wie weit sich auch juristische Personen auf den Schutz des Art. 8 der Charta berufen können, ist nicht ab­ schließend geklärt.190 Während der EuGH insoweit in der Tendenz von einer eingeschränkten Grundrechtsfähigkeit ausgeht,191 mehren sich in der Litera­ tur die Stimmen, die sich für einen umfassenden Einbezug juristischer Perso­ nen in den Schutzbereich des Art. 8 Abs. 1 der Charta aussprechen192. II. Eingriffe in das Grundrecht auf Schutz personenbezogener Daten, Art. 8 Abs. 2 der Charta Gem. Art. 8 Abs. 2 Satz 1 der Charta dürfen personenbezogene Daten nur nach Treu und Glauben, für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Die Verarbeitung ohne (Rechts-)Grundlage ist entsprechend unzulässig und damit als Eingriff in das Grundrecht zu werten auch Ziebarth, in: Sydow, DSGVO, Art. 4 Rn. 39. in: Jarass, Charta der Grundrechte der EU, Art. 8 Rn. 7; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 11; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 40. 190  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 11; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 8 Rn. 7; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 Charta Rn. 9. 191  So führt der EuGH in der Rechtssache Schecke aus, dass „sich juristische Per­ sonen[…] auf den durch die Art. 7 und 8 der Charta verliehenen Schutz nur berufen [können], soweit der Name der juristischen Person eine oder mehrere natürliche Per­ sonen bestimmt“, vgl. EuGH, Urt. v. 09.11.2010 – verb. Rs. C-92 / 09 und C-93 / 09 – EuZW 2010, 939 (941 Rn. 53). 192  Eine vertiefte Darstellung dieser Problematik ist für die folgenden Ausführun­ gen der Arbeit, die sich maßgeblich mit der datenschutzrechtlichen Einwilligung na­ türlicher Personen beschäftigt, nicht relevant. Für die Einbeziehung juristischer Per­ sonen sprechen sich im Übrigen m. w. N. Heißl, EuR 2017, 561 (570); Jung, Grund­ rechtsschutz auf europäischer Ebene, S. 106; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 40; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 8 Rn. 7; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 11 aus. 188  So

189  Jarass,



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung91

(dazu unter 1.).193 Die daraus resultierende Konzeption als Verbot mit Er­ laubnisvorbehalt194 entspricht der Vorstellung des grundgesetzlichen Schutzes informationeller Selbstbestimmung. Bei Vorliegen einer rechtswirksamen Einwilligungserklärung soll es hingegen bereits an der Eingriffsqualität feh­ len (dazu unter 2.). 1. Die Verarbeitung personenbezogener Daten als Eingriff in das Grundrecht Der Begriff der Verarbeitung ist, wie auch der Begriff des personenbezo­ genen Datums, in Anlehnung an das Sekundärrecht zu bestimmen.195 Die DSGVO definiert den Begriff der Verarbeitung in Art. 4 Nr. 2. Demnach liegt eine Verarbeitung bei jedem Vorgang im Zusammenhang mit personenbezo­ genen Daten vor, unabhängig davon, ob dieser mit oder ohne Hilfe automa­ tisierter Verfahren erfolgt. Darunter fallen gem. Art. 4 Nr. 2 DSGVO insbe­ sondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Spei­ cherung, die Anpassung oder Veränderung, Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Indem die Vorschrift die Aufzählung der einzelnen Verarbeitungsmöglichkeiten durch das Wort „wie“ einleitet, wird bereits anhand des Wortlauts deutlich, dass es sich nicht um eine abschließende Aufzählung handelt.196 Vielmehr sollen, letztlich auch mit Blick auf den umfassenden Gewährleistungsanspruch des Grundrechts, alle denkbaren Datenumgänge erfasst werden.197 Dabei kommt es, vergleichbar der deutschen Grundrechtskonzeption, nicht auf die besondere Art der Daten an.198 Es sind daher kaum Datenverarbeitungsvorgänge vorstellbar, die nicht dem grundsätzlichen Verbot mit Erlaubnisvorbehalt unterfallen.199 Die Verar­ 193  Vgl. Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 126; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 8 Rn. 8; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 12. 194  Klement, JZ 2017, 161 (163); Buchner, DuD 2016, 155 (158); Selmayr / Ehmann, in: Ehmann / Selmayr, DSGVO, Einführung Rn. 31. 195  Statt vieler: Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 8 Rn. 16. 196  So auch Moneral, ZD 2016, 507 (510); Herbst, in: Kühling / Buchner, DS­ GVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 20; Eßer, in: Eßer / Kramer / v. Lewinski, Au­ ernhammer  – DSGVO / BDSG, Art. 4 Rn. 32; Reimer, in: Sydow, DSGVO, Art. 4 Rn. 53 mit Verweis auf die deutlichere Wortwahl in der englischen Sprachfassung („such as“). 197  So Sydow, in: Sydow, DSGVO, Einleitung Rn. 14. 198  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 12. 199  So auch Eßer, in: Eßer / Kramer / v. Lewinski, Auernhammer – DSGVO / BDSG, Art. 4 DSGVO Rn. 35.

92

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

beitung ohne entsprechende Rechtsgrundlage ist folglich regelmäßig als Eingriff in das Grundrecht des Art. 8 der Charta zu werten. 2. Die Einwilligung als eingriffsausschließender Tatbestand Mit der Kodifizierung der Einwilligung als mögliche Rechtsgrundlage zur Datenverarbeitung in Artikel 8 Abs. 2 Satz 1 der Charta wurde die Bedeutung dieses Instruments für den Datenschutz ausdrücklich anerkannt.200 Auch nach den Vorgaben der Charta ist die Einwilligungserklärung das zentrale, mithin verfassungsrechtlich verankerte, Kontrollinstrument des Betroffenen.201 Wenn informationelle Selbstbestimmung maßgeblich die Befugnis des Einzelnen ist, über seine Daten verfügen zu können, so findet sich dieses Konzept in der Charta durch die Einbeziehung der Einwilligungsmöglichkeit wieder. Zugleich ist die Einwilligung im konkreten Fall dabei sowohl Bedingung als auch Konsequenz informationeller Selbstbestimmung: Nur derjenige, dem die Möglichkeit zur Verfügung über seine Daten eingeräumt wird, ist grundlegend selbstbestimmt. Die daraus resultierende Einflussnahme in Ge­ stalt der Einwilligung ist Folge informationeller Selbstbestimmung.202 Sie bleibt damit das Mittel, um der informationellen Selbstbestimmung zur Gel­ tung zu verhelfen.203 Wenngleich aus den Vorgaben der Charta bestimmte Grundbedingungen für die Einwilligung zu entnehmen sind, wie beispiels­ weise das Prinzip der Freiwilligkeit, Informiertheit, der Zweckbindung und der Widerruflichkeit, bedarf es weiterer (sekundärrechtlicher) Konkretisie­ rungen anhand der Vorgaben der DSGVO.204 Entscheidend für den vorlie­ genden Abschnitt der Arbeit ist jedoch weniger die konkrete Ausgestaltung der Einwilligungserklärung205, sondern vielmehr der Umstand, dass sich das 200  Artikel-29-Datenschutzgruppe, WP 187 Stellungnahme zur Definition von Ein­ willigung 15 / 2011, S. 6. 201  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 8 Rn. 21; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO Art. 7 Rn. 1; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 10. 202  Artikel-29-Datenschutzgruppe, WP 187 Stellungnahme zur Definition von Ein­ willigung 15 / 2011, S. 10. Kritisch hierzu Baumann, in: DIVSI (Hrsg.), Privatsphäre als neues digitales Menschenrecht?, S. 35, der die Methodik der Gewährleistung in­ formationeller Selbstbestimmung durch Inanspruchnahme der selbigen mit dem Ver­ such vergleicht, sich an den eigenen Haaren aus dem Sumpf zu ziehen. 203  So auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 1; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 1; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 9. 204  So im Ergebnis auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 2. 205  Eine ausführliche Darstellung der dort normierten Vorgaben findet sich im drit­ ten Teil der Arbeit.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung93

Konzept der selbstbestimmten Datenherrschaft durch die Einwilligung nicht nur wiederfindet, sondern im Rahmen des Europarechts sogar verfassungs­ rechtlich geadelt ist. Ihr wird dabei nach überwiegender Ansicht eine ein­ griffsausschließende Wirkung zugesprochen.206 Mit Blick auf die Rangordnung zwischen der Einwilligungserklärung und den sonstigen gesetzlich geregelten legitimen Grundlagen gilt ein verfas­ sungsrechtliches Verhältnis der Gleichrangigkeit,207 welches sich letztlich auch in den Vorgaben des Art. 6 DSGVO wiederfindet.

B. Die Achtung des Privat- und Familienlebens, Art. 7 der Charta Anders als im deutschen Verfassungsrecht kann die dogmatische Rückkop­ pelung des Datenschutzes auf primärrechtlicher Ebene nicht anhand der all­ gemeinen Handlungsfreiheit erfolgen, da die Vorgaben der Charta eine solche nicht vorsehen.208 Stattdessen bezieht sich der EuGH in datenschutzrechtli­ chen Sachverhalten regelmäßig neben Art. 8 der Charta auf die Vorgaben des Art. 7 der Charta respektive auf Art. 8 EMRK.209 Mithin kommt als „impli­ zites Schutzgut“ des Datenschutzes auf europäischer Ebene der Schutz des Privatlebens gem. Art. 7 der Charta in Betracht.210 Dass sich damit ein jedenfalls vergleichbares Rechtsinstrument auf der Ebene des Primärrechts wiederfindet, lässt sich auch mit der Rechtsprechung 206  Jarass, ZEuP 2017, 310 (329); Wagner, Der Datenschutz in der Europäischen Union, S. 71; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 Charta Rn. 13; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 8 Rn. 9; in der Tendenz wohl auch die Artikel-29-Datenschutzgruppe, WP 187 Stellungnahme zur Definition von Einwilligung, S. 10, die darauf hinweist, dass „die Entscheidung einer Person, in die Datenverarbeitung einzuwilligen, strengen Anforderungen unterliegen [sollte], wobei insbesondere berücksichtigt werden sollte, dass die betroffene Person dabei mögli­ cherweise auf ein Grundrecht verzichtet.“ A. A. Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 52. Zur Einordnung in der deutschen Grundrechtsdogmatik vgl. die Ausführungen unter Erster Teil A. II. 2. 207  Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 52; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 19. 208  Ludwig, EuR 2011, 715 (733); Scholz, Nationale und europäische Grundrechte, in: Merten / Papier, Handbuch der Grundrechte VI / 2, § 170 Rn. 72; Jarass, in: Jarass, Charta der Grundrechte der EU, Einleitung Rn. 39. 209  Vgl. Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 119; vgl. auch EuGH, Urt. v. 21.12.2016  – C-203 / 15 u. C-698 / 15 – EuZW 2017, 153 (157 Rn. 93); EuGH, Urt. v. 06.10.2015 – C-362 / 14 – EuZW 2015, 881 (882 Rn. 39); EuGH, Urt. v. 9.11.2010  – C-92, 93 / 09  – EuZW 2010, 939 (941 Rn. 47). 210  Krönke, Der Staat 55 2016, 319 (323).

94

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

des Bundesverfassungsgerichts in Einklang bringen, welche die enge Verzah­ nung informationeller Selbstbestimmung und Privatheit hervorhebt: Informa­ tionelle Selbstbestimmung flankiert und erweitert das Grundrecht auf Privat­ heit211. Zur Konkretisierung des datenschutzrechtlichen Schutzgutes im Sinne der informationellen Selbstbestimmung im Kontext der Charta sollen daher nunmehr die Vorgaben des Art. 7 der Charta unter besonderem Bezug zum Begriff der Privatheit und dessen Akzessorietät zum Datenschutzrecht unter­ sucht werden. I. Anwendbarkeit und Abgrenzung zu Art. 8 der Charta Das europäische Primärrecht bezieht sich nicht ausdrücklich auf das Kon­ zept der informationellen Selbstbestimmung,212 vielmehr wurde dessen aus­ drückliche Inkorporierung in die Vorgaben der Charta sogar abgelehnt213. Dass sich das Datenschutzkonzept aber (jedenfalls mittelbar) auch auf unio­ naler Ebene wiederfindet, ist weitestgehend anerkannt.214 Umstritten ist hin­ gegeben, ob sich die informationelle Selbstbestimmung auf primärrechtlicher Ebene allein aus den Vorgaben des Art. 8 der Charta oder aus einem Zusam­ menspiel mit Art. 7 der Charta ergibt. Entscheidend ist dabei letztlich auch die Frage nach dem Verhältnis beider Normen zueinander, welches bislang nicht abschließend geklärt ist. Allein auf Grundlage des jeweiligen Wortlautes lässt sich das Verhältnis der Nor­ men zueinander nicht abschließend bestimmen.215 Mit Blick auf die Syste­ matik der Normen wird vornehmlich vertreten, dass die Vorschriften zuein­ ander im Verhältnis der Spezialität stünden.216 Methodisch begründen lässt 211  BVerfG, Urt. v. 20.04.2016  – 1 BvR 966 / 09, 1 BvR 1140 / 09  – NJW 2016, 1781 (1786 Rn. 119f.); BVerfG, Urt. v. 27.02.2008  – 1 BvR 370 / 07 und 1 BvR 595 / 07  – NJW 2008, 822 (826 Rn. 197); BVerfG, Urt. v. 13.06.2007  – 1 BvR 1550 / 03 u. a. – NJW 2007, 2464 (2466 Rn. 87). 212  Krönke, Der Staat 55 (2016), 319 (342); anders hingegen beispielsweise in Österreich. Dort wird das Recht auf informationelle Selbstbestimmung ausdrücklich herangezogen, vgl. VfGH, Urt. vom 27.06.2014 – G 47 / 2012 u. a. Rn. 167 (168). 213  Hustinx, EU Data Protection Law: The Review of Directive 95 / 46 / EC and the Proposed General Data Protection Regulation, S. 17. 214  Vgl. u. a. Klement, JZ 2017, 161 (167); Nebel, ZD 2015, 517 (521); Jung, Grundrechtsschutz auf Europäischer Ebene, S. 201 ff.; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 38; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO Art. 7 Rn. 1. 215  A. A. Wagner, Der Datenschutz in der Europäischen Union, S. 111, der bereits auf Grundlage des Wortlauts eine Alleinstellungsbehauptung beider Vorschriften an­ nimmt. 216  So Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 8 Rn. 13; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht,



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung95

sich dies damit, dass der Datenschutz eine Facette der Privatheit des Einzel­ nen ist, in seiner primär- und sekundärrechtlichen Ausgestaltung aber zusätz­ liche Merkmale erfahren hat.217 Michl hingegen beschreibt das Verhältnis der Artikel zueinander als „kon­ zentrische Kreise“, wobei sich Art. 8 der Charta als in seiner Bedeutung zu­ nehmender Teilkreis innerhalb des Schutzes des Privatlebens gem. Art. 7 der Charta darstellt.218 Wenngleich auch dieses Bild ein Verhältnis der Spezialität nahelegt, bietet sich nach Michl vielmehr eine Kombination tradierter und mithin sinnstiftender Werte im Sinne des Art. 7 mit den technisch-innovativen Vorgaben des Art. 8 der Charta an.219 Auch der EuGH erblickt zwischen den Vorgaben der Artikel kein Spezia­ litäts- oder sogar Ausschließlichkeitsverhältnis. Vielmehr führt er in ständiger Rechtsprechung aus, dass Art. 8 Abs. 1 der Charta „in engem Zusammenhang mit dem in Art. 7 der Charta verankerten Recht auf Achtung des Privatlebens [stehe].“220 Wenngleich der EuGH die Grundrechte in der jüngeren Recht­ sprechung zunehmend getrennt voneinander prüft, geht er weiterhin davon aus, dass beide Grundrechte bei der Beurteilung datenschutzrechtlicher Sach­ verhalte von besonderer Bedeutung seien.221 Jedenfalls aber untermauert die Rechtsprechung des EuGH die Annahme, dass das Privatleben im Sinne des Art. 7 der Charta als das Schutzgut des Datenschutzrechts auf europäischer Ebene anzusehen ist.222 Der enge Zusammenhang zwischen den Artikeln wird nicht zuletzt auch dadurch deutlich, dass die Erläuterungen zu Art. 8 der Charta ausdrücklich darauf hinweisen, dass sich die Vorschrift mitunter auf den zu Artikel 7 der Charta annähernd wortlautgleichen Art. 8 der EMRK stützt.223 Der Vorteil dieser Überschneidungstheorie224 ist die Verschmelzung histo­ risch tradierter Werte im Sinne des Schutzes der Privatheit mit den durch die Technisierung notwendigen spezialgesetzlichen Vorgaben des Datenschut­ Art. 8 Charta Rn. 6; Augsberg, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 Charta Rn. 1; Forgó, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, Die Europäische Dimension des Datenschutzes Rn. 9. 217  Vgl. etwa Eichenhofer, Der Staat 2016, 41 (61). 218  Vgl. Michl, DuD 2017, 349 (353). 219  Michl, DuD 2017, 349 (353). 220  EuGH, Urt. v. 9.11.2010 – C-92, 93 / 09 – EuZW 2010, 939 (941 Rn. 47). 221  Vgl. Gutachten 1 / 15 des Gerichtshofs (Große Kammer) vom 26.  Juli 2017, ECLI:EU:C:2017:592 Rn. 119 ff.; EuGH, Urt. v. 21.12.2016  – C-203 / 15 u. C-698 / 15 – EuZW 2017, 153 (157 Rn. 93). 222  So auch Stentzel, PinG 2015, 185 (189); Krönke, Der Staat 2016, 319 (323). 223  Vgl. Erläuterung zur Charta der Grundrechte, Erläuterung zu Artikel 8, ABl. 2007 C 303, S. 20. 224  Begriff nach Eichenhofer, Der Staat 2016, 41 (62).

96

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

zes.225 Hierbei ist gesondert zu berücksichtigen, dass aus der Digitalisierung, insbesondere in Gestalt der zunehmenden Verdatung des Menschen, umfang­ reiche und regelmäßig noch nicht abschätzbare Gefährdungslagen für die Privatheit resultieren.226 Dabei ergeben sich teils umfassend neue Fragen in Bezug auf die Ausgestaltung des privaten Lebens im Kontext ubiquitärer Technisierung, die Schutzbedürftigkeit des zugrundeliegenden Privatheits­ konzepts sollte dabei aber grundsätzlich nicht angezweifelt werden.227 Auch mit Blick darauf, dass die Vorgaben der DSGVO das Konzept der Interessen­ abwägung verstärkt heranziehen,228 bedarf es aufseiten der Betroffenen starke Grundrechtspositionen, um eine inflationäre Datenverarbeitung zu vermei­ den. Die Wahrung informationeller Selbstbestimmung erfordert daher nicht nur legislative (Kontroll‑)Innovationen, sondern zugleich die Rückkoppelung und Einbeziehung bereits bestehender Schutzkonzepte der freien Persönlich­ keitsentfaltung. Die Verschmelzung des Privatheits- und Datenschutzgrund­ rechts im Sinne eines „e‑Privacy-Grundrechts“229 begegnet den zahlreichen Facetten und Eingriffsmöglichkeiten der Digitalisierung in das selbstbe­ stimmte Leben des Einzelnen am effektivsten.230 II. Der Schutzbereich der Norm Art. 7 der Charta schützt das Recht auf Achtung des Privatlebens, des Fa­ milienlebens, der Wohnung sowie der Kommunikation. Der sachliche Schutzbereich des Artikels umfasst demnach, wie auch bereits das Vorbild der EMRK, vier spezifische Bereiche.231 Ziel der Vorschrift ist es, Privatheit 225  So auch Michl, DuD 2017, 349 (353); kritisch hierzu Brink / Heinrich, die in der fehlenden Differenzierung durch den EuGH eine verpasste Chance zur „dogmati­ schen Entfaltung“ der Charta erblicken, vgl. Brink / Heinrich, JZ 2011, 206. 226  Rössler, Autonomie, S. 290. 227  Gusy / Eichenhofer / Schulte, e-Privacy, JöR Band 64, S. 397; Anders Heller, Post-Privacy, 2011, S. 8, der das Konzept der Privatsphäre, insbesondere aufgrund des Internets, als gescheitert ansieht. 228  Vgl. dazu etwa Beyvers, Privatheit in der Waagschale, S. 54 ff.; Schröder, Da­ tenschutzrecht, 7. Kapitel II. 1; ausführlich zur Interessenabwägung nach den Vorga­ ben der DSGVO unter Dritter Teil Kap. 4 B. III. 1. 229  Begriff nach Eichenhofer, EuR 2016, 76; weitere Nachweise zur Begriffs­ genese bei Gusy / Eichenhofer / Schulte, e-Privacy, JöR Band 64, S. 397; Eichenhofer, DuD 2016, 88. 230  So auch Krönke, Der Staat 2016, 319 (341); Schiedermair, Der Schutz des Privaten als internationales Grundrecht, S. 18; a. A Wagner, Der Datenschutz in der Europäischen Union, S. 111 ff. m. w. N., der in Art. 8 der Charta ein eigenständiges, von Art. 7 der Charta losgelöstes Grundrecht erblickt; auch Schantz / Wolff, Das neue Datenschutzrecht, Rn. 38 bezieht sich bei der informationellen Selbstbestimmung auf europäischer Ebene allein auf Art. 8 der Charta. 231  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 1.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung97

umfassend zu schützen, wobei eine klare Differenzierung zwischen den Teil­ aspekten im Einzelfall kaum möglich ist.232 Der Schutz des Privaten nach den Vorgaben der Charta unterscheidet sich von der grundgesetzlichen Aus­ gestaltung durch das allgemeine Persönlichkeitsrecht in doppelter Weise: Einerseits kodifiziert die Charta ausdrücklich einen Anspruch auf Achtung der Privatheit in Gestalt des Privatlebens, andererseits ist dieser Anspruch gerade kein entsprechendes allgemeines Auffanggrundrecht der Charta.233 Mit Blick auf die Frage der informationellen Selbstbestimmung im Kontext der Charta sind allen voran die Achtung des Privatlebens sowie der Kommu­ nikation von Bedeutung.234 1. Die Achtung des Privatlebens, Art. 7 Var. 1 der Charta Im Folgenden ist zu untersuchen, wie sich dem Begriff Privatheit angenä­ hert werden kann, um diesen sodann im Kontext der Charta und der informa­ tionellen Selbstbestimmung auszulegen. Eine umfassende Auseinanderset­ zung mit dem hochkomplexen Themenfeld Privatheit im Kontext des Rechts kann und soll die vorliegende Arbeit dabei allerdings nicht leisten.235 Viel­ mehr sollen wesentliche Aspekte zur Konkretisierung des Tatbestandsmerk­ mals im Rahmen der folgenden Auslegung des Begriffs zusammengeführt werden. Abseits rechtlicher Erwägungen bietet es sich im Rahmen der Wort­ lautauslegung an, auf interdisziplinäre Grundlagen aus der philosophisch-so­ ziologischen Forschung zurückzugreifen (dazu unter a)). Diese gilt es sodann mittels systematisch-teleologischen Erwägungen unter besonderer Berück­ sichtigung der Vorgaben der EMRK anzureichern (b)), um eine möglichst genaue Schutzbereichsbestimmung zu ermöglichen. Gefestigt werden soll das Ergebnis abschließend mit der Einbeziehung des historischen „Right to be let alone“ (c)).

232  Geminn / Roßnagel, JZ 2015, 703 (705); Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, vor Art. 7 Charta. 233  Vgl. dazu m. w. N. Albers, DVBl. 2010, 1061 (1063 ff.). 234  So auch Johannes, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht, S. 56 Rn. 60. 235  Dabei gilt es zudem zu bedenken, dass eine erschöpfende Erörterung des Be­ griffs Privatheit aufgrund seiner geschichtlichen und interdisziplinären Dimension als solche kaum möglich ist. Abhängig vom Blick des jeweils Forschenden kann sich das Konzept der Privatheit maßgeblich als politologisches, soziologisches, psychologi­ sches, gesellschaftliches, geschichtliches oder rechtlich zu betrachtendes Konzept darstellen, vgl. dazu m. w. N. Lindner, Privatheit im Informationszeitalter, S. 13 ff.

98

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

a) Der Wortlaut – Zum Begriff Privatheit „[…] [P]rivacy is a messy and complex subject“236

Gem. Art. 7 Var. 1 der Charta hat jede Person das Recht auf Achtung des Privatlebens. Das Privatleben beziehungsweise die eng damit verwobene Idee der Privatheit237 als schutzbereichsbestimmende Determinanten wird insbesondere im Kontext grundgesetzlicher Vorbildung als juristisch schwer greif- oder gar handhabbar angesehen.238 Mithin ist eine trennscharfe, juris­ tisch feststehende Begriffsbestimmung aufgrund der individuellen, kontextu­ ellen und multipolaren Dimensionen des Privaten kaum möglich.239 Es bietet sich daher zunächst an, den Wortlaut des Art. 7 Var. 1 der Charta abseits des juristischen Diskurses zu untersuchen. aa) Privatheit als Kontrollkonzept Der Begriff Privatheit, allen voran in der Unterscheidung zur Öffentlich­ keit, lässt sich bis in die Antike zurückverfolgen, wenngleich dieser kulturbe­ dingt unterschiedlich aufgeladen wurde.240 Dabei kann festgehalten werden, dass das Bedürfnis nach privaten Rückzugsräumen keineswegs ein Wesens­ merkmal der jüngeren Geschichte ist, gerade aber im Kontext der Digitalisie­ rung konstitutive Bedeutung erlangt.241 Zugleich werden insbesondere Mittel der Digitalisierung zunehmend dazu genutzt, Öffentliches zu privatisieren und umgekehrt Privates zu veröffentlichen, so dass sich das Verhältnis pri­ vat / öffentlich nicht mehr allein anhand räumlicher Bezugspunkte beschrei­ 236  Nissenbaum, Privacy in Context, S. 67; so i. E. auch Geuss, Privatheit. Eine Genealogie, S. 17. 237  Jedenfalls als Teil des Privatlebens, vgl. Jarass, in: Jarass, Charta der Grund­ rechte der EU, Art. 7 Rn. 13. 238  Nebel, ZD 2015, 517 (518) spricht von einer „[…] Relativität des Privaten, die sich im Recht nicht objektiv bestimmen lässt […]; Geminn / Roßnagel, JZ 2015, 703 (708) bezeichnen den Begriff der Privatheit „[…] als zu unbestimmt, ungeeignet, und freiheitsbeschränkend […]“; ebenfalls für eine eingeschränkte Praktikabilität: Sandfuchs, Privatheit wider Willen? S. 7; Schiedermair, Der Schutz des Privaten als inter­ nationales Grundrecht, S. 18; Schmitt Glaeser, Schutz der Privatsphäre, in: Isensee /  Kirchhof, Handbuch des Staatsrechts VI, § 129 Rn. 1. 239  Nebel, ZD 2015, 517 (518); Schiedermair, Der Schutz des Privaten als interna­ tionales Grundrecht, S. 18. 240  Vgl. dazu insb. Aries / Duby (Hrsg.), Geschichte des Privaten Lebens, 5 Bände; Geuss, Privatheit. Eine Genealogie; Schiedermair, Der Schutz des Privaten als inter­ nationales Grundrecht, S. 23 ff. Grundlegend zum Begriff der Öffentlichkeit: Habermas, Strukturwandel der Öffentlichkeit. 241  Schiedermair, Der Schutz des Privaten als internationales Grundrecht, S. 40.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung99

ben lässt.242 Es bedarf daher einer abstrakten Konzeption des Privaten, wel­ che im Folgenden stellvertretend für verschiedene Ansätze anhand der For­ schungsarbeit von Beate Rössler dargestellt werden soll. Privatheit dient nach Rössler nicht nur der Eingriffs-, sondern allen voran der Einblicksabwehr, da eine ubiquitär panoptische Gesellschaft der freien, autonomen Persönlichkeitsentfaltung entgegensteht.243 Räumlich gesprochen ist das Konzept der Privatheit der zur autonomen Persönlichkeitsentwicklung notwendige Entfaltungsbereich des Einzelnen.244 Die Selbstdarstellung nach Außen bedingt vorab die geschützte, und allen voran abgeschirmte, Selbst­ findung im Inneren.245 Dieser vor Einblicken Dritter abgeschirmte Bereich ist erforderlich, damit sich das Wesen des Einzelnen frei entfalten und entwi­ ckeln kann und sodann „aus der Eigenartigkeit des Individuums heraus zu jener vielfältig-originellen Mitgestaltung des Gemeinwesen führt, die eine lebendige Demokratie substantiell charakterisiert“246. Mithin ist Privatheit nach hiesigem Verständnis zugleich konstituierend für eine freiheitliche Ge­ sellschaft.247 Aber auch für das Zusammenleben innerhalb der Gesellschaft ist das Private von wesentlicher Bedeutung, um einerseits die „Tyrannei der Intimität“248 und andererseits den seelischen Burnout durch totale Transpa­ renz zu vermeiden249. In diesem Verständnis entfaltet das Konzept der Privatheit sowohl staat­ liche Abwehr- als auch Fürsorgedimensionen, um die individuelle Persön­ lichkeitsentwicklung zu ermöglichen. Dazu bedarf es der Kontrolle des Einzelnen,250 wer zu seinem als privat bestimmten Bereich, beispielsweise in 242  Vgl. zu den digitalen Grenzüberschreitungen insbesondere im Kontext des Smartphones: Bächle, Das Smartphone, ein Wächter, in: Beyvers / Helm / Hennig /  Keckeis / Kreknin / Püschel (Hrsg.), Räume und Kulturen des Privaten, S. 137 ff. 243  Vgl. Rössler, Der Wert des Privaten, S. 34, 216 ff. 244  Hohmann-Dennhardt, NJW 2006, 545 (546). 245  H. D. Horn, Schutz der Privatsphäre, in: Isensee / Kirchhof, Handbuch des Staatsrechts VI, § 149 Rn. 10. 246  Schmitt Glaeser, Schutz der Privatsphäre, in: Isensee / Kirchhof, Handbuch des Staatsrechts VI (Vorauflage), § 129 Rn. 2. 247  Rössler, Autonomie, S. 282; Rössler, Der Wert des Privaten, S. 26; so auch: H. D. Horn, Schutz der Privatsphäre, in: Isensee / Kirchhof, Handbuch des Staats­ rechts VI, § 149 Rn. 10. 248  Begriff nach Sennet, Verfall und Ende des öffentlichen Lebens: Die Tyrannei der Intimität. Vgl. dazu: Bächle, Das Smartphone, ein Wächter, in: Beyvers / Helm / Hen­ nig / Keckeis / Kreknin / Püschel (Hrsg.), Räume und Kulturen des Privaten, S. 138. 249  Vgl. dazu Han, Transparenzgesellschaft, S. 8. 250  Der Kontrollansatz beruht dabei insbesondere auf der bereits 1967 von Westin eingeführten Definition der Privatheit als „the claim of individuals, groups or institu­ tions to determine for themselves when, how, and to what extent information about them is communicated to others“, vgl. Westin, Privacy and freedom, S. 7.

100

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Gestalt personenbezogener Daten, der eigenen Wohnung respektive der per­ sönlichen Entscheidungsfindung, Zugang erhält.251 Der Bereich der Öffent­ lichkeit lässt sich im Umkehrschluss aus Vorgenanntem als der Bereich um­ schreiben, in welchem der Einzelne gerade keine Möglichkeit zur Kontrolle über den Informationsfluss hat.252 Damit zusammenhängend unterscheidet Rössler zwischen der dezisionalen253, der informationellen254 sowie der loka­ len255 Privatheit.256 Diese grundsätzlich überzeugende Unterscheidung, wel­ che sich beispielsweise auch in den grundrechtlichen Vorgaben des Art. 7 der Charta findet, wird allerdings durch die umfassende Vernetzung alltäglicher Gegenstände immer mehr in Frage gestellt.257 bb) (Informationelle) Privatheit und Digitalisierung Insbesondere der für die vorliegende Arbeit entscheidende Aspekt der infor­ mationellen Privatheit, also die Kontrolle des Einzelnen darüber, welche In­ formationen über diesen vorhanden sind, wird durch die Digitalisierung und die damit verbundene ubiquitäre Datenverarbeitung zunehmend gefährdet. Für den Betroffenen ist es praktisch kaum mehr nachvollziehbar, welcher öffentlichen oder privaten Institution, freiwillig oder unfreiwillig, der Zugriff auf dessen Informationen möglich ist.258 Dabei ist aber gerade die selbstbe­ stimmte Entscheidung darüber, welcher Institution oder Person welche Infor­ mationen vorliegen, prägend für die Ausdifferenzierung unterschiedlicher Beziehungsformen.259 Mit anderen Worten: Wenn innerhalb jeder sozialen oder beruflichen Beziehung alle Informationen über den Betroffenen verfüg­ 251  Rössler,

Autonomie, S. 285; Rössler, Der Wert des Privaten, S. 23. Gusy / Worms, DuD 2012, 92 (94); vgl. umfassend zum Begriff der Öffent­ lichkeit als Rechtsbegriff Paschke, Digitale Gerichtsöffentlichkeit, S. 38 ff. 253  Die dezisionale Privatheit schützt allen voran die Handlungs- und Entschei­ dungsfreiheit des Einzelnen. Bei der individuellen Lebensgestaltung soll der Einzelne keinem Zwang zur Rechtfertigung unterliegen, vgl. Rössler, Der Wert des Privaten, S. 25, 144, 161 ff. 254  Das „Schutzgut“ der informationellen Privatheit garantiert dem Einzelnen im Wesentlichen die Kontrolle darüber, welche Informationen über diesen generell bezie­ hungsweise bei Dritten vorhanden sind, vgl. Rössler, Der Wert des Privaten, S. 25, 201. 255  Diese Dimension der Privatheit lässt sich mithin als die „klassische“ Funktion der Privatheit bezeichnen, da diese den Schutz persönlicher Räume und Bereiche im Blick hat, vgl. Rössler, Der Wert des Privaten, S. 25, 255. 256  Vgl. weiteführend dazu Rössler, Autonomie, S.  286 ff.; Rössler, Der Wert des Privaten, S.  25 ff. 257  Vgl. dazu m. w. N. Hagendorff, Das Ende der Informationskontrolle, S. 131. 258  Rössler, Autonomie, S. 291, 295. 259  Rössler, Der Wert des Privaten, S. 209. 252  So



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung101

bar wären, wäre eine selbstbestimmte Selbstdarstellung des Einzelnen in verschiedenen Kontexten nicht mehr möglich.260 Neben der Verschiebung sozialer Beziehungen schürt der potentielle infor­ mationelle Kontrollverlust zudem die Vorstellung des digitalen Panoptikums, in welchem die Angst vor möglichen Sanktionen zur Selbstrestriktion inner­ halb des Informationsmanagements der Betroffenen führt.261 Andererseits spielt in diesem Zusammenhang aber auch die quantitative Zunahme des di­ gitalen Exhibitionismus der Betroffenen und der damit verbundenen qualita­ tiven Abnahme bestehender Kontrollmechanismen eine maßgebliche Rolle.262 Entscheidend und dabei unabhängig vom jeweiligen (Zugriffs-)Kontext ist aber nicht die völlige Ausgrenzung der Anderen, sondern die Gewährleistung hinreichender Selbstbestimmung, indem der jeweils betroffenen Person die (theoretische) Möglichkeit dazu ermöglicht wird.263 Allein die inflationäre Datenhingabe für sich rechtfertigt demnach nicht das Konzept der informati­ onellen Privatheit als solches in Frage zu stellen. Die bewusste Preisgabe ist vielmehr grundsätzlich auch als Form der Datenkontrolle zu bewerten. Freilich stellt sich in diesem Zusammenhang allerdings die Frage, wie kontrolliert der Einzelne in einer digitalisierten Umgebung tatsächlich über seine Daten verhandeln kann, da es letztliche keine Gewissheit über den zu­ künftigen Datenumgang gibt264. Es bedarf daher jedenfalls einer grundlegen­ den Definition des unbestimmten Begriffs der (Informations-)Kontrolle.265 Neuralgische Punkte finden sich dabei sowohl im Kontext der persönli­ chen Entscheidung über die Datendisposition als auch auf Grund struktureller Gegebenheiten im Zusammenhang mit der (weiteren) Datenverarbeitung.266 260  Rössler,

Autonomie, S. 291, 292. Privatheit wider Willen? S. 35; Hellen, Post-Privacy, S. 100 ff. 262  Barnes spricht insofern grundlegend von einem „Privacy Paradox“, da der Wunsch nach Privatheit deutlich artikuliert wird, zugleich aber ein völlig entgegenge­ setztes Verhalten der Betroffenen festzustellen ist, vgl. Barnes, A Privacy paradox: Social networking in the United States. Matzner / Richter hingegen halten fest, dass es sich tatsächlich um kein Paradox handelt, da die Betroffenen aufgrund des zunehmen­ den wirtschaftlichen und sozialen Drucks jedenfalls mittelbar zur Preisgabe der Daten gezwungen werden, vgl. dazu m. w. N. Matzner / Richter, Die Zukunft der informatio­ nellen Selbstbestimmung, in: Friedewald / Lamla / Roßnagel (Hrsg.), Informationelle Selbstbestimmung im digitalen Wandel, S. 319. 263  Becker / Seubert, DuD 2016, 73 (74); Albers, DVBl 2010, 1061 (1062). 264  Hermstrüwer, Informationelle Selbstgefährdung, S. 93 m. w. N. 265  Nach Lindner ist gerade die Unbestimmtheit des Begriffs der Kontrolle der zentrale Makel der Privatheitsdefinition nach Rössler, vgl. Lindner, Privatheit im In­ formationszeitalter, S. 41; so auch Hagendorf, Das Ende der Informationskontrolle, S. 121. 266  Solove, Harvard Law Review 2013, 1880. 261  Sandfuchs,

102

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Letztere267 zeichnen sich allen voran dadurch aus, dass es dem Einzelnen aufgrund der Vielzahl an simultanen Verarbeitungsvorgängen, der potentiel­ len Verschmelzung unterschiedlicher Datensätze sowie den möglichen Lang­ zeitwirkungen der Datenverarbeitung erheblich erschwert wird, die Kontrolle über die Daten zu bewahren.268 Die individuelle Entscheidung über die Da­ tenverarbeitung krankt hingegen oftmals daran, dass die Betroffenen nicht akkurat informiert werden oder aber die zur Verfügung gestellten Informa­ tionen nicht verstanden werden.269 Mithin ist zu konstatieren, dass es unter den Bedingungen moderner Infor­ mationstechnologie keine „totale Informationskontrolle“ mehr geben kann.270 In der Konsequenz hat das jedoch nach vorliegender Überzeugung nicht den totalen Verlust informationeller Privatheit zur Folge. Informationskontrolle bedeutet vielmehr, dass auch unter Berücksichtigung der jeweiligen Anwen­ dung ein Mindestmaß271 an „Überschaubarkeit“272 über die Informations­ flüsse erhalten bleiben muss. Das zentrale Instrument stellt hierbei das In­ strument der Einwilligungserklärung dar, wobei deutlich wird, dass die Aus­ gestaltung des jeweiligen Einwilligungsprozesses von grundlegender Bedeu­ tung dafür ist, ob tatsächlich eine Form der Kontrolle durch die Betroffenen gewährleistet werden kann. cc) Zwischenergebnis Für die Auslegung des Wortlauts des Art. 7 Var. 1 der Charta kann damit festgehalten werden, dass der Begriff der Privatheit beziehungsweise des Privatlebens weniger eine Frage der konkreten (abschließenden) Definition, als vielmehr der funktionalen Konzeption ist. In diesem Sinn ist dem Tatbe­ standsmerkmal der Privatheit eine Doppelfunktion beizumessen: die Gewähr­ leistung der individuellen Entwicklung und Ausgestaltung der Persönlichkeit, welche letztlich konstitutiv für das Gelingen einer freiheitlich-demokratischen Werteordnung ist.

267  Wenngleich das strukturelle Datendilemma von zentraler Bedeutung für das Konzept informationeller Privatheit ist, liegt der Schwerpunkt der vorliegenden Ar­ beit auf der Konzeption und Gestaltung etwaiger Lösungsansätze im Rahmen der persönlichen Entscheidungsfindung über die Datenverarbeitung. 268  Solove, Harvard Law Review, 2013, 1888 ff. m. w. N. 269  Solove, Harvard Law Review, 2013, 1883 ff. m. w. N.; ob und wie sich dieser Aspekt im Kontext der Einwilligungserklärung behandeln lässt, ist Gegenstand der Ausführungen innerhalb des dritten Teils der vorliegenden Arbeit. 270  So auch Hagendorff, Das Ende der Informationskontrolle, S. 121. 271  Rössler, Der Wert des Privaten, S. 201. 272  Rössler, Autonomie, S. 291.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung103

b) Systematisch / teleologische Erwägungen: Das Recht auf Achtung des Privatlebens in Art. 8 EMRK Ausweislich der Erläuterungen zur Charta der Grundrechte entsprechen die Rechte des Art. 7 der Charta den Garantien des Art. 8 EMRK, wobei mit Blick auf die technischen Innovationen lediglich der Begriff „Korrespon­ denz“ durch den der „Kommunikation“ ersetzt wurde.273 Darin spiegelt sich die Intention des Grundrechtekonvents, welcher zwar eine Aktualisierung des Wortlautes forcierte, nicht aber einen weitergehenden Schutz als den der EMRK normieren wollte, wider.274 In diesem Sinne lässt sich auch Art. 52 Abs. 3 Satz 1 der Charta entnehmen, dass jenen Rechten der Charta, die den durch die EMRK garantierten Rechte entsprechen, die gleiche Bedeutung und Tragweite beizumessen ist.275 In der Folge sind aber die Vorgaben der EMRK zwingend bei der Bestimmung des Schutzbereichs der Normierungen der Charta heranzuziehen.276 Die Vorgaben der EMRK dienen dabei letztlich als eine Art europäischer Mindeststandard, deren Einhaltung der Europäische Gerichtshofs für Men­ schenrechte (EGMR) gem. Art. 19 ff. EMRK überwacht.277 Nach Masing ist die EMRK das „Fundament, aber nicht das Ziel des [europäischen] Grundrechtsschutzes“.278 Gleichwohl ist die EMRK gem. Art. 6 Abs. 3 EUV als Teil des Unionsrechts anzusehen und damit grundsätzlich gleichrangig mit den Vorgaben der Charta.279 In Deutschland hingegen wird der EMRK auf Grundlage des Art. 59 Abs. 2 GG überwiegend einfache Gesetzeswirkung zugesprochen,280 wobei auch das Bundesverfassungsgericht klarstellt,281 dass die EMRK im Bereich des Verfassungsrechts als „Auslegungshilfe für die Bestimmung von Inhalt und Reichweite von Grundrechten und rechtsstaat­ lichen Grundsätzen des Grundgesetzes“ dient282. In diesem Sinne berück­ 273  Vgl. Erläuterung zur Charta der Grundrechte, Erläuterung zu Artikel 7, ABl. 2007 C 303, S. 20. 274  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 7 Rn. 6. 275  Vgl. dazu im Kontext des Art. 7 der Charta etwa Mückl, Ehe und Familie, in: Merten / Papier, Handbuch der Grundrechte, Band VI / 1, § 147 Rn. 47. 276  Bock / Engeler, DVBl 2016, 593 (594). 277  Kirchhof, NJW 2011, 3681 (3682). 278  Masing, JZ 2015, 477 (479). 279  Schorkopf, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 6 EUV Rn. 51. 280  Vgl. dazu m. w. N. Hwang, EuR 2017, 512 ff. 281  So Mayer-Ladewig / Nettesheim, in: Mayer-Ladewig / Nettesheim / von Raumer, Europäische Menschenrechtskonvention, Einleitung Rn. 18. 282  BVerfG, Beschl. v. 20.12.2016  – 2 BvR 1541 / 15  – NJW 2017, 1014, 1015 m. w. N.; jüngst bekräftigt durch BVerfG, Urt. v. 12.06.2018 – 2 BvR 1738 / 12, 2 BvR

104

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

sichtigt auch der EuGH bei der Auslegung und Bestimmung der Vorgaben der Charta die EMRK-Interpretation durch den EGMR.283 Historisch kann der durch Art. 8 Abs. 1 EMRK gewährleistete Schutz des Privatlebens als Initialzündung des grundrechtlichen Datenschutzes auf euro­ päischer Ebene bezeichnet werden.284 Als maßgebliche Reaktion auf die Menschenrechtsverletzungen während des zweiten Weltkriegs trat die EMRK, als erstes Vertragswerk ihrer Art, bereits am 3. September 1953 in Kraft.285 Wenngleich zu dieser Zeit der Datenschutz (noch) keine zentrale Frage des Privatlebens war, kann das Schutzkonzept des Privaten als dynamischer An­ knüpfungspunkt für neue Gefährdungslagen herangezogen werden.286 Die abstrakte Formulierung war und ist dabei von entscheidendem Vorteil, um auf technische Innovationen mit bestehendem Recht adäquat reagieren zu können.287 aa) Das Privatleben im Sinne des Art. 8 Abs. 1 Var. 1 EMRK In Anlehnung an den bereits 1948 in Artikel 12 Satz 1 der Allgemeinen Erklärung der Menschenrechte (AEMR)288 normierten Schutz der Freiheits­ sphäre des Einzelnen289 findet sich in Art. 8 Abs. 1 Var. 1 der EMRK das Recht auf Achtung des Privatlebens.290 Als spezielle Ausprägungen des Pri­ 1395 / 13, 2 BvR 1068 / 14, 2 BvR 646 / 15 – NJW 2018, 2695 (2710 Rn. 190), wonach zur „[…] Bindung an Gesetz und Recht […] auch die Berücksichtigung der Gewähr­ leistungen der EMRK und der Entscheidungen des EGMR im Rahmen methodisch vertretbarer Gesetzesauslegung [gehört].“ 283  Vgl. beispielhaft EuGH, Urt. v. 9.11.2010  – C-92, 93 / 09  – EuZW 2010, 939 (941 Rn. 52). 284  Grabenwarter, Die Vorratsdatenspeicherung aus der Perspektive der EMRK, der Grundrechte-Charta und des Verfassungsrechts, in: Stuckenberg / Paeffgen / Gär­ ditz, Festschrift Paeffgen, S. 779, 781. 285  Vgl. Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschen­ rechtskonvention, § 1 Rn. 1 m. w. N. 286  Burgkardt, Grundrechtlicher Datenschutz zwischen Grundgesetz und Europa­ recht, S. 247. 287  Grabenwarter, Die Vorratsdatenspeicherung aus der Perspektive der EMRK, der Grundrechte-Charta und des Verfassungsrechts, in: Stuckenberg / Paeffgen / Gär­ ditz, Festschrift Paeffgen, S. 779, 782. 288  Generalversammlung der Vereinten Nationen, Res. 217 A (III) v. 10.12.1948. 289  Art. 12 Satz 1 AEMR lautet: Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, sein Heim oder seinen Briefwechsel noch Angriffen auf seine Ehre und seinen Ruf ausgesetzt werden. 290  Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 EMRK Rn. 1; vgl. dazu m. w. N. Schiedermair, Der Schutz des Privaten als interna­ tionales Grundrecht, S. 167 ff.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung105

vatlebens schützt auch Art. 8 Abs. 1 der EMRK das Familienleben, die Woh­ nung sowie die Korrespondenz.291 Neben der sich aus dem Wortlaut ergebenden Abwehrdimension ist zudem anerkannt, dass die Achtung des Privatlebens auch Schutzpflichten des Staa­ tes zur Wahrung des Privatlebens impliziert.292 Die evidente Auslegungsbe­ dürftigkeit des Begriffs des Privatlebens führte mitunter dazu, dass aufgrund der verschiedenen Rechtstraditionen innerhalb der Europäischen Union teils sehr konträre Positionen bezüglich des Schutzbereichsumfangs vertreten wurden.293 Dabei lässt sich allerdings festhalten, dass das Konzept des Pri­ vatlebens auch nach der Rechtsprechung des EGMR umfassend zu verstehen ist und letztlich der Persönlichkeitsentwicklung dient.294 Entsprechend findet sich auch zu dem Privatleben im Sinne des Art. 8 Abs. 1 der EMRK keine erschöpfende Definition.295 Die Ausgestaltung und Konturierung des Schutz­ bereichs erfolgt nicht abstrakt generell, sondern entscheidend durch die Rechtsprechung des EGMR („Case Law“).296 Der zentrale Aspekt der Per­ sönlichkeitsentfaltung wird dabei insbesondere durch die Achtung der Privat­ sphäre sowie das Selbstbestimmungsrecht über den eigenen Körper gewähr­ leistet.297 Mithin bestimmt sich der Wesensgehalt der Privatheit durch den Schutz persönlicher, nicht einsehbarer Entfaltungsbereiche, die für die indivi­ duelle und selbstbestimmte Entwicklung des Einzelnen unabkömmlich sind.298 Art. 8 EMRK und damit im Ergebnis auch Art. 7 der Charta sind das Re­ sultat der Annahme, dass es zum Erhalt und zur Ausgestaltung freiheitlicher 291  Uerpmann-Wittzack / Jankowska-Gilberg, MMR 2008, 84 (86); Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechtskonvention, § 22 Rn. 5. 292  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 22 Rn. 1. 293  Burgkardt, Grundrechtlicher Datenschutz zwischen Grundgesetz und Europa­ recht, S. 247; Siemen, Datenschutz als europäisches Grundrecht, S. 58. 294  Der EGMR führt diesbezüglich aus: „[…] the notion of private life is a broad concept […]. It encompasses, for example, the right to establish and develop relation­ ships with other human beings and the right to identity and personal development […].“, vgl. EGMR, Urt. v. 24.11.2009 – Nr. 16072 / 06 u. 27809 / 08 Rn. 41. 295  Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 EMRK Rn. 17; vgl. umfassend dazu: Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingriffen in die Persönlichkeitsrechte im Internet, S. 25 ff. 296  Uerpmann-Wittzack / Jankowska-Gilberg, MMR 2008, 84 (86); Burgkardt, Grundrechtlicher Datenschutz zwischen Grundgesetz und Europarecht, S. 248. 297  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 22 Rn. 6. 298  Bock / Engeler, DVBl 2016, 593 (595).

106

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

Selbstbestimmung öffentlicher und privater Rückzugsräume bedarf.299 Ent­ sprechend endet der Schutz des Art. 8 EMRK grundsätzlich nicht an der Schwelle zur Öffentlichkeit.300 Voraussetzung für den Schutz der Privatheit in der Öffentlichkeit ist allerdings, dass der Grundrechtsträger eine berech­ tigte Erwartung an den Schutz seiner Privatsphäre, beziehungsweise mit den Worten des EGMR, eine „reasonable expectation of privacy“, geltend ma­ chen kann.301 Seine Grenzen erreicht dieser Ansatz jedoch allen voran im Bereich des Internets, in welchem die Nutzer ihre Daten oftmals freiwillig der digitalen Öffentlichkeit preisgeben und damit konsequenterweise keine berechtigten Erwartungen mehr an die Privatheit dieser Daten stellen dürf­ ten.302 Ob ein auf Art. 8 Abs. 1 EMRK gestütztes Grundrecht auf Anonymität im Internet dieses Dilemma zu lösen vermag, ist mit den wiederum damit verbundenen Problemen äußerst kritisch zu sehen.303 Damit kann festgehalten werden, dass auch nach der Überzeugung des EGMR Privatheit viel mehr ist als ein „Recht, in Ruhe gelassen zu werden“.304 Geschützt wird die Persönlichkeitsentwicklung des Einzelnen, indem diesem das Recht zur Selbstbewahrung, Selbstbestimmung sowie zur Selbstdarstel­ lung eingeräumt wird.305 Auf Grundlage dieses umfassend zu verstehenden Persönlichkeitsschutzes schließt sich der im Folgenden zu zeigende Daten­ schutz im Sinne des Art. 8 Abs. 1 EMRK an.306 bb) Der Datenschutz als Konkretisierung des Privatlebens Der Datenschutz wird vom Schutzbereich des Art. 8 Abs. 1 Var. 1 EMRK umfasst.307 Dabei lässt sich feststellen, dass diese Schutzdimension zwar 299  Nettesheim, in: Grabenwarter (Hrsg.), Europäischer Grundrechtsschutz, Band 2, § 9 Rn. 3. 300  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 22 Rn. 9. 301  Vgl. dazu beispielsweise EGMR, Urt. v. 26.07.2007 – Nr. 64209 / 1 Rn. 37. 302  Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 38 m. w. N. 303  Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 43; Heckmann, NJW 2012, 2632. 304  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 7 Charta Rn. 19. 305  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 3. 306  Grabenwarter, Die Vorratsdatenspeicherung aus der Perspektive der EMRK, der Grundrechte-Charta und des Verfassungsrechts, in: Stuckenberg / Paeffgen / Gär­ ditz, Festschrift Paeffgen, S. 779, 782. 307  Uerpmann-Wittzack / Jankowska-Gilberg, MMR 2008, 84 (86); Meyer-Ladewig / Nettesheim, in: Meyer-Ladewig / Nettesheim / von Raumer, Europäische Men­ schenrechtskonvention, Art. 8 EMRK Rn. 31; Paefgen, Der von Art. 8 EMRK ge­



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung107

anerkannt ist, die konkrete Ausgestaltung allerdings ebenfalls fallbezogen durch den EGMR erfolgt.308 Stellvertretend für diesen Befund lässt sich die Rechtssache W. gegen Deutschland309 heranziehen, in welcher der EGMR ausführt, dass „die Erhebung, Speicherung und Übermittlung von Daten, die das „Privatleben“ einer Person betreffen, in den Anwendungsbereich von Art. 8 Abs. 1 der Konvention fallen […].“310 Mithin geht der EGMR davon aus, dass der Schutz personenbezogener Daten von grundlegender Bedeutung für die durch Art. 8 Abs. 1 EMRK garantierte Wahrung des Rechts auf Ach­ tung des Privat- und Familienlebens ist. Diesbezüglich führte das Gericht weiterhin aus: „[…] [T]he protection of personal data is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life, as guaranteed by Article 8 of the Convention […].“311 Das durch Art. 8 Abs. 1 Var. 1 EMRK garantierte Recht auf freie Persönlichkeitsentfaltung ist also insbesondere im Kontext der Informationsgesellschaft vom Schutz der diesbezüglichen Daten abhän­ gig.312 Mit Blick auf den grundsätzlich notwendigen Bezug zum Privatleben des Betroffenen ist in der Literatur allerdings umstritten, ob der Datenschutz im Sinne des Art. 8 Abs. 1 EMRK der grundgesetzlichen informationellen Selbstbestimmung gleich steht.313 Wenngleich aufgrund der bisherigen Rechtsprechung des EGMR in der Tendenz von einem entsprechenden Ge­ währleistungsumfang ausgegangen werden kann,314 ist jedenfalls im Kontext der Charta anerkannt, dass sich das Privatleben „[…] auf jede Information, die eine bestimmte oder bestimmbare natürliche Person betrifft“315 erstreckt.

währleistete Schutz vor staatlichen Eingriffen in die Persönlichkeitsrechte im Internet, S.  52 ff. 308  Burgkardt, Grundrechtlicher Datenschutz zwischen Grundgesetz und Europa­ recht, S. 251; Albers, Informationelle Selbstbestimmung, S. 293. 309  EGMR, Urt. v. 17.02.2011 – Nr. 12884 / 03. 310  EGMR, Urt. v. 17.02.2011 – Nr. 12884 / 03 Rn. 74. 311  EGMR, Urt. v. 07.11.2013 – Nr. 31913 / 07 u. a. Rn. 75. 312  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 22 Rn. 11; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 EMRK Rn. 29. 313  Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 97 m. w. N. 314  So Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Ein­ griffen in die Persönlichkeitsrechte im Internet, S. 101; ebenfalls für eine entspre­ chende Gewährleistung: Schmahl, JZ 2014, 220 (227); Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechtskonvention, § 22 Rn. 11. 315  EuGH, Gutachten 1 / 15 v. 26.07.2017 – ECLI:EU:C:2017:592 Rn. 122.

108

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

cc) Zwischenergebnis Damit stellt sich die Schutzdimension der EMRK respektive der Charta als Verbindungsstück zwischen dem Schutz der Privatheit und dem grundrecht­ lichen Datenschutz dar.316 Insgesamt lässt sich damit festhalten, dass der von der EMRK sowie der Charta garantierte Schutz des Privatlebens im Wesens­ gehalt mit dem grundgesetzlichen allgemeinen Persönlichkeitsrecht, insbe­ sondere in Form des informationellen Selbstbestimmungsrechts, umfassend vergleichbar ist.317 c) Historische Grundlagen: „The Right to be let alone“ Abschließend soll nunmehr der „Schlüsselbegriff Privatheit“318 um eine weitere juristisch-historische Dimension erweitert werden. Die juristischen Wurzeln des Schutzes der Privatheit werden überwiegend in dem 1890 von Samual D. Warren und Louis D. Brandeis veröffentlichten Aufsatz „The Right to Privacy“319 verortet. Obwohl Warren / Brandeis zugleich den (juristischen) Grundstein des ang­ loamerikanischen Privatheitsdiskurses legten,320 ist das darin zu findende Privatheitsverständnis weniger im Sinne bloßer Eingriffsabwehr gegen staat­ liche Maßnahmen,321 als vielmehr in der europäischen Tradition des Persön­ lichkeitsschutzes zu verstehen.322 Das Recht auf Privatheit ist nach War316  Grabenwarter, Die Vorratsdatenspeicherung aus der Perspektive der EMRK, der Grundrechte-Charta und des Verfassungsrechts, in: Stuckenberg / Paeffgen / Gär­ ditz, Festschrift Paeffgen, S. 779, 784. 317  So auch Bock / Engeler, DVBL 2016, 593 (596). 318  So Albers, DVBl 2010, 1061. 319  Warren / Brandeis, Harvard Law Review 1890, 193 ff.; übersetzter Nachdruck: Hansen / Weichert, DuD 2012, 755 ff. 320  So Sandfuchs, Privatheit wider Willen? S. 72. 321  Privatheit soll in diesem Sinne keine unmittelbare Frage der Persönlichkeits­ entwicklung und -entfaltung sein, sondern vielmehr eine Frage der individuellen Freiheit gegen staatliche Maßnahmen. Neben dem Schutz der eigenen vier Wände („castle doctrine“) wird insbesondere die Staatsferne bei grundlegenden persönlichen Entscheidungen wie beispielsweise einem Schwangerschaftsabbruch eingefordert. Wenngleich auch nach kontinentalem Verständnis der Schutz der Privatheit letztlich überzeugenderweise durch Abwehr und Kontrolle erreicht wird, ist nicht der Ein­ griffsschutz der zentrale Bezugspunkt, sondern die zugrundeliegende Persönlichkeits­ entwicklung. Zugleich kann damit aber auch festgehalten werden, dass Privatheit im Kontext unterschiedlicher Kulturen keine fundamentale Frage des „Ob“, sondern des „Wie“ ist. Vgl. dazu m. w. N. Geminn / Roßnagel, JZ 2015, 703 (704); Boehme-Neßler, DVBl. 2015, 1282 (1285); Whitman, Yale Law Journal 2004, 1153 (1160); Rössler, Der Wert des Privaten, S. 33, 83 f.; Sandfuchs, Privatheit wider Willen? S. 95 ff.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung109

ren / Brandeis grundlegend das „Recht, in Ruhe gelassen zu werden“.323 Die Autoren verstehen das Recht dabei umfassend, so dass ein Eingriff in dieses beispielsweise nicht von der „spezielle[n] Natur der sich ergebenden Verlet­ zungen“ abhängig ist.324 Zudem richtet sich die Abwehrdimension des Schut­ zes der Privatheit insbesondere auch „gegen eine zu geschäftstüchtige Presse, gegen den Fotografen oder gegen den Besitzer von irgendwelchen anderen modernen Geräten, mit denen Vorfälle oder Geräusche aufgezeichnet und reproduziert werden können.“325 Darüber hinaus verorten Warren / Brandeis dieses Recht nicht etwa im Schutz der Ehre oder im Bereich des intellektuellen beziehungsweise künst­ lerischen Eigentums, sondern vielmehr in dem „Grundsatz unverletzter Persönlichkeit“326. Mithin ist das „Recht auf Privatheit als ein Teil des allge­ meineren Rechts auf Unverletzlichkeit der Person – das Recht auf die eigene Persönlichkeit“ anzusehen.327 Dem Konzept der Privatheit werden damit nach Warren / Brandeis bereits mit Beginn der Technisierung im 19. Jahrhun­ dert zwei nach europäischem Verständnis entscheidende Kernfunktionen beigemessen, die auch heute noch ihre Gültigkeit besitzen: ein umfassender technikneutraler Schutz der Privatheit, sowie dessen zentrale Bedeutung für die Entfaltung der Persönlichkeit im Kontext technischer Entwicklungen.328 2. Die Achtung der Kommunikation, Art. 7 Var. 4 der Charta Art. 7 der Charta beinhaltet zudem das Recht auf Achtung der Kommuni­ kation. Der sachliche Umfang des Kommunikationsschutzes deckt sich, trotz 322  Vgl. dazu Whitman, Yale Law Journal 2004, 1153 (1204): „In fact, it is best to think of the Warren and Brandeis tort not as a great American innovation, but as an unsuccessful continental transplant. For, though commentators have failed to recog­ nize it, what the two authors set out to do was precisely to introduce the continental protection of privacy into America.“ 323  Vgl. Warren / Brandeis, Harvard Law Review, 1890, 193 (195), welche im Ori­ ginal über „the right ‚to be let alone‘“ sprechen. 324  Warren / Brandeis, Harvard Law Review 1890, 193 (205); übersetzter Nach­ druck: Hansen / Weichert, DuD 2012, 755 (758). 325  Warren / Brandeis, Harvard Law Review 1890, 193 (206); übersetzter Nach­ druck: Hansen / Weichert, DuD 2012, 755 (758); dass sich das Abwehrrecht insbeson­ dere gegen die Presse richten sollte ist insbesondere dem Umstand geschuldet, dass eine zu aufdringliche Presse während einer Familienfeier der Autoren den Anlass für den folgenden Aufsatz lieferte. 326  Warren / Brandeis, Harvard Law Review 1890, 193 (205); übersetzter Nach­ druck: Hansen / Weichert, DuD 2012, 755 (758). 327  Warren / Brandeis, Harvard Law Review 1890, 193 (207); übersetzter Nach­ druck: Hansen / Weichert, DuD 2012, 755 (759). 328  Weichert, DuD 2012, 753.

110

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

des modernisierten Wortlauts, mit dem Schutz der Korrespondenz gem. Art. 8 Abs. 1  EMRK.329 Mithin umfasst der Schutzbereich „die private Kommuni­ kation unter Abwesenden“330. Geschützt wird allein und in Abgrenzung zur Meinungs- und Informationsfreiheit gem. Art. 11 der Charta die Vertraulich­ keit der Übermittlung im Zusammenhang mit der Kommunikation.331 Der Einzelne soll vor den kommunikationsinhärenten Risiken geschützt werden, wobei eine technologie-neutrale Ausgestaltung des Schutzbereichs dazu bei­ trägt, etwaige Schutzlücken im Zusammenhang mit innovativen Techniken zu vermeiden.332 Der an die Öffentlichkeit gerichtete Kommunikationsvorgang ist hingegen nicht vom Schutzzweck der Norm umfasst.333 Die Unterscheidung zwischen öffentlicher und nichtöffentlicher Kommunikation erfolgt dabei anhand des Empfängerkreises.334 Entsprechend ist die elektronische Individualkommuni­ kation beispielsweise in Gestalt von E-Mails, Voice-over-IP-Telefonaten oder anderer Social-Media-Plattformen geschützt, nicht aber die öffentlich unbe­ grenzt einsehbare Homepage.335 Wenngleich diese Schutzdimension insbe­ sondere für die geplante e-Privacy-VO336 beziehungsweise die derzeit gel­ tende e-Privacy-RL337 von Relevanz ist, ist der Schutz der Vertraulichkeit der Kommunikation zugleich auch eine Schutzmaßnahme gegen die uner­ wünschte Kenntnisnahme des Austauschs und damit Gegenstand des allge­ meinen Datenschutzes.338 329  Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 25; Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 7 Rn. 24; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 10. 330  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 7 Rn. 24. 331  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 10. 332  Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 25; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 7 Charta Rn. 38. 333  So mitunter auch der BGH, Urt. v. 26.11.2015  – I ZR 3 / 14  – BeckRS 2016, 01908 Rn. 57; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 25. 334  Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 14. 335  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 22 Rn. 25. 336  Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung der Privatsphäre und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002 / 58 / EG, KOM (2017) 10 endg., im Folgenden: Kom (2017) 10 endg. Vgl. dazu m. w. N. Drit­ ter Teil Kap. 1 A. I. 337  Richtlinie 2002 / 58 / EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektro­ nische Kommunikation).



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung111

III. Eingriffe in die Schutzdimensionen des Art. 7 der Charta Grundsätzlich gilt, dass auch nach den Vorgaben der Charta der Begriff des Eingriffs weit auszulegen ist, sodass regelmäßig jedwede belastende oder bloß nachteilige Einwirkung auf den Grundrechtsträger durch die Grundrechtsverpflichteten erfasst wird.339 Mithin kommt es auch im Rah­ men der Charta zur Bestimmung der Eingriffsqualität einer Maßnahme nicht auf die Merkmale des klassischen Eingriffsbegriffs an.340 Dabei ist aner­ kannt, dass nicht nur der Verstoß gegen eine Unterlassungspflicht als Ein­ griff zu werten ist, sondern ebenfalls die Missachtung einer Schutzpflicht.341 Aufgrund der Prägung des Art. 7 der Charta durch die EMRK stellt sich auch hier die Problematik, dass eine trennscharfe Abgrenzung zwischen Schutzbereich und Eingriff nach deutschem Verständnis oftmals nicht er­ folgt, da sich diese nach der Rechtsprechung des EGMR regelmäßig wech­ selseitig definieren.342 1. Eingriffe in das Recht auf Achtung des Privatlebens Ein Eingriff in das Privatleben liegt regelmäßig vor, wenn die Entschei­ dungsbefugnis des Einzelnen über seinen persönlichen Lebenswandel ver­ kürzt wird oder aber das als privat Empfundene gegen den Willen des Be­ troffenen Teil der Öffentlichkeit wird.343 Selbstbewahrung, Selbstdarstellung und letztlich Selbstbestimmung im Sinne des Grundrechts erfordern zudem, dass sich der Einzelne grundsätzlich den Einblicken und Ausspähungen Drit­ ter entziehen kann, so dass auch solche Maßnahmen einen Eingriff in das Grundrecht darstellen.344 Insbesondere die heimliche Überwachung und Ver­ arbeitung personenbezogener Daten hat der EGMR bereits im Jahr 1984 als Eingriff in das grundrechtlich geschützte Privatleben bewertet.345 Aus datenschutzrechtlicher Perspektive lässt sich darüber hinaus festhal­ ten, dass grundsätzlich jedweder Verarbeitungsvorgang mit Persönlichkeits­ 338  Kühling / Raab,

in: Kühling / Buchner, DSGVO / BDSG, Einführung Rn. 24. in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 11. 340  Burgkardt, Grundrechtlicher Datenschutz zwischen Grundgesetz und Europa­ recht, 2013, S. 259; Siemen, Datenschutz als europäisches Grundrecht, S. 134. 341  Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 7 Rn. 17. 342  Grabenwarter / Pabel, in: Grabenwarter / Pabel, Europäische Menschenrechts­ konvention, § 18 Rn. 6. 343  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 12. 344  Vgl. dazu Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 28. 345  Vgl. dazu EGMR Urt. v. 02.08.1984 – Nr. 8691 / 79 Rn. 64. 339  Jarass,

112

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

bezug als Eingriff in das Privatleben zu werten ist.346 Aufgrund der zuneh­ menden Technisierung und der damit verbundenen Abhängigkeit des Betrof­ fenen von der Digitalisierung ist insbesondere die moderne Datenverarbeitung dazu geeignet, bei dem Betroffenen das Gefühl zu erzeugen, dass „[sein] Privatleben Gegenstand einer ständigen Überwachung ist […]“347. Entspre­ chend ist sowohl das Erheben personenbezogener Daten als auch die Spei­ cherung und Übermittlung dieser Daten an Dritte jeweils gesondert als Ein­ griff in das Grundrecht auf Achtung des Privatlebens zu bewerten.348 a) Die Erhebung personenbezogener Daten als qualifizierter Eingriff in das Privatleben Unabhängig davon, ob die erhobenen Daten tatsächlich in irgendeiner Art und Form verarbeitet werden, ist bereits deren (anlasslose) Erhebung als qualifizierter Eingriff in das Privatleben der Betroffenen einzustufen.349 Ins­ besondere unter Berücksichtigung des quantitativen und qualitativen Einsat­ zes moderner Kommunikationsmittel durch die Bürger der Union, erzeugt die massenhafte Datenerhebung die Gefahr, „[…] eine ebenso zuverlässige wie erschöpfende Kartografie eines erheblichen Teils der Verhaltensweisen einer Person, die allein ihr Privatleben betreffen, oder gar ein komplettes und genaues Abbild der privaten Identität dieser Person zu erstellen.“350 Allein die (tatsächliche) Möglichkeit der – wenn auch nachträglichen – Auswertung dieser gesammelten Daten konstituiert ein permanentes Gefühl des Über­ wachtwerdens351 und steht damit in einem Spannungsverhältnis zu dem Recht auf Privatleben.

346  Schweizer, DuD 2009, 462 (466); Grabenwarter / Pabel, in: Grabenwarter / Pa­ bel, Europäische Menschenrechtskonvention, § 22 Rn. 10. 347  EuGH, Urt. v. 21.12.2016  – C-203 / 15, C-698 / 15  – EuZW 2017, 153 (158 Rn. 100). 348  Vgl. dazu EuGH, Urt. v. 08.04.2014 – C-293 / 12, C-594 / 12 – EuZW 2014, 459 (461 Rn.  32 ff.). 349  Generalanwalt beim EuGH, Schlussantrag vom 12.12.2013  – C-293 / 12, C-594 / 12  – BeckRS 2013, 82347 Rn. 72; dem zustimmend: Generalanwalt beim EuGH, Schlussantrag vom 19.07.2016 – C-203 / 15, C-698 / 15 – BeckRS 2016, 81559 Rn. 253. 350  Generalanwalt beim EuGH, Schlussantrag vom 12.12.2013  – C-293 / 12, C-594 / 12 – BeckRS 2013, 82347 Rn. 74. 351  Generalanwalt beim EuGH, Schlussantrag vom 12.12.2013  – C-293 / 12, C-594 / 12 – BeckRS 2013, 82347 Rn. 72.



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung113

b) Die Verarbeitung der personenbezogenen Daten als weitergehender Eingriff in das Privatleben Sofern Dritten die erhobenen Daten zugänglich gemacht werden, stellt dies einen weiteren Eingriff in das Grundrecht auf Achtung des Privatlebens dar. Dabei kommt es nicht darauf an, ob die Zugänglichmachung in Gestalt einer Übermittlung erfolgt oder ob dem Dritten der Zugang zu den gespeicherten Daten gewährt wird.352 Zudem kommt es für die Annahme eines Eingriffs in Art. 7 der Charta nicht auf die Qualität der erlangten Informationen an oder ob der Betroffene tatsächlich einen Nachteil durch die Maßnahme erleidet.353 Damit übereinstimmend führt der Menschenrechtsrat der Vereinten Nationen für den insbesondere grundrechts- als auch praxisrelevanten Bereich der Kommunikation aus, dass jedwede Erfassung von Kommunikationsdaten ­einen Eingriff in die Privatheit darstelle.354 Eine Unterscheidung zwischen Inhalts- und Kommunikationsdaten wird dem Schutzanspruch des Art. 7 der Charta nicht gerecht. Die Auswertung und Verarbeitung der Kommunika­ tions- beziehungsweise Metadaten erlaubt „[…] Einsichten in das Verhalten des Einzelnen, seine sozialen Beziehungen, privaten Präferenzen und seine Identität […], die sogar noch über das hinausgehen, was durch den Zugriff auf den Inhalt einer privaten Kommunikation offenbart wird.“355 2. Eingriffe in das Recht auf Achtung der Kommunikation Sämtliche Maßnahmen, die Einblick in die Art und Weise des Kommuni­ kationsvorgangs oder dessen Inhalt gewähren, sind grundsätzlich als Eingriff in das Recht auf Achtung der Kommunikation zu werten.356 Erfasst sind da­ bei sowohl Beeinträchtigungen klassischer Kommunikationsmittel wie Brief oder Telefon aber auch alle denkbaren Eingriffsformen bei modernen Ausfor­ mungen vertraulicher Individualkommunikation.357 Allen voran die Überwa­ 352  EuGH,

Gutachten 1 / 15 v. 26.07.2017 – ECLI:EU:C:2017:592 Rn. 124. EuGH, Gutachten 1 / 15 v. 26.07.2017  – ECLI:EU:C:2017:592 Rn. 124 mit Verweis auf die ständige Rechtsprechung. 354  Menschenrechtsrat der Vereinten Nationen, Bericht des Hohen Kommissars der Vereinten Nationen für Menschenrechte über das Recht auf Privatsphäre im digitalen Zeitalter, 30. Juni 2014, A / HRC / 27 / 37, Nr. 19, S. 7. 355  Menschenrechtsrat der Vereinten Nationen, Bericht des Hohen Kommissars der Vereinten Nationen für Menschenrechte über das Recht auf Privatsphäre im digitalen Zeitalter, 30. Juni 2014, A / HRC / 27 / 37, Nr. 19, S. 7; in diesem Sinne auch der EuGH, Urt. v. 21.12.2016 – C-203 / 15, C-698 / 15 – EuZW 2017, 153 (158 Rn. 99). 356  Vgl. Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 31; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 Charta Rn. 13. 357  Schweizer, DuD 2009, 462 (466); Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 Rn. 31. 353  Vgl.:

114

Zweiter Teil: Das Konzept der informationellen Selbstbestimmung

chung der Internetnutzung oder das Abfangen der E-Mail-Korrespondenz stellen unabhängig davon, ob dies durch den Staat, mittelbar oder unmittelbar erfolgt, einen Eingriff in die grundrechtlich geschützte Sphäre dar.358 Dass die Überwachung der Internetnutzung auch dann einen Eingriff in die Kom­ munikationsfreiheit darstellt, wenn die übermittelten Informationen keinen Korrespondenzcharakter aufweisen, lässt sich mit der Funktionsweise des Internets begründen:359 Da es während des Übermittlungsvorgangs technisch nicht nachvollziehbar ist, welcher Art die zu übermittelnden Informationspa­ kete sind, ist grundsätzlich nicht auszuschließen, dass die betroffenen Daten­ ströme jedenfalls auch kommunikativer Art sind.360

C. Ergebnis und Abgleich mit der grundrechtlich garantierten informationellen Selbstbestimmung Zusammenfassend lässt sich damit festhalten, dass der durch die Charta gewährleistete materielle Schutz personenbezogener Daten mit dem des Grundgesetzes vergleichbar ist. Als klassisches Abwehrrecht stellt auch die Charta das personenbezogene Datum, unabhängig von dessen Einordnung als sensibel oder nicht, unter den besonderen grundrechtlichen Schutz des Art. 8 Abs. 1 der Charta. Mithin gibt es auch nach den Vorgaben der Charta kein „belangloses personenbezogenes Datum“. Die Einwilligung als weiteres wesentliches Element informationeller Selbstbestimmung findet sich ausdrücklich in den Vorgaben des Art. 8 Abs. 2 Satz 1 der Charta und wird damit zugleich verfassungsrechtlicher Orientierungspunkt (notwendiger) sekundärrechtlicher Konkretisierungen. Damit wird die Befugnis des Einzelnen, über seine (digitalisierte) Persön­ lichkeit in Gestalt der personenbezogenen Daten zu verfügen, der unmittel­ barsten Form des Grundrechtsschutzes unterstellt. Die konkrete Ausgestaltung des Datenschutzgrundrechts in Art. 8 der Charta weist aber eine wesentliche Unterscheidung zum Schutz des Grund­ gesetzes gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 auf: die unmittelbare Anbin­ dung des Datenschutzgrundrechts an ein übergeordnetes Rechtsgut. Seinem Wesen nach erstreckt sich Art. 8 der Charta lediglich auf das „Wie“ der Datenverarbeitung,361 nicht aber darauf, warum diese Daten, wenn auch per­ sonenbezogen, grundsätzlich schützenswert sind. Wenngleich sich weder die 358  Uerpmann-Wittzack / Jankowska-Gilberg,

MMR 2008, 84 (86). Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 112. 360  Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingrif­ fen in die Persönlichkeitsrechte im Internet, S. 112. 361  So bildlich Bock / Engeler, DVBl 2016, 593 (596). 359  Paefgen,



Kap. 2: Die Charta als Prüfstein der Anwendung und Auslegung115

Charta noch der EuGH dezidiert auf das Grundrecht informationeller Selbst­ bestimmung berufen, versteht sich aber auch der europäische Datenschutz nicht als bloßer Selbstzweck. Sowohl auf nationaler, als auch auf supranatio­ naler Ebene ist der Schutz der Persönlichkeitsentwicklung des betroffenen Datensubjekts gleichsam als Nukleus datenschutzrechtlicher Bestimmungen anzusehen. In Einklang mit der Rechtsprechung des EuGH kann dieser not­ wendige, übergeordnete Bezugspunkt in den Vorgaben des Art. 7 der Charta gefunden werden. Dabei kann festgehalten werden, dass insbesondere das Privatleben zwar keine allgemeine Handlungsfreiheit im Sinne des Grundge­ setzes postuliert, allerdings dem Grunde nach vergleichbar die Persönlich­ keitsentwicklung und -entfaltung schützt und damit als tauglicher Bezugs­ punkt des Datenschutzes herangezogen werden kann. Informationelle Selbstbestimmung im Kontext der Charta bedeutet damit, die Vorgaben des Art. 7 Var. 1, Var. 4. der Charta i. V. m. Art. 8 der Charta zu beachten und zu schützen. Letztlich bietet sich dieser Ansatz aber auch aus pragmatischer Sicht an, „damit man nicht immer wieder mit entscheidungs­ relevanten Abgrenzungsschwierigkeiten der Anwendbarkeit entweder unio­ naler oder nationaler Grundrechte zu kämpfen hat […]“362. Und nicht zuletzt die Vorgaben der DSGVO, die im folgenden Abschnitt mit Blick auf die Einwilligung untersucht werden, sprechen von der besonderen Bedeutung des Privat- und Familienlebens (Art. 7 der Charta) für das Datenschutz­ recht.363 Ein neues Datenschutzrecht muss eben nicht den Verzicht auf beste­ hende Werte implizieren.

362  Albers, Informationelle Selbstbestimmung als vielschichtiges Bündel von Rechtsbindungen und Rechtspositionen, in: Friedewald / Lamla / Roßnagel (Hrsg.), In­ formationelle Selbstbestimmung im digitalen Wandel, S. 22. 363  Erwägungsgrund 4 Satz 2 DSGVO.

Dritter Teil

Die Einwilligung – Voraussetzungen und Umsetzungsmöglichkeiten nach den Vorgaben der DSGVO Das Konzept der Einwilligungserklärung bleibt auch nach den Vorgaben der DSGVO als „Werkzeug der Informationsautonomie“1 Garant der grundrechtlich garantierten Datenkontrolle des Betroffenen.2 Sie bleibt ein zentrales Element des reformierten Datenschutzrechts und damit auf nicht absehbare Zeit geltende Rechtswirklichkeit3. Die konkrete Normierung der Vorgaben zur Einwilligung innerhalb der DSGVO gestaltet sich allerdings als nicht „sonderlich konsistent“4, sondern vielmehr als „patchworkartig“5. Dabei kann vorab festgehalten werden, dass die zentralen Tatbestandsmerkmale der Einwilligung im Sinne der Da­ tenschutz-Richtlinie weitestgehend übernommen wurden.6 Unter Berück­ sichtigung dessen gilt es im Folgenden, den Rechtsrahmen der Einwilli­ gungserklärung zu untersuchen (Kapitel 1), die persönlichen Einwilligungs­ voraussetzungen unter besonderer Einbeziehung des Art. 8 DSGVO (Ka­ pitel 2), sowie die formellen (Kapitel 3) und materiellen (Kapitel 4) Anforderungen an die Einwilligungserklärung anhand der Vorgaben des Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a und des Art. 7 DSGVO zu beleuchten. Mithin soll gezeigt werden, dass die konkrete formelle Ausgestaltung der Einwilligungserklärung das Einwilligungsverhalten der Betroffenen entschei­ dend beeinflusst. Mit anderen Worten: „Ob“ es im konkreten Fall zu einer bewussten Einwilligungserklärung kommt, kann durch formelle rechtsgestal­ terische Elemente zentral gesteuert werden. Daran anschließend sind die konkreten inhaltlichen Anforderungen zu untersuchen, welche sich maßgeb­ 1  Richter,

PinG 2016, 185. vieler Buchner / Kühling, DuD 2017, 544 (545); Artikel-29-Datenschutz­ gruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 4; Artikel-29-Datenschutzgruppe, Stellungnahme  15 /  2011 zur Definition von Einwilligung, WP 187, S. 10; Heckmann / Paschke, in: Eh­ mann / Selmayr, DSGVO Art. 7 Rn. 16; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 10. 3  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 1. 4  So Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG Art. 7 Rn. 20. 5  So Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 13. 6  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Con­ sent under Regulation 2016 / 679, WP 259 rev. 01, S. 5. 2  Statt



Kap. 1: Die DSGVO als Rechtsrahmen117

lich für das „Wie“ des Erklärungsaktes (bestimmt, informiert, freiwillig) verantwortlich zeigen. Im Zuge dessen sollen, insbesondere im Problemkreis der informierten Einwilligungserklärung, Lösungsmöglichkeiten zur rechts­ konformen Ausgestaltung aufgezeigt werden. Kapitel 1

Die DSGVO als Rechtsrahmen der datenschutzrechtlichen Einwilligungserklärung Der maßgebliche Rechtsrahmen der datenschutzrechtlichen Einwilligungs­ erklärung ergibt sich seit dem 25. Mai 2018 aus den Vorgaben der DSGVO. Dabei ist zunächst der Anwendungsbereich, insbesondere in Abgrenzung zu dem für den Bereich der elektronischen Kommunikation relevanten Kommis­ sionsentwurf der Verordnung über Privatsphäre und elektronische Kommuni­ kation7 (e-Privacy-VO), zu untersuchen (A.). Die daraus folgenden Konse­ quenzen für die Vorgaben der datenschutzrechtlichen Einwilligungserklärung, allem voran im Kontext derzeitiger bereichsspezifischer Regelungen sollen daran anschließend analysiert werden (B.).

A. Die Anwendbarkeit der DSGVO Abseits der Vorgaben des Entwurfs der e-Privacy-VO (dazu unter I.) kommt es für den sachlichen Anwendungsbereich der Verordnung insbeson­ dere auf die Regelungen des Art. 2 an (dazu unter II.). Der räumliche An­ wendungsbereich definiert sich maßgeblich anhand der Bestimmungen des Art. 3 DSGVO (dazu unter III.). Darüber hinaus sind mit Blick auf den Geltungsanspruch der DSGVO die Schlussbestimmungen der Art. 94 ff. DS­ GVO zu beachten.8 I. Abgrenzung zu den Vorgaben der e-Privacy-VO in der Fassung des Kommissionsentwurfs Wenngleich die DSGVO nach dem Willen des Verordnungsgebers das Datenschutzrecht entscheidend vereinheitlichen soll, verbleibt auch nach 7  Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz perso­ nenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002 / 58 / EG (Verordnung über Privatsphäre und elektronische Kommuni­ kation) v. 10.01.2017, KOM (2017) 10 final. 8  Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Art. 2 Rn. 1.

118

Dritter Teil: Die Einwilligung

Geltung Raum für weitere bereichsspezifische datenschutzrechtliche Regulie­ rungen durch die Union. Von besonderem Interesse ist dabei das Verhältnis zwischen der Grundverordnung und der für den Bereich der elektronischen Kommunikation vorgesehenen e-Privacy-VO, welche ursprünglich ebenfalls am 25. Mai 2018 Geltung erlangen sollte.9 1. Zielrichtung der e-Privacy-VO in der Fassung des Kommissionsentwurfs Regelungsgegenstand der e-Privacy-VO ist die Verarbeitung elektronischer Kommunikationsdaten durch Betreiber elektronischer Kommunikations­ dienste, vgl. Art. 2 und 3 der e-Privacy-VO. Als Nachfolgeregelung der ePrivacy-RL sollen die in deren Anwendungsbereich festgestellten Defizite ebenfalls mit dem Instrument der Verordnung beseitigt werden.10 Als maß­ geblicher Baustein der Strategie für einen digitalen Binnenmarkt soll auch im Bereich der elektronischen Kommunikation das Rechtsinstrument der Ver­ ordnung dazu beitragen, das Vertrauen der Bürger in die digitalen Dienste zu erhöhen, die Sicherheit der erfassten elektronischen Kommunikationsdienste zu verbessern sowie einheitliche Wettbewerbsbedingungen für alle Teilneh­ mer im Binnenmarkt zu gewährleisten.11 Mit der nunmehr vorgeschlagenen e-Privacy-VO möchte die Kommission die gewünschte Konsistenz zwischen DSGVO und der e-Privacy-RL erzeugen und zugleich technischen Innovati­ onen gesetzgeberisch Rechnung tragen.12 Auf Grund des hohen Abstraktionsgrads der DSGVO wird die Einführung spezieller Regelungen insbesondere für den Bereich der Online-Kommunika­ tion begrüßt, da sich diese in der Regel durch ein erhöhtes Gefahrenpotential für die Persönlichkeitsrechte der Betroffenen auszeichnet.13 Letztlich handelt es sich bei den Vorgaben zur Verarbeitung elektronischer Kommunika­ 9  Unter Berücksichtigung dessen, dass zur Zeit der Bearbeitung (drittes Quartal 2018) nicht absehbar ist, ob und in welcher konkreten Ausgestaltung die e-PrivacyVO tatsächlich vor dem Jahr 2020 Geltung erlangt, beziehen sich die nachfolgenden Ausführungen einheitlich auf den im Januar 2017 veröffentlichten Entwurf der Kom­ mission. Vgl. zum derzeitigen Stand des Gesetzgebungsverfahrens m. w. N. Jandt, ZD 2018, 405 ff.; Schwartmann / Benedikt / Jacquemain, PinG 2018, 150 ff.; Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 9.1 Überarbeitung Rn. 539 ff. 10  Vgl. Erwägungsgrund 6 Satz 1 e-Privacy-VO. 11  Vgl. KOM (2017)10 endg., S. 2. 12  Vgl. Pohle, ZD-Aktuell 2017, 05452. 13  Vgl. European Data Protection Supervisor, Opinion 6 / 2017, S. 6 ff.; eine Zu­ sammenfassung der Stellungnahme in deutscher Sprache findet sich im Amtsblatt der Europäischen Union vom 20.07.2017, ABl. EU 2017 C 234, S. 3 ff.; dazu Schmitz, ZRP 2017, 172.



Kap. 1: Die DSGVO als Rechtsrahmen119

tionsdaten um bereichsspezifische datenschutzrechtliche Regulierungen, so dass bereits davon gesprochen wird, dass die e-Privacy-VO das „Internet als solches in ein neues Datenschutzgewand [kleide]“14. 2. Der Anwendungsbereich der e-Privacy-VO Die e-Privacy-VO normiert ihren Anwendungsbereich jedenfalls sachlich in Art. 2 und räumlich in Art. 3. Wenngleich sich in Erwägungsgrund 8 des derzeitigen Kommissionsentwurfs Ausführungen zum persönlichen Anwen­ dungsbereich finden, schweigt der verfügende Teil der Verordnung bislang zu diesem Punkt.15 a) Das Verhältnis zur DSGVO Von besonderem Interesse und zugleich Gegenstand aktueller Kritik ist das bislang nicht abschließend geklärte Verhältnis zur DSGVO.16 Die e-PrivacyVO ordnet in Art. 1 Abs. 3 an, dass die Bestimmungen der Verordnung die DSGVO für den Bereich der elektronischen Kommunikation präzisieren und ergänzen sollen. Nach dem Willen des Kommissionsentwurfs soll damit grundsätzlich ein Spezialitätsverhältnis angeordnet werden, wonach die ePrivacy-VO für den Fall, dass personenbezogenen Daten zugleich elektroni­ sche Kommunikationsdaten sind, Vorrang genießt.17 Sofern die e-PrivacyVO keine ausdrückliche Regelung trifft, soll die DSGVO als Auffangtatbe­ stand zum Tragen kommen.18 Problematisch ist dabei allerdings, dass die e-Privacy-VO teils dezidiert auf die Vorgaben der DSGVO verweist, so dass im Wege des Umkehrschlusses von einer Sperrwirkung im Übrigen ausge­ gangen werden könnte.19 Dies überzeugt jedoch mit Blick auf Sinn und Zweck, als maßgebliches Auslegungskriterium,20 der Verordnung nicht. Ne­ ben dem Schutz der in Art. 7 der Charta21 sowie Art. 8 der Charta22 normier­ 14  Engeler / Felber,

ZD 2017, 251. ZD 2017, 373; Herbrich, jurisPR-ITR 18 / 2017 Anm. 2. 16  Engeler / Felber, ZD 2017, 251 (253); Herbrich, jurisPR-ITR 18 / 2017 Anm. 2. 17  Vgl. KOM (2017)10 endg., S. 3; äußerst kritisch hierzu der Berichterstatter Voss, der für eine lediglich ergänzende Anwendung der e-Privacy-VO während des eigentlichen Kommunikationsvorgangs plädiert, vgl. Voss, Entwurf einer Stellung­ nahme zur e-Privacy-VO, 2017 / 003 (COD), S. 4. 18  So auch Herbrich, jurisPR-ITR 18 / 2017 Anm. 2; Engeler / Felber, ZD 2017, 251 (253). 19  Schmitz, ZRP 2017, 172 (173); Engeler / Felber, ZD 2017, 251 (253). 20  Vgl. dazu die Ausführungen unter Zweiter Teil Kap. 1 B. III. 21  Vgl. Erwägungsgrund 1 e-Privacy-VO. 22  Vgl. dazu Erwägungsgrund 4 e-Privacy-VO. 15  Maier / Schaller,

120

Dritter Teil: Die Einwilligung

ten Rechte statuiert Erwägungsgrund 5 Satz 2 der e-Privacy-VO ausdrück­ lich, dass „[diese] Verordnung […] zu keiner Absenkung des Schutzniveaus, das natürliche Personen nach der Verordnung (EU) 2016 / 679 genießen, [führt].“23 Wenn aber die DSGVO nur für den Fall zum Tragen kommt, in welchem ausdrücklich auf diese Bezug genommen wird, besteht die Gefahr der Regelungslücken. Beispielsweise beinhaltet der Kommissionsentwurf der e-Privacy-VO keine Vorgaben zu den für die Praxis relevanten Komplexen der Auftragsverarbeitung oder den Grundsätzen Privacy by Design / Privacy by Default.24 Dass diese Komplexe jedoch gerade im Bereich der elektroni­ schen Kommunikation keine Regelung erfahren sollen, ist abseits von syste­ matischen Erwägungen kaum denkbar. Derartige Regelungslücken würden mit der Zielsetzung des umfassenden Schutzes der Kommunikationsdaten sowie mit den grundrechtlichen Garantien der Charta kollidieren.25 Für den Fall, dass die e-Privacy-VO keine eigenständige Regelung trifft, sollten da­ her die Vorgaben der DSGVO subsidiär zum Tragen kommen, um etwaige Schutzlücken bei der Verarbeitung elektronischer Kommunikationsdaten zu schließen. b) Sachlicher Anwendungsbereich Der sachliche Anwendungsbereich wird durch Art. 2 Abs. 1 der e-PrivacyVO bestimmt. Dabei lassen sich zwei Kernbereiche unterscheiden: Den Schutz elektronischer Kommunikationsdaten bei der Bereitstellung und Nut­ zung elektronischer Kommunikationsdienste sowie den Schutz der Informa­ tionen über die Endeinrichtung der Nutzer. aa) D  ie Verarbeitung elektronischer Kommunikationsdaten bei elektronischen Kommunikationsdiensten, Art. 2 Abs. 1 Alt. 1 e-Privacy-VO Art. 2 Abs. 1 Alt. 1 der e-Privacy-VO schützt zunächst die Verarbeitung elektronischer Kommunikationsdaten, die in Verbindung mit der Bereitstel­ lung und Nutzung elektronischer Kommunikationsdienste erfolgt. Unter den Begriff der elektronischen Kommunikationsdaten fallen gem. Art. 4 Abs. 3 lit. a e-Privacy-VO sowohl elektronische Kommunikations­ inhalte als auch elektronische Kommunikationsmetadaten. Dass insbesondere unter Berücksichtigung der Vorgaben des Art. 7 Var. 4 der Charta der Schutz 23  Vgl.

Erwägungsgrund 5 Satz 2 e-Privacy-VO. ZD 2017, 251 (253). 25  So auch Herbrich, jurisPR-ITR 18 / 2017 Anm. 2; Albrecht, ZD-Aktuell 2017, 05692. 24  Engeler / Felber,



Kap. 1: Die DSGVO als Rechtsrahmen121

des Kommunikationsinhalts durch die e-Privacy-VO gewährleistet sein muss, liegt auf der Hand. Der Verordnungsgeber definiert den Kommunikationsin­ halt gem. Art. 4 Abs. 3 lit. b e-Privacy-VO als Inhalte, die mittels elektroni­ scher Kommunikationsdienste übermittelt werden, z.  B. Textnachrichten, Sprache, Videos, Bilder und Ton. Der besondere Schutz der Metadaten be­ gründet sich unter anderem dadurch, dass auch diese besonders intime und persönliche Informationen enthalten können.26 Soweit das Metadatum ge­ eignet ist, Erkenntnisse über das Privatleben der Kommunikationspartner zu offenbaren, wie dies beispielsweise aus Informationen über Gesprächspartner und -Dauer möglich ist, unterfällt es dem Schutz der Verordnung.27 Zur Bestimmung des Begriffs des elektronischen Kommunikationsdienstes kann hingegen nicht allein auf die e-Privacy-VO zurückgegriffen werden. Vielmehr verweist diese in Art. 4 Abs. 1 lit. b „in intransparenter und unnötig komplexer Weise“28 auf die Vorgaben des (zukünftigen) europäischen Ko­ dex für die elektronische Kommunikation (EECC)29. Kommunikations­ dienste im Sinne des Art. 2 Nr. 4 des EECC sind damit gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze erbrachte Dienste. Der Kodex bezieht sich dabei ausdrücklich auf die in Art. 2 Nr. 2 der Verordnung (EU) 2015 / 212030 bestimmten „Internetzugangsdienste“31 sowie auf „inter­ personelle Kommunikationsdienste“, die ganz oder überwiegend in der Über­ tragung von Signalen bestehen. Letztere umfassen insbesondere Übertra­ gungsdienste, welche für die Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden. 26  Vgl.

Erwägungsgrund 2 Satz 2 e-Privacy-VO. Erwägungsgrund 2 Satz 3 der e-Privacy-VO; zur grundrechtlichen Ein­ griffsrelevanz bei der Erhebung von Metadaten vgl. bereits die Ausführungen unter Zweiter Teil Kap. 2 B. II. 1. b) bb). 28  So statt vieler Schmitz, ZRP 2017, 172 (173). 29  Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über den europäischen Kodex für die elektronische Kommunikation, KOM(2016) 590 endg. Ziel des Kodex ist die Vereinheitlichung und Anpassung un­ terschiedlicher Vorgaben für Telekommunikationsanbieter durch eine einheitliche Regelung, vgl. Erwägungsgrund 5 KOM (2016) 590 endg., S. 27 sowie Huber, MMR 2017, 141 (142). 30  Verordnung (EU) 2015 / 2120 des Europäischen Parlaments und des Rates vom 25. November 2015 über Maßnahmen zum Zugang zum offenen Internet und zur Änderung der Richtlinie 2002 / 22 / EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten sowie der Verordnung (EU) Nr. 531 / 2012 über das Roaming in öffentlichen Mobilfunknetzen in der Union. 31  Ein öffentlich zugänglicher elektronischer Kommunikationsdienst, der unab­ hängig von der verwendeten Netztechnologie und den verwendeten Endgeräten Zu­ gang zum Internet und somit Verbindungen zu praktisch allen Abschlusspunkten des Internets bietet, vgl. Art. 2 Nr. 2 der Verordnung (EU) 2015 / 2120. 27  Vgl.

122

Dritter Teil: Die Einwilligung

bb) Schutz der Informationen in Bezug auf die Endeinrichtung der Nutzer Weiterhin soll der sachliche Anwendungsbereich der e-Privacy-VO gem. Art. 2 Abs. 1 Alt. 2 auch Informationen in Bezug auf die Endeinrichtungen der Endnutzer umfassen. Die Notwendigkeit dieser gesonderten Schutzdi­ mension begründet sich maßgeblich durch den Umstand, dass insbesondere die Endeinrichtungen eine Vielzahl sensibler Informationen über die Nutzer enthalten.32 Insbesondere liefern gespeicherte Inhalte, wie beispielsweise Nachrichteninhalte, Bilder oder Kontaktlisten einen „tiefen Einblick in kom­ plexe emotionale, politische und soziale Aspekte der Persönlichkeit“33. Dabei gilt auch hier, dass die Bestimmung der zentralen Tatbestandsmerk­ male „Endeinrichtung“ sowie „Information“ nicht allein anhand des Verord­ nungstextes vorgenommen werden kann. Zum Begriff der Endeinrichtung verweist Art. 4 Abs. 1 lit. c) des Entwurfs auf die Begriffsbestimmung des Art. 1 Nummer 1 der RL 2008 / 63 / EG34 der Kommission. Demnach werden Einrichtungen zum Aussenden, Verarbeiten oder Empfangen von Nachrichten umfasst, welche direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossen sind. Im Sinne der e-Privacy-VO ist dabei insbesondere an gängige Kommunikationsmittel wie den Computer, das Smartphone oder das Tablet zu denken.35 Der verfügende Teil der e-Privacy-VO bestimmt den Begriff der Informa­ tion nicht weiter, mit Blick auf Art. 8 Abs. 1 der e-Privacy-VO sowie Erwä­ gungsgrund 20 Satz 1 der e-Privacy-VO ist dieser aber in der Tendenz um­ fassend zu verstehen.36 Mitunter sollen alle Informationen im Zusammen­ hang mit der Nutzung der Endeinrichtung vom Schutz der Verordnung um­ fasst sein.37 Entsprechend normiert Art. 8 Abs. 1 der e-Privacy-VO, dass jede vom betroffenen Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion von Endeinrichtungen und jede Erhe­ bung von Informationen aus Endeinrichtungen der Endnutzer, auch über de­ ren Software und Hardware, grundsätzlich untersagt ist.38

32  Vgl.

Erwägungsgrund 20 Satz 2 e-Privacy-VO. Erwägungsgrund 20 Satz 2 e-Privacy-VO. 34  Richtlinie 2008 / 63 / EG der Kommission vom 20.  Juni 2008 über den Wett­ bewerb auf dem Markt für Telekommunikationseinrichtungen, ABl. L 162 vom 21.06.2008, S. 20. 35  So Herbrich, jurisPR-ITR 18 / 2017 Anm. 2 unter Verweis auf Erwägungs­ grund 22 Satz 10 ePrivacy-VO. 36  Herbrich, jurisPR-ITR 18 / 2017 Anm. 2. 37  Vgl. Erwägungsgrund 20 Satz 1 ePrivacy-VO. 38  Kritisch hierzu Engeler / Felber, ZD 2017, 251 (255). 33  Vgl.



Kap. 1: Die DSGVO als Rechtsrahmen123

c) Zwischenergebnis Insgesamt ist festzuhalten, dass das Verhältnis zwischen DSGVO und ePrivacy-VO jedenfalls in der Fassung des Kommissionsentwurfs noch nicht abschließend beurteilt werden kann. Weiterhin ist davon auszugehen, dass die derzeit wenig anwenderfreundliche Bestimmung des sachlichen Anwen­ dungsbereichs der e-Privacy-VO eine umfassende Überarbeitung erfahren wird. Für die vorliegend entscheidende Frage der Einwilligungsvorgaben ist letztlich allerdings davon auszugehen, dass das Verhältnis beider Rechtsin­ strumente zueinander von keiner signifikanten Relevanz ist, da Art. 9 Abs. 1 des Kommissionsentwurf umfassend auf die Vorgaben der DSGVO ver­ weist.39 II. Der sachliche Anwendungsbereich der DSGVO Der sachliche Anwendungsbereich der DSGVO wird durch Art. 2 Abs. 1 DSGVO bestimmt, wobei sich Ausnahmen vom Anwendungsbereich in Abs. 240 sowie Bestimmungen zum Vorrang etwaiger Spezialregelungen in Abs. 3 und 4 finden.41 Grundsätzlich ist die Verordnung gem. Art. 2 Abs. 1 bei der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten anwend­ bar.42 Die nichtautomatisierte Verarbeitung personenbezogener Daten unter­ fällt dann dem Anwendungsbereich, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder werden sollen. Die Anzahl nicht­ datenschutzrechtlich relevanter Verarbeitungsvorgänge dürfte allerdings mit Blick auf die praktische Bedeutung der elektronischen Datenverarbeitung als gering anzusehen sein.43 Der Anwendungsbereich der Verordnung wird da­ her regelmäßig durch die Verarbeitung personenbezogener Daten determi­ niert. Auf Grundlage der vorstehenden Erläuterungen zu Art. 8 der Charta ist davon auszugehen, dass der Begriff des personenbezogenen Datums im Sinne des Art. 4 Nr. 1 DSGVO in einem relativen Sinne verstanden werden sollte, da ein nahezu unbegrenzt anwendbares Datenschutzrecht im Sinne der 39  So auch Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guide­lines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 4. 40  Zur insbesondere im Bereich sozialer Netzwerke relevanten „Haushaltsprivile­ gierung“ des Art. 2 Abs. 2 lit. c DSGVO vgl. Gola / Lepperhoff, ZD 2016, 9 ff. 41  Plath, in: Plath, BDSG / DSGVO, Art. 2 DSGVO Rn. 4. 42  Kritisch bezüglich der Heranziehung des Personenbezugs als entscheidendes Merkmal Schmitz, ZD 2018, 5. 43  von Lewinski, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO / BDSG, Art. 2 Rn. 5.

124

Dritter Teil: Die Einwilligung

objektiven Theorie nicht in Einklang mit der dualen Zielsetzung der DSGVO zu bringen ist.44 Zum Begriff der Verarbeitung ist auf die entsprechende Definition in Art. 4 Nr. 2 der DSGVO zurückzugreifen. Wie bereits die DatenschutzRichtlinie differenziert auch die DSGVO nicht zwischen einzelnen Stationen des Datenumgangs, vielmehr werden alle denkbaren Formen unter den Be­ griff der Verarbeitung gefasst45. Exemplarisch aber nicht abschließend46 wird dabei das Erheben, das Erfassen, die Organisation, das Ordnen, die Speiche­ rung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder Verknüpfung, die Ein­ schränkung, das Löschen oder die Vernichtung aufgezählt.47 III. Der räumliche Anwendungsbereich der DSGVO Soweit der sachliche Anwendungsbereich der DSGVO eröffnet ist, muss zusätzlich festgestellt werden, ob der Verarbeitungsvorgang in einem räumli­ chen Bezug zu der Europäischen Union steht.48 Die Anforderungen an den territorialen Konnex werden dabei durch Art. 3 DSGVO bestimmt, wobei drei unterschiedliche Fallkonstellationen unterschieden werden.49 Während Art. 3 Abs. 1 das bereits durch Art. 4 Abs. 1 lit. a der Daten­ schutz‑Richtlinie normierte Niederlassungsprinzip fortschreibt,50 erweitert Art. 3 Abs. 2 DSGVO, insbesondere vor dem Hintergrund des Google SpainUrteils51 des EuGH, die räumliche Anwendbarkeit des europäischen Daten­ schutzrechts um das sog. Marktortprinzip.52 Sofern die Voraussetzungen des Art. 3 Abs. 2 vorliegen, ist die DSGVO auch für den Fall anwendbar, dass die Verarbeitung der personenbezogenen Daten eines innerhalb der Union befindlichen Betroffenen durch einen nicht 44  Vgl.

dazu die Ausführungen unter Zweiter Teil Kap. 2 A. I. 2. in: Ehmann / Selmayr, DSGVO, Art. 4 Nr. 2 Rn. 23. 46  Vgl. dazu: Klabunde, in: Ehmann / Selmayr, DSGVO Art. 4 Nr. 2 Rn. 23; Reimer, in: Sydow, DSGVO Art. 4 Rn. 43; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 20. 47  Vgl. dazu bereits die Ausführungen unter Zweiter Teil Kap. 2 A. I. 2. 48  Hanloser, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 3 DSGVO Rn. 1. 49  Wieczorek, DuD 2013, 644 (646). 50  Vgl. dazu Beyvers / Herbrich, ZD 2014, 558 ff. 51  EuGH, Urt. v. 13.05.2014 – C-131 / 12 – EuZW 2014, 541. 52  Albrecht, CR 2016, 88 (90); Zerdick, in: Ehmann / Selmayr, DSGVO, Art. 3 Rn. 1; von Lewinski, in: Eßer / Kramer / v. Lewinski, Auernhammer – DSGVO / BDSG, Art. 3 Rn. 9. 45  Klabunde,



Kap. 1: Die DSGVO als Rechtsrahmen125

in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter stattfindet. Dazu ist es allerdings erforderlich, dass die Datenverarbeitung im Sinne des Art. 3 Abs. 2 DSGVO zu einem bestimmten Zweck erfolgt.53 Dabei kommt in Betracht, dass die Datenverarbeitung zum Zweck des Ange­ bots einer Ware oder Dienstleistung (Art. 3 Abs. 2 lit. a) oder zum Zweck der Verhaltensbeobachtung einer Person innerhalb der Union (Art. 3 Abs. 2 lit. b)) erfolgt. Weiterhin vorausgesetzt wird, dass sich die Person innerhalb der Union befindet, wobei ein fester Wohnsitz nicht erforderlich ist.54 Die Einführung des Marktortprinzips dient maßgeblich dem Schutz natür­ licher Personen55 und soll ein einheitliches Schutzniveau bei der Datenver­ arbeitung durch international agierende Unternehmen gewährleisten56. Dar­ über hinaus werden einheitliche Wettbewerbsbedingungen für alle Unterneh­ men innerhalb des Binnenmarktes geschaffen.57 Wenngleich sich zukünftig insbesondere die über das Internet agierende Digitalindustrie verstärkt an den Vorgaben des Datenschutzes messen lassen muss58, profitieren auch diese Akteure letztlich von den Vorteilen eines einheitlich und rechtssicher an­ wendbaren Datenschutzes.

B. Auswirkungen auf derzeitige Bestimmungen zur Einwilligungserklärung nach dem nationalen Recht Vorgaben zur datenschutzrechtlichen Einwilligung im Kontext des natio­ nalen Rechts fanden sich vor Geltung der DSGVO an mehreren Stellen, wo­ bei § 4a BDSG a. F. als Umsetzung der Vorgaben des Art. 7 lit. a der Daten­ schutz-Richtlinie die grundlegende Norm darstellte.59 Weitere Bestimmun­ gen zur datenschutzrechtlichen Einwilligung können (noch) in § 13 Abs. 2 TMG, § 94 TKG, § 7 Abs. 2 UWG sowie in unterschiedlichen Landesdaten­ schutzgesetzen vorgefunden werden.60 Die bislang vorhandenen Normen be­ züglich der Einwilligung wurden mit Geltung der DSGVO allerdings er­ 53  Plath,

in: Plath, BDSG / DSGVO, Art. 3 DSGVO Rn. 16. in: Ehmann / Selmayr, DSGVO, Art. 3 Rn. 17; Hanloser, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 3 DSGVO Rn. 29. 55  Vgl. dazu Erwägungsgrund 23 Satz 1 DSGVO. 56  Kugelmann, DuD 2016, 566. 57  Schantz, NJW 2016, 1841 (1842). 58  Wieczorek, DuD 2013, 644 (648); Klar, ZD 2013, 109 (114); Härting, BB 2012, 459 (462); von Lewinski, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO /  BDSG, Art. 3 Rn. 11. 59  Buchner, DuD 2010, 39 (40); Radlanski, Das Konzept der Einwilligung, S. 78; Simitis, in: Simitis, Bundesdatenschutzgesetz, § 4a BDSG a. F. Rn. 10. 60  Vgl. dazu m. w. N. Keppeler, MMR 2015, 779; Funke, Dogmatik und Voraus­ setzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 88 ff. 54  Zerdick,

126

Dritter Teil: Die Einwilligung

setzt.61 Dies gilt letztlich auch innerhalb des Anwendungsbereichs der ge­ planten e-Privacy-VO, da diese nach derzeitigem Stand in Art. 9 respektive Erwägungsgrund 22 auf die Begriffsbestimmungen und Voraussetzungen der DSGVO zur Einwilligung verweist.62 Die allgemeinen Vorgaben der DSGVO zur Einwilligung sind grund­ sätzlich abschließend zu verstehen,63 wobei den Mitgliedstaaten eine par­ tielle Spezifizierung im bereichsspezifischen Datenschutzrecht vorbehalten bleibt64. Von Relevanz ist dabei insbesondere die Möglichkeit, die Einwilli­ gung im Kontext besonderer Kategorien personenbezogener Daten (dazu ­unter I.) sowie im Bereich des Beschäftigtendatenschutzes (dazu unter II.) zu modifizieren. I. Die Möglichkeit zur Modifikation der Einwilligung bei besonderen Kategorien personenbezogener Daten, Art. 9 Abs. 2 lit. a DSGVO Gem. Art. 9 Abs. 2 lit. a HS. 2 DSGVO steht es den Mitgliedstaaten frei, die Einwilligung als Rechtfertigung zur Verarbeitung besonderer Kategorien personenbezogener Daten auszuschließen. Insbesondere im Bereich des Gesundheitswesens herrschte lange Zeit Un­ klarheit, ob auf das Instrument der Einwilligung als Rechtfertigungsmittel zurückgegriffen werden kann. Allen voran im Kontext des Sozialdatenschut­ zes, welcher bereichsspezifisch insbesondere durch die Vorgaben des SGB I, V sowie X ausgestaltet ist, wurde der Rückgriff auf die (allgemeinen) Rege­ lungen zur Einwilligung als problematisch angesehen.65 Mit Geltung der DSGVO dürfte die Frage der grundsätzlichen Anwendbarkeit, mithin des „Ob“, allerdings entschieden sein. Zwar bleibt es auch mit Geltung der Grundverordnung bei dem sozialdatenschutzrechtlichen System der Sozialge­ setzbücher66, von der Ausschlussmöglichkeit des Art. 9 Abs. 2 lit. a HS. 2 61  Buchner / Kühling, DuD 2017, 544; Heckmann / Paschke, in: Ehmann / Selmeyr, DSGVO, Art. 7 Rn. 4; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 72; a. A. Ingold, der jedenfalls die Bestimmungen der §§ 94 ff. TKG auch mit Geltung der DSGVO für weiterhin anwendbar hält, vgl. Ingold, in: Sydow, ­DSGVO, Art. 7 Rn. 58. 62  Pohle, ZD-Aktuell 2017, 05452. 63  Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO / BDSG, Art. 7 Rn. 33. 64  Buchner / Kühling, DuD 2017, 544; Keppeler, MMR 2015, 779 (780). 65  Siehe BSG, Urt. v. 10. 12. 2008 – B 6 KA 37 / 07 R – NJOZ 2009, 2959 (2969); vgl. dazu Bieresborn, in: von Wulffen / Schütze, SGB X, Vorb. §§ 67–85a Rn. 34. 66  Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit, 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 / 2016, S. 91; Der Bayerische



Kap. 1: Die DSGVO als Rechtsrahmen127

DSGVO wurde dabei allerdings kein Gebrauch gemacht.67 Vielmehr zeugen insbesondere die reformierten §§ 67a ff. SGB X68 davon, dass die Einwilli­ gung auch in diesem Bereich als probates Mittel eingesetzt werden kann.69 Wenngleich damit das „Ob“, also die grundsätzliche Frage nach der Anwend­ barkeit der Einwilligung im Gesundheitswesen beantwortet werden kann, verbleibt die Problematik der konkreten Ausgestaltung („Wie“). Zentraler Problemkreis ist dabei insbesondere der Aspekt der Freiwilligkeit, der nach den Vorgaben des Erwägungsgrundes 43 insbesondere dann in Frage zu stel­ len ist, wenn ein „klares Ungleichgewicht“ zwischen den Beteiligten be­ steht.70 II. Die Möglichkeit zur Modifikation der Einwilligung im Kontext des Beschäftigtendatenschutzes Gem. Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten durch Rechtsvor­ schriften oder Kollektivvereinbarungen spezifische Vorschriften zur Gewähr­ leistung des Schutzes der Rechte und Freiheiten bei der Verarbeitung perso­ nenbezogener Beschäftigtendaten vorsehen. Allen voran steht es den Mit­ gliedstaaten frei, die Bedingungen der Einwilligung im Beschäftigtenkontext festzulegen.71 Von dieser Regelungsbefugnis machte der Bundesgesetzgeber mit der Schaffung des § 26 Abs. 2 BDSG72 Gebrauch.73 Neben der Klarstel­ lung, dass auch im Arbeitsverhältnis die Einwilligung ein zulässiges In­ Landesdatenschutzbeauftragte, Datenschutzreform 2018 – Der Sozialdatenschutz un­ ter der Geltung der Datenschutz-Grundverordnung, September 2017, S. 1; Reimer, in: Sydow, DSGVO, Art. 6 Rn. 85. 67  Der Bayerische Landesbeauftragte für den Datenschutz, Mitteilung September 2017, S. 3; Buchner / Kühling, DuD 2017, 544 (545). 68  Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017, BGBl. I 2017, 2541 ff. 69  Buchner / Kühling, DuD 2017, 544 (545); Ingold, in: Sydow, DSGVO, Art. 7 Rn. 11; so i. E. auch der Bayerische Landesdatenschutzbeauftragte, Datenschutzre­ form 2018 – Die Einwilligung nach der Datenschutz-Grundverordnung, S. 7. Abruf­ bar unter: https: /  / www.datenschutz-bayern.de / datenschutzreform2018 / einwilligung. pdf, zuletzt abgerufen am 10.10.2018. 70  Dazu weiterführend unter Dritter Teil Kap. 4 C. 71  Vgl. Erwägungsgrund 155 Satz 1 DSGVO. 72  Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016 / 679 und zur Umsetzung der Richtlinie (EU) 2016 / 680 (Datenschutz-Anpassungs- und  – Umsetzungsgesetz EU – DSAnpUG-EU) vom 30. Juni 2017, BGBl. I 2017, 2097 ff. 73  Vgl. dazu m. w. N. Benkert, NJW-Spezial 2018, 562; Kleinebrink, DB 2018, 1729; Gola, BB 2017, 1462; Kort, ZD 2017, 319 (319); Riesenhuber, in: Wolff / Brink, BeckOK Datenschutzrecht, § 26 BDSG Rn. 1; Maschmann, in: Kühling / Buchner, DSGVO / BDSG, § 26 BDSG Rn. 1; Pötters, in: Gola, DSGVO, Art. 88 Rn. 28.

128

Dritter Teil: Die Einwilligung

strument zur Rechtfertigung der Datenverarbeitung bleibt,74 verschärft § 26 Abs. 2 BDSG sowohl formell als auch materiell die Anforderungen an eine wirksame Einwilligung75. Gem. § 26 Abs. 2 Satz 1 BDSG sind für die Beurteilung der Freiwilligkeit insbesondere die im Beschäftigtenverhältnis bestehende Abhängigkeit der beschäftigten Personen sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.76 Es bedarf einer Einzelfallbetrach­ tung, wobei primär die Art der verarbeiteten Daten, die Eingriffstiefe sowie der Zeitpunkt der Einholung der Erklärung maßgeblich sind.77 Sofern die Erteilung der Einwilligung in Zusammenhang mit einem wirtschaftlichen oder rechtlichen Vorteil für den Arbeitnehmer steht, spricht das gem. § 26 Abs. 2 Satz 2 Alt. 1 BDSG regelmäßig für eine freiwillig erteilte Einwilli­ gung. Ein solcher Vorteil kann nach der Gesetzesbegründung in der Gestat­ tung der Privatnutzung der betrieblichen IT oder aber in der Etablierung eines betrieblichen Gesundheitsmanagements gesehen werden.78 Soweit dem Be­ schäftigten allerdings kein Vorteil aus der Datenverarbeitung erwächst, ist regelmäßig davon auszugehen, dass die Anforderungen der Freiwilligkeit nicht vorliegen.79 Zudem können gleichlaufende Interessen des Arbeitgebers und des Arbeitnehmers gem. § 26 Abs. 2 Satz 2 Alt. 2 BDSG die Freiwillig­ keit der erteilten Einwilligung implizieren. Die Einwilligung in die Datenver­ arbeitung zum Zweck des Erhalts und der Verbesserung des Betriebsklimas, beispielsweise durch die Erstellung einer Geburtstagsliste, wird daher regel­ mäßig als freiwillig erteilte Einwilligung zu bewerten sein.80 Mit Blick auf die formellen Voraussetzungen statuiert § 26 Abs. 2 Satz 3 BDSG, dass die Einwilligung grundsätzlich der Schriftform bedarf. Dadurch soll nach dem Willen des Gesetzgebers einerseits der informationellen Selbstbestimmung der Arbeitnehmer Rechnung getragen, andererseits aber auch die durch Art. 7 Abs. 1 DSGVO normierte Nachweispflicht81 konkreti­ siert werden.82 Zugleich normiert § 26 Abs. 2 Satz 3 BDSG eine Ausnahme vom Schriftformerfordernis, soweit wegen besonderer Umstände eine andere 74  Wybitul,

NZA 2017, 413 (416); Pötters, in: Gola, DSGVO, Art. 88 Rn. 85. BB 2017, 1462 (1467); Kort, ZD 2017, 319. 76  Zu den Problemkreisen der Einwilligung im Kontext des Beschäftigtenverhält­ nis vgl. Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Rea­ lität, S. 22 ff., S. 124 ff., S. 223. Allgemein zum Grundsatz der Freiwilligkeit unter Teil 4 Kap. 4 C. 77  BT-Drs. 18 / 11325, S. 97. 78  BT-Drs. 18 / 11325, S. 97. 79  Wybitul, NZA 2017, 413 (416). 80  BT-Drs. 18 / 11325, S. 97. 81  Vgl. dazu die Ausführungen unter Kap. 3 C. 82  BT-Drs. 18 / 11325, S. 97. 75  Gola,



Kap. 1: Die DSGVO als Rechtsrahmen129

Form angemessen ist. Zum Begriff der besonderen Umstände schweigt die Gesetzesbegründung, es liegt jedoch nahe, dass das digitalisierte Berufsleben regelmäßig besondere Umstände hervorbringt, welche den Ausnahmetatbe­ stand rechtfertigen83. Zudem ist der Arbeitnehmer gem. § 26 Abs. 2 Satz 4 BDSG über den Zweck der Verarbeitung sowie über das gem. Art. 7 Abs. 3 DSGVO bestehende Widerrufsrecht aufzuklären. Im Ergebnis wird der Einwilligung im Beschäftigtenverhältnis eine unter­ geordnete Rolle beigemessen.84 Angesichts der hohen Anforderungshürden ist das Instrument in diesem Kontext wenig praktikabel,85 zumal erforder­ liche Verarbeitungsvorgänge regelmäßig auf die gesetzlichen Tatbestände des § 26 Abs. 1, Abs. 3  BDSG respektive Art. 6 Abs. 1 Satz 1 lit. f DSGVO ge­ stützt werden können86.

C. Zwischenfazit Insgesamt lässt sich festhalten, dass mit Geltung der DSGVO keine we­ sentlichen Verschiebungen im Bereich der sachlichen Anwendbarkeit des Datenschutzrechts feststellbar sind. Mit der Normierung des Marktortprinzips findet sich hingegen eine positive Innovation im Bereich der räumlichen Anwendbarkeit. Wenngleich allen voran die Internetindustrie nunmehr regel­ mäßig die Vorgaben des Datenschutzes beachten muss, profitiert sie letztlich von einer einheitlichen, umfassenden und rechtssicheren Datenschutznormie­ rung. Die formellen und materiellen Voraussetzungen der Einwilligungserklä­ rung ergeben sich zukünftig maßgeblich aus den Vorgaben der DSGVO. So­ weit das Verhältnis zwischen der e-Privacy-VO und der DSGVO noch um­ stritten ist, kann die exakte Abgrenzung jedenfalls im Kontext der Einwilli­ gungserklärung nach derzeitigem Stand offen bleiben, da auch im vorgesehe­ nen Anwendungsbereich der e-Privacy-VO die formellen und materiellen Einwilligungsvoraussetzungen der DSGVO zur Anwendung gelangen. Darü­ 83  Thüsing / Schmidt / Forst, RDV 2017, 116 (122); Wybitul, NZA 2017, 413 (417); Gola, BB 2017, 1462 (1467); kritisch hierzu Kleinebrink, DB 2018, 1729 (1735) der aus Gründen der Rechtssicherheit den Rückgriff auf die Schriftform im Sinne des § 126 BGB empfiehlt. 84  So auch die Artikel-29-Datenschutzgruppe, Stellungnahme  02 / 2017 zur Daten­ verarbeitung im Beschäftigtenverhältnis. Zusammenfassend hält diese fest: „consent is highly unlikely to be a legal basis for data processing at work, unless employees can refuse without adverse consequence; […]“, Stellungnahme 02 / 2017, S. 3; so no­ chmals deutlich: Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guide­ lines on Consent under Regulation 2016 / 679, WP 259, S. 8. 85  Imping, CR 2017, 378 (384); Byers / Wenzel, BB 2017, 2036 (2040). 86  Gola, BB 2017, 1462 (1467); Pötters, in: Gola, DSGVO, Art. 88 Rn. 87.

130

Dritter Teil: Die Einwilligung

ber hinaus steht es den Mitgliedstaaten frei, jedenfalls im Kontext des Be­ schäftigtendatenschutzes sowie der besonderen Kategorien personenbezoge­ ner Daten die Voraussetzungen der Einwilligungserklärung zu spezifizieren. Während der Bundesgesetzgeber den letzteren Fall ausdrücklich nicht kon­ kretisiert hat, wurden für die Einwilligung im Arbeitsverhältnis restriktivere Vorgaben normiert. Beiden Teilbereichen ist jedoch gemein, dass die Recht­ fertigung mittels der Einwilligung bislang eine untergeordnete Rolle einge­ nommen hat. Kapitel 2

Die persönlichen Einwilligungsvoraussetzungen Unabhängig von den formellen und materiellen Anforderungen an die Ein­ willigungserklärung ist vorab zu untersuchen, welche Voraussetzungen grundlegend an die Person des Betroffenen zu stellen sind, damit dieser wirksam in die Verarbeitung personenbezogener Daten einwilligen kann. Neben der Frage der Höchstpersönlichkeit der Einwilligungserklärung (A.) ist allen voran zu prüfen, unter welchen Bedingungen von der Einwilligungs­ fähigkeit des Betroffenen gesprochen werden kann (B.).

A. Die Einwilligungsberechtigung I. Die Einwilligung als höchstpersönliche Willensbekundung? In Ermangelung allgemeiner Vorgaben zur Einwilligungsberechtigung in­ nerhalb der DSGVO87 ist vorab zu untersuchen, wer letztlich zur Abgabe berechtigt ist. In Betracht kommt dabei, dass die datenschutzrechtliche Einwilligungser­ klärung lediglich durch den datenschutzrechtlich unmittelbar Betroffenen im Sinne einer höchstpersönlichen Willensbekundung abgegeben werden kann. Als höchstpersönlich müsste die Einwilligungserklärung dann eingestuft wer­ den, wenn sie aufgrund ihres Wesens dergestalt mit der betroffenen Person verknüpft ist, dass eine Geltendmachung durch einen Dritten ausgeschlossen ist.88 Sinnbildlich für den erforderlichen Konnex zwischen Erklärung und Person ist der Umstand, dass regelmäßig die Eheschließung oder aber die 87  Vgl. nur Ingold, in: Sydow, DSGVO, Art. 7 Rn. 18 ff.; Kühling / Buchner, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 31. 88  Vgl. zum Begriff der Höchstpersönlichkeit jedenfalls nach übertragbaren deut­ schem Verständnis Zimmermann, BWNotZ 1998, 101; Schäfer, in: Bamberger /  Roth / Hau / Poseck, BeckOK BGB, § 164 Rn. 4.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen131

Testamentserrichtung zur Illustration der höchstpersönlichen Willensbekun­ dung herangezogen werden.89 Mithin handelt es sich um Erklärungen, wel­ che erhebliche Auswirkungen sowohl auf den Erklärenden als auch auf des­ sen unmittelbares Umfeld entfalten.90 Mit Blick auf dieses Erfordernis sollen daher im Folgenden sowohl die Legaldefinition der Einwilligung in Art. 4 Nr. 11 DSGVO sowie systematische und teleologische Erwägungen beleuch­ tet werden. 1. Wortlaut des Art. 4 Nr. 11 DSGVO Gem. Art. 4 Nr. 11 DSGVO ist unter der Einwilligungserklärung jede Wil­ lensbekundung in Form einer Erklärung oder einer sonstigen eindeutig be­ stätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten ein­ verstanden ist, zu verstehen. Dabei lässt sich der Legaldefinition zunächst nicht entnehmen, ob die Erklärung unmittelbar durch den Betroffen zu erfol­ gen hat oder ob die Zwischenschaltung eines Dritten zulässig sein soll.91 Es bedarf daher einer genaueren Untersuchung der einzelnen Elemente der De­ finition. Art. 4 Nr. 11 DSGVO stellt zunächst auf das Merkmal der Willensbekun­ dung ab. Erforderlich ist, dass der Betroffene unmissverständlich klarstellt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist.92 Vorausgesetzt wird eine aktive und bewusste93 Handlung, da sowohl Schweigen als auch das Akzeptieren bereits voreingestellter Kästchen (optout) respektive die bloße Untätigkeit keine Einwilligungserklärung darstellen sollen.94 Dass aber lediglich ein nach außen gerichtetes, aktives Verhalten gefordert wird, ist jedenfalls Indiz dafür, dass jede Form der Bekundung, 89  Vgl. zur deutschen Rechtslage Spickhoff, in: Säcker / Rixecker / Oetker / Limp­ berg, Münchener Kommentar zum Bürgerlichen Gesetzbuch, § 1793 Rn. 28. Beispiel­ haft zur Anwendung des Grundsatzes der Höchstpersönlichkeit innerhalb weiterer europäischer Rechtsordnungen: Dethloff, Familienrecht, § 3 Rn. 58 ff. 90  Stellvertretend für den Höchstpersönlichkeitsgrundsatz im Erbrecht vgl. Czubayko, in: Burandt / Rojahn, Erbrecht, § 2064 BGB Rn. 1; Leipold, in: Säcker / Rix­ ecker / Oetker / Limpberg, Münchener Kommentar zum Bürgerlichen Gesetzbuch, § 2064 BGB Rn. 1. 91  So auch Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 31. 92  Vgl. Erwägungsgrund 32 Satz 1 DSGVO. 93  Buchner / Kühling sprechen insofern vom notwendigen Einwilligungsbewusst­ sein, vgl. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG Art. 7 Rn. 56. 94  Vgl. Erwägungsgrund 32 Satz 3 DSGVO. Ausführlich zu dem Opt-Out-Verfah­ ren unter Dritter Teil Kap. 3 B. I. 1.

132

Dritter Teil: Die Einwilligung

also auch die Erklärung unter Heranziehung eines Dritten möglich, sein könnte. Hinsichtlich der erforderlichen Form der Willensbekundung konstatiert Art. 4 Nr. 11 DSGVO, dass die Einwilligung in Form einer Erklärung oder einer sonstigen bestätigenden Handlung zu erfolgen hat.95 Damit können im Ergebnis auch rein tatsächliche Handlungen im Sinne einer Einwilligungser­ klärung interpretiert werden.96 Entscheidend soll gerade nicht sein, ob es sich bei dem Einverständnis um eine Erklärung oder eine bloße tatsächliche Vornahme handelt,97 solange die Voraussetzungen der DSGVO an die wirk­ same Einwilligungserklärung berücksichtigt werden.98 So verstanden lässt die Begriffsbestimmung des Art. 4 Nr. 11 DSGVO offen, ob die Erklärung tatsächlich höchstpersönlich zu erfolgen hat. Maßgeblich ist, dass sich die Willensbekundung in der Erklärung manifestiert, wobei auch denkbar ist, dass dies beispielsweise im Rahmen einer Vollmachtserteilung geschieht.99 Dabei ist jedoch zu bedenken, dass das Einverständnis gem. Art. 4 Nr. 11 DSGVO als Einwilligung der betroffenen Person bestimmt wird, mit der diese zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Auf den ersten Blick spricht das für die Höchstpersönlichkeit, da deutlich wird, dass die betroffene Person der zentrale Bezugspunkt der datenschutzrechtlichen Einwilligungserklärung und insbesondere der damit verbundenen Informationspflichten ist.100 Dem wie­ derum kann entgegengehalten werden, dass zwar die Entscheidung über die Datenverarbeitung durch die betroffene Person getroffen werden muss, es jedoch nicht ersichtlich ist, ob diese Entscheidung tatsächlich ohne weitere Zwischenakte unmittelbar durch die betroffene Person erklärt werden muss. Vielmehr muss lediglich der Wille der betroffenen Person, dass die Datenver­ arbeitung in ihrem Sinne erfolgt, deutlich zum Vorschein kommen. Der Wortlaut des Art. 4 Nr. 11 DSGVO positioniert sich damit tendenziell im Sinne der grundrechtlich garantierten Kontrollfunktion der Einwilligungs­ 95  Ausführlich zu den Formvorgaben der Einwilligungserklärung unter Dritter Teil Kap. 3. 96  Ingold, in: Sydow, DSGVO, Art. 4 Rn. 170. 97  Der Streit um die Rechtsnatur der Einwilligungserklärung wird auch nach den Vorgaben der DSGVO fortzusetzen sein, da es an einer ausdrücklichen Bestimmung innerhalb der Verordnung fehlt, vgl. Stemmer, in: Wolff / Brink, BeckOK Datenschutz­ recht, Art. 7 DSGVO Rn. 27 ff. Umfassend zur Rechtsnatur der Einwilligungserklä­ rung im Rahmen der bisherigen Rechtslage Ohly, „Volenti non fit iniura“, S. 178 ff.; von Zimmermann, Die Einwilligung im Internet, S. 8 ff.; Funke, Dogmatik und Vo­ raussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 74 ff. 98  Ingold, in: Sydow, DSGVO, Art. 7 Rn. 13. 99  Gola, in: Gola, DSGVO, Art. 4 Rn. 86. 100  Ingold, in: Sydow, DSGVO, Art. 7 Rn. 19.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen133

erklärung, indem der Betroffene als zentraler Bezugspunkt der Erklärung genannt wird. Mit Blick auf die Frage, ob die Erklärung tatsächlich unmittel­ bar durch den Betroffenen abgeben werden muss, bleibt der Wortlaut jedoch zumindest interpretierbar. Ein ausdrücklicher gesetzlicher Ausschluss der Einbeziehung eines Dritten findet sich jedenfalls nicht, sodass im Folgenden untersucht werden soll, ob systematische Erwägungen für oder gegen die Zwischenschaltung einer wei­ teren Person bei der Abgabe der Erklärung sprechen. 2. Systematische Erwägungen In der Tendenz könnten systematische Erwägungen zur Begründung der Höchstpersönlichkeit der Einwilligungserklärung herangezogen werden. Ins­ besondere spricht der Umstand, dass in Artikel 8 Abs. 1 Satz 2 DSGVO ausdrücklich die Hinzuziehung Dritter bei der Abgabe der Einwilligungser­ klärung vorgesehen ist, nicht zwingend für eine allgemeine Zulässigkeit der Einbeziehung Dritter im Kontext der DSGVO.101 Dabei ist bereits fraglich, ob es sich bei der Zustimmung im Sinne des Art. 8 Abs. 1 Satz 2 DSGVO tatsächlich um eine Stellvertretung im Rechtssinne handelt.102 Mit Blick auf die Bedeutung der informationellen Selbstbestimmung, deren Grundrechtsge­ halt gleichermaßen auch den Schutz der Kinder umfasst,103 ist es überzeu­ gend, aus den Vorgaben des Art. 8 Abs. 1 Satz 2 DSGVO lediglich eine zu­ sätzliche Wirksamkeitsvoraussetzung der Einwilligung des Kindes zu le­ sen.104 Die Einwilligung des Kindes bleibt Grundvoraussetzung, ohne die entsprechende Mitwirkungshandlung der Träger der elterlichen Verantwor­ tung kann diese jedoch unter Umständen nicht den Verarbeitungsvorgang legitimieren.105 Aber auch für den Fall, dass darin eine Form der Stellvertre­ tung gesehen wird, kann aus Art. 8 Abs. 1 Satz 2 DSGVO der Rückschluss gezogen werden, dass die dezidierte Normierung der Stellvertretung im Speziellen die Zulässigkeit im Übrigen versperrt.106 Insgesamt lässt sich al­ 101  So aber Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 162; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 19. 102  Umfassende Ausführungen zu den Vorgaben des Art. 8 DSGVO finden sich unter B. II. 103  Vgl. dazu Artikel-29-Datenschutzgruppe, Arbeitspapier 1 / 2008 zum Schutz der personenbezogenen Daten von Kindern, WP 147, S. 2. 104  So i. E. auch Kress / Nagel, CRi 2017, 6 (7); Heckmann / Pascke, in: Ehmann /  Selmayr, DSGVO, Art. 8 Rn. 10. 105  So auch Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Ein­ willigung im Zivilrecht, S. 214. 106  In diesem Sinne können auch die Ausführungen der Artikel-29-Datenschutz­ gruppe verstanden werden, die im Rahmen der Stellungnahme zur Definition von

134

Dritter Teil: Die Einwilligung

lerdings festhalten, dass auch auf Grundlage systematischer Erwägungen kein eindeutiges Ergebnis gefunden werden kann. 3. Teleologische Erwägungen Mit Blick auf das Wesen der Einwilligungserklärung107 sind bei der Frage der Höchstpersönlichkeit insbesondere grundrechtliche Aspekte zu berück­ sichtigen. Vertreten wird dabei, dass das grundrechtliche Fundament des Datenschutzrechts gerade auch die Möglichkeit umfasst, dieses Recht durch einen Dritten auszuüben.108 Für diesen Befund wird allen voran angeführt, dass die Grundrechtsgarantie zwar der Absicherung des Datenschutzniveaus dient, daraus aber keine Einschränkung („Bevormundung“) des datenschutz­ rechtlich Betroffenen erwachsen soll.109 Die Anforderungen an die zugrunde­ liegende Vollmacht sollen sich dabei allerdings an den Anforderungen an die Einwilligungserklärung messen lassen müssen, wobei es insbesondere eines konkreten, ausdrücklichen und hinreichend bestimmten Inhalts der Vollmacht­ erklärung bedarf.110 Dabei gilt es allerdings zu bedenken, dass die grundrechtliche Selbstbe­ stimmung im Kontext des Datenschutzrechts die Persönlichkeitsentwicklung und -entfaltung des betroffenen Datensubjekts schützt, indem diesem persön­ lich die Möglichkeit zur Kontrolle über die eigenen personenbezogenen Da­ ten eingeräumt wird.111 Die Einbeziehung eines Dritten aber birgt die Gefahr, dass die Ausübung selbstbestimmter Kontrolle durch die bewusste Aufgabe und Übertragung der Kontrollbefugnisse überlagert wird. Jedenfalls im Rah­ men der zu erteilenden Vertretungsmacht wird dem Stellvertreter die Daten­ dispositionsbefugnis eingeräumt und zugleich die eigene Kontrolle partiell aus der Hand gegeben. Vor diesem Hintergrund lässt sich beispielsweise Er­ wägungsgrund 32 Satz 1 entnehmen, dass es ausschließlich auf die betroffene Person bei der Abgabe ankommen soll.112 Auch Erwägungsgrund 40 Satz 1 Einwilligung, WP 187, S. 33 ff., die Stellvertretung ausschließlich im Kontext von Personen mit eingeschränkter Rechts- und Geschäftsfähigkeit ansprechen. 107  Vgl. dazu bereits die Ausführungen unter Zweiter Teil Kap. 2. 108  Vgl. dazu Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 31; Gola, in: Gola, DSGVO, Art. 4 Rn. 70. 109  Ingold, in: Sydow, DSGVO, Art. 7 Rn. 19; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 31 unter Verweis auf die bisher zu der Einwil­ ligung nach dem BDSG aufgeworfenen Argumente. 110  Vgl. dazu Hoffmann, NZS 2017, 807 (809); Buchner / Kühling, in: Kühling /  Buchner, DSGVO / BDSG, Art. 7 Rn. 31; Gola, in: Gola, DSGVO, Art. 4 Rn. 70; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 19. 111  Vgl. dazu bereits die Ausführungen unter Zweiter Teil Kap. 2. B. 112  Vgl. Erwägungsgrund 32 Satz 1 DSGVO.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen135

stellt klar, dass die Verarbeitung nur auf Grundlage der Einwilligung der je­ weils betroffenen Person rechtmäßig ist.113 Auch die entsprechende Nach­ weispflicht im Sinne des Art. 7 Abs. 1 DSGVO bezieht sich auf die Einwilli­ gung durch die betroffene Person. Mithin soll sichergestellt werden, dass der Betroffene weiß, dass und in welchem Umfang die Einwilligung erteilt wur­ de.114 Deutlich wird, dass sowohl der erläuternde als auch der verfügende Teil der DSGVO den unmittelbar Betroffenen in das Zentrum der Grund­ rechtsdisposition rücken möchten. Auf etwaige Zwischenakte kann und darf es damit grundsätzlich nicht ankommen. Dabei ist allerdings nicht von der Hand zu weisen, dass die Einbeziehung Dritter bei der Abgabe der Willensbekundung auch als zentrale Ausgestal­ tungsform informationeller Selbstbestimmung zu werten sein könnte. In die­ sem Sinne ist es jedenfalls denkbar, dass trotz der Höchstpersönlichkeit der Einwilligungserklärung Stellvertreterfälle115 in begrenztem Maße zulässig sein könnten.116 Schwenke schlägt dabei vor, die Abgrenzung nach der Grundrechtsintensität vorzunehmen.117 Wenngleich es bei dem Grundsatz der Höchstpersönlichkeit bleiben soll, soll die Stellvertretung jedenfalls in alltäg­ lichen Fällen ohne besondere Grundrechtsrelevanz möglich sein, da es ande­ renfalls „eine Förmelei [wäre], am Erfordernis der Höchstpersönlichkeit fest zu halten.“118 Dem ist allerdings entgegenzuhalten, dass die Frage, ob und wann von einer lediglich minimalinvasiven Grundrechtsbeeinträchtigung auszugehen ist, kaum praxisgerecht beantwortet werden kann. Dabei ist zu­ dem der Aspekt der umfassenden Vernetzung zu berücksichtigen: Selbst für den Fall, dass der einzelne Verarbeitungsvorgang als minimalinvasiv zu wer­ ten ist, besteht regelmäßig die Gefahr der weitergehenden quantitativen als auch qualitativen Kumulation. Insgesamt sprechen daher die gewichtigeren teleologischen Argumente dafür, die datenschutzrechtliche Einwilligung als höchstpersönliche Erklärung zu werten. 113  Erwägungsgrund 40

Satz 1 DSGVO. Satz 1 DSGVO. 115  Die Bestimmungen des allgemeinen Zivilrechts, insbesondere der §§ 164  ff. BGB, sind in diesem Fall mangels entsprechender europarechtlicher Vorgaben jeden­ falls entsprechend anwendbar, dabei sind jedoch, die Wertungen der DSGVO hinrei­ chend zu berücksichtigen, vgl. dazu von Lewinski / Herrmann, PinG 2017, 165 (169); Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 8; Stemmer, in: Wolff /  Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 28. 116  Entgegen dem allgemeinen Grundsatz des Ausschlusses der Stellvertretung bei höchstpersönlichen Erklärungen, vgl. dazu m. w. N. Schubert, in: Säcker / Rixecker /  Oetker / Limpberg, Münchener Kommentar zum Bürgerlichen Gesetzbuch, § 164 Rn. 89. 117  Vgl. Schwenke, Individualisierung und Datenschutz, S. 190. 118  Schwenke, Individualisierung und Datenschutz, S. 190. 114  Erwägungsgrund 42

136

Dritter Teil: Die Einwilligung

II. Zwischenergebnis Unter Berücksichtigung der vorstehenden Erwägungen ist es daher konse­ quent, die Einwilligungserklärung auch im Sinne der DSGVO als höchstper­ sönliche Erklärung einzuordnen.119 Maßgeblich ist dabei zunächst, dass die Ausübung informationeller Selbstbestimmung einerseits untrennbar mit der betroffenen Person verbunden ist, andererseits gerade der Einwilligende Be­ zugspunkt sämtlicher Informations- und Nachweispflichten ist. Neben der Untrennbarkeit des Grundrechts rechtfertigen aber auch die regelmäßig zu erwartenden Folgen der Grundrechtsausübung die Annahme der Höchstper­ sönlichkeit. Insbesondere im Kontext der Digitalisierung und der damit ver­ bundenen Ökonomisierung personenbezogener Daten kann deren Hingabe weitreichende Konsequenzen für den Betroffenen umfassen.

B. Die Einwilligungsfähigkeit nach den Vorgaben der DSGVO Über die Frage der Einwilligungsberechtigung hinaus ist die Einwilli­ gungsfähigkeit weiteres wesentliches persönliches Wirksamkeitselement. Neben der Untersuchung allgemeiner Vorgaben (I.), stellt sich die Problema­ tik der Einwilligungsfähigkeit insbesondere bei Kindern und Jugendlichen (II.). I. Allgemeine Einwilligungsfähigkeit nach der DSGVO Auch zu der Frage der allgemeinen Einwilligungsfähigkeit finden sich keine dezidierten Vorgaben im Normenkorpus der DSGVO.120 Allen voran können die in Art. 8 Abs. 1 DSGVO festgelegten Altersgrenzen nicht verall­ gemeinert werden, da sie sich tatbestandlich ausschließlich auf Angebote von Diensten der Informationsgesellschaft beziehen, die einem Kind direkt ge­ macht werden.121 In der Konsequenz können sich daher abhängig vom Kon­ text der jeweiligen Datenverarbeitung unterschiedliche Anforderungen an die Einwilligungsfähigkeit ergeben.122 119  So auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 10; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 38; Gola, in: Gola, DSGVO, Art. 4 Rn. 86; Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 65. 120  Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 219; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 486. 121  Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 34; Plath, in: Plath, BDSG / DSGVO, Art. 8 DSGVO Rn. 7. 122  Nebel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, S. 139 Rn. 98.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen137

Solange und soweit der Tatbestand des Art. 8 Abs. 1 DSGVO allerdings nicht erfüllt ist, bleibt es überzeugenderweise dabei, dass die Einwilligungs­ fähigkeit des Betroffenen anhand dessen Einsichtsfähigkeit im Einzelfall zu ermitteln ist.123 In diesem Sinne kann die Einwilligung nur dann als wirksam erachtet werden, wenn der Erklärende tatsächlich die grundrechtliche Reichund Tragweite seiner Entscheidung erkennt beziehungsweise erkennen kann.124 Der gleichermaßen durch die Vorgaben der DSGVO intendierte Grundrechtsschutz spricht dafür, dass das bislang allen voran im deutschen Datenschutzrecht125 herangezogene Kriterium der Einsichtsfähigkeit weiter­ hin Gültigkeit besitzen soll.126 Allgemein lässt sich dabei festhalten, dass die Einwilligungserklärung im Sinne des Art. 4 Nr. 11 DSGVO ein entsprechendes Verständnis der zugrun­ deliegenden Datenverarbeitung erfordert, aber auch für ausreichend erach­ tet.127 Dafür sprechen auch die gesonderten Anforderungen bei besonders schutzbedürftigen Personengruppen. Im Speziellen begründet die Verordnung beispielsweise die Schutzbedürftigkeit minderjähriger Betroffener insbeson­ dere damit, dass sich diese der Risiken der Datenverarbeitung möglicher­ weise weniger bewusst sind128 beziehungsweise die mit der Verarbeitung verbundenen Gefahren, allen voran im Internet, nicht vollumfänglich absehen können129. Abseits normativer Umschreibungen setzt das Bewusstsein über eine Datenverarbeitung aber weniger das Erreichen bestimmter Altersgrenzen als vielmehr die Möglichkeit zur aktiven Kenntnisnahme voraus.130 Mithin 123  So auch Joachim, ZD 2017, 414 (415); Hoffmann, NZS 2017, 807 (808); Gola / Schulz, ZD 2013, 475 (476); Buchner / Kühling, in: Kühling / Buchner, DSGVO /  BDSG, Art. 7 Rn. 70; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 32; Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer – DSGVO / BDSG, Art. 8 Rn. 8; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 2. 124  Hoffmann, NZS 2017, 807 (808); Stemmer, in: Wolff / Brink, BeckOK Daten­ schutzrecht, Art. 7 DSGVO Rn. 33. 125  Zur bisherigen Rechtslage Simitis, in: Simitis, Bundesdatenschutzgesetz, § 4a BDSG a. F. Rn. 20, 21; kritisch hierzu: Greve, in: Eßer / Kramer / v. Lewinski, Auern­ hammer – DSGVO / BDSG, Art. 8 Rn. 3 ff. 126  Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 68. 127  Vgl. dazu Erwägungsgrund 32 Satz 1 DSGVO; so auch Ernst, ZD 2017, 110 (111). 128  Erwägungsgrund 38 Satz 1 DSGVO; ebenso die englische respektive die fran­ zösische Sprachfassung des Erwägungsgrundes („less aware“ / „moins conscients“); vgl. dazu auch Erwägungsgrund 58 Satz 3 DSGVO. 129  Erwägungsgrund 65 Satz 3 DSGVO. 130  Ob die Einsichtsfähigkeit insbesondere im Kontext digitaler Dienstleistungen bei Kindern unter sieben Jahren gegeben sein kann, ist mit Blick auf die Komplexität der zugrundeliegenden Verarbeitungsvorgänge zumindest kritisch, vgl. dazu Sandfuchs, Privatheit wider Willen? S. 135. Dies unter Verweis auf § 104 Nr. 1 BGB ver­ neinend Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 76.

138

Dritter Teil: Die Einwilligung

ist positives Wissen131 erforderlich sowie die daraus resultierende grundle­ gende Einsicht über die mit der Einwilligung verbundenen Auswirkungen auf den Betroffenen132. Ergänzend dazu kann auch auf die Artikel-29-Datenschutzgruppe verwie­ sen werden, welche bereits im Jahr 2009 festhielt, dass „[…] sich die Aus­ übung […] [der] Rechte – einschließlich […] [der] Datenschutzrechte – am Stand […] [der] körperlichen und geistigen Entwicklung orientieren [muss]“133. Die Einwilligung eines Kindes soll jedenfalls dann wirksam sein, „[…] sofern es bereits die nötige Reife besitzt“134. Maßgebliche Kriterien zur Bestimmung der Reife / Einsichtsfähigkeit kön­ nen dabei sowohl der Stand der individuellen Entwicklung als auch die Quantität, Qualität und Komplexität des jeweiligen Verarbeitungsvorgangs sein.135 Jedenfalls mittelbar können dabei auch die Vorgaben des Art. 8 DSGVO miteinbezogen werden, sodass jedenfalls nach Vollendung des ­ 16. Lebensjahres von der Einwilligungsfähigkeit im Kontext analoger Daten­ verarbeitung auszugehen ist.136 II. Spezielle Vorgaben für Kinder bei Diensten der Informationsgesellschaft, Art. 8 DSGVO „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz […]“137. Wenngleich die DSGVO den Schutz personenbezogener Daten min­ derjähriger Betroffener an verschiedenen Stellen benennt,138 sind insbeson­ 131  Vgl. zum Begriff des Bewusstseins die Bedeutungsübersicht des Dudens: Mit­ unter ist Bewusstsein der „Zustand, in dem man sich einer Sache bewusst ist“, also deutliches Wissen beziehungsweise Gewissheit über etwas hat. Online abrufbar unter: https: /  / www.duden.de / rechtschreibung / Bewusstsein, zuletzt abgerufen am 10.10. 2018. 132  Vgl. zur allgemeinen Einwilligungsfähigkeit Minderjähriger, insbesondere im medizinischen Kontext Kaeding / Schwenke, MedR 2016, 935 (937). 133  Artikel-29-Datenschutzgruppe, Stellungnahme 02 / 2009 zum Schutz der perso­ nenbezogenen Daten von Kindern, WP 160, S. 6. 134  Artikel-29-Datenschutzgruppe, Stellungnahme 02 / 2009 zum Schutz der perso­ nenbezogenen Daten von Kindern, WP 160, S. 6. 135  Joachim, ZD 2017, 414 (416); Ernst, ZD 2017, 110 (111); Gola / Schulz, ZD 2013, 475 (476). 136  So auch Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 41. 137  Erwägungsgrund 38 Satz 1 DSGVO; vgl. dazu bereits die Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011 / 2025(INI)), Unterpunkt M. 138  Vgl. dazu Joachim, ZD 2017, 414 (415); Heckmann / Paschke, in: Ehmann / Sel­ mayr, DSGVO, Art. 8 Rn. 8 ff.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen139

dere die Vorgaben des Art. 8 DSGVO, als der „Patronus des MinderjährigenDatenschutzes“139, von erheblichem Interesse für die vorliegende Arbeit. Bei Angeboten eines Dienstes der Informationsgesellschaft, die einem Kind direkt gemacht werden, ist dessen Einwilligungsfähigkeit von der Voll­ endung des 16. Lebensjahrs abhängig, Art. 8 Abs. 1 Satz 1 DSGVO. Ande­ renfalls bedarf es der Mitwirkungshandlung des Trägers der elterlichen Ver­ antwortung, Art. 8 Abs. 1 Satz 2 DSGVO. Mithin sollen dadurch Kinder vor den „besonderen Gefährdungen durch das Internet [geschützt werden]“.140 Die Schutzbedürftigkeit der Kinder und Jugendlichen folgt in diesen Fäl­ len allen voran daraus, dass diese immer mehr in den Fokus unternehmeri­ scher Interessen geraten.141 Die eigene (zunehmende) Kaufkraft, die potenti­ elle Einflussnahme auf die Kaufentscheidung der Eltern, die frühzeitige Kundenbindung sowie die besondere Affinität für Werbemaßnahmen142 defi­ nieren Kinder und Jugendliche als besonders wichtige Zielgruppe143. Die marktwirtschaftliche Relevanz ergibt sich insbesondere aus dem Umstand, dass die Digitalisierung allen voran in dieser Altersgruppe weitestgehend abgeschlossen ist.144 Kinder sind durchschnittlich bereits ab dem zehnten Lebensjahr online,145 wobei regelmäßig von einer selbstständigen Nutzung des Internets ab dem 12. Lebensjahr ausgegangen werden kann146. Auf euro­ päischer Ebene kommt die Kommission zu dem Ergebnis, dass jedenfalls jeder dritte Internetnutzer ein Kind ist.147 Gerade aber die datenschutzrechtlichen Risiken bei der Kommerzialisie­ rung personenbezogener Daten im Rahmen digitaler Dienstleistungen sind Kress / Nagel, CRi 2017, 6 (7). Schulz, in: Gola, DSGVO, Art. 8 Rn. 14. 141  Rauda, MMR 2017, 15; Möhrke-Sobolewski / Klas, K&R 2016, 373; Höltge, ITRB 2016, 167; Gola / Schulz, ZD 2013, 475; Heckmann / Paschke, in: Ehmann / Sel­ mayr, DSGVO, Art. 8 Rn. 1. 142  So insbesondere Bauer, Datenschutzpraxis 2017, 16. 143  Vgl. dazu auch Landesanstalt für Medien Nordrhein-Westfalen (LfM), Wer­ bung und Kommerz im Internet, S. 4 ff. 144  Nach Möhrke-Sobolewski / Klas, K&R 2016, 373 (374) können zwischenzeit­ lich lediglich „[…] (manche) Erwachsene heute noch über den Luxus, gar nicht im Internet präsent zu sein [verfügen] […]“. 145  Vgl. Bitkom, Jung und vernetzt – Kinder und Jugendliche in der digitalen Ge­ sellschaft, S. 12. 146  Vgl. DAK, In welchem Alter hat Ihr Kind angefangen, das Internet selbststän­ dig zu nutzen? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 4910 21 / umfrage / beginn-der-internetnutzung-von-kinder-in-deutschland / , zuletzt abgeru­ fen am 10.10.2018. 147  Vgl. Europäische Kommission, Online-Plattformen im digitalen Binnenmarkt – Chancen und Herausforderungen für Europa, 25. Mai 2016, KOM (2016) 288 final. 139  So 140  So

140

Dritter Teil: Die Einwilligung

für Kinder regelmäßig nicht verständlich.148 Wenngleich allen voran für Minderjährige eine analoge Gesellschaft kaum mehr vorstellbar ist, fehlt es bei der Beurteilung entsprechender Datenverarbeitungsvorgänge oftmals an der erforderlichen Einsichtsfähigkeit respektive entsprechender Medienkom­ petenzen.149 Um der besonderen Schutzbedürftigkeit von Kinder und Jugendlichen im Kontext der Digitalisierung Rechnung zu tragen, finden daher mit Art. 8 DSGVO erstmals konkrete Vorgaben zur „Datenmündigkeit“150 Einzug in das europäische Datenschutzrecht151. 1. Verhältnis zu den allgemeinen Einwilligungsvoraussetzungen Bereits der Wortlaut des Art. 8 Abs. 1 Satz 1 DSGVO verdeutlicht, dass es sich bei Artikel 8 nicht um einen gesonderten Rechtfertigungstatbestand han­ delt.152 Bezugspunkt der Vorgaben des Art. 8 DSGVO ist die Einwilligung im Sinne des Art. 6 Abs. 1 Satz 1 lit. a DSGVO. Entsprechend ersetzen die Bedingungen des Art. 8 DSGVO nicht die allgemeinen Voraussetzungen der Einwilligung im Sinne des Art. 4 Nr. 11 respektive Art. 7 DSGVO, sondern erweitern diese vielmehr um gesonderte Wirksamkeitsvoraussetzungen im Bereich der Einwilligungsfähigkeit.153 Der Anwendungsbereich des Art. 8 DSGVO ist dabei jedoch sowohl personell als auch sachlich eng begrenzt.154

148  Vgl. dazu insbesondere im Kontext sozialer Netzwerke Jandt / Roßnagel, MMR 2011, 637. 149  Joachim, ZD 2017, 414 (415); Heckmann / Paschke, in: Ehmann / Selmayr, ­DSGVO, Art. 8 Rn. 1. Vgl. dazu auch die Ausführungen unter Dritter Teil Kap. 4 B. II. 1. b). 150  So Albrecht, CR 2016, 88 (97); ähnlich Dammann, der von der „Netzmündig­ keit“ spricht, vgl. Dammann, ZD 2016, 307 (311). 151  Kühling / Martini, EuZW 2016, 448 (451); Schantz, NJW 2016, 1841 (1845). 152  So i. E. auch Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 8 Rn. 11, allerdings mit Verweis auf die systematische Stellung der Norm. 153  Die Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 28, äußert sich diesbezüg­ lich wie folgt: „Article 8 introduces additional obligations to ensure an enhanced le­ vel of data protection of children in relation to information society services.“ Vgl. dazu ebenfalls Kress / Nagel, CRi 2017, 6 (7); Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 219; Schulz, in: Gola, ­DSGVO, Art. 8 Rn. 3; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 1, 19; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 8. 154  Kühling / Martini et al., Die DSGVO und das nationale Recht, S. 46; Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO / BDSG, Art. 8 Rn. 7; Buchner /  Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 1.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen141

2. Persönlicher Anwendungsbereich Zentraler personeller Anknüpfungspunkt der Vorgaben des Art. 8 DSGVO ist das Vorliegen eines von der Datenverarbeitung betroffenen Kindes. Ob­ wohl die DSGVO die Schutzbedürftigkeit der Kinder auch abseits der Vorga­ ben des Art. 8 DSGVO mehrfach dezidiert anerkennt,155 fehlt es in der ver­ abschiedeten Fassung an einer gesetzlichen Bestimmung der Kindesmerkma­ le.156 Der Kommissionsentwurf der DSGVO hingegen sah in Anlehnung an Art. 1 des Übereinkommens über die Rechte des Kindes vom 20.11.1989157 in Art. 4 Nr. 18 noch vor, dass als Kind jede Person bis zur Vollendung des achtzehnten Lebensjahres anzusehen ist.158 Aufgrund der festgelegten Alters­ grenzen in Art. 8 Abs. 1 Satz 1 DSGVO bedarf es allerdings jedenfalls im Kontext der Einwilligung auch keiner weitergehenden Definition des Kindes:159 Für den Fall, dass das Kind das 16. Lebensjahr vollendet hat,160 wird dessen Einwilligungsfähigkeit fingiert, im Falle jüngerer Betroffener bedarf es der weiteren Voraussetzungen des Art. 8 DSGVO.161 Vor diesem Hintergrund erscheint es allerdings als fraglich, 16- bis 18-jäh­ rige Betroffene in anderen datenschutzrechtlichen Fällen als Kinder im Sinne der DSGVO zu werten.162 Das Heranziehen einer einheitlichen Altersgrenze 155  Vgl. beispielsweise Art. 6 Abs. 1 Satz 1 lit. f, Art. 12 Abs. 1 Satz 1 HS. 2, Art. 16, Art. 17, Art. 22, Art. 24, Art. 40 sowie Art. 57 DSGVO. 156  Ernst, DANA 2017, 14; Weller, AnwZert ITR 3 / 2017 Anm. 2; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 16. 157  UN-Kinderrechtskonvention vom 20.11.1989, verabschiedet durch die General­ versammlung der Vereinten Nationen, Resolution 44 / 25. Aufgrund der Streichung der Definition in der finalen Fassung verweist die Artikel-29-Datenschutzgruppe nunmehr auf die Begriffsdefinition der Kinderrechtskonvention zur Bestimmung eines Kindes im Sinne der DSGVO, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 29. 158  Vgl. Kommission, KOM (2012) 11 endg., S. 49; dazu Gola / Schulz, ZD 2013, 475 (476). 159  Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 187; Schulz, in: Gola, DSGVO, Art. 8 Rn. 8; Kampert, in: Sydow, DSGVO, Art. 8 Rn. 8. 160  Gem. Art. 8 Abs. 1 UAbs. 2 DSGVO besteht für die Mitgliedstaaten die Mög­ lichkeit, die Altersgrenze bis zur Grenze des vollendeten 13. Lebensjahres herabzu­ setzen, in Deutschland wurde von dieser Möglichkeit kein Gebrauch gemacht, vgl. Bauer, Datenschutzpraxis, 2017, 16 (17); Bayerisches Landesamt für Datenschutzauf­ sicht, XV – Bedingungen für die Einwilligung eines Kindes, S. 2. 161  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 3, Rn. 19; Kampert, in: Sydow, DSGVO, Art. 8 Rn. 8; Heckmann / Paschke, in: Ehmann / Sel­ mayr, DSGVO Art. 8 Rn. 9. 162  So aber u. A.: Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S.  187; Heckmann / Paschke, in: Ehmann / Selmayr, ­DSGVO, Art. 8 Rn. 16.

142

Dritter Teil: Die Einwilligung

bei der Bestimmung des Begriffs des Kindes im Sinne der DSGVO würde vielmehr dazu beitragen, Wertungswidersprüche zu vermeiden.163 Die an­ dernfalls eintretende Problematik lässt sich anhand der zur Einwilligungser­ klärung korrespondierenden Informationspflicht illustrieren. Mithin müsste der siebzehnjährige Betroffene trotz fingierter Einwilligungsfähigkeit kindge­ recht informiert werden.164 Ob die kindgerechte Informationserteilung insbe­ sondere bei Heranwachsenden zu einer Zunahme der Informationsdichte führt, kann zumindest kritisch gesehen werden. Vielmehr ist zu befürchten, dass die Betroffenen an der Ernsthaftigkeit der Erklärung zweifeln und es damit zu Informationsdefiziten aufgrund der mangelnden Akzeptanz der Er­ klärungen kommen könnte. Die ursprünglich intendierte Verständniszunahme bei den Informationserteilungen würde damit in das Gegenteil verkehrt wer­ den. Heranwachsende, welche das 16. Lebensjahr bereits vollendet haben, sollten daher grundsätzlich nicht mehr als Kind im Sinne der DSGVO be­ trachtet werden. 3. Sachlicher Anwendungsbereich Der sachliche Anwendungsbereich des Art. 8 Abs. 1 DSGVO umfasst An­ gebote von Diensten der Informationsgesellschaft, die einem Kind direkt gemacht werden. Mithin ist im folgenden Abschnitt zu untersuchen, unter welchen Umständen ein Dienst die besonderen Schutzbestimmungen des Art. 8 Abs. 1 DSGVO auslöst. a) Dienste der Informationsgesellschaft Der Begriff des Dienstes der Informationsgesellschaft findet sich in Art. 4 Nr. 25 DSGVO wieder. Mittels des Verweises auf Art. 1 Abs. 1 lit. b der Richtlinie  (EU)  2015 / 1535165 werden darunter alle Dienstleistungen er­ fasst, die in der Regel gegen Entgelt elektronisch im Fernabsatz und auf in­ dividuellen Abruf eines Empfängers erbracht werden.

163  So wohl auch Kugelmann, DuD 2016, 566 (569), welcher postuliert: „Kind ist, wer das 16. Lebensjahr noch nicht vollendet hat (Art. 8 Abs. 1 Satz 1 DSGVO)“. 164  Vgl. dazu Erwägungsgrund 58 Satz 3 DSGVO. 165  Richtlinie (EU) 2015 / 1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. 2015 L 241, S. 1.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen143

aa) E  inheitlicher sachlicher Anwendungsbereich trotz Verweis auf Richtlinie Mitunter wird vertreten, dass der Verweis auf die umsetzungspflichtige RL  EU 2015 / 1535 zu divergierenden Anwendungsbereichen des Art. 8 ­DSGVO innerhalb der EU führen könnte.166 Dem kann allerdings entgegen­ gehalten werden, dass auch im Rahmen des Instruments der Richtlinie gem. Art. 288 Abs. 3 AEUV das Gebot der vollständigen und effektiven Umset­ zung zu beachten ist.167 Mithin sind die Mitgliedstaaten verpflichtet, „inner­ halb der ihnen […] belassenen Entscheidungsfreiheit die Formen und Mittel zu wählen, die sich zur Gewährleistung der praktischen Wirksamkeit (effet utile) der Richtlinien unter Berücksichtigung des mit ihnen verfolgten Zwecks am besten eignen.“168 Zweck der zugrundeliegenden Informations­ verfahrensrichtlinie ist die Schaffung größtmöglicher Transparenz zwischen den Beteiligten der Europäischen Union hinsichtlich technischer Vorschrif­ ten, um dadurch Handelshindernisse im Binnenmarkt abzubauen.169 Würden nunmehr einzelne Mitgliedstaaten bei der Umsetzung der Vorgaben der Richtlinie von den grundlegenden Begriffen des Art. 1 Abs. 1 („Für die Zwe­ cke dieser Richtlinie bezeichnet der Ausdruck […]“) abweichen, wäre dies mit dem Sinn und Zweck der Richtlinie (insbesondere Rechtssicherheit durch Transparenz) nicht zu vereinbaren. Aufgrund der harmonisierenden Wirkung der Richtlinie, jedenfalls im Kontext der Begriffsbestimmungen, sind daher die Bedenken bezüglich der Verweismethodik der DSGVO letztlich unbe­ gründet.170 bb) Das Kriterium der Entgeltlichkeit Da in Betracht kommende Internetdienstleistungen oftmals ohne unmittel­ bare finanzielle Gegenleistung erbracht werden, könnte insbesondere das Kriterium der Entgeltlichkeit den sachlichen Anwendungsbereich empfind­ lich einschränken. Dem kann jedoch mit der Tatsache, dass die jeweiligen 166  So Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 17; Frenzel, in: Paal / Pauly, DSGVO / BDSG Art. 8 Rn. 6. 167  Oppermann / Classen / Nettesheim, Europarecht, § 9 Rn. 95; Ruffert, in: Calliess /  Ruffert, EUV / AEUV, Art. 288 AEUV Rn. 28. 168  Statt vieler EuGH, Urt. v. 08.04.1976  – Rs. 48 / 75, Slg. 1976, 499 (517 Rn. 69 / 73). 169  Vgl. Erwägungsgrund 3, 6 sowie 7 Satz 1 der RL EU 2015 / 1535. 170  So i. E. auch Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 12 mit pauschalem Verweis darauf, dass die Normen bezüglich des Anwendungs­ bereichs einer Richtlinie nicht dem mitgliedstaatlichem Umsetzungsermessen unter­ fallen.

144

Dritter Teil: Die Einwilligung

Unternehmen regelmäßig erhaltene personenbezogene Daten kapitalisieren, entgegengetreten werden.171 Jedenfalls in den Konstellationen, in denen die Erbringung digitaler Dienstleistungen vom Bereitstellen etwaiger personen­ bezogener Daten abhängig gemacht wird, kann grundsätzlich von der Ent­ geltlichkeit im Sinne des Art. 1 Abs. 1 lit. b der RL EU 2015 / 1535 ausgegan­ gen werden.172 cc) Das Kriterium der elektronischen Übertragung Im Zusammenhang mit dem Tatbestandsmerkmal der elektronischen Über­ tragung stellt sich allen voran die Frage, ob auch Dienstleistungen mit Off­ line-Komponenten (gemischte Dienste) erfasst sein sollen. Unter Verweis auf die Auffassung des Generalanwalts beim EuGH im Rahmen seines Schluss­ antrags vom 11.05.2017 in der Rechtssache Asociación Profesional Elite Taxi gegen Uber Systems Spain SL173 geht die Artikel-29-Datenschutzgruppe da­ von aus, dass solche Dienste jedenfalls dann als Dienste der Informationsge­ sellschaft anzusehen sind, wenn die Offline- sowie die Online-Komponente eine untrennbare wirtschaftliche Einheit bilden.174 Entscheidend soll dabei sein, dass der Schwerpunkt, beziehungsweise das prägende Element des Dienstes auf der Online-Übertragung liegt.175 In der Folge unterfällt auch der Online-Warenverkauf der Norm, da die zentralen Elemente, Vertragsanbah­ 171  Vgl. dazu m. w. N. Kugelmann, DuD 2016, 566; Klabunde, in: Ehmann / Sel­ mayr, DSGVO, Art. 4 Rn. 95. 172  Vgl. dazu m. w. N. Schmidt-Kessel, ZfPW 2017, 84 (95); Wandtke, MMR 2017, 6 (8); Bräutigam, MMR 2012, 635 (639); differenzierend Specht, JZ 2017, 763 ff. welche zwischen der Hingabe personenbezogener Daten sowie der regelmäßig damit verbundenen Einwilligungserklärung im Rahmen des vertraglichen Synallagma unter­ scheidet. Vgl. dazu auch Erwägungsgrund 13 des Vorschlags für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte vom 9. Dezember 2015, COM (2015) 634 final: „In der digitalen Wirtschaft haben Informationen über Einzelpersonen für Marktteil­ nehmer immer mehr einen mit Geld vergleichbaren Wert. Digitale Inhalte werden häufig nicht gegen Zahlung eines Preises bereitgestellt, sondern gegen Erbringung einer anderen Leistung als Geld, d. h. durch Gewährung von Zugang zu personenbe­ zogenen oder sonstigen Daten. […]“. 173  Generalanwalt beim EuGH, Schlussantrag vom 11.05.2017  – C-434 / 15, BeckRS 2017, 109869. 174  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259, S. 29. 175  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259, S. 29; Generalanwalt beim EuGH, Schlussantrag vom 11.05.2017 – C-434 / 15, BeckRS 2017, 109869 Rn. 35. Der Argu­ mentation des Generalanwalts letztlich im Ergebnis folgend: EuGH, Urt. v. 20.12.2017 – C-434 / 15 – ECLI:EU:C:2017:981, Rn. 40.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen145

nung und -abschluss digital abgewickelt werden, wohingegen die Lieferung der Ware lediglich der Vertragserfüllung dient.176 dd) Ausnahmen vom Anwendungsbereich Ausdrücklich vom Anwendungsbereich der Richtlinie ausgenommen und damit letztlich auch dem Anwendungsbereich des Art. 8 DSGVO entzogen sind die in Art. 1 Abs. 1 lit. b Satz 2 der RL (EU) 2015 / 1535 i. V. m. Anhang I genannten Dienste. Ausgeschlossen sind damit beispielsweise die Bereitstel­ lung elektronischer Spiele in einer Spielhalle, allgemein Offline-Dienste, Sprachtelefondienste, Fernsehdienste, Hörfunkdienste oder aber der Teletext über Fernsehsignal.177 Darüber hinaus unterfallen auch Präventions- und Bera­ tungsdienste, welche unmittelbar einem Kind angeboten werden, nicht dem Anwendungsbereich des Art. 8 DSGVO.178 Wenngleich sich diese Bereichs­ ausnahme lediglich in den Erwägungsgründen wiederfindet, entfaltet diese jedenfalls bei der Auslegung der Norm ihre Wirkung.179 Zum Schutz des durch Art. 8 DSGVO intendierten Kindeswohls kann es erforderlich sein, dass des­ sen gesonderte Vorgaben zurücktreten, solange und soweit dies erforderlich ist.180 Insbesondere bei potentiellen Eltern-Kind-Konflikten, wie beispiels­ weise einer ungewollten Schwangerschaft oder Drogenproblemen wäre es dem betroffenen Kind nicht zumutbar, das Aufsuchen etwaiger (digitaler) Be­ ratungsstellen vom Willen der gesetzlichen Vertreter abhängig zu machen.181 ee) Zwischenergebnis Der Anwendungsbereich der Vorschrift fokussiert sich damit auf internet­ basierte Datenverarbeitungsvorgänge, wobei mit Blick auf Sinn und Zweck der Norm insbesondere aber nicht ausschließlich der Kontext sozialer Me­ dien von zentraler Bedeutung ist.182 Neben den klassischen Plattformen wie 176  Generalanwalt beim EuGH, Schlussantrag vom 11.05.2017  – C-434 / 15, BeckRS 2017, 109869 Rn. 36. 177  Vgl. Anhang I zur Richtlinie (EU) 2015 / 1535, ABl. 2015 L 241, S. 10. 178  Vgl. Erwägungsgrund 38 Satz 3 DSGVO. 179  Kritisch hierzu: Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 14; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 23. Zum Rechtscharakter der Erwägungsgründe vgl. die Ausführungen unter Erster Teil Kap. 2 B. III. 1. 180  Kampert, in: Sydow, DSGVO, Art. 8 Rn. 11. 181  Schulz, in: Gola, DSGVO, Art. 8 Rn. 18; Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer – DSGVO / BDSG, Art. 8 Rn. 15. 182  Joachim, ZD 2017, 414 (416); Ernst, DANA 2017, 14; Gola / Schulz, ZD 2013, 475 (477); Schulz, in: Gola, DSGVO, Art. 8 Rn. 13; Greve, in: Eßer / Kramer / v. Le­

146

Dritter Teil: Die Einwilligung

Facebook oder WhatsApp können auch App-Stores, Online-Spiele, OnlineMarktplätze sowie Suchmaschinen dem Anwendungsbereich der Norm unter­ fallen.183 In diesem Zusammenhang halten Tinnefeld / Conrad fest, dass die Vorgaben des Art. 8 Abs. 1 DSGVO die grundlegende Entscheidung der Mitgliedstaaten, wann von der Einwilligungsfähigkeit der Betroffenen ausge­ gangen werden sollte, lediglich „minimialinvasiv“ berühren.184 b) Das „direkte Angebot“ Zur Eröffnung des Anwendungsbereiches des Art. 8 Abs. 1 Satz 1 DSGVO ist es erforderlich, dass das Angebot dem Kind direkt gemacht wird. Da sich weder dem Wortlaut der Norm noch dem insbesondere einschlägigen Erwä­ gungsgrund 38 Satz 2 weitergehende Auslegungskriterien entnehmen lassen, wurde über die Interpretation des Tatbestandsmerkmals bereits umfänglich diskutiert.185 Wenngleich dem Merkmal letztlich „wenig Aussagekraft“186 zuzubilligen ist, ist es, wie im Folgenden zu zeigen ist, überzeugend dieses im Sinne einer „Zielgruppeneinordnung“187 auszulegen.188 Dabei bietet es sich an, zwischen Diensten mit unmittelbarer Ausrichtung auf Kinder (dazu unter aa)), auf Erwachsene (bb)) sowie gemischten Diensten zu differenzie­ ren (cc)). aa) Alleinige Zielgruppenorientierung Kinder Sofern der fragliche Dienst der Informationsgesellschaft erkennbar, gezielt, qualifiziert und unmittelbar allein Kinder adressiert, ist regelmäßig von einem direkten Angebot im Sinne des Art. 8 Abs. 1 Satz 1 DSGVO auszugehen.189 winski, Auernhammer  – DSGVO / BDSG, Art. 8 Rn. 7; Frenzel, in: Paal / Paul, ­DSGVO / BDSG, Art. 8 Rn. 6. 183  Ernst, DANA 2017, 14 (15); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 80 Rn. 79. 184  Tinnefeld / Conrad, ZD 2018, 391 (393). 185  Vgl. ausführlich dazu Funke, Dogmatik und Voraussetzung der datenschutz­ rechtlichen Einwilligung im Zivilrecht, S. 200  ff.; Heckmann / Paschke, in: Eh­ mann / Selmayr, DSGVO, Art. 8 Rn. 20 ff. 186  Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 205; so. i. E. auch Buchner / Kühling, in: Kühling / Buchner, DSGVO /  BDSG, Art. 8 Rn. 18. 187  So Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 22. 188  So auch Kress / Nagel, CRi 2017, 6 (8); Joachim, ZD 2017, 414 (416); Gola / Schulz, ZD 2013, 475 (478); Greve, in: Eßer / Kramer / v. Lewinski, Auernham­ mer – DSGVO / BDSG, Art. 8 Rn. 8. 189  Vgl. dazu Buchner / Kühling, DuD 2017, 544 (547); Kress / Nagel, CRi 2017, 6 (8); Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen147

Zur Bestimmung, ob ein solches Angebot vorliegt, kommt es maßgeblich auf die Umstände des Einzelfalls an, welche objektiv aus Empfängersicht zu beurteilen sind.190 Dementsprechend ist nicht allein der inhaltliche Charakter des Produkts entscheidend für die Anwendbarkeit des Art. 8 Abs. 1 Satz 1 DSGVO, sondern vielmehr auch dessen formelle Vermarktung.191 Kriterien können dabei insbesondere die allgemeine Ausgestaltung und Aufmachung des Dienstes, das genutzte Sprachniveau, die Verwendung bestimmter Illust­ rationen, Videos, Comics oder aber die direkte kindliche Ansprache sein.192 Nicht ausreichend ist es hingegen, wenn der Dienst zwar maßgeblich Pro­ dukte für Kinder anbietet, regelmäßig aber zentral die Erziehungsberechtig­ ten als potentielle Dienstnehmer adressiert.193 Die vorab als Dienste der In­ formationsgesellschaft eingestuften Online-Marktplätze werden daher jeden­ falls im Kontext des Art. 8 Abs. 1 Satz 1 DSGVO in der Tendenz eine unter­ geordnete Rolle spielen.194 bb) Alleinige Zielgruppenorientierung Erwachsene Neben der Qualifizierungsfunktion ist dem Tatbestandsmerkmal „direkt“ zudem eine klarstellende Funktion zuzuschreiben. So wird dadurch nochmals festgehalten, dass nicht alle Dienste der Informationsgesellschaft zwingend vom Anwendungsbereich des Art. 8 Abs. 1 Satz 1 DSGVO erfasst werden sollen.195 Solche Dienste, welche sich ausschließlich an Personen über 18 Jahre richten, sollen nicht als direkt an Kinder gerichtete Angebote gewertet wer­ Zivilrecht, S. 200; Schulz, in: Gola, DSGVO, Art. 8 Rn. 15; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO Art. 8 Rn. 20; Karg, in: Wolff / Brink, BeckOK Daten­ schutzrecht, Art. 8 DSGVO Rn. 49. 190  Joachim, ZD 2017, 414 (416); Funke, Dogmatik und Voraussetzung der daten­ schutzrechtlichen Einwilligung im Zivilrecht, S. 209; Greve, in: Eßer / Kramer / v. Le­ winski, Auernhammer – DSGVO / BDSG, Art. 8 Rn. 8. 191  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30; so auch Buchner / Kühling, DuD 2017, 544 (547). 192  Vgl. Kress / Nagel, CRi 2017, 6 (8); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 22; Schulz, in: Gola, DSGVO, Art. 8 Rn. 15. 193  Sowohl Kress / Nagel, CRi 2017, 6 (8) als auch Funke, Dogmatik und Voraus­ setzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 201 verweisen diesbezüglich beispielhaft auf die Internetpräsenz des Spielzeuganbieters Toys’R’Us. 194  Bauer, Datenschutz Praxis 2017, 16 (17); Möhrke-Sobolewski / Klas, K&R 2016, 373 (376); Gola / Schulz, ZD 2013, 475 (478); Schulz, in: Gola, DSGVO, Art. 8 Rn. 16. 195  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30.

148

Dritter Teil: Die Einwilligung

den.196 Zu Recht weisen Kühling / Buchner allerdings darauf hin, dass der Anwendungsbereich des Art. 8 Abs. 1 Satz 1 DSGVO nicht pauschal dadurch ausgeschlossen werden kann, dass der Verantwortliche darauf hinweist, dass das fragliche Angebot lediglich für Personen eines bestimmten Alterskreises bestimmt ist.197 Vielmehr bedarf es auch in diesem Fall einer Einzelfallüber­ prüfung hinsichtlich der Aufmachung sowie des Inhalts.198 Es obliegt daher dem Verantwortlichen sein Angebot dergestalt aufzubereiten, dass sich die einschränkende Zielgruppenorientierung bereits aus der Darstellung des Dienstes ergibt.199 Im Umkehrschluss kann jedenfalls dann von der Unwirk­ samkeit einer formell vorgenommenen Altersbegrenzung ausgegangen wer­ den, wenn diese im Widerspruch zur konkreten Ausgestaltung des Dienstes steht.200 cc) Keine eindeutige Zielgruppenorientierung Fraglich ist, ob auch diejenigen Dienste vom Anwendungsbereich des Art. 8 Abs. 1 Satz 1 DSGVO erfasst sein sollen, welche sich anhand Inhalt und Ausgestaltung keiner eindeutigen Zielgruppe zuordnen lassen. Insbesondere bei Diensten, welche sowohl für Erwachsene als auch für Kinder von Interesse sein können (sog „dual use“)201, stellt sich die Frage, ob auch diese letztlich die Anforderungen des Art. 8 DSGVO zu beachten haben. Der reine Wortlaut ist dabei interpretationsoffen und kann sowohl restriktiv202 als auch extensiv203 verstanden werden. Mit Blick auf die Inten­ tion der Norm, Minderjährige insbesondere vor den Gefahren des Internets 196  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30. 197  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 17. 198  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30. 199  Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 210. 200  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30; kritisch hierzu Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 210, der die Anforderungen an die Altersbegrenzung nicht zu hoch setzen möchte, da anderenfalls die Gefahr einer allgemeinen Alterskontrollpflicht drohe. 201  Begriff nach Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 7. 202  So in der Tendenz: Joachim, ZD 2017, 414 (416); Frenzel, in: Paal / Pauly, ­DSGVO / BDSG, Art. 8 Rn. 7, der die Anwendbarkeit des Art. 8 DSGVO jedenfalls in den Fällen verneint, in denen der Dienst zumindest nicht für Kinder „bestimmt“ ist. 203  So Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 16, welche davon ausgehen, dass derartige Dienste ohne jeden Zweifel vom Wortlaut der Norm erfasst sind.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen149

zu schützen, überzeugt es allerdings, das Merkmal des direkten Angebots weit auszulegen, um so einen tendenziell umfassenden Schutz der Kinder im Netz gewährleisten zu können.204 Auch das Bayerische Landesamt für Datenschutzaufsicht spricht sich dafür aus, „[…] den Adressatenkreis der Vorschrift besser auf Angebote zu bezie­ hen, die „auch“ einem Kind gemacht werden.“205 In diesem Sinne lässt sich ebenfalls die Auffassung der Artikel-29-Datenschutzgruppe verstehen. Dieser zur Folge soll lediglich in den Fällen von einer Nichtanwendbarkeit des Art. 8 DSGVO ausgegangen werden, in denen der Anbieter verdeutlicht, dass dieser ausschließlich gewillt ist, seine Dienste an Personen über 18 Jahren zu erbringen und keine tatsächlichen Gegebenheiten gegen diese Annahme spre­ chen.206 Mangelt der konkrete Sachverhalt an entsprechenden Anhaltspunk­ ten, muss es dann aber bei der Annahme bleiben, dass die Vorgaben des Art. 8 DSGVO zu berücksichtigen sind. c) Zwischenergebnis Festgehalten werden kann, dass auch mit Geltung des Art. 8 DSGVO die Problematik der Einwilligungsfähigkeit Minderjähriger keineswegs erschöp­ fend rechtlich aufgearbeitet wurde. Vielmehr ist dessen Anwendungsbereich hinsichtlich des Betroffenenkreises als auch hinsichtlich der erfassten Dienst­ leistungen eingeschränkt. Wenngleich die von Art. 8 DSGVO behandelte Materie insbesondere im Bereich digitaler Medien zwischenzeitlich von zentraler gesellschaftlicher Bedeutung ist, ist die Vorschrift keinesfalls derge­ stalt zu verstehen, dass es in jedem Fall bei der Abgabe der Einwilligung durch Minderjährige einer Mitwirkungshandlung der Träger der elterlichen Verantwortung bedarf. Dies gilt allen voran für analoge Anwendungen. Dar­ über hinaus sind aber auch im Kontext digitaler Datenverarbeitungen zahlrei­ che Dienstleistungen denkbar (e-Commerce, e-Trade oder aber auch e-Love), welche nicht im Fokus des Art. 8 DSGVO stehen. Neben der direkten Kenn­ zeichnung entsprechender Dienstleistungen obliegt es den Anbietern aller­ dings dafür zu sorgen, dass die Produkte sowohl inhaltlich als auch formell einer entsprechenden Ausgestaltung unterzogen werden. Anderenfalls droht 204  So auch u. a.: Kress / Nagel, CRi 2017, 6 (8); Heckmann / Paschke, in: Ehmann /  Selmayr, DSGVO, Art. 8 Rn. 21; Buchner / Kühling, in: Kühling / Buchner, DSGVO /  BDSG, Art. 8 Rn. 16; Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer – DSGVO /  BDSG, Art. 8 Rn. 9; Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 49. 205  Bayerisches Landesamt für Datenschutzaufsicht, XV – Bedingungen für die Einwilligung eines Kindes, S. 2. 206  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30.

150

Dritter Teil: Die Einwilligung

der Vorwurf der Widersprüchlichkeit mit der Konsequenz, dass ein Verstoß beziehungsweise die Nichteinhaltung der Vorgaben des Art. 8 DSGVO im Raum steht. 4. Auswirkungen auf die Einwilligung des Kindes bei Eröffnung des Anwendungsbereiches des Art. 8 Abs. 1 DSGVO Sofern der persönliche und sachliche Anwendungsbereich des Art. 8 ­ SGVO eröffnet ist, sind drei unterschiedliche Fallkonstellationen zu unter­ D scheiden. Für den Fall, dass der Betroffene bereits das 16. Lebensjahr voll­ endet hat, ist die Rechtsfolge des Art. 8 Abs. 1 Satz 1 DSGVO zu beach­ ten (a)). Soweit der Betroffene das 16. Lebensjahr noch nicht vollendet hat, kommt es auf die Regelung des Art. 8 Abs. 1 Satz 2 DSGVO an. Hierbei ist zwischen der Einwilligung durch den Träger der elterlichen Verantwortung sowie der Einwilligung mit Zustimmung des Trägers zu differenzieren (b)). a) Nach Vollendung des 16. Lebensjahres, Art. 8 Abs. 1 Satz 1 DSGVO Nach Vollendung des 16. Lebensjahres ist die Verarbeitung personenbezo­ gener Daten bei Diensten der Informationsgesellschaft auf Grundlage der Einwilligung des Betroffenen rechtmäßig, sofern zudem die weiteren Wirk­ samkeitsvoraussetzungen der entsprechenden Einwilligungserklärung vorlie­ gen.207 Wenngleich an der damit begründeten Vermutung208 der Einwilli­ gungsfähigkeit durch Vollendung eines bestimmten Lebensjahres durchaus Kritik geäußert werden kann,209 spricht vieles für ein pragmatisches210 und „einfach zu handhabendes Modell“211 im Kontext des Internets. Insbesondere da es aufgrund der zahlreichen verfügbaren und tatsächlich genutzten Inter­ netdienste für den einzelnen datenschutzrechtlich Verantwortlichen nahezu unmöglich ist, die Einsichtsfähigkeit im Einzelfall zu überprüfen,212 sind festgelegte Altersgrenzen auch aus Gründen der Verkehrssicherheit zu begrü­ 207  Vgl. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 19; Schulz, in: Gola, DSGVO, Art. 8 Rn. 2, 3; Karg, in: Wolff / Brink, BeckOK Daten­ schutzrecht, Art. 8 DSGVO Rn. 34. 208  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 19 spre­ chen insofern von einer „unwiderlegbaren Annahme der Einsichtsfähigkeit“. 209  Vgl. dazu insbesondere Schulz, in: Gola, DSGVO, Art. 8 Rn. 10. 210  So Kastelitz, Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezo­ gener Daten (Art. 5–11 DSGVO), in: Knyrim, DSGVO, S. 112. 211  So Buchner / Kühling, DuD 2017, 544 (546). 212  Müller-Riemenschneider, in: Bräutigam / Rücker, E-Commerce, 7. Teil  Social Commerce, S. 632 Rn. 35.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen151

ßen213. Neben dem quantitativen Aspekt wird es dem Verantwortlichen im Wege der Fernkommunikation auch kaum möglich sein, die Einsichtsfähig­ keit des Betroffenen tatsächlich rechtssicher nachzuweisen.214 Ob damit allerdings einhergeht, dass die durch Art. 8 Abs. 1 Satz 1 D ­ SGVO begründete Vermutung unwiderlegbar ist, ist fraglich.215 Dabei sind insbe­ sondere die der Norm immanenten Zielsetzungen zu berücksichtigen. Durch die Etablierung der festen Altersgrenzen soll zwar auch der Rechtssicherheit im täglichen Internetleben Rechnung getragen werden, zugleich gilt es aller­ dings die grundrechtlichen Positionen der Betroffenen nicht aus dem Blick zu verlieren. Insbesondere unter Berücksichtigung letzterer scheint es keines­ falls geboten, dem Betroffenen in den tatbestandlichen Fällen des Art. 8 Abs. 1 Satz 1 DSGVO jedenfalls die Möglichkeit des Gegenbeweises kate­ gorisch zu verwehren.216 Richtig ist zwar, dass an die jederzeitige Widerruf­ barkeit der Einwilligung zu denken ist, welche tatsächlich auch bei Unwider­ legbarkeit der Vermutung ein gewisses Schutzniveau gewährleistet.217 Mit­ unter kann es allerdings von Bedeutung sein, ob die Verarbeitung von Anfang an rechtswidrig war, da die Vermutung der Einsichtsfähigkeit erschüttert wurde oder ob lediglich die zukünftige Verarbeitung in Folge des Widerrufs (vgl. dazu Art. 7 Abs. 2 Satz 2 DSGVO) rechtswidrig ist. Ein vergleichbares Schutzniveau kann daher auch unter Berücksichtigung des Widerrufs bei Unwiderlegbarkeit nicht gewährleistet werden. Für die Herabsetzung des Schutzniveaus spricht aber weder der Wortlaut noch Sinn und Zweck der Norm. Mithin sollte auch im Kontext etwaiger Dienste der Informationsge­ sellschaft die Möglichkeit verbleiben, den Beweis der mangelnden Einsichts­ fähigkeit zum Zeitpunkt der Erklärungsabgabe anzutreten. Richtig ist allerdings, dass die Vermutung des Art. 8 Abs. 1 Satz 1 zunächst positiv für die Einwilligungsfähigkeit des Betroffenen nach dem vollendeten 16. Lebensjahr spricht.218

dazu auch Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 69. Zimmermann, Die Einwilligung im Internet, S. 180. 215  So aber Buchner / Kühling, DuD 2017, 544 (547); Buchner / Kühling, in: Küh­ ling / Buchner, DSGVO / BDSG, Art. 8 Rn. 19. 216  Geht man allerdings vom Vorliegen einer unwiderleglichen Vermutung aus, wäre der Gegenbeweis unzulässig, vgl. dazu für das deutsche Recht beispielsweise: Weber, in: Säcker / Rixecker / Oetker / Limperg (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, § 1566 Rn. 31; Budzikiewicz, in: Stürner (Hrsg.), Jauernig Bürgerliches Gesetzbuch, § 1566 Rn. 1. 217  Buchner / Kühling, DuD 2017, 544 (547). 218  Joachim, ZD 2017, 414 (415) geht hingegen davon aus, dass insbesondere bei Betroffenen im Alter zwischen 16 und 18 Jahren die Prüfung der Einsichtsfähigkeit im Einzelfall erforderlich bleibt. 213  Vgl. 214  von

152

Dritter Teil: Die Einwilligung

b) Vor Vollendung des 16. Lebensjahres, Art. 8 Abs. 1 Satz 2 DSGVO Hat das Kind das 16. Lebensjahr noch nicht vollendet, so ist die Verarbei­ tung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung er­ teilt wird, vgl. Art. 8 Abs. 1 Satz 2 DSGVO. aa) E  inwilligung durch den Träger der elterlichen Verantwortung, Art. 8 Abs. 1 Satz 2 Alt. 1  DSGVO Hat der Betroffene das 16. Lebensjahr noch nicht vollendet, sieht Art. 8 Abs. 1 Satz 2 Alt. 1 DSGVO vor, dass die entsprechende Datenverarbeitung durch die Einwilligung der Träger der elterlichen Verantwortung für das Kind legitimiert werden kann. Dabei ist allerdings zu berücksichtigen, dass die Vorschrift den Trägern der elterlichen Verantwortung keine unbeschränkte Verfügungsbefugnis über die personenbezogenen Daten des Kindes einräumt. Die Abgabe der Einwilligung ohne oder sogar gegen den Willen des Kindes ist nicht möglich.219 Zudem ist zu berücksichtigen, dass die Einwilligung durch die Träger der elterlichen Verantwortung lediglich bis zum Zeitpunkt der Vollendung des 16. Lebensjahres des unmittelbar Betroffenen rechts­ sicher legitimierende Wirkung entfalten kann.220 Sollte die beabsichtigte Datenverarbeitung über diesen Zeitpunkt hinausgehen, sollte der Verantwort­ lichen, erneut eine Einwilligungserklärung, nunmehr durch den Betroffenen selbst, einholen.221 Die Bestimmung des Trägers der elterlichen Verantwortung erfolgt man­ gels einschlägiger europarechtlicher Vorgaben regelmäßig anhand der Rege­ lungen des jeweiligen nationalen Rechts.222 In Deutschland finden sich die 219  Möhrke-Sobolewski / Klas, K&R 2016, 373 (375); Heckmann / Paschke, in: Eh­ mann / Selmayr, DSGVO, Art. 8 Rn. 28; Schulz, in: Gola, DSGVO, Art. 8 Rn. 18; a. A.: Kampert, in: Sydow, DSGVO, Art. 8 Rn. 10, der die Einwilligung der Eltern bis zu Grenze des Rechtsmissbrauchs beziehungsweise der Kindeswohlgefährdung auch gegen den Willen des betroffenen Kindes zulassen möchte. Differenzierend Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 21, welche jedenfalls bei Vorliegen der Grundrechtsmündigkeit die Einwilligung gegen den Willen des Kindes ausschließen. 220  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 32. 221  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 30, welche aber einschrän­ kend davon ausgeht, dass die Einwilligung Bestand hat, sofern das Kind nach Errei­ chen der Altersgrenze keine eigenständige Handlung, wie beispielsweise Widerruf oder Abänderung, vornimmt.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen153

zentralen Vorgaben zur gesetzlichen Vertretung einer natürlichen Person in den Vorschriften des Familienrechts.223 Die gesetzliche Vertretung des Kin­ des im Rahmen des Art. 8 Abs. 1 Satz 2 DSGVO obliegt daher regelmäßig gem. §§ 1626 Abs. 1 Satz 1, 1629 Abs. 1 BGB den Eltern im Rahmen ihrer elterlichen Sorge.224 Die Vertretungsbefugnis der Eltern ist aber keineswegs zwingend, vielmehr kann die elterliche Verantwortung auch in den Händen anderer Personen liegen.225 Jedenfalls in Deutschland ist es denkbar, dass die gesetzliche Vertretung etwa auch im Rahmen einer Vormundschaft gem. § 1793 Abs. 1 BGB oder einer Pflegschaft gem. § 1909 BGB erfolgt.226 Problematisch ist allerdings, dass der DSGVO keine konkretisierenden Bestimmungen zu der erforderlichen Mitwirkungshandlung der Träger der elterlichen Verantwortung entnommen werden können.227 Mit Blick auf die Anforderungen an die Einwilligung der gesetzlichen Vertreter für das Kind kann es allerdings zu keinen divergierenden Anforderungen hinsichtlich des Erklärungsakts kommen. Vielmehr sind die allgemeinen Anforderungen an die rechtswirksame Einwilligungserklärung auch in dem Fall zu beachten, in dem die Erklärung durch die Träger für das Kind abgegeben wird.228 bb) E  inwilligung des Kindes mit Zustimmung des Trägers der elterlichen Verantwortung, Art. 8 Abs. 1 Satz 2 Alt. 2 DSGVO Art. 8 Abs. 1 Satz 2 Alt. 2 DSGVO sieht zudem vor, dass das Kind mit Zustimmung der Träger der elterlichen Verantwortung wirksam in die Daten­ 222  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 20; Kampert, in: Sydow, DSGVO, Art. 8 Rn. 10 Fn. 26; Schulz, in: Gola, DSGVO, Art. 8 Rn. 17 Fn. 25. 223  Schmitt, in: Säcker / Rixecker / Oetker / Limperg (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band I, § 8 Rn. 8. 224  So i.  E. auch: Joachim, ZD 2017, 414 (416); Heckmann / Paschke, in: Eh­ mann / Selmayr, DSGVO, Art. 8 Rn. 26; Schaffland / Holthaus, in: Schaffland / Wilt­ fang, DSGVO, Art. 8 DSGVO Rn. 6. 225  Nach Einschätzung der Artikel-29-Datenschutzgruppe kann die Verantwortlich­ keit dabei durch mehrere natürliche oder aber auch juristische Personen übernommen werden, vgl. Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 31. 226  Vgl. dazu Behme, in: Gsell / Krüger / Lorenz / Reymann (GesamtHrsg.), BeckOK Großkommentar BGB, § 8 BGB Rn. 4. 227  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 32; Rauda, MMR 2017, 15 (16); Plath, in: Plath, BDSG / DSGVO, Art. 8 DSGVO Rn. 9; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 21. 228  So auch Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 21.

154

Dritter Teil: Die Einwilligung

verarbeitung einwilligen kann. Auch hinsichtlich des Merkmals der Zustim­ mung finden sich keine weitergehenden Konkretisierungen durch die ­DSGVO. Mithin wird daher vertreten, dass auch die nachträgliche Zustim­ mung der Träger elterlicher Verantwortung zu der vorab abgegebenen Ein­ willigung des Kindes möglich sein soll.229 Dies vermag allerdings aus meh­ reren Gründen nicht zu überzeugen. Wenngleich nach deutschem Verständnis der Begriff der Zustimmung (§ 182 BGB) sowohl die Einwilligung als vorherige Zustimmung (§ 183 BGB) als auch die nachträgliche Zustimmung im Sinne einer Genehmigung (§ 184 Abs. 1 BGB) umfasst, versperrt der vorliegend autonom auszulegende Verordnungstext den unmittelbaren Rückgriff auf das deutsche zivilrechtliche Verständnis.230 Die Auslegung des Begriffs der Zustimmung allein anhand des Wortlauts der DSGVO wird allerdings wiederum dadurch erschwert, dass diese den Begriff lediglich in Art. 8 Abs. 1 und Abs. 2 DSGVO verwendet. Es bietet sich daher zunächst an, weitere sachlich nahestehende europäische Rechtstexte hinsichtlich der Verwendung des Begriffs der Zustimmung zu untersuchen.231 Der Begriff der Zustimmung findet sich jedenfalls im Sinne des Zustim­ mens durch die betroffene Person in Erwägungsgrund 35 der zeitgleich ver­ abschiedeten und für den Bereich Polizei und Justiz zentralen Richtlinie (EU) 2016 / 680 (JI‑Richtlinie)232.233 Mithin soll den Mitgliedstaaten im 229  Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 8 Rn. 52; einschrän­ kend Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 30 mit Verweis darauf, dass die Datenverarbeitung jedenfalls nicht vor Erhalt der Zustimmung begin­ nen darf. In dieser Tendenz ebenfalls Buchner / Kühling, in: Kühling / Buchner, ­DSGVO / BDSG, Art. 8 Rn. 21, welche darauf abstellen, dass die Zustimmung vor Beginn der Datenverarbeitung vorliegen muss. Offen gelassen bei Plath, in: Plath, BDSG / DSGVO, Art. 8 Rn. 9. 230  So u. a. auch Funke, Dogmatik und Voraussetzungen der datenschutzrechtli­ chen Einwilligung im Zivilrecht, S. 214; zur Auslegung des Europarechts vgl. die Ausführungen innerhalb des zweiten Teils der Arbeit. 231  Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilli­ gung im Zivilrecht, S. 214 hingegen untersucht den weiteren Text der DSGVO hin­ sichtlich der Verwendung des Wortes „Genehmigung“, um daraus Rückschlüsse für die eigenständige Interpretation des Zustimmungserfordernisses zu gewinnen. Kampert, in: Sydow, DSGVO, Art. 8 Rn. 10 Fn. 27 verweist wiederum auf den seiner Einschätzung nach eindeutigeren englischen Wortlaut „authorised by“, um die nach­ trägliche Zustimmung auszuschließen. 232  Richtlinie (EU) 2016 / 680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo­ gener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008 / 977 / JI des Rates, ABl. L 119 vom. 4. Mai 2016, S. 89.



Kap. 2: Die persönlichen Einwilligungsvoraussetzungen155

Rahmen der Umsetzung der JI-Richtlinie die Möglichkeit eingeräumt wer­ den, dass die betroffenen Personen der Verwendung ihrer personenbezogenen Daten in strafrechtlichen Ermittlungen zustimmen können. Insbesondere aber im strafrechtlichen Kontext spricht vieles dafür, dass der somit verwendete Begriff der Zustimmung ausschließlich das vorherige Einverständnis im Sinne einer Einwilligung umfasst.234 Mit Blick auf regelmäßig grundrechts­ invasive Maßnahmen wie der Verarbeitung personenbezogener Daten im Zuge der Überwachung des Aufenthaltsortes oder aber zum Zwecke eines DNA-Abgleichs235 wäre eine mögliche schwebende Unwirksamkeit des Ein­ verständnisses weder den Ermittlungspersonen noch den letztlich Betroffenen zumutbar. Zudem findet sich auch in der ebenfalls zugleich verabschiedeten Richt­ linie  (EU)  2016 / 681  (Fluggastdaten-RL)236 ein Zustimmungserfordernis, welches zur Interpretation des Merkmals im Sinne des Art. 8 Abs. 1 Satz 2 DSGVO herangezogen werden kann. So wird in Art. 3 Nr. 4 der Fluggastda­ ten-RL bestimmt, dass als Fluggast jede Person bezeichnet wird, welche mit Zustimmung der Fluggesellschaft in einem Luftfahrzeug befördert wird oder befördert werden soll, wobei diese Zustimmung durch die Eintragung der Person in die Fluggastliste belegt wird. Auch in diesem Kontext ist davon auszugehen, dass die Zustimmung der Fluggesellschaft vorab, regelmäßig bei Vertragsschluss, abgegeben wird. Jedenfalls aber ist es kaum denkbar, dass es zu einer vertragsgemäßen Beförderung des Fluggastes ohne vorherige Mitwirkungshandlung der Fluggesellschaft kommt. Auch der Umstand, dass die Zustimmung der Fluggesellschaft letztlich anhand der vor Leistungs­ erbringung zu erstellenden Fluggastliste belegt wird,237 intendiert, dass das Merkmal der Zustimmung im europäischen Kontext regelmäßig als zeitlich vorgelagerte Handlung zu bestimmen ist. Darüber hinaus sprechen auch gewichtige teleologische Erwägungen da­ für, dass lediglich das vorherige Einvernehmen der Träger der elterlichen 233  Vgl.

Erwägungsgrund 35 Satz 6 JI-Richtlinie. dazu Schwichtenberg, DuD 2016, 605 (606) der den Erwägungsgründen der Richtlinie insgesamt entnimmt, dass die datenschutzrechtliche Einwilligung des Betroffenen, mithin also die vorherige Zustimmung, auch im Anwendungsbereich der Richtlinie zur Anwendung gelangen kann, solange und soweit der Betroffene bei der Abgabe keinerlei staatlichem Zwang unterliegt. 235  Vgl. Erwägungsgrund 35 Satz 6 JI-Richtlinie. 236  Richtlinie (EU) 2016 / 681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Ver­ hütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl. L 119 vom 4. Mai 2016, S. 132. 237  Ein Indiz dafür lässt sich zudem der englischsprachigen Fassung der Richtlinie entnehmen, welche in Art. 4 Nr. 3 durchgängig den Begriff „consent“ verwendet. 234  Vgl.

156

Dritter Teil: Die Einwilligung

Verantwortung im Rahmen des Art. 8 Abs. 1 Satz 2 DSGVO in Betracht kommt.238 Mit Blick auf die durch Art. 8 DSGVO bezweckte Fürsorge be­ züglich betroffener Personen vor Vollendung des 16. Lebensjahres müsste bei der Einbeziehung der nachträglichen Zustimmung eine nicht unerheb­ liche Schutzlücke akzeptiert werden. Für den Zeitraum, in welchem die Zu­ stimmung (jedenfalls noch) nicht vorliegt, ist die Verarbeitung der personen­ bezogenen Daten allein auf Grundlage der Einwilligung des Betroffenen ein rechtswidriger Eingriff in dessen Grundrechte aus Art. 7 und 8 der Charta.239 Für den Fall, dass es letztlich zur Verweigerung der nachträglichen Zustim­ mung kommt, ist der bereits erfolgte Eingriff allerdings größtenteils perpe­ tuiert, da es anders als im allgemeinen Zivilrecht kaum vorstellbar ist, die bereits vorgenommene Datenverarbeitung gänzlich „rückabzuwickeln“.240 Aber auch aus Perspektive des Verarbeiters würde die Einbeziehung der nachträglichen Zustimmung zu ungewollter Rechtsunsicherheit führen. Das stringente Erfordernis der Zustimmung bei Abgabe der Einwilligung durch den von Art. 8 Abs. 1 DSGVO erfassten Betroffenen entspricht dem jeden­ falls mittelbar in Art. 8 DSGVO angelegten Aspekt der Rechtssicherheit. Anderenfalls wäre der Verantwortliche stets der Ungewissheit ausgesetzt, ob die Zustimmung letztlich erteilt wird.

C. Zwischenfazit Aus der Grundrechtsverbürgung der Einwilligungserklärung folgt, dass die Einwilligungserklärung auch nach den Vorgaben der DSGVO als höchstper­ sönlich zu werten ist. In der Folge ist letztlich nur der unmittelbar Betroffene zur Abgabe berechtigt. Davon abzugrenzen ist die Frage der Einwilligungs­ fähigkeit. Auch diesbezüglich können der DSGVO keine weitergehenden Vorgaben entnommen werden, sodass überzeugenderweise grundsätzlich weiterhin die Einsichtsfähigkeit des Betroffenen das maßgebliche Kriterium darstellt. Sofern der Anwendungsbereich des Art. 8 Abs. 1 DSGVO eröffnet ist, wird die Einwilligungsfähigkeit des Betroffenen, der das 16. Lebensjahr be­ 238  Kress / Nagel, CRi 2017, 6 (8); Bauer, Datenschutz Praxis 2017, 16; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivil­ recht, S. 215; Schulz, in: Gola, DSGVO, Art. 8 Rn. 17; Frenzel, in: Paal / Pauly, ­DSGVO / BDSG, Art. 8 Rn. 11. 239  So auch Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 215; Schulz, in: Gola, DSGVO, Art. 8 Rn. 17. Vgl. zur Eingriffsqualität der Datenverarbeitung in Art. 8 der Charta die Ausführun­ gen unter Zweiter Teil Kap. 2 A. 240  Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilli­ gung im Zivilrecht, S. 215; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 11.



Kap. 3: Die formellen Einwilligungsvoraussetzungen157

reits vollendet hat, vermutet. Wenngleich mit Blick auf das grundsätzliche Kriterium der individuellen Einsichtsfähigkeit einheitliche Altersgrenzen durchaus kritisch gesehen werden können, sprechen insbesondere Praktikabi­ litätserwägungen im Kontext digitaler Medien gegen eine kaum handhabbare Einzelfallprüfung. Für den Fall, dass der Betroffene das 16. Lebensjahr noch nicht vollendet hat, greift der Schutzzweck des Art. 8 DSGVO umfassend ein. Mithin bedarf es bis zum Erreichen der Altersgrenze einer zeitlich jeden­ falls gleichgelagerten Mitwirkungshandlung der gesetzlichen Vertreter. Der Grundrechtsschutz des betroffenen Kindes bildet dabei allerdings sowohl Ausgangs- als auch Endpunkt der Mitwirkungsbefugnis der Träger elterlicher Verantwortung. Kapitel 3

Die formellen Einwilligungsvoraussetzungen Im Folgenden sind die formellen Voraussetzungen des Erklärungsakts nach den Vorgaben der DSGVO zu bestimmen. Insbesondere für die Frage, ob die digitalisierte Einwilligungserklärung umgesetzt und damit die bewusste Ein­ willigungsentscheidung des Betroffenen forciert werden kann, sind die ent­ sprechenden Formvorgaben von zentraler Bedeutung. Neben der Bestimmung zeitlicher Aspekte (A.) sind allen voran die Form- und Transparenzvorgaben der Art. 4 Nr. 11, 7 Abs. 2 Satz 1 DSGVO von besonderem Interesse (B.). In diesem Zusammenhang sind ebenfalls die neu eingeführten Nachweispflich­ ten des Art. 7 Abs. 1 sowie im Speziellen des Art. 8 Abs. 2 DSGVO zu unter­ suchen (C.).

A. Zeitliche Aspekte der Einwilligungserklärung Weder Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a noch Art. 7 DSGVO enthält ausdrückliche Vorgaben zum Abgabezeitpunkt der Einwilligungserklärung. Die daher vorzunehmende Auslegung des Wortlauts zwingt allerdings zu dem Schluss, dass die Einwilligungserklärung auch im Kontext der DSGVO im Vorfeld der Verarbeitung abzugeben ist.241 Dafür spricht zunächst der Wortlaut sowohl des Art. 6 Abs. 1 Satz 1 lit. a DSGVO als auch der des Er­ wägungsgrunds 42 Satz 1, welcher darauf abstellt, dass die betroffene Person in die Verarbeitung eingewilligt hat.242 Auch das Merkmal des „Beruhens“ im Sinne des Art. 7 Abs. 1 DSGVO spricht deutlich dafür, dass die Einwilli­ gung vor Beginn des Verarbeitungsvorgangs vorliegen muss, da diese ande­ beispielsweise auch Ingold, in: Sydow, DSGVO, Art. 7 Rn. 17. auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guide­ lines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 21. 241  So 242  So

158

Dritter Teil: Die Einwilligung

renfalls nicht die Grundlage (im Sinne eines Beruhens) der Verarbeitung sein kann.243 Darüber hinaus sprechen, wie auch bei der Zustimmung im Sinne des Art. 8 Abs. 1 Satz 2 Alt. 2 DSGVO, gewichtige teleologische Gründe für die vorab einzuholende Einwilligungserklärung. Mit Blick auf die Grund­ rechtsfunktion der Einwilligung kann diese einen Eingriff in das informatio­ nelle Selbstbestimmungsrecht244 des Betroffenen nur vorab, nicht aber rück­ wirkend rechtfertigen.245 Darüber hinaus lässt sich der DSGVO nicht entnehmen, ob eine zunächst wirksam vorab abgegebene Einwilligungserklärung generell lediglich zeitlich befristet rechtfertigende Wirkung entfalten kann.246 Gegen diese Annahme spricht neben der fehlenden Verankerung im Wortlaut insbesondere der Um­ stand, dass dies zu erheblicher Rechtsunsicherheit auf Seiten des Verantwort­ lichen führen würde.247 Allen voran da es bei einer solchen Annahme an ei­ nem klar bestimmten Befristungszeitpunkt mangelt, wäre der Verantwortliche vor jedem Verarbeitungsvorgang gehalten, die Wirksamkeit der Einwilligung aus zeitlicher Sicht zu überprüfen.248 Darüber hinaus lässt sich die generelle Annahme der zeitlichen Befristung auch nicht mit Betroffeneninteressen rechtfertigen, da diese die zunächst rechtswirksam abgegebene Einwilli­ gungserklärung jederzeit widerrufen können und somit hinreichend geschützt sind.249 Überzeugend ist es daher letztlich, dass die Einwilligungserklärung dem Grunde nach unbefristet abgegeben wird.250 Die Notwendigkeit der Einholung einer weiteren Einwilligungserklärung ergibt sich lediglich für Ingold, in: Sydow, DSGVO, Art. 7 Rn. 17. zur informationellen Selbstbestimmung im Kontext der Charta die Aus­ führungen unter Zweiter Teil Kapitel 2. 245  So auch Hoffmann, NZS 2017, 807 (808); Buchner, Datenverarbeitung im nicht-öffentlichen Bereich, in: Tinnefeld / Buchner / Petri / Hof, Einführung in das Da­ tenschutzrecht, S. 396; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 30; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 17. A. A: Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 119, welcher mangels konkreter Vorgaben der DSGVO auf die allgemeine Rechtsgeschäftslehre zurückgreifen möchte, welche die rückwirkende Einwilligungserklärung jedenfalls vorsieht. 246  Für die Annahme der Befristung jedenfalls nach den Vorgaben des BDSG a. F.: Rogosch, Die Einwilligung im Datenschutzrecht, S. 145. 247  Schulz, in: Gola, DSGVO, Art.  7 Rn. 58; zurückhaltender Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 85, welcher zwar davon ausgeht, dass die Einwilligung keinem Haltbarkeitsdatum unterliegt, die erneute Ein­ holung aber im Einzelfall dem Gebot des sichersten Weges entsprechen kann. 248  Vgl. dazu im Kontext des § 7 UWG Scheurer, AnwZert ITR 5 / 2017 Anm. 3. 249  Schulz, in: Gola, DSGVO, Art. 7 Rn. 59. 250  So auch Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, §  13 Rn.  120; Schulz, in: Gola, DSGVO, Art. 7 Rn. 59; Stemmer, in: Wolff / Brink, BeckOK Daten­ schutzrecht, Art. 7 DSGVO Rn. 85; Gesellschaft für Datenschutz, GDD-Praxishilfe DSGVO XIII – Einwilligung, S. 7. 243  So

244  Vgl.



Kap. 3: Die formellen Einwilligungsvoraussetzungen159

den Fall, dass sich die zu rechtfertigende Datenverarbeitung in Art und Um­ fang erheblich verändert.251 Die Verwirkung der zunächst abgegebenen Ein­ willigungserklärung beruht in diesem Fall allerdings weniger auf zeitlichen als vielmehr auf inhaltlichen Aspekten. Jedenfalls mit Blick auf die Informa­ tionspflichten kann die zunächst abgegebene Einwilligungserklärung einen entsprechend abgeänderten Verarbeitungsvorgang nicht mehr rechtfertigen. Unbenommen bleibt dabei allerdings, die rechtfertigende Einwilligungserklä­ rung aus Gründen der Rechtssicherheit regelmäßig zu erneuern.252

B. Die Form- und Transparenzvorgaben der DSGVO Im Rahmen der Formvorgaben ist zwischen der tatsächlichen Abgabe der Willensbekundung (dazu unter I.), der grundsätzlichen Formfreiheit (dazu II.) sowie den gesonderten Vorgaben bei verbundenen Erklärungen (III.) zu unterscheiden. Während die Formfreiheit der Erklärung die regulative Grund­ lage innovativer Einwilligungen ist, finden sich insbesondere bei der Frage der tatsächlichen Abgabe als auch bei der Untersuchung der gesonderten Vorgaben bei verbundenen Erklärungen zahlreiche neuralgische Punkte, die im Folgenden aufgezeigt werden sollen. I. Die unmissverständliche Willensbekundung Zunächst ist zu untersuchen, unter welchen Voraussetzungen von einer rechtskonformen Kundgabe aus formeller Perspektive ausgegangen werden kann. Den Ausgangspunkt der nachfolgenden Erwägungen bildet dabei er­ neut die Begriffsdefinition des Art. 4 Nr. 11 DSGVO. Mithin hat die Einwil­ ligung als unmissverständliche Willensbekundung in Form einer Erklärung oder einer sonstigen bestätigenden Handlung zu erfolgen. Entscheidend ist also, dass die betroffene Person aktiv, vorsätzlich und offensichtlich erklärt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.253 Darauf aufbauend wird zunächst ein besonderes Augen­ merk auf die Problematik des Opt-Out-Verfahrens gelegt (dazu unter 1.). Daran anschließend gilt es die Möglichkeit der konkludenten Erklärung (2.) sowie die Spezifika bei besonderen Kategorien personenbezogener Daten (3.) zu untersuchen. 251  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 25. 252  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 25. 253  Vgl. Erwägungsgrund 32 Satz 1 DSGVO; Artikel-29-Datenschutzgruppe, Stel­ lungnahme 17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 18.

160

Dritter Teil: Die Einwilligung

1. Das Opt-Out-Verfahren als unmissverständliche Willensbekundung? Erwägungsgrund 32 Satz 3 der DSGVO ist zu entnehmen, dass das Still­ schweigen, bereits angekreuzte Kästchen oder die Untätigkeit der betroffenen Person keine Einwilligung darstellen sollen. Mit anderen Worten: Die bloße Duldung des Verarbeitungsvorgangs und des damit verbundenen Eingriffs in die Grundrechtssphäre kann dem Erfordernis der aktiven Handlung nicht entsprechen.254 Von besonderem Interesse ist dabei die Frage, ob unter der Geltung der DSGVO die Einholung der datenschutzrechtlichen Einwilligungserklärung (weiterhin)255 anhand des sogenannten Opt-Out-Verfahrens zulässig sein soll. Opt-Out bedeutet, in einem umfassenden Sinne verstanden, dass es bei der Abgabe der Einwilligungserklärung keiner aktiven Mitwirkungshandlung des Betroffenen bedarf.256 Vielmehr gilt die Einwilligung in diesem Fall grund­ sätzlich als erteilt,257 dem Betroffenen verbleibt lediglich die Möglichkeit, diese zu streichen beziehungsweise abzuwählen258. Wenngleich Erwägungsgrund 32 Satz 3 DSGVO (vermeintlich) ein­ schränkend davon spricht, dass bereits angekreuzte Kästchen keine Einwil­ ligung darstellen sollen,259 ist mit Blick auf den Sinn und Zweck der Ein­ willigung als Garant datenschutzrechtlicher Selbstbestimmung davon auszu­ gehen, dass das Opt-Out-Verfahren tatsächlich in der Gänze ausgeschlossen 254  So auch Ernst, ZD 2017, 110 (114); vgl. dazu bereits die nach wie vor Gültig­ keit besitzenden Ausführungen der Artikel-29-Datenschutzgruppe im Rahmen der Stellungnahme 15 / 2011 zur Definition von Einwilligung, WP 187, S. 28. 255  Insbesondere auf Grundlage der BGH-Rechtsprechung in Sachen Payback (BGH, Urt. v. 16.07.2008 – VIII ZR 348 / 06 – MMR 2008, 731) sowie Happy Digits (BGH, Urt. v. 11.11.2009 – VIII ZR 12 / 08 – MMR 2010, 138) wurde vertreten, dass im Rahmen der datenschutzrechtlichen Einwilligungserklärung auch auf ein Opt-OutVerfahren zurückgegriffen werden kann, vgl. dazu Hanloser, CR 2008, 713 (715). 256  Krohm, ZD 2016, 368 (372); Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 19; Rogosch, Die Einwilligung im Datenschutz­ recht, S. 115; Ehmann, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, Teil VIII Kapitel 3. Opt-in / Opt-Out Rn. 5. 257  So Buchner, DuD 2010, 39 (42); Wagner, DuD 2010, 30 (32); Rogosch, Die Einwilligung im Datenschutzrecht, S. 115. 258  Vgl. dazu Düsseldorfer Kreis, Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen, S. 3. 259  Krohm, ZD 2016, 368 (372) sieht darin ein Indiz, dass das Opt-Out-Verfahren jedenfalls in „abgeschwächter Form“, beispielsweise durch eine entsprechende Plat­ zierung auf der Homepage, weiterhin möglich sein könnte. Auch Piltz, K&R 2016, 557 (563) sieht zumindest die Möglichkeit der Beibehaltung des Opt-Out-Verfahrens im Rahmen der DSGVO.



Kap. 3: Die formellen Einwilligungsvoraussetzungen161

ist260. Dafür spricht insbesondere der für die vorliegende Arbeit erhebliche Umstand, dass die Ausgestaltung der Einwilligungserklärung, wie zu zeigen ist, geeignet ist, das Entscheidungsverhalten der Betroffenen maßgeblich zu beeinflussen.261 Allein mit juristischer Methodik lässt sich dieses Ergebnis allerdings nicht aufschlüsseln.262 Es bietet sich daher an, das Einwilligungsverhalten der Be­ troffenen unter Berücksichtigung ökonomischer Aspekte zu beleuchten.263 Daher soll im Folgenden anhand des Beispiels „Opt-Out“ grundlegend dar­ gestellt werden, welche Faktoren auf das Entscheidungsverhalten der Betrof­ fenen Einfluss nehmen können. Dazu gilt es zunächst zu untersuchen, welche Entscheidung im Kontext der Opt-Out-Einwilligung aus rationalen Aspekten zu erwarten ist (a)) und welches Verhalten regelmäßig tatsächlich an den Tag gelegt wird (b)). Abschließend ist zu klären, welche Faktoren ein etwaiges Abweichen begünstigen und wie insbesondere die Ausgestaltung im Sinne eines Opt-Out-Verfahrens Einfluss auf festzustellende Abweichungen von rationalem und tatsächlichem Verhalten hat (c)). a) Die rationale Entscheidung im Kontext der Einwilligungserklärung In einem ersten Schritt ist die „rationale Einwilligungsentscheidung“ zu definieren. Mithin gilt es zu untersuchen, wie sich der Homo Oeconomicus (theoretisch) in der Einwilligungssituation verhalten würde. Wenngleich An­ nahme und Ergebnis des klassischen Verhaltensmodells reine Idealität sind, bilden dessen Hypothesen und Prognosen eine geeignete Ausgangslage für die darauffolgenden Untersuchungen.264 Zu diesem Zweck sollen die wesent­ lichen Elemente des Rationalmodells (aa)) dargestellt und auf die Einwilli­ gungssituation angewendet werden (bb)).

260  So auch statt vieler Specht, JZ 2017, 763 (766); Der Bayerische Landesbeauf­ tragte für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, S. 4; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 58; Schulz, in: Gola, DSGVO, Art. 7 Rn. 42. 261  Arnold / Hillebrand / Waldburger, DuD 2015, 730  ff.; Eidenmüller, JZ 2011, 814 ff.; Buchner, DuD 2010, 39 (42); Petri, RDV 2007, 153 (156); Hermstrüwer, Informationelle Selbstgefährdung, S. 263; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 20. 262  Eidenmüller, JZ 2005, 216 (217) merkt diesbezüglich an, dass „[die Rechtswis­ senschaft] kein „eigenständiges positives Verhaltensmodell […] entwickelt [hat].“. 263  In diesem Sinne auch Arnold / Hillebrand / Waldburger, DuD 2015, 730 (732). 264  Vgl. dazu Steinbeck / Lachenmeier, NJW 2014, 2086 (2087); Eidenmüller, JZ 2005, 216 (217); Beck, Behavioral Economics, S. 1; Towfigh / Petersen, Ökonomische Methoden im Recht, S. 23 Rn. 57, 58.

162

Dritter Teil: Die Einwilligung

aa) Grundlagen des Rationalmodells Ausgangspunkt des Rationalmodells265 ist die Annahme, dass dem Ent­ scheidungssubjekt lediglich begrenzt Güter zur Bedürfnisbefriedigung zur Verfügung stehen.266 In der Konsequenz ist der Mensch regelmäßig zu Ent­ scheidungen zwischen verschiedenen Handlungsvarianten gezwungen, wel­ che maßgeblich durch individuelle innere Präferenzen, äußere Restriktionen sowie Anreize beeinflusst werden.267 Restriktionen können dabei in zahlrei­ chen Erscheinungsformen auftreten (beispielsweise in Gestalt des Einkom­ mens, des Rechtsrahmens oder vorhandener Zeit), wobei grundsätzlich fest­ gehalten werden kann, dass jedwede Verknappung entscheidungsrelevanter Güter den Entscheidungsspielraum begrenzt und damit als Restriktion zu werten ist.268 Präferenzen hingegen bestimmen sich nach den individuellen Wertevorstellungen und Vorlieben.269 Das zur Disposition stehende Entschei­ dungsobjekt kann sowohl materiell als auch immateriell sein,270 sodass ins­ besondere auch die Entscheidungs- und Verwertungsbefugnis über personen­ bezogene Daten im Sinne einer „kommerzialisierten Einwilligungserklärung“ ein ökonomisches Gut darstellen kann271. Der Homo Oeconomicus, so die Bezeichnung des idealen Entscheiders innerhalb der klassischen Verhaltensökonomie, begegnet diesen Entschei­ dungssituationen ausschließlich eigennützig (Eigennutzannahme) sowie rein rational (Rationalitätsannahme).272 Der Aspekt der Eigennützigkeit der Ent­ scheidung ist dabei allerdings in einem wertneutralen Sinne zu verstehen. Die zu erreichende Nutzenmaximierung kann sich auch in altruistischem 265  Auch als klassisches Verhaltensmodell oder rational choice model bekannt, vgl. Rühl, Statut und Effizienz, S. 95. 266  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 27 Rn. 64. 267  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 27 Rn. 64; Willenbacher, Die Gestaltung unternehmerischer Anreizsysteme aus verhaltenswissenschaftli­ cher Perspektive, S. 44; Kirchgässner, Homo Oeconomicus, S. 12. 268  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 28 Rn. 67; Willenbacher, Die Gestaltung unternehmerischer Anreizsysteme aus verhaltenswissenschaft­ licher Perspektive, S. 44; Kirchgässner, Homo Oeconomicus, S. 12. 269  Chatziathanasiou / Leszczynska, RW 2017, 314 (327); Towfigh / Petersen, Öko­ nomische Methoden im Recht, S. 28 Rn. 65; Kirchgässner, Homo Oeconomicus, S. 12. 270  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 31 Rn. 71. 271  Vgl. dazu u. a. Specht, JZ 2017, 763 ff.; Hamann / Hermstrüwer, KJ 2013, 184 (189); Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Reali­ tität, S. 21. Zum ökonomischen Wert der Privatheit vgl. Sandfuchs, Privatheit wider Willen?, S. 211. 272  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 31 Rn. 69; Kirchgässner, Homo Oeconomicus, S. 12.



Kap. 3: Die formellen Einwilligungsvoraussetzungen163

Verhalten widerspiegeln,273 solange die zugrundeliegende Entscheidung aus der subjektiven Perspektive des Entscheiders den größten Vorteil für dessen Präferenzen verspricht274. Weiterhin entscheidet der Homo Oeconomicus rein rational: Er trifft stets die Wahl, welche unter Abwägung aller Vor- und Nachteile der jeweiligen Entscheidungsvariante seinen Präferenzen am ehes­ ten entspricht und ihm den größten Nutzen verspricht.275 In Anlehnung an Rühl kann damit der Aspekt der Eigennützlichkeit als das „Ob“, die Rationa­ litätsannahme als das „Wie“ der Entscheidungsfindung kategorisiert wer­ den.276 Innerhalb des Rationalmodells unterliegen die maßgeblichen Präferenzen des Entscheiders keinen Schwankungen, die Entscheidung selbst erfolgt auf Grundlage einer umfassenden und auch verstandenen Informationsbasis.277 Der Homo Oeconomicus, so Kirchgässner, „[…] is completely informed about everything, all transactions can be performed without any costs, and of all alternatives at his disposal, he always finds the best one as fast as a flash of lightning.“278 bb) Die rationale Einwilligungsentscheidung Auf Grundlage der aufgezeigten Annahmen der klassischen Verhaltensöko­ nomie ist die Einwilligungsentscheidung dann rational, wenn diese aus­ schließlich zur Maximierung individueller Präferenzen und allein auf Basis einer rationalen Kosten-Nutzen-Abwägungsentscheidung erfolgt. Entspre­ chend ist zunächst zu untersuchen, welche Präferenzen der durchschnittliche Betroffene bei der Entscheidung über die Preisgabe seiner personenbezoge­ nen Daten verfolgt.279 Wie bereits gezeigt, spiegeln die zugrundeliegenden Präferenzen die Vorlieben und Wertevorstellungen der Betroffenen wider. Entsprechend wäre die Ausgestaltung der Einwilligungserklärung im Sinne 273  A. A. Steinbeck / Lachenmeier, NJW 2014, 2086 (2087); Eidenmüller, JZ 2005, 216 (217); Kirchgässner, JZ 1991, 104 (106). 274  Towfigh / Petersen, Ökonomische Methoden im Recht, S. 30 Rn. 70; Mohr, Si­ cherung der Vertragsfreiheit durch Wettbewerbs- und Regulierungsrecht, S. 251, 252; Rühl, Statut und Effizienz, S. 97. 275  Kirchgässner, Homo Oeconomicus, S. 12. 276  Nach Rühl, Statut und Effizienz, S. 97 „[bezieht sich das] Eigennutztheorem […] auf das Ziel menschlicher Entscheidungen, das Rationalitätsprinzip auf den Weg zu diesem Ziel.“ 277  Chatziathanasiou / Leszczynska, RW 2017, 314 (327); Eidenmüller, JZ 2005, 216 (217). 278  Kirchgässner, Homo Oeconomicus, S. 62. 279  Vgl. dazu auch Hermstrüwer, Informationelle Selbstgefährdung, S. 231  ff.; Sandfuchs, Privatheit wider Willen? S. 215 ff.

164

Dritter Teil: Die Einwilligung

eines Opt-Out-Verfahrens unbedenklich, wenn die vermehrte Preisgabe per­ sonenbezogener Daten grundsätzlich den Präferenzen der Betroffenen ent­ sprechen würde. Dass die Preisgabe personenbezogener Daten im Sinne einer Kosten-Nut­ zen-Abwägung grundsätzlich auch den Präferenzen der Betroffenen entspre­ chen kann, lässt sich beispielhaft einer Studie aus dem Jahr 2017 entnehmen, welcher zur Folge jedenfalls 50 Prozent der Nutzer bereit wären, personen­ bezogene Daten über ihr Einkaufsverhalten für etwaige Kostenersparnisse preiszugeben.280 Signifikant ist allerdings, dass abhängig von der Art der betroffenen Daten und der entsprechenden Gegenleistung die Bereitschaft zum Austausch personenbezogener Daten für vergleichbare Vorteile merklich sinkt. So stellte die GfK im Jahr 2017 fest, dass lediglich 12 Prozent der befragten Nutzer bereit wären, Gesundheits- oder Finanzdaten, mithin beson­ ders sensible personenbezogene Daten, im Austausch für Vorteile oder Prä­ mien bereitzustellen.281 Hinsichtlich der zu erwartenden Gegenleistung für die „Übergabe“ der Daten ermittelte Statista 2017, dass lediglich 7 Prozent der Befragten bereit wären, ihre personenbezogenen Daten für eine Reduk­ tion der Werbung innerhalb des entsprechenden Dienstes preiszugeben.282 Es ist daher naheliegend, dass die Betroffenen ihren personenbezogenen Daten einen hohen kontextbezogenen (ökonomischen) Wert beimessen, der sich je­ denfalls nicht mit Werbeeinsparungen aufwiegen lässt.283 Weiter gaben im Jahr 2017 54 Prozent der befragten Nutzer an, dass ihnen der Schutz personenbezogener Daten sehr wichtig beziehungsweise für 38 Prozent zumindest eher wichtig ist.284 Lediglich ein Prozent der Befragten misst dem Datenschutz keine Wichtigkeit bei.285 Insbesondere im Kontext des 280  Horizont, Zu welchen Zwecken würden Sie Daten über sich, Ihr Einkaufsver­ halten, Ihre Interessen oder Ihre Einkaufsvorlieben preisgeben? Abrufbar unter: ht­ tps: /  / de.statista.com / statistik / daten / studie / 790256 / umfrage / preisgabe-von-persoen­ lichen-daten-zum-einkaufsverhalten-nach-zwecken-in-deutschland / , zuletzt abgerufen am 11.10.2018. 281  GfK, Deutsche behalten persönliche Daten lieber für sich. Abrufbar unter: http: /  / www.gfk.com / de / insights / press-release / deutsche-behalten-persoenliche-da ten-lieber-fuer-sich / , zuletzt abgerufen am 11.10.2018. 282  Statista, Welchen der folgenden Aussagen stimmen Sie zu? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 712716 / umfrage / umfrage-zum-daten schutz-in-deutschland / , zuletzt abgerufen am 11.10.2018. 283  Vgl. dazu auch Acquisti / Brandimarte / Loewenstein, Science 2015, 509 (511); Hermstrüwer, jipitec 2017, 9 (17). 284  YouGov, Wie wichtig ist Ihnen generell der Schutz Ihrer persönlichen Daten? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 801908 / umfrage / be deutung-des-schutzes-persoenlicher-daten-in-deutschland / , zuletzt abgerufen am 11.10.2018.



Kap. 3: Die formellen Einwilligungsvoraussetzungen165

Internets ist Datenschutz ein zentraler Wert der Betroffenen, wie eine Studie der Landesanstalt für Medien Nordrhein-Westfalen im Januar 2018 erneut be­ legte.286 Mithin gaben 52 Prozent der Befragten an, voll und ganz darauf zu achten, wo sie persönliche Daten im Internet eingeben.287 Weitere 43 Prozent neigen zumindest dazu, darauf zu achten, wo sie ihre Daten eingeben.288 Das Ergebnis überrascht insbesondere vor dem Hintergrund des mangelnden Ver­ trauens der Nutzer in Internetdienste kaum. So gaben beispielsweise im Jahr 2017 lediglich 18 Prozent der Befragten an, Facebook in Sachen Datenschutz zu trauen.289 Zugleich ist aber auch der überwiegenden Mehrheit der Face­ book-Nutzer der Schutz der Privatsphäre ein zentrales Anliegen, wie einer weiteren Studie aus dem Jahr 2017 entnommen werden kann.290 In diesem Zusammenhang ist von besonderem Interesse, dass dem D21-Digital-Index 2017 / 2018 zur Folge 12 Prozent der befragten Nicht-Internetnutzer Daten­ schutzbedenken als maßgeblichen Verzichtsgrund angaben.291 Weitere sieben Prozent lehnen das Internet ab, da sie sich bei der Nutzung überwacht füh­ len.292 285  YouGov, Wie wichtig ist Ihnen generell der Schutz Ihrer persönlichen Daten? Abrufbar unter: https: / / de.statista.com / statistik / daten / studie / 801908 / umfrage / bedeu tung-des-schutzes-persoenlicher-daten-in-deutschland / , zuletzt abgerufen am 11.10.2018. 286  Landesanstalt für Medien Nordrhein-Westfalen (klicksafe), Inwieweit stimmen Sie den folgenden Aussagen zum Thema Datenschutz und Sicherheit im Internet zu? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 804622 / umfrage / aus sagen-zu-datenschutz-und-sicherheit-im-internet-in-deutschland / , zuletzt abgerufen am 11.10.2018. 287  Landesanstalt für Medien Nordrhein-Westfalen (klicksafe), Inwieweit stimmen Sie den folgenden Aussagen zum Thema Datenschutz und Sicherheit im Internet zu? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 804622 / umfrage / aus sagen-zu-datenschutz-und-sicherheit-im-internet-in-deutschland / , zuletzt abgerufen am 11.10.2018. 288  Landesanstalt für Medien Nordrhein-Westfalen (klicksafe), Inwieweit stimmen Sie den folgenden Aussagen zum Thema Datenschutz und Sicherheit im Internet zu? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 804622 / umfrage / aus sagen-zu-datenschutz-und-sicherheit-im-internet-in-deutschland / , zuletzt abgerufen am 11.10.2018. 289  GPRA / Horizont, Welchen der folgenden Internetunternehmen vertrauen Sie in Bezug auf die Einhaltung des Datenschutzes?, Abrufbar unter: https: /  / de.statista. com / statistik / daten / studie / 790373 / umfrage / vertrauen-in-den-datenschutz-von-inter netunternehmen-in-deutschland / , zuletzt abgerufen am 11.10.2018. 290  Vgl. dazu Rothmann, Ungewollte Einwilligung? Die Rechtswirklichkeit der informierten Zustimmung im Fall von Facebook, S. 5. Online abrufbar unter: https:  / / www.forum-privatheit.de / forum-privatheit-de / publikationen-und-downloads /  veroeffentlichungen-des-forums / 2017-11-02-Jahrestagung-2017 / 1.1c_Rothmann_Fo lien_Vortrag_Forum_Privatheit_Berlin_Uni_Wien_2017.pdf, zuletzt abgerufen am 11.10.2018. 291  Initiative D21, D21 Digital Index 2017 / 2018, S. 13. 292  Initiative D21, D21 Digital Index 2017 / 2018, S. 13.

166

Dritter Teil: Die Einwilligung

cc) Zwischenergebnis: Die rationale Einwilligungserklärung Auf Grundlage der aufgezeigten Präferenzen im Bereich des Datenschut­ zes ist im Rahmen des freilich stark vereinfachten Rationalmodells davon auszugehen, dass die Abwägungsentscheidung der Betroffenen regelmäßig zu Gunsten des Datenschutzes und damit oftmals gegen die Abgabe der Erklä­ rung ausfallen müsste. Pointiert gesprochen bedingt die rationale Einwilli­ gungsentscheidung die restriktive Abgabe der Einwilligungserklärung. Frei­ lich könnte man dieser Annahme entgegenhalten, dass die Hergabe der per­ sonenbezogenen Daten durch die Abgabe der Einwilligung, anders als etwa bei materiellen Gütern, nicht dazu führt, dass die personenbezogenen Daten für den Betroffenen „verloren“ sind. Mithin könnte der Betroffene nahezu unbegrenzt über seine personenbezogenen Daten anhand etwaiger Einwilli­ gungserklärung disponieren. Dem ist allerdings entgegenzuhalten, dass nicht die Verfügungsbefugnis über die Daten das entscheidende Kriterium ist, sondern vielmehr der zugrundeliegende und durchaus einschränkbare Grund­ rechtsgehalt der sich in den personenbezogenen Daten widerspiegelt. Einge­ schränkt verfügbar ist nicht die konkrete Weitergabe, sondern vielmehr das Aufrechterhalten der persönlichen Kontrollmöglichkeit sowie die Wahrung privater Rückzugsräume. b) Tatsächliche Entscheidungen bei Abgabe der Einwilligungserklärung im Rahmen des Opt-Out-Verfahrens Wie im Folgenden zu zeigen ist, entspricht die prognostizierte Annahme der restriktiven Einwilligungserklärung allerdings nicht dem tatsächlichen Verhalten der Betroffenen. So belegten Berendt / Günther / Spiekermann be­ reits 2005, dass es regelmäßig zu einer erheblichen Abweichung zwischen den geäußerten Datenschutzpräferenzen („stated privacy preferences“) und dem tatsächlich an den Tag gelegten Verhalten („actual behavior“) kommt.293 Dies lässt sich auch im Kontext der Opt-Out-Einwilligungserklärung feststel­ len. Unter Berücksichtigung der zuvor genannten Kriterien dürfte die bloße formale Ausgestaltung der Erklärung zu keinen differierenden Ergebnissen bei der Abgabe führen. Zwischenzeitlich wurde allerdings mehrfach empi­ risch nachgewiesen,294 dass es bei der Verwendung entsprechender Opt-Out293  Berendt / Günther / Spiekermann, Communication of the ACM 2005, 101 (102); vgl. dazu auch Acquisti / Brandimarte / Loewenstein, Science 2015, 509 (510); Acquisti, IEEE Security and Privacy, 2009, 82; Acquisti / Grossklags, IEEE Security and Privacy 2005, 26 (28); Nissenbaum, Privacy in Context, S. 105.



Kap. 3: Die formellen Einwilligungsvoraussetzungen167

statt Opt-In-Lösungen295 zu einer signifikanten Erhöhung der tatsächlich ab­ gegebenen Einwilligungserklärungen kommt296. Buchner führt diesbezüglich aus, dass unabhängig davon, ob der Einwilligungstext im Sinne eines OptOut oder eines Opt-In ausgestaltet ist, lediglich 20 Prozent der Betroffenen aktiv handeln.297 Mithin kann allein die Formulierung des Einwilligungstex­ tes die tatsächliche Anzahl der abgegebenen Einwilligungserklärungen ver­ vierfachen. Zu einem vergleichbaren Ergebnis gelangen auch Bellman / Johnson / Lohse, welche im Rahmen einer Online-Umfrage Nutzer mit der Frage konfrontierten, ob diese in Zukunft über Gesundheitsumfragen informiert werden möchten.298 Wurde die Frage im Sinne eines Opt-In ausgestaltet299, erklärten sich 48,2 Prozent damit einverstanden, in Zukunft über Gesund­ heitsumfragen informiert zu werden.300 Bei der Opt-Out-Ausgestaltung301 erklärten sich 96,3 Prozent der Nutzer bereit, auch in Zukunft Informationen erhalten zu wollen.302 Der Effekt lässt sich aktuell auch abseits des Daten­ schutzrechts im Bereich der Organspende nachweisen. Auch hier zeigt sich, dass anhand des Opt-Out-Verfahrens die Anzahl potentieller Organspender annähernd verdoppelt werden kann.303

294  Vgl. dazu u.  a. Johnson / Goldstein, Science 2003, 1338  ff.; Johson / Bellmann / Lohse, Marketing Letters 2002, 5 ff.; Wathieu / Friedman, An Empirical Ap­ proach to Understanding Privacy Valuation, ESMT Working Paper, No. 09-001. 295  Im Rahmen des Opt-In-Verfahrens wird im Unterschied zur bereits beschriebe­ nen Opt-Out-Lösung die entsprechende Handlung / Verarbeitung erst ausgeführt, nach­ dem der Betroffene ausdrücklich seine diesbezügliche Bereitschaft erklärt hat, vgl. dazu u. a. Lundblad / Masiello, scripted 2010, 156 (158); Ehmann, in: Forgó / Helf­ rich / Schneider, Betrieblicher Datenschutz, Teil VIII Kapitel 3. Opt-in / Opt-Out Rn. 5. 296  Vgl. dazu auch Eidenmüller, JZ 2011, 814 (819); Buchner, DuD 2010, 39 (42); Wagner, DuD 2010, 30 (32); Radlanski, Das Konzept der Einwilligung in der daten­ schutzrechtlichen Realität, S. 20; Hermstrüwer, Informationelle Selbstgefährdung, S. 265; Ehmann, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, Teil  VIII Kapitel 3. Opt-in / Opt-Out Rn. 10. 297  Buchner, DuD 2010, 39 (42); so auch bei Radlanski, Das Konzept der Einwil­ ligung in der datenschutzrechtlichen Realität, S. 20; Rogosch, Die Einwilligung im Datenschutzrecht, S.  116 ff. 298  Bellmann / Johnson / Lohse, Communication of the ACM 2001, 25. 299  „notify me about more health surveys“ mit der Möglichkeit, die Option mittels Checkbox zu aktiveren. 300  Bellmann / Johnson / Lohse, Communication of the ACM 2001, 25. 301  „Do NOT notify me about more health surveys“ samt Möglichkeit, durch das Anklicken der Checkbox der Teilnahme zu widersprechen. 302  Bellmann / Johnson / Lohse, Communication of the ACM 2001, 25. 303  Vgl. dazu Rithalia / McDaid / Suekarran / Myers / Sowden, British Medical Jour­ nal, 2009, S. 338 ff.; Johnson / Goldstein, Science 2003, 1338 ff.

168

Dritter Teil: Die Einwilligung

c) Entscheidungserhebliche Faktoren bei der Ausgestaltung der Einwilligungserklärung Zur Begründung der soeben aufgezeigten Dichotomie zwischen Wertschät­ zung des Datenschutzes und Verhalten im Umgang mit dem Datenschutz bietet es sich insbesondere an, auf Erkenntnisse der Verhaltensökonomie (behavioral economics beziehungsweise behavioral law and economics) zu­ rückzugreifen.304 Die Verhaltensökonomie untersucht auf Grundlage empirisch-experimen­ teller Studien, ob sich das tatsächliche menschliche Entscheidungsverhalten von den prognostizierten Annahmen des Rationalmodells der klassischen Ökonomik unterscheidet.305 Den Ausgangspunkt bildet dabei die Annahme, dass das Entscheidungsverhalten der Betroffenen, entgegen dem Idealbild des Homo Oeconomicus, keineswegs ausschließlich rational geprägt und auf Nutzenmaximierung ausgelegt ist.306 Vielmehr unterliegt sowohl die Ent­ scheidungsfindung als auch die letztlich getroffene Entscheidung einer Viel­ zahl von Verzerrungen.307 Der Mensch stellt sich realiter nicht „als perfekter kalter Rechenautomat“308 dar, sein Verhalten wird maßgeblich durch interne und externe Faktoren beeinflusst309. Nach Jolls / Sunstein / Thaler finden sich solche, die objektive Entscheidung begrenzenden Faktoren sowohl im Be­ reich der Rationalität, der Eigennützigkeit als auch der Willensstärke.310 Die Autoren führen diesbezüglich aus: „People can be said to display bounded rationality, bounded willpower and bounded self-interest.“311 304  Vgl. dazu auch Jentzsch, Ökonomische Rahmenbedingungen innovativer Lösungen zu Datenschutz-Einwilligungen, S. 28; Acquisti / Grossklags, What Can Be­ havioral Economics Teach Us About Privacy?, in: Acquisti / Gritzalis / Lambrinou­ dakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, S. 363, 368; Hermstrüwer, Informationelle Selbstgefährdung, S. 228. 305  Steinbeck / Lachenmeier, NJW 2014, 2086; Hamann / Hermstrüwer, KJ 2013, 184, 187; Eidenmüller, JZ 2005, 216, 218; Acquisti / Grossklags, What Can Behavio­ ral Economics Teach Us About Privacy?, in: Acquisti / Gritzalis / Lambrinoudakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, S. 363, 368; Hermstrüwer, Informatio­ nelle Selbstgefährdung, S. 229. 306  Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 479; Beck, Be­ havioral Economics – Eine Einführung, S. 2 ff. 307  Vgl. dazu u. a. Eidenmüller, JZ 2005, 216 (218); Towfight / Petersen, Ökonomi­ sche Methoden im Recht, § 2 Rn. 83. 308  So Beck, Behavioral Economics – Eine Einführung, S. 2 über den Homo Oeconomicus. 309  Vgl. dazu im Kontext des Patientenverhaltens innerhalb des Gesundheitswe­ sens Hermstrüwer, GesR 2018, 21 (22). 310  Vgl dazu m. w. N. Jolls / Sunstein / Thaler, Stanford Law Review 1998, 1471 (1476). 311  Jolls / Sunstein / Thaler, Stanford Law Review 1998, 1471 (1476).



Kap. 3: Die formellen Einwilligungsvoraussetzungen169

Damit steht die Verhaltensökonomie allerdings nicht im Widerspruch zu den Ausgangsannahmen des klassischen Rationalmodells. Vielmehr sollen dessen Grundlagen anhand empirischer und psychologischer Studien angerei­ chert, ergänzt und damit letztlich aussagekräftiger werden.312 Von diesen Erkenntnissen kann die Rechtswissenschaft wiederum insbesondere bei der Überprüfung bestehender sowie bei der Auswahl zukünftig geeigneter Rechtsinstrumente profitieren.313 Mithin kann die ökonomische Analyse des Rechts dazu beitragen, die Wirkung konkreter Regelungsinstrumente zu er­ fassen und gegebenenfalls zu korrigieren.314 Dabei verfolgt die vorliegende Arbeit nicht das Ziel, anhand paternalistischer Regelungen die Entschei­ dungsfreiheit des Einzelnen einzugrenzen, sondern vielmehr Entscheidungs­ strukturen auf Grundlage bestehender normativer Grundlagen zu untersuchen, mit dem Ziel, dem Einzelnen die individuelle Entscheidung bestenfalls zu ermöglichen. Bei der Untersuchung der Zulässigkeit des Opt-Out-Verfahrens ist insbe­ sondere der Aspekt der begrenzten Rationalität315 von zentraler Bedeutung, um die generelle Unzulässigkeit des Opt-Out-Verfahrens abseits des Wort­ lautarguments zu begründen. Diesem zur Folge führt der Fakt, dass die kog­ nitiven Fähigkeiten des Menschen begrenzt sind, dazu, dass sowohl bei der Beurteilung und Verarbeitung der zugrundeliegenden Informationen („judge­ ment“) als auch bei der letztlich darauf basierenden Entscheidungsfindung („choice“ / „decisionmaking“) regelmäßig „irrationale Entscheidungen“ ge­ troffen werden.316 Selbst unter der Annahme, dass die Betroffenen tatsächlich umfassend auf alle entscheidungserheblichen Informationen zugreifen könnten,317 zeigt sich die begrenzte Rationalität respektive die eingeschränkte

312  Acquisti / Grossklags, What Can Behavioral Economics Teach Us About Priva­ cy?, in: Acquisti / Gritzalis / Lambrinoudakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, S. 363, 368; Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 505; Beck, Behavioral Economics – Eine Einführung, S. 9. 313  Vgl. dazu m. w. N. Jolls / Sunstein / Thaler, Stanford Law Review 1998, 1471 (1474); Hermstrüwer, Informationelle Selbstgefährdung, S. 230 ff.; Sandfuchs, Privat­ heit wider Willen? S. 211 ff. 314  Vgl. dazu auch Chatziathanasiou / Leszczynska, RW 2017, 314 (321); Bisges /  Marcel, ZUM 2014, 930; Eidenmüller, JZ 2011, 814; Mackaay, Law and Economics for Civil Law Systems, S. 45 ff.; Hermstrüwer, Informationelle Selbstgefährdung, S. 230 sowie S. 237. 315  Grundlegend dazu Simon, The Quarterly Journal of Economics, 1955, 99 ff. 316  Jolls / Sunstein / Thaler, Stanford Law Review 1998, 1471 (1477); Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 505. 317  Zu der Problematik der Qualität und Quantität der Informationsbereitstellung beziehungsweise bestehender Informationsasymmetrien vgl. die Ausführungen unter Dritter Teil Kap. 4 B.

170

Dritter Teil: Die Einwilligung

mentale Kapazität dafür verantwortlich, dass die Betroffenen bestimmte feh­ lerträchtige Verhaltensweisen an den Tag legen.318 Im Folgenden sollen daher die zentralen „Fehlerquellen“ bei der Beurtei­ lung und Verarbeitung der Informationen (aa)) als auch bei der letztlichen Entscheidung (bb)) dargestellt und mit Blick auf das Opt-Out-Verfahren be­ leuchtet werden. aa) F  ehlerquellen bei der Beurteilung der zugrundeliegenden Informationen Im Bereich der Urteilsbildung wird insbesondere der Rückgriff auf Heuris­ tiken für etwaige Abweichungen von der rational prognostizierten Entschei­ dung verantwortlich gemacht.319 Die begrenzte Fähigkeit zur Aufnahme und Verarbeitung der regelmäßig umfassenden und komplexen Informationen zwingt die Betroffenen zur Anwendung vereinfachender Regeln statt kom­ plexer rationaler Abwägungen.320 Wenngleich die Anwendung entsprechen­ der „kognitiver Daumenregeln“ effizienzsteigernd im Sinne der Zielerrei­ chung ist, führt die Komplexitätsreduktion oftmals zu unerwünschten oder falschen Annahmen („Verzerrungen“ / „biases“).321 Beck beschreibt die Vorund Nachteile der Anwendung etwaiger Heuristiken plastisch am Beispiel des gordischen Knotens:322 Der vermeintlich untrennbare Knoten, als Sinnbild eines komplexen und vielschichtigen Problems, wird durch das denkbar einfache Mittel „Schwert“ gelöst. Wenngleich es dadurch zur unmittelbaren und effizienten Problemlö­ sung kommt, muss letztlich die Zerstörung des Seils in Kauf genommen werden.323 Mit Blick auf die Komplexität des Datenschutzes zeigt sich, dass zahlrei­ che Betroffene diesen gordischen Knoten ebenfalls heuristisch lösen möch­ ten, mit dem Ergebnis, dass es zu umfassenden, regelmäßig unwissentlichen 318  Acquisti / Grossklags, IEEE Security and Privacy, 2005, 26; Acquisti / Grossklags, What Can Behavioral Economics Teach Us About Privacy?, in: Acquisti / Gritza­ lis / Lambrinoudakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, S. 363, 368. 319  Grundlegend dazu Tversky / Kahneman, Judgment under Uncertainty: Heuris­ tics and Biases, Science 1974, 1124 ff. 320  Statt vieler Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 505; Beck, Behavioral Economics, S. 26. 321  Tversky / Kahneman, Science 1974, 1124; Mackaay, Law and Economics for Civil Law Systems, S. 43. 322  Beispiel nach Beck, Behavioral Economics, S. 26. 323  Vgl. ausführlich zu den einzelnen Heuristiken Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 506 – 519.



Kap. 3: Die formellen Einwilligungsvoraussetzungen171

Verarbeitungsvorgängen kommt. Beispielhaft neigen Betroffene dazu, allein aus dem Vorhandensein etwaiger Datenschutzerklärungen den Rückschluss zu ziehen, dass der Datenschutz gewahrt wird.324 In diesem Kontext entwar­ fen Hoofnagle / Turow / King im Jahr 2009 ein „Privacy Quiz“, welches das Wissen der Teilnehmer zum Thema Datenschutz im Online- und Offlinesek­ tor aufzeigen sollte.325 Die Frage, ob die Bereithaltung einer Datenschutz­ erklärung zur Folge hat, dass der Webseitenbetreiber personenbezogene Da­ ten der Betroffenen ausschließlich auf Grundlage einer Erlaubnis weitergeben darf, bejahten fälschlicherweise 62 Prozent der Teilnehmer.326 Auch die bloße Ausgestaltung der Webseite oder allein die Reputation des Verarbeiters kann die Betroffenen zu der Annahme verleiten, dass der Datenschutz gewahrt wird.327 Weiterhin konnte gezeigt werden, dass Betroffene aus der Aussage, dass eine Datenübertragung „sicher“ ist, regelmäßig die unreflektierte Schlussfolgerung ziehen, dass die Übertragung auch vertraulich ist.328 Mithin kann festgehalten werden, dass die Betroffenen im Kontext Privat­ heit / Datenschutz regelmäßig die zugrundeliegende Komplexität durch einfa­ che Annahmen reduzieren, ohne diese zu verifizieren.329 Die daraus resultie­ renden Fehleinschätzungen perpetuieren sich sodann, wie zu zeigen ist, bei der letztlichen Entscheidungsfindung. bb) Fehlerquellen bei der Entscheidungsfindung Die letztliche Entscheidung zwischen den wählbaren Optionen krankt oft­ mals daran, dass die Betroffenen tatsächlich regelmäßig einen instabilen be­ ziehungsweise beeinflussbaren Präferenzkanon aufweisen.330 Aus dem Um­ stand, dass die Präferenzen der Betroffenen grundsätzlich nicht stabil und beständig sind, folgt oftmals, dass insbesondere die konkrete Ausgestaltung 324  Hermstrüwer, jiptec 2017, 9 (18); Arnold / Hillebrand / Waldburger, DuD 2015, 730 (732); Acquisti / Brandimarte / Loewenstein, Science 2015, 509 (512). 325  Vgl. dazu Hoofnagle / Urban, Wake Forest Law Review, 2014, 261 (281). 326  Hoofnagle / Urban, Wake Forest Law Review, 2014, 261 (309). 327  Vgl. dazu Acquisti et al., ACM Computing Surveys 2017, 44 (44:6); Rao et al., Expecting the Unexpected: Understanding Mismatched Privacy Expectations Online, in: USENIX Associaton, SOUPS 2016: Twelfth Symposium on Usable Privacy and Security, S.  77 f. 328  Acquisti / Grossklags, IEEE Security & Privacy 2005, 26 (31). 329  Acquisti et al., ACM Computing Surveys 2017, 44 (44:6). 330  Solove, Harvard Law Review, 2013, 1880 (1887); Acquisti / Grossklags, What Can Behavioral Economics Teach Us About Privacy?, in: Acquisti / Gritzalis / Lambri­ noudakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, 2008, S. 363, 368; Eidenmüller, JZ 2005, 216 (218); Towfigh / Petersen, Ökonomische Methoden im Recht, § 8 Rn. 505.

172

Dritter Teil: Die Einwilligung

der datenschutzrechtlichen Entscheidungssituation erheblichen Einfluss auf die Wahl des Betroffenen ausüben kann.331 Von besonderer Relevanz sind dabei sowohl Default-, Besitz- als auch Framing-Effekte, welche im Folgen­ den mit Blick auf das Opt-Out-Verfahren untersucht werden sollen. Insbesondere der Default-Effekt zeichnet sich für die oftmals unbewusste Preisgabe personenbezogener Daten verantwortlich. In der Verhaltensökono­ mie wird damit das Phänomen bezeichnet, welchem zur Folge Menschen grundsätzlich das Bedürfnis haben, bestehende Zustände nicht zu ändern.332 Mithin konnte gezeigt werden, dass Menschen vor der Wahl zwischen Verän­ derung und Beibehaltung des aktuellen Zustands sich mehrheitlich für letzte­ res entscheiden.333 In der Folge neigen Menschen bei der Wahl zwischen zwei Optionen regelmäßig dazu, diejenige zu präferieren, welche den aktuel­ len Zustand widerspiegelt.334 Zur Begründung dieses „Default-„ oder auch. „Status-Quo-Effekts“ wer­ den in der Literatur mehrere Ansätze herangezogen.335 Dabei gilt es zunächst aus rationaler Entscheider-Perspektive zu beachten, dass das Abweichen von der Opt-Out-Einstellung regelmäßig mit einem gewissen Aufwand (Transak­ tionskosten) sowie nicht bekannten Risiken verbunden ist.336 Die Ungewiss­ heit und damit möglicherweise verbundene Risiken führen bei den Entschei­ denden oftmals dazu, bei dem Gewohnten zu bleiben, selbst wenn das Ver­ lustrisiko nur minimal ist.337 Zudem verspricht die Beibehaltung des Bewährten die Vermeidung eines möglicherweise komplexen und letztlich ebenfalls in der Gänze nicht völlig absehbaren Abwägungsvorgangs.338 Diesbezüglich schreibt Willist: „[Anti­ cipated] cognitive or emotional difficulty can lead to procrastination in engag­ 331  Acquisti et al., ACM Computing Surveys 2017, 44, 44:6; Hermstrüwer, jiptec 2017, 9, 18; Acquisti / Brandimarte / Loewenstein, Science 2015, 509, 510; Solove, Harvard Law Review 2013, 1880 (1887); Johnson / Bellman / Lohse, Marketing Letters 2002, 5 (6). 332  Grundlegend dazu Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 ff. 333  Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (11); Beck, Behavioral Economics – Eine Einführung, S. 164. 334  Beck, Behavioral Economics – Eine Einführung, S. 166. 335  Ausführlich dazu Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (33 ff.). 336  Acquisti et al., ACM Computing Surveys 2017, 44 (44:10); Willis, The Univer­ sity of Chicago Law Review 2012, 1155 (1164); Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (34). 337  Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (35). 338  Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (34); Beck, Behavioral Economics – Eine Einführung, S. 167.



Kap. 3: Die formellen Einwilligungsvoraussetzungen173

ing in the research and deliberation people would like to apply to the deci­ sion, and then a failure to make any decision.“339 Entscheidungserheblich ist dabei sicherlich auch ein gewisser Hang zur Bequemlichkeit340 sowie die „Furcht vor falschen Entscheidungen“ (Omission Bias)341. Darüber hinaus kommt auch in Betracht, dass die Betroffenen Voreinstellungen als wohlwol­ lende Empfehlung oder schlicht als die populärste Entscheidungsmöglichkeit interpretieren.342 Mitunter wird aber auch darauf abgestellt, dass die Aufgabe des derzeiti­ gen Status als Verlust verstanden werden könnte, welcher höher wiegt als der theoretische Gewinn durch die Alternative („loss aversion“).343 In diesem Zusammenhang ist allen voran der sog. „endownment effect“ von Relevanz. Diesem zur Folge bemessen die Entscheider dem Gut, welches sie besitzen, regelmäßig einen höheren Wert bei als Gütern, welche sie nicht besitzen.344 Dieser Effekt konnte zwischenzeitlich auch im Bereich der Datenschutzent­ scheidungen nachgewiesen werden.345 Dabei lässt sich den Studien entneh­ men, dass die Betroffenen bei der Preisgabe ihrer Daten regelmäßig einen hohen „Verkaufswert“ („willingness to accept – WTA“) ansetzen, die Bereit­ schaft zur Bezahlung für etwaige Datenschutzmaßnahmen („willingness to pay – WTP) allerdings tendenziell gering ist.346 Zusammenfassend lässt sich dabei festhalten, dass die Betroffenen ihren personenbezogenen Daten regel­ mäßig dann einen hohen Wert beimessen, wenn sie der Überzeugung sind, dass sie die Kontrolle über diese Daten tatsächlich innehaben.347 Herms­ trüwer zieht daraus überzeugenderweise die Schlussfolgerung, dass daten­ schutzfreundliche Voreinstellungen, welche den Betroffenen eine umfassende 339  Willis,

The University of Chicago Law Review 2012, 1155 (1167). dazu Acquisti / Brandimarte / Loewenstein, Science 2015, 509 (512). 341  Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (38); Willis, The University of Chicago Law Review 2012, 1155 (1168). 342  Vgl. dazu Acquisti et al., ACM Computing Surveys 2017, 44 (44:10); Willis, The University of Chicago Law Review 2012, 1155 (1168). 343  Samuelson / Zeckhauser, Journal of Risk and Uncertainty 1988, 7 (35); Willis, The University of Chicago Law Review 2012, 1155 (1166); Beck, Behavioral Eco­ nomics – Eine Einführung, S. 166. 344  Grundlegend hierzu Thaler, Journal of Economic Behavior and Organization 1980, 39 (43 ff.). 345  Vgl. dazu Acquisti et al., ACM Computing Surveys 2017, 44 (44:10); Acquisti / John / Lowenstein, The Journal of Legal Studies 2013, 249 ff.; Acquisti / Grossklags, What Can Behavioral Economics Teach Us About Privacy?, in: Acquisti / Gritza­ lis / Lambrinoudakus / De Capitani di Vimercati (Hrsg.), Digital Privacy, 2008, S. 363, 371. 346  Acquisti et al., ACM Computing Surveys 2017, 44 (44:10); Acquisti / John / Lowenstein, The Journal of Legal Studies 2013, 249 (268). 347  Acquisti et al., ACM Computing Surveys 2017, 44 (44:10). 340  Vgl.

174

Dritter Teil: Die Einwilligung

Kontrollstellung einräumen, die individuelle Wertschätzung der Privatheit erhöhen.348 Das Opt-Out-Verfahren kann hingegen im Sinne bereits verlore­ ner Daten verstanden werden, denen letztlich kein Wert und kein Aufwand mehr zuteilwerden sollte.349 Dabei gilt es abschließend zu berücksichtigen, dass auch die konkrete Aus­ gestaltung der jeweiligen Standardeinstellungen, das sog. Framing, erheb­ lichen Einfluss auf die letztliche Entscheidung haben kann.350 Insbesondere konnte gezeigt werden, dass abhängig davon, ob die Konsequenzen der Ent­ scheidungssituation als Gewinn oder als Verlust dargestellt werden, erhebliche Abweichungen bei den jeweiligen Entscheidungen auftreten.351 Bei daten­ schutzrechtlich relevanten Entscheidungen konnte diesbezüglich nachgewie­ sen werden, dass der Wille der Betroffenen zur Preisgabe personenbezogener Daten maßgeblich mit der jeweiligen Ausgestaltung der Einwilligungserklä­ rung, der Einstellungsoptionen oder der Datenschutzerklärung korreliert.352 d) Zwischenergebnis Insgesamt kann festgehalten werden, dass sowohl die Kontrolle über die Daten als auch der Datenschutz im Allgemeinen ein zentraler Wert der Be­ troffenen ist. Trotz oder vielleicht gerade aufgrund353 der fortschreitenden Digitalisierung und Vernetzung hat der Datenschutz bei den Betroffenen ei­ nen hohen Stellenwert. Auch die zunehmende Durchdringung der Gesell­ schaft durch die „Digital Natives“ ändert nichts daran, dass im Grundsatz auch in den Jahren 2017 / 2018 eine restriktive Handhabung personenbezoge­ ner Daten gewünscht ist. „Digital first. Bedenken second.“354 verfängt jeden­ falls in der Theorie nicht. 348  Hermstrüwer,

Informationelle Selbstgefährdung, S. 263. Informationelle Selbstgefährdung, S. 266. 350  Vgl. dazu grundlegend Tversky / Kahneman, Science 1981, 453  ff.; Tversky /  Kahneman, The Journal of Business 1986, 251 ff. 351  Hamann / Hermstrüwer, KJ 2013, 184 (189); Johnson / Bellman / Lohse, Marke­ ting Letters 2002, 5 (7); Adjerid, Uninformed Consent, 2013, S. 74, 75; Beck, Beha­ vioral Economics – Eine Einführung, S. 153; Towfigh / Petersen, Ökonomische Me­ thoden im Recht, § 8 Rn. 535. 352  Vgl. dazu Acquisti et al., ACM Computing Surveys 2017, 44 (44:8); Adjerid et al. Choice Architecture, Framing, and Cascaded Privacy Choices. Abrufbar unter: http: /  / dx.doi.org / 10.2139 / ssrn.2765111, zuletzt abgerufen am 11.10.2018; Acquisti / John / Loewenstein, The Journal of Legal Studies 2013, 249 (252); John­ son / Bellman / Lohse, Marketing Letters 2002, 5 (6). 353  So Acquisiti, IEEE Security and Privacy, 2009, 82. 354  So der zentrale Wahlspruch des „Digital-Wahlkampfs“ der FDP im Jahr 2017. Kritisch hierzu: Bernhard, Zeit-Online v. 09.09.2017: Regierung bilden oder Start-up 349  Hermstrüwer,



Kap. 3: Die formellen Einwilligungsvoraussetzungen175

Am Beispiel der Opt-Out-Einwilligung konnte allerdings gezeigt werden, dass Datenschutz zwar gewünscht, nicht aber zwingend gelebt wird bezie­ hungsweise gelebt werden kann („Privacy Paradox“)355. Wie sich unter He­ ranziehung ökonomischer Aspekte gezeigt hat, sind die Gründe hierfür nicht allein im Bereich der Spekulationen zu suchen.356 Vielmehr unterliegen die Betroffenen bei der tatsächlichen Entscheidungsfindung zahlreichen Ein­ flussfaktoren, welche gerade auch bei der rechtlichen Ausgestaltung zu be­ rücksichtigen sind. Für das Opt-Out-Verfahren im Bereich des Datenschutzes hat das aber zur Folge, dass abseits des ohnehin bereits in Erwägungsgrund 32 Satz 3 DSGVO angelegten Verbots auch gewichtige teleologische Argumente gegen den Einsatz des Widerspruchsverfahrens sprechen. Mithin wäre das Versprechen informationeller Selbstbestimmung im vollen Bewusstsein, dass diese aufgrund der tatsächlichen Ausgestaltung regelmäßig nicht genutzt wird, im Widerspruch zur Intention des Instruments der Einwilligung. Für die vorliegende Arbeit ergeben sich daraus zwei wesentliche Aspekte: Zunächst kann perpetuiert werden, dass die formale Ausgestaltung der Ein­ willigungserklärung zentral für die Wahrung der informationellen Selbstbe­ stimmung der Betroffenen ist. Darauf aufbauend ist im Weiteren zu untersu­ chen, ob die Ausgestaltung der Einwilligungserklärung nicht nur dazu geeig­ net ist, die ungewollte Preisgabe personenbezogener Daten zu forcieren, sondern vielmehr dazu beitragen kann, dem Einzelnen die digitale Kontrolle über seine Daten zurückzugeben. Mithin ist zu klären, unter welchen Voraus­ setzungen die Einwilligung dazu beitragen kann, einerseits entscheidungser­ hebliche Faktoren wie beispielsweise den Status-Quo-Bias hinreichend mit­ einzubeziehen und darüber hinaus für den Betroffenen einen echten Mehrwert bei der zugrundeliegenden Abwägungsentscheidung bietet. 2. Die grundsätzliche Zulässigkeit der konkludenten Einwilligungserklärung Auch die konkludente Einwilligungserklärung kann ausreichend sein, so­ lange und soweit aus der Handlung der entsprechende Wille des Betroffenen deutlich hervortritt.357 Dazu ist es allerdings nicht ausreichend, dass der Be­ managen? Online abrufbar unter: http: /  / www.zeit.de / kultur / 2017-09 / fdp-wahlpla kate-christian-lindner-digitalisierung-technologie, zuletzt abgerufen am: 11.10.2018. 355  Vgl. dazu bereits die Ausführungen unter Zweiter Teil Kapitel 2 B. 356  So aber Radlanski, Das Konzept der Einwilligung in der datenschutzrecht­ lichen Realität, S. 20. 357  So u. a. Ernst, ZD 2017, 110 (114); Krohm, ZD 2016, 368 (371); Albrecht /  Jotzo, Das neue Datenschutzrecht der EU, S. 70 Rn. 39; Funke, Dogmatik und Vo­ raussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 321; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 37; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 23.

176

Dritter Teil: Die Einwilligung

troffene mit dem Verantwortlichen einen Vertrag abschließt oder dessen all­ gemeine Geschäftsbedingungen (AGB) akzeptiert.358 Auch die unmittelbare Nutzung eines (Online-)Dienstes durch den Betroffenen rechtfertigt nicht die Annahme, dass dieser mit einer für den Dienst nicht erforderlichen Datenver­ arbeitung einverstanden ist.359 Mithin sind auch im Kontext der konkludenten Einwilligungserklärung die Voraussetzungen an die Informiertheit, Freiwil­ ligkeit und Bestimmtheit hinreichend zu wahren360 sowie die Anforderungen an die Nachweisbarkeit gem. Art. 7 Abs. 1 DSGVO zu berücksichtigen. Weiterhin ist auf eine klare Differenzierung zwischen der (zulässigen) kon­ kludenten Einwilligungserklärung und der jedenfalls nicht ausreichenden Untätigkeit des Betroffenen zu achten.361 Mit den Argumenten, welche für die Zulässigkeit der konkludenten Ein­ willigungserklärung sprechen, lässt sich zugleich begründen, dass die mut­ maßliche Einwilligungserklärung nicht ausreichend sein kann. Wie gezeigt, bedarf es jedenfalls einer proaktiven Handlung des Betroffenen, allein auf dessen mutmaßlichen Willen abzustellen, kann daher nicht ausreichend sein.362 Gegen die Zulässigkeit der mutmaßlichen Einwilligungserklärung spricht zudem, dass Art. 9 Abs. 2 lit. c DSGVO ausdrücklich einen der Hauptanwendungsfälle der mutmaßlichen Einwilligungserklärung gesetzlich regelt. Diesem zur Folge ist die Verarbeitung besonderer Kategorien perso­ nenbezogener Daten zulässig, wenn die Verarbeitung zum Schutz lebens­ wichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person aus körperlichen oder recht­ lichen Gründen außerstande ist, ihre Einwilligung zu geben. Wäre die mut­ maßliche Einwilligungserklärung unter den Vorgaben der DSGVO zulässig, wäre der Tatbestand seines Anwendungsbereichs beraubt, da im Falle lebens­ wichtiger Interessen wohl regelmäßig davon auszugehen ist, dass der Betrof­ fene in die entsprechende Verarbeitung einwilligen würde. Vielmehr kann den ausdrücklich geregelten Vorgaben des Art. 9 Abs. 2 lit. c DSGVO ent­ nommen werden, dass der Rückgriff auf die mutmaßliche Einwilligungs­ erklärung grundsätzlich ausgeschlossen ist, es sei denn, dass die restriktiv363 358  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20. 359  Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Definition von Einwilligung, WP 187, S. 28. 360  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Defini­ tion von Einwilligung, WP 187, S. 27. 361  Vgl. dazu Spelge, DuD 2016, 775 (781). 362  So auch statt Vieler Funke, Dogmatik und Voraussetzung der datenschutz­ rechtlichen Einwilligung im Zivilrecht, S. 298; Rogosch, Die Einwilligung im Daten­ schutzrecht, S. 68; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 ­DSGVO Rn.  84; Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 90.



Kap. 3: Die formellen Einwilligungsvoraussetzungen177

auszulegenden Voraussetzungen des Tatbestandes vorliegen. Freilich könnte man dem entgegenhalten, dass Art. 9 Abs. 2 lit. c DSGVO lediglich den Fall der Verarbeitung besonderer Kategorien personenbezogener Daten im Blick hat. Mithin könnte der Umkehrschluss vertreten werden, dass die mutmaß­ liche Einwilligung abseits der Verarbeitung sensibler Daten durchaus möglich sein könnte. Dem kann allerdings auf Grundlage der Vorschrift des Art. 6 Abs. 1 Satz 1 lit. d DSGVO begegnet werden. Die Verarbeitung personenbe­ zogener Daten ist auch dann auf Grundlage eines gesetzlichen Tatbestandes legitimiert, wenn diese erforderlich ist, um lebenswichtige Interessen der betroffenen oder einer anderen natürlichen Person zu schützen. Es spricht daher, neben dem Erfordernis der aktiven Handlung, bereits vieles dafür, dass der Verordnungsgeber potentielle Anwendungsfälle der mutmaßlichen Einwilligung anhand von gesetzlichen Tatbeständen auffangen wollte. 3. Das Erfordernis der ausdrücklichen Erklärung in besonderen Verarbeitungssituationen Anders als noch in den Entwurfsfassungen vorgesehen, normiert die ­ SGVO lediglich in gesonderten grundrechtsinvasiven Verarbeitungssituati­ D onen das Erfordernis einer ausdrücklichen Einwilligungserklärung.364 Aus­ nahmen von der grundsätzlichen Zulässigkeit der konkludenten Einwilli­ gungserklärung finden sich im Bereich besonderer Kategorien personenbezo­ gener Daten (Art. 9 Abs. 2 lit. a DSGVO), im Bereich automatisierter Ent­ scheidungen im Einzelfall (Art. 22 Abs. 2 lit. c DSGVO) sowie bei der Übermittlung personenbezogener Daten an ein Drittland oder an eine interna­ tionale Organisation (Art. 49 Abs. 1 Satz 1 lit. a DSGVO). In den genannten Fällen stellt die DSGVO darauf ab, dass die betroffene Person ausdrücklich in die Verarbeitung ihrer personenbezogenen Daten ein­ willigt. Wenngleich auch in diesen Fällen der Rekurs auf die Schriftform nicht zwingend365 angezeigt ist366, kann sich das Kriterium der Ausdrück­ vieler Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 Rn. 42. dazu Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guideli­ nes on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 21; Schantz / Wolff, Das neue Datenschutzrecht, Rn. 491; Gierschmann, in: Gierschmann / Schlender /  Stentzel / Veil, DSGVO, Art. 7 Rn. 24. 365  Gleichwohl kann die schriftliche Erklärung in diesen Fällen aus Gründen der Rechtssicherheit angezeigt sein, vgl. Artikel-29-Datenschutzgruppe, Stellung­ nahme 17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 22; Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Definition von Einwilligung, WP 187, S. 25, 29 ff. 366  Korge, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO Art. 9 Rn. 20; Schulz, in: Gola, DSGVO, Art. 9 Rn. 17; differenzierend: Schiff, in: Ehmann / Sel­ 363  Statt 364  Vgl.

178

Dritter Teil: Die Einwilligung

lichkeit nicht darin erschöpfen, dass die Einwilligung unzweifelhaft abgege­ ben wurde367. Auch im Rahmen der „einfachen“ Einwilligungserklärung be­ darf es jedenfalls einer unmissverständlichen Abgabe im Sinne des Art. 4 Nr. 11 DSGVO, sodass auch in diesen Fällen letztlich kein Zweifel an der abgegebenen Erklärung bestehen darf.368 Freilich verschärft sich die Proble­ matik der zweifelsfreien Abgabe in besonderen Verarbeitungssituationen, als maßgebliches Abgrenzungskriterium kann das Merkmal aber nicht herange­ zogen werden. Vielmehr kommt es letztlich auf die Art und Weise an, wie der Betroffene die Einwilligungserklärung zum Ausdruck bringt.369 Um das Kriterium der Ausdrücklichkeit zu erfüllen, bedarf es einer „positiv bejahenden Handlung“ des betroffenen Datensubjekts.370 Insbesondere im digitalen Kontext kommt dabei ein zweistufiges Authentifizierungsverfahren in Betracht:371 Zunächst erhält der Betroffene dabei per E-Mail umfassende Informatio­ nen über Zweck und Umfang der geplanten Verarbeitung, verbunden mit der Aufforderung zur Abgabe einer entsprechenden Einwilligungserklärung. Für den Fall, dass der Betroffene in die entsprechende Verarbeitung einwilligen möchte, kann er auf die erhaltene E-Mail beispielsweise mit den Worten „ich willige in die Verarbeitung im genannten Umfang ein“ antworten. Die Bestä­ tigung der abgegebenen Einwilligungserklärung erfolgt in einem zweiten Schritt, wobei die Authentifizierung und Bestätigung anhand eines SMSCodes oder durch einen entsprechenden Bestätigungslink per E-Mail in Be­ tracht kommt. II. Der Grundsatz des formfreien Erklärungsaktes Von zentraler Bedeutung für die vorliegende Arbeit ist, dass es dem Ver­ antwortlichen nach den Vorgaben der DSGVO grundsätzlich freigestellt ist, in welcher Form er die unmissverständliche Willensbekundung des Betroffe­ nen einholt. In Betracht kommt dabei sowohl die schriftliche, (fern-)münd­

mayr, DSGVO, Art. 9 Rn. 35, der jedenfalls die mündliche Einwilligungserklärung im Falle besonderer Kategorien personenbezogener Daten ausschließen möchte. 367  So Schiff, in: Ehmann / Selmayr, DSGVO, Art. 9 Rn. 33. 368  So auch Albrecht, CR 2016, 88 (91). 369  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 22. 370  Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Definition von Einwilligung, WP 187, S. 30. 371  Vgl. zum Folgenden Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 23.



Kap. 3: Die formellen Einwilligungsvoraussetzungen179

liche oder elektronisch eingeholte Einwilligungserklärung.372 Mit Blick auf das den Verantwortlichen eingeräumte Ermessen hinsichtlich der Bestim­ mung der Form, sollen im Folgenden die einzelnen Möglichkeiten näher er­ läutert werden. 1. Die schriftliche Erklärung Es bleibt den Verantwortlichen unbenommen, die unmissverständliche Bekundung des Betroffenen mittels einer schriftlichen Erklärung einzuho­ len.373 Wenngleich die DSGVO den Grundsatz der Schriftform nicht aufge­ griffen hat (vgl. dazu a)), verbleibt den Verantwortlichen nach wie vor die Möglichkeit der „konservativen Handhabung“ (b)). a) Abkehr vom Grundsatz der Schriftform Der bislang das deutsche Datenschutzrecht prägende Grundsatz der Schriftform der Einwilligung gem. § 4a Abs. 1 Satz 3 BDSG a. F. ist jeden­ falls nominell passé.374 Wenngleich damit zwar die der Schriftform inhä­ rente Warnfunktion vor übereilten Handlungen nur noch eingeschränkt zur Geltung kommt,375 ist damit nicht zwingend ein datenschutzrechtlicher Rückschritt verbunden376. Auch im Kontext der DSGVO ist der Betroffene hinreichend vor übereilten Einwilligungshandlungen zu warnen und zu schützen. Es obliegt nach wie vor dem Verantwortlichen bei der Ausgestal­ tung der Erklärung dafür Sorge zu tragen, dass der Betroffene die notwendige Aufmerksamkeit an den Tag legt, allerdings wird das diesbezügliche Instru­ mentarium durch die novellierte Formfreiheit deutlich erweitert. Freilich birgt gerade der schnelllebige Kontext digitaler Datenverarbeitun­ gen die grundsätzliche Gefahr überhasteter Einwilligungserklärungen in sich. Zugleich bieten aber die mit der digitalen Einwilligungserklärung verbunde­ nen Möglichkeiten der Informationsvermittlung hinreichende Chancen, die­

372  Erwägungsgrund 32

Satz 1 DSGVO. Satz 1 DSGVO. 374  Vgl. zum bisherigen Schriftformerfordernis: Radlanski, Das Konzept der Ein­ willigung in der datenschutzrechtlichen Realität, S. 109 ff.; Gola / Klug / Körffer, in: Gola / Schomerus, BDSG a. F., § 4a Rn. 29. 375  Vgl. dazu Thüsing / Schmidt / Forst, RDV 2017, 116 (120); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 35; Buchner / Kühling, in: Kühling / Buch­ ner, DSGVO / BDSG, Art. 7 Rn. 27. 376  So aber Becker, JZ 2017, 170 (173) unter Verweis auf die Möglichkeit der elektronischen Einwilligung. 373  Erwägungsgrund 32

180

Dritter Teil: Die Einwilligung

ses Defizit auszugleichen.377 Es kommt daher weniger zu einer Absenkung des Datenschutzniveaus durch die DSGVO als vielmehr zu einer Verlagerung hinsichtlich der zu verwendenden Schutzinstrumente. Der Zweck des Schrift­ formgebotes, die Betroffenen hinsichtlich der Grundrechtsdisposition zu sensibilisieren,378 kann gleichermaßen anhand zeitgemäßer digitaler Informa­ tionsvermittlung gewährleistet werden, ohne dass es eines Medienbruchs bedarf.379 Mithin wird lediglich der Zeitpunkt des Bewusstwerdens über die grundrechtsrelevante Handlung des Betroffenen vorverlagert. In diesem Sinne lässt sich auch die weitere formfreie Ausgestaltung der DSGVO, ins­ besondere die zwingenden Belehrungs- und Unterrichtungspflichten der Art. 12 ff. DSGVO dafür heranziehen, dass der Rückgriff auf die Schriftform nicht mehr zwingend geboten ist.380 Für den Fall, dass es dennoch zu einer Überrumpelungssituation kommen sollte, kann zuletzt an die jederzeitige freie Widerrufbarkeit der Erklärung gedacht werden.381 b) Die Ausgestaltung der schriftlichen Erklärung im Sinne der DSGVO Wenngleich aus den genannten Gründen die klassische Schriftform regel­ mäßig nicht mehr das Mittel der Wahl darstellen sollte, wird dessen Einhal­ tung insbesondere mit Blick auf die Nachweispflichten des Art. 7 Abs. 1 DSGVO weiterhin empfohlen.382 Die damit verbundenen Anforderungen an den Erklärungsakt bemessen sich allerdings nicht nach den innerhalb des deutschen Zivilrechts einschlägigen §§ 126 ff. BGB.383 Die schriftliche Er­ 377  Krohm, ZD 2016, 368 (371); Heckmann / Paschke, in: Ehmann / Selmayr, ­DSGVO, Art. 7 Rn. 35. 378  Vgl dazu Thüsing / Schmidt / Forst, RDV 2017, 116 (120); Buchner, Datenver­ arbeitung im nicht-öffentlichen Bereich, in: Tinnefeld / Buchner / Petri / Hof, Einfüh­ rung in das Datenschutzrecht, S. 422. Zur Rechtslage nach dem BDSG a. F.: Simitis, in: Simitis, Bundesdatenschutzgesetz, § 4a Rn. 33; 379  So. i. E. auch Krohm, ZD 2016, 368 (371). 380  Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 105; kritisch hierzu: Riechert, Stellungnahme zu rechtlichen Aspekten eines Einwilligungsassistenten, S. 28, welche bei der Frage, ob „[…] ein Mehr an Transparenz ein weniger an Ein­ willigung aufwiegen kann […]“ zur Vorsicht rät. 381  Thüsing / Schmidt / Forst, RDV 2017, 116 (121). 382  So etwa Der Bayerische Landesbeauftragte für den Datenschutz, Die Einwilli­ gung nach der DSGVO, S. 5; Buchner / Kühling, DuD 2017, 544 (546); Spranger, MedR 2017, 864 (865); Buchner, Datenverarbeitung im nicht-öffentlichen Bereich, in: Tinnefeld / Buchner / Petri / Hof, Einführung in das Datenschutzrecht, S. 422; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 80. 383  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 35; vgl. zu den Anforderungen an die Schriftform nach deutschem Zivilrecht: Spindler, in: Spindler /  Schuster, Recht der elektronischen Medien, Dritter Teil, § 126 BGB.



Kap. 3: Die formellen Einwilligungsvoraussetzungen181

klärung im Sinne des Art. 7 DSGVO umfasst sowohl den handschriftlich geschriebenen und unterschriebenen Brief als auch die Erklärung beispiels­ weise anhand einer E-Mail, solange aus der Erklärung eindeutig hervorgeht, in welche Verarbeitungsprozesse der Betroffene einwilligen möchte.384 Für ein solch weites Verständnis der Schriftform spricht zunächst Erwägungs­ grund 32 Satz 1 DSGVO, welcher festhält, dass die Erklärung der betroffe­ nen Person „[…] etwa in Form einer schriftlichen Erklärung, die auch elek­ tronisch erfolgen kann […]“, abgeben werden kann. Die Aufzählung ist da­ bei, wie dem Adverb „etwa“ entnommen werden kann, nicht abschließend zu verstehen, sodass im Rahmen der schriftlichen Erklärung zahlreiche Anwen­ dungsfelder und -beispiele denkbar sind.385 Auch mit Blick auf die Schutz­ funktion des Art. 7 Abs. 2 Satz 1 DSGVO wäre es letztlich schwer vereinbar, unter den Begriff der schriftlichen Erklärung allein nichtelektronische Sach­ verhalte zu subsumieren.386 Anderenfalls wären die gerade im Online-Bereich notwendigen Transparenzvorgaben des Art. 7 Abs. 2 DSGVO regelmäßig nicht anwendbar.387 Die Anforderungen an die elektronische Einwilligungs­ erklärung, unabhängig davon, ob man diese als Unterform der Schriftform oder als eigenständige Form anerkennen mag,388 sollen mit Blick auf deren Bedeutung für die Arbeit gesondert dargestellt werden. 2. Die mündliche Erklärung Weiterhin besteht die Möglichkeit, dass der Betroffene sein Einverständnis durch eine mündliche Erklärung erteilt.389 Die schriftliche Bestätigung, wie dies noch in § 28 Abs. 3a Satz 1 BDSG a. F. insbesondere im Falle mündlich erteilter Einwilligungen vorgesehen war, ist nicht mehr erforderlich.390 Mit Blick auf die damit verbundenen Nachweisschwierigkeiten ist allerdings da­ von auszugehen, dass die Möglichkeit der (allein) mündlichen Einwilligungs­ erklärung kaum oder allenfalls in bestimmten Randbereichen, wie beispiels­ weise im Kontext etwaiger telefonischer Marketingmaßnahmen, praktische 384  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 19. 385  Vgl. dazu auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 19. 386  Plath, in: Plath, BDSG / DSGVO, Art. 7 DSGVO Rn. 11; dem folgend: Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 77. 387  Plath, in: Plath, BDSG / DSGVO, Art. 7 DSGVO Rn. 11. 388  So Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 65. 389  Erwägungsgrund 32 Satz 1 DSGVO. 390  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 97.

182

Dritter Teil: Die Einwilligung

Relevanz entfalten wird.391 In diesem Fall ist daran zu denken, den Einwilli­ gungsvorgang, soweit zum Nachweis der Erklärung und der vorab erfolgten Information erforderlich, elektronisch aufzuzeichnen.392 3. Die Erklärung auf elektronischem Wege Erwägungsgrund 32 Satz 1 DSGVO stellt klar, dass die Einwilligungs­ handlung auch elektronisch erfolgen kann. Mit Blick darauf, dass insbeson­ dere die digitalisierte Einwilligungserklärung im Fokus der vorliegenden Arbeit steht, sollen zunächst die grundlegenden Anforderungen an die elek­ tronische Einwilligungserklärung gesondert dargestellt werden (a)). Ein Bei­ spiel gelungener elektronischer Selbstbestimmung stellen dabei die sog. Personal Information Management Systems (PIMS) dar, welche daran an­ schließend näher beleuchtet werden sollen (b)). a) Allgemeine Anforderungen an die elektronische Einwilligungserklärung Im Kontext elektronischer Einwilligungserklärungen ist zunächst denkbar, dass die Einwilligung durch das Anklicken eines Kästchens, durch die Aus­ wahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise abgegeben wird.393 Wenngleich dadurch aus formaler Sicht insbesondere nicht ausgeschlossen wird, dass die Einwilligung auch über die Einstellungen des verwendeten Internetbrowsers eingeholt werden kann, ist dabei sicherzustellen, dass die übrigen Voraussetzungen der wirksamen Einwilligungserklärung hinreichend berücksichtigt werden.394 Entscheidend ist dabei allen voran, dass die be­ troffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbei­ tung im Einzelfall signalisiert.395 Für die vorliegende Arbeit ist von besonderem Interesse, dass die elek­ tronische Einwilligungserklärung auch durch bestimmte kontextbezogene 391  Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Definition von Einwilligung, WP 187, S. 30; Ernst, ZD 2017, 110 (114); Ernst, in: Paal / Pauly, ­DSGVO / BDSG, Art. 4 DSGVO Rn. 88. 392  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 19. 393  Erwägungsgrund 32 Satz 2 DSGVO. 394  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20; zur Frage der Anwend­ barkeit etwaiger Opt-Out-Lösungen vgl. die Ausführungen unter Kap. 3 B. I. 1. 395  Erwägungsgrund 32 Satz 2 DSGVO.



Kap. 3: Die formellen Einwilligungsvoraussetzungen183

Verhaltensweisen abgegeben werden kann. Vorstellbar sind dabei sowohl Wischgesten auf dem Smart-Device („swipe left / swipe right“) als auch die Einbeziehung der Kamerafunktion oder der Sensorik des Smartphones.396 Dabei gilt es allerdings zu beachten, dass allein das Durchscrollen / Swipen der Nutzungsbedingung nicht ausreichend sein kann, um den Anforderun­ gen einer datenschutzrechtlichen Einwilligungserklärung gerecht zu wer­ den.397 Insbesondere bei kleineren Bildschirmen, wie dies häufig bei Smartphones oder Tablets der Fall ist, bietet es sich an, die entsprechenden Erklärungen „abgeschichtet“ darzustellen.398 Dabei werden größere Informationsan­ sammlungen in einzelne Teilbereiche untergliedert und mit der Möglichkeit versehen, diese einzeln aufzurufen. Zusätzlich sollte daran gedacht werden, der Erklärung ein übersichtliches Inhaltsverzeichnis vorwegzustellen. Die jeweiligen Teilbereiche können sodann über das Verzeichnis direkt (verlinkt) angesteuert werden. Dabei ist denkbar, dass die erforderlichen Informationen „just-in-time“ anhand von Pop-up-Fenstern vor der Abgabe der Einwilli­ gungserklärung eingeblendet werden.399 Bei der Ausgestaltung der Teilbereiche sollte auf eine klare Informations­ hierarchie geachtet werden, welche wichtige Informationsbestandteile vor­ weg platziert und entsprechend hervorhebt.400 Ergänzend dazu sollte auch die parzellierte Einwilligungserklärung visuelle Elemente einbeziehen, um den Blick des Betroffenen schnell zu den zentralen Informationspassagen zu lotsen.401 Dabei sollten zentrale Stellen fett formatiert, Pull-Quotes („Blick­ fänger“) zur Verdeutlichung relevanter Stellen integriert und gegebenenfalls warnende Symbole in der Erklärung platziert werden.402 Auch die Konzep­ tion anhand eines „Privacy-Dashboards“, wie im Folgenden zu zeigen ist, 396  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guideli­ nes on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20. 397  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20. 398  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 18. In diesem Sinne auch: Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 31. 399  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 10 Ziffer 18. 400  Kay / Terry, Textured Agreements: Re-envisioning Electronic Consent, SOUPS 2010, S. 4. Abrufbar unter: https: /  / dl.acm.org / citation.cfm?id=1837127, zuletzt abge­ rufen am 11.10.2018. 401  Kay / Terry, Textured Agreements: Re-envisioning Electronic Consent, SOUPS 2010, S. 4. 402  Kay / Terry, Textured Agreements: Re-envisioning Electronic Consent, SOUPS 2010, S.  5 ff.

184

Dritter Teil: Die Einwilligung

kann dazu beitragen, die elektronische Einwilligungserklärung rechtskonform umzusetzen.403 Der Verantwortliche hat dabei sicherzustellen, dass die Aufforderung zur Abgabe der elektronischen Einwilligungserklärung in klarer und knapper Form sowie ohne unnötige Unterbrechungen des Dienstes, für den die Ein­ willigung gegeben wird, erfolgt.404 Allerdings kann es erforderlich sein, den Dienst im Abgabezeitpunkt zu unterbrechen, damit die Betroffenen der kon­ kreten Einwilligungssituation mit der erforderlichen Aufmerksamkeit begeg­ nen.405 b) Der Einsatz von „Personal Information Management Systems“ Nach der Überzeugung des Europäischen Datenschutzbeauftragten bieten insbesondere sogenannte „Personal Information Management Systems – ‚PIMS‘“ eine Möglichkeit, die Einwilligungsumgebung digital, kontrolliert und praktisch auszugestalten.406 Mit dem Einsatz von PIMS kann die Daten­ verarbeitung für den Betroffenen nachvollziehbarer, transparenter und damit überprüfbarer ausgestaltet werden.407 Auch die Europäische Kommission vertritt die Ansicht, dass die Möglichkeiten der technischen Entwicklung dazu genutzt werden sollten, dem Einzelnen die Herrschaft über seine Daten insbesondere mittels PIMS-Diensten zurückzugeben.408 Ein zentrales Element des jeweiligen PIMS ist daher ein benutzerfreund­ lich ausgestaltetes Einwilligungsmanagement („Kontrollkonsole“), welches den Betroffenen in die Lage versetzt, seine einzelnen Einwilligungserklärun­ gen zu verwalten.409 Zugleich soll ein derart ausgestaltetes Einwilligungs­ management die Datenschutzpräferenzen der Betroffenen hinreichend be­ 403  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 10 Ziffer 18. 404  Erwägungsgrund 32 Satz 5 DSGVO. 405  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20. 406  Europäischer Datenschutzbeauftragter, Stellungnahme 9 / 2016 – Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIM). In der Ten­ denz kritisch hierzu Peitz / Schweitzer, NJW 2018, 275 (278); befürwortend hingegen Richter, PinG 2017, 122 ff. 407  Europäischer Datenschutzbeauftragter, Stellungnahme 9 / 2016 – Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIM), S. 9 Rn. 15. 408  Vgl. dazu Europäische Kommission, An emerging offer of „personal informa­ tion services“ – Current State of service offers and challenges, Study 2016, S. 1. 409  Europäischer Datenschutzbeauftragter, Stellungnahme  9 / 2016  – Stellung­ nahme des EDSB zu Systemen für das Personal Information Management (PIM), S. 9 Rn. 15.



Kap. 3: Die formellen Einwilligungsvoraussetzungen185

rücksichtigen, über die kontextbezogenen Risiken der Verarbeitung informie­ ren sowie in regelmäßigen Abständen überprüfen, ob die Einwilligungsein­ stellungen noch mit den Präferenzen der Betroffenen übereinstimmen.410 Darüber hinaus ist der Europäische Datenschutzbeauftragte der Überzeu­ gung, dass „PIMS […] [zu den] meistversprechenden Anstrengungen [gehö­ ren], durch Technik das Recht auf Auskunft und Berichtigung und das neue Recht auf Datenportabilität umzusetzen.“411 Die bereits erwähnte benutzer­ freundliche Ausgestaltung des jeweiligen PIMS-Dienstes soll flankierend durch Anleitungen, Schulungsmaterial sowie entsprechende Kurse ergänzt werden, um allen Benutzergruppen gerecht werden zu können.412 Die Stiftung Datenschutz hat sich in den Jahren 2016 / 2017 umfassend mit der Idee des PIMS auseinandergesetzt, einen Teil der bereits vorhandenen Konzepte evaluiert und eine entsprechende Studie im März 2017 veröffent­ licht.413 Dabei kommt auch die Stiftung zu dem Ergebnis, dass der Einsatz etwaiger PIMS-Dienste durchaus positive Auswirkungen auf die informatio­ nelle Selbstbestimmung der Betroffenen entfalten kann und benennt zugleich wesentliche Kriterien, die ein PIMS-Dienst überzeugenderweise aufweisen sollte:414 Der Dienst sollte grundlegend als „One-Stop-Shop“ ausgestaltet sein, mit­ hin dem Nutzer die Möglichkeit verschaffen, die dezentral bei mehreren Diensteanbietern vorgehaltenen Daten zentral anhand einer Stelle zu überbli­ cken und zu verwalten. Hinsichtlich der Funktionalität sollte der Dienst durch standardisierte maschinenlesbare Einwilligungserklärungen Transpa­ renz erzeugen, durch die Verwendung verständlicher und standardisierter Symbole und Piktogramme transparent Informationen vermitteln und letztlich dadurch eine informierte Einwilligungsentscheidung durch den Betroffenen 410  Europäischer Datenschutzbeauftragter, Stellungnahme  9 / 2016  – Stellung­ nahme des EDSB zu Systemen für das Personal Information Management (PIM), S. 10 Rn. 25, 26. 411  Europäischer Datenschutzbeauftragter, Stellungnahme  9 / 2016  – Stellung­ nahme des EDSB zu Systemen für das Personal Information Management (PIM), S. 10 Rn. 29. 412  Europäischer Datenschutzbeauftragter, Stellungnahme  9 / 2016  – Stellung­ nahme des EDSB zu Systemen für das Personal Information Management (PIM), S. 10 Rn. 31. 413  Stiftung Datenschutz, Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen, Studie 2017. Abrufbar unter: https: /  / stiftungdatenschutz.org / themen / pims-studie / , zuletzt abgerufen am 11.10.2018. 414  Vgl. zu den folgenden Ausführungen: Stiftung Datenschutz, Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Heraus­ forderungen, S.  35 ff.

186

Dritter Teil: Die Einwilligung

auf Grundlage der jeweiligen Datenschutzpräferenzen zum Ziel haben. Zu­ gleich sind die Rechte der Betroffenen, insbesondere die der Art. 12 ff. ­DSGVO, hinreichend zu berücksichtigen, wobei allen voran PIMS-Dienste dazu beitragen können, diese wirksam in der Praxis umzusetzen. Weiterhin soll die Möglichkeit bestehen, dass der Betroffene die Preisgabe personenbe­ zogener Daten gezielt (granular) gestalten kann und bei Bedarf entsprechende Erklärungen auch aktualisieren kann. Mit Blick auf die konkrete Ausgestaltung kommt auch die Stiftung zu dem Ergebnis, dass der entsprechende Dienst den Betroffenen nicht überfordern darf, stellt aber zugleich klar, dass für fortgeschrittene Nutzer die Möglich­ keit bestehen muss, ihr „Privacy-Management“ umfassend zu modulieren. Anhand der folgenden Grafik, welche die Stiftung Datenschutz freundlicher­ weise für die vorliegende Arbeit zur Verfügung gestellt hat, soll die Funk­ tionsweise eines PIMS zusammenfassend visualisiert werden (dazu die fol­ gende Abbildung):415

Die praktische Umsetzung des aufgezeigten Konzepts soll durch ein Bei­ spiel aus dem Bereich des Gesundheitswesens illustriert werden. Zugleich soll dadurch darauf aufmerksam gemacht werden, dass sich die Frage der Ausgestaltung eines effektiven elektronischen Einwilligungsmanagements in allen Lebensbereichen stellen kann. Insbesondere im hochsensiblen und zu­ nehmend digitalisierten Gesundheitsbereich ist die Umsetzung und Ausge­ staltung der geforderten Datenhoheit des Patienten von entscheidender Rele­ 415  Stiftung Datenschutz, Datenschutz: Neue Wege zur Einwilligung – wirtschaftli­ che Chancen, politische Notwendigkeiten, 2017. Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz, abrufbar unter: http: /  / creativecommons.org / licenses / by-ncnd / 4.0.



Kap. 3: Die formellen Einwilligungsvoraussetzungen187

vanz. Im Fokus der folgenden Ausführungen steht dabei die konkrete for­ melle Ausgestaltung des Einwilligungsmanagements, ohne dass es auf die datenschutzrechtlichen Besonderheiten des Gesundheitswesens ankommen soll. Beispielhaft soll dafür die Online-Plattform des digitalen Gesundheits­ netzwerks der AOK Nordost herangezogen werden. Mit dem Gesundheits­ netzwerk verfolgt die AOK Nordost das Ziel des sicheren Datenaustauschs zwischen den betroffenen Patienten, ambulanten und stationären Einrichtun­ gen sowie weiterer an der Behandlung beteiligter Akteure.416 Dabei wird letztlich eine doppelte Zielsetzung verfolgt: Der verbesserte, digitale Aus­ tausch der erforderlichen Informationen soll der Optimierung der medizini­ schen Versorgung dienen, wobei zugleich Kosteneinsparungen im Sinne der gesetzlichen Krankenkasse und der Versicherten erzielt werden können. Da­ rüber hinaus etabliert das Gesundheitsnetzwerk der AOK Nordost ein zentra­ les Versichertenportal, welches dem Patienten die umfassenden Hoheitsrechte über seine Daten einräumt.417 Die Online-Plattform basiert dabei auf der Schnittstelle „Vitaly“ des tschechischen Unternehmens parsek.418 Den Patienten soll es grundlegend ermöglicht werden, alle über sie be­ kannten Informationen bei verschiedenen behandelnden Akteuren anhand einer digitalen Online-Plattform einzusehen („One-Stop-Shop“ / Schaffung von Transparenz). Neben der Verwaltung vorhandener Daten bei Dritten steht es dem Patienten außerdem frei, eigene Angaben und Informationen, bei­ spielsweise gesammelt über Smart Gadgets, ergänzend hinzuzufügen. Zudem soll gewährleistet werden, dass Gesundheitsakteure lediglich auf­ grund einer ausdrücklichen und einzelfallbezogenen Einwilligung des Patien­ ten auf etwaige Daten zugreifen können („Granularität der Einwilligung“). Dem Patienten steht es dabei frei, die Einwilligung jederzeit abzuändern oder zu widerrufen. Neben der Durchsetzung der Widerrufbarkeit der Einwilli­ gung soll das Portal auch dazu genutzt werden können, weitere Betroffenen­ rechte wie etwa Auskunftsrechte, Berichtigungsrechte oder das Recht auf Löschung (Art. 15 – 17 DSGVO) effektiv durchsetzen zu können („Effektu­ ierung der Datenhoheit“). Aus Gründen der Datensicherheit wird gewährleis­ tet, dass die jeweiligen Daten bei dem Akteur verbleiben, der diese erstmals erhoben hat. Der Patient ermöglicht den weiteren Leistungserbringern im 416  Vgl. dazu AOK Bundesverband, Presseinformationen zum Start des AOKGesundheitsnetzwerks am 10.  Oktober 2017. Abrufbar unter: http: /  / aok-bv.de / impe ria / md / aokbv / presse / pressemitteilungen / archiv / 2017 / 03_pressemeldung_gesund heitsnetzwerk_2017web.pdf, zuletzt abgerufen am 11.10.2018. 417  Vgl. zum folgenden FAQ des Gesundheitsnetzwerks. Online abrufbar unter: http: /  / www.digitales-gesundheitsnetzwerk.de / , zuletzt abgerufen am 11.10.2018. 418  Vgl. dazu die Produktinformationsseite des Unternehmens: https: /  / parsek. com / de / plattform , zuletzt abgerufen am 11.10.2018.

188

Dritter Teil: Die Einwilligung

Rahmen der Einwilligung lediglich den Zugriff auf seine Daten anhand des Gesundheitsnetzwerks. Die AOK Nordost hat nach eigenen Angaben keinen Zugriff auf die entsprechenden Daten. Unter den genannten Voraussetzungen zeigt sich, dass das Konzept des Einwilligungsmanagements in verschiedensten Lebensbereichen dazu beitra­ gen kann, die tatsächliche Datenhoheit des Betroffenen (wieder-)herzustellen. Insbesondere liegt in der Verwendung entsprechender PIMS-Dienste die Chance begründet, dezentrale Datenströme einheitlich zu überblicken und damit dem Grundsatz der Transparenz umfassend Geltung zu verschaffen. 4. Zwischenergebnis Insgesamt wird deutlich, dass die nicht abschließende und interpretations­ offene Gestaltung der formellen Voraussetzungen der Einwilligungserklärung durch die DSGVO Raum für zahlreiche digitalisierte Entscheidungsmöglich­ keiten schafft. Darüber hinaus ermutigen die Vorgaben der DSGVO die Ver­ antwortlichen sogar explizit dazu, innovativ gegen die zunehmend festzustel­ lende Einwilligungsermüdung der Betroffenen vorzugehen und den Kampf gegen das „Wegklicken der Grundrechte“419 aufzunehmen420. Die Ausgestal­ tung mittels PIMS ist dabei nur ein denkbarer Weg. III. Das Gebot der formellen Transparenz bei verbundenen Erklärungen, Art. 7 Abs. 2 Satz 1 DSGVO Die grundsätzliche Formfreiheit der Einwilligungserklärung umfasst in der Regel auch die korrespondierenden Informationspflichten.421 Mithin finden sich innerhalb der DSGVO keine Vorgaben hinsichtlich der Art und Weise der Informationsbereitstellung im Rahmen der Einwilligungserklärung.422 Eine Ausnahme vom Grundsatz der formfreien Informationsbereitstellung bilden dabei allerdings die Vorgaben des Art. 7 Abs. 2 Satz 1 DSGVO. Unab­ 419  Formulierung nach: Manske / Knobloch, Stiftung Neue Verantwortung – Da­ tenpolitik jenseits von Datenschutz, S. 23. 420  Vgl. dazu auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 20. 421  Eine Ausnahme vom Grundsatz der formfreien Informationserteilung findet sich allerdings im Kontext des deutschen Beschäftigtendatenschutzes. So sieht § 26 Abs. 2 Satz 4 BDSG vor, dass der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Abs. 3 ­DSGVO in Textform aufzuklären hat, wenn die Verarbeitung auf Grundlage einer Einwilligungserklärung erfolgen soll. 422  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guideli­ nes on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 16.



Kap. 3: Die formellen Einwilligungsvoraussetzungen189

hängig von der Frage der materiellen Bestimmtheit (materielle Transparenz)423 normiert Art. 7 Abs. 2 Satz 1 DSGVO, dass die schriftliche Einwilligungs­ erklärung, welche zudem noch weitere Sachverhalte betrifft, in einer ver­ ständlichen, leicht zugänglichen Form in einer klaren und einfachen Sprache erfolgen muss. 1. Sinn und Zweck des formellen Transparenzgebots Die Vorgaben des Art. 7 Abs. 2 Satz 1 DSGVO sollen gewährleisten, dass sich die schriftliche Einwilligungserklärung klar von den anderen mitumfass­ ten Sachverhalten unterscheiden lässt. Insbesondere soll sichergestellt wer­ den, dass die Einwilligungserklärung nicht im Kontext umfassender und komplexer Sachverhalte übersehen wird.424 Pointiert formuliert soll die „Drive-By-Einwilligung“ ausgeschlossen werden. Das Trennungsgebot425 der Vorschrift ist insofern zumindest mit dem aus dem deutschen Datenschutz­ recht bereits bekannten Hervorhebungsgebot des § 4a Abs. 1 Satz 4 BDSG a. F vergleichbar.426 2. Anwendungsbereich der Norm Der Anwendungsbereich der Norm umfasst grundsätzlich die schriftliche Einwilligungserklärung, welche noch weitere Sachverhalte betrifft. Zur Frage, wie das Merkmal der Schriftlichkeit im Sinne der DSGVO auszulegen ist, kann auf die Ausführungen unter II. 1. verwiesen werden. Neben der Frage, wie das Tatbestandsmerkmal der weiteren Sachverhalte zu verstehen ist (a)), ist von gesondertem Interesse, ob den Anforderungen des Art. 7 Abs. 2 Satz 1 DSGVO im Bereich der Einwilligungserklärung allgemeine Gültigkeit zugebilligt werden sollte (b)). a) Einbeziehung weiterer Sachverhalte Die der Vorschrift des Art. 7 Abs. 2 Satz 1 DSGVO immanente Warn- und Hinweisfunktion bezieht sich grundsätzlich auf solche Erklärungen, welche neben den einwilligungsrelevanten Passagen weitere Informationen und Er­ 423  Vgl.

dazu die Ausführungen unter Kap. 4 A. in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 12; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 75. 425  So u. a. Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 66. 426  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO. Art. 7 Rn. 102; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 25. 424  Frenzel,

190

Dritter Teil: Die Einwilligung

klärungen enthalten.427 Im Wesentlichen fokussiert die Vorschrift damit Fälle, in denen die Einwilligungserklärung mit den AGB des Verantwortlichen verbunden wird.428 Dafür spricht insbesondere Erwägungsgrund 42 Satz 2 der DSGVO, der klarstellt, dass die Vorgaben des Art. 7 Abs. 2 Satz 1 ­DSGVO allen voran bei vorformulierten Einwilligungserklärungen im Sinne der RL 93 / 13 / EWG („Klausel-Richtlinie“)429 zur Anwendung gelangen sol­ len.430 Die Umsetzung der Richtlinie findet sich wiederum insbesondere im nationalen Recht der AGB in den §§ 305 ff. BGB.431 Dem Erwägungsgrund lassen sich dabei zwei für die Praxis zentrale Aspekte entnehmen. Zunächst verdeutlicht der Erwägungsgrund, dass die Ausgestaltung der Einwilligungs­ erklärung im Sinne allgemeiner Geschäftsbedingungen weiterhin zulässig ist. In der Konsequenz können allerdings die (gegebenenfalls national umgesetz­ ten) Vorgaben der Klausel-Richtlinie bei der Beurteilung der Rechtmäßigkeit der Einwilligungserklärung von Bedeutung sein – jedenfalls soweit die ­DSGVO keine spezielleren Vorgaben trifft.432 Mithin ist der Vorschrift des Art. 7 Abs. 2 Satz 1 DSGVO neben der bereits angesprochenen Warn- und Hinweis- zusätzlich eine Ausgleichsfunktion zuzuschreiben: Dem Verantwort­ lichen wird der Einsatz vorformulierter Einwilligungserklärungen im Kontext weiterer Erklärungen gestattet, er hat dabei allerdings die erhöhten Tren­ nungs- und Transparenzvorgaben des Art. 7 Abs. 2 Satz 1 DSGVO zu beach­ ten.433 b) Allgemeine Übertragbarkeit der Anforderungen auf vorformulierte Einwilligungserklärungen Fraglich ist aber, ob die Anforderungen des Art. 7 Abs. 2 Satz 1 DSGVO ausschließlich dann zu berücksichtigen sind, wenn tatsächlich ein weiterer 427  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 17; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 11, 12. 428  Ernst, ZD 2017, 110 (113); Stemmer, in: Wolff / Brink, BeckOK Datenschutz­ recht, Art. 7 DSGVO Rn. 65; Schulz, in: Gola, DSGVO, Art. 7 Rn. 45. 429  Richtlinie 93 / 13 / EWG des Rates vom 5.  April 1993 über missbräuchliche Klauseln in Verbraucherverträgen, ABl. L 95 vom 21.04.1993, S. 29 ff. 430  Erwägungsgrund 42 Satz 3 DSGVO. 431  Vgl. dazu Pfeiffer, NJW 2017, 913 (914); Graf v. Westphalen, NJW 2013, 961; Lehmann-Richter, in: Gsell / Krüger / Lorenz / Reymann, BeckOK Großkommen­ tar BGB, § 305 Rn. 7. 432  Vgl. dazu von Lewinski / Herrmann, PinG 2017, 165 (169); Graf von Westphalen, VuR 2017, 323 (328); Wendehorst / Graf v. Westphalen, NJW 2016, 3745 (3749); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 71 Rn. 42. 433  Kramer, in: Eßer / Kramer / v. Lewinski (Hrsg.), Auernhammer  – DSGVO /  BDSG, Art. 7 Rn. 8.



Kap. 3: Die formellen Einwilligungsvoraussetzungen191

Sachverhalt miteinbezogen wird. Denkbar wäre es, die erhöhten formellen Transparenzvorgaben bereits dann entsprechend miteinzubeziehen, wenn zu­ mindest die Rechtmäßigkeit einer vorformulierten Einwilligungserklärung zu prüfen ist. Voraussetzung für die analoge Anwendung der Vorgaben des Art. 7 Abs. 2 Satz 1 DSGVO auf weitere Fälle der vorformulierten Einwilli­ gungserklärung wäre, dass eine planwidrige Regelungslücke sowie eine ver­ gleichbare Interessenlage vorliegt434. aa) Das Vorliegen einer planwidrigen Regelungslücke Gegen das Vorliegen einer planwidrigen Regelungslücke spricht zunächst der klare Wortlaut der Norm. Die Vorschrift setzt ausdrücklich voraus, dass es eines weiteren Sachverhalts bedarf, um den Anwendungsbereich der Norm zu eröffnen. Weiterhin könnten die Vorgaben des Art. 12 Abs. 1 DSGVO dem Vorliegen einer planwidrigen Regelungslücke entgegenstehen. Mithin könnte vertreten werden, dass ein entsprechender Umkehrschluss aus Art. 12 Abs. 1 DSGVO die Anwendung der Vorschrift auf weitere Einwilligungs­ erklärungen verhindere.435 Dem kann allerdings entgegengehalten werden, dass Art. 12 Abs. 1 DSGVO die Einwilligungssituation nicht im Blick hat und daher sedes materiae nicht entgegenstehen kann. Vielmehr bezieht sich Art. 12 Abs. 1 DSGVO dem wiederum ausdrücklichen Wortlaut zur Folge auf Informationen gem. Art. 13 und 14 DSGVO sowie auf Maßnahmen gem. den Art. 15 bis 22 und Art. 34 DSGVO, die im Zusammenhang mit der Ver­ arbeitung stehen. Unbenommen ist dabei, dass die Unterrichtungspflicht insbesondere gem. Art. 13 beziehungsweise Art. 14 DSGVO auch dann be­ steht, wenn die Verarbeitung auf Grundlage einer Einwilligung erfolgt.436 Die Informationspflichten der Art. 12 ff. DSGVO sind allerdings unabhängig von den Vorgaben an die jeweilige Einwilligungserklärung zu beachten, so­ dass es insbesondere nicht zur Unwirksamkeit der Einwilligung kommen kann, wenn die entsprechenden Informationen unterbleiben.437 Neben dem Wortlautargument spricht für dieses Ergebnis insbesondere ein zeitlicher 434  Der EuGH erkennt auf Grundlage des in Art. 20, 21 der Charta normierten Gleichbehandlungsgrundsatzes die Rechtsfortbildung im Sinne der Analogie im Euro­ parecht an, vgl. m. w. N. Pieper, in: Dauses / Ludwigs, Handbuch des EU-Wirtschafts­ rechts, B. Rn. 198. Zu den allgemeinen Voraussetzungen der Analogie statt vieler Danwerth, ZfPW 2017, 230 (233); Heussen, NJW 2016, 1500 ff. 435  So etwa Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 76. 436  Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 88; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 70 Rn. 41. 437  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 17; Albrecht / Jotzo, Das neue Datenschutzrecht der EU, S. 70 Rn. 41; Rüpke / von Lewinski / Eckhardt, Daten­ schutzrecht, § 13 Rn. 94.

192

Dritter Teil: Die Einwilligung

­ spekt. Während die Transparenz- und Informationspflichten im Rahmen der A Einwilligungserklärung zwingend vor Beginn der Verarbeitung erfüllt werden müssen,438 stellt Art. 13 Abs. 1 DSGVO darauf ab, dass die Informationen zum Zeitpunkt der Erhebung der Daten bei der betroffenen Person vorliegen. Sofern die personenbezogenen Daten nicht bei der betroffenen Person erho­ ben wurden, sind die Informationen gem. Art. 14 Abs. 3 lit. a DSGVO regel­ mäßig innerhalb einer angemessenen Frist nach Erlangung der personenbezo­ genen Daten zu erteilen. Es spricht daher vieles dafür, dass zwischen den Transparenz- und Infor­ mationspflichten der Art. 12 ff. DSGVO und den Vorgaben an die Einwilli­ gung zu differenzieren ist. In der Konsequenz können dann aber die Anfor­ derungen an die Informationspflichten gem. den Art. 12 ff. DSGVO der An­ nahme einer planwidrigen Regelungslücke im Bereich der gesondert zu beur­ teilenden Einwilligungserklärung nicht entgegenstehen. Darüber hinaus ist denkbar, dass das allgemeine Transparenzgebot des Art. 5 Abs. 1 lit. a DSGVO der Annahme einer planwidrigen Regelungslücke entgegensteht. Mithin könnte vertreten werden, dass es keiner Analogie be­ darf, da die entsprechenden Anforderungen jedenfalls aus dem allgemeinen Transparenzgebot abgeleitet werden können. Auf Grundlage dieser Annahme könnten allerdings sämtliche Konkretisierungen, welche die DSGVO im Kontext der Transparenz getroffen hat, in Frage gestellt werden. Eine weiter­ gehende Konkretisierung, wie beispielsweise in Art. 7 Abs. 2 Satz 1 DSGVO oder aber auch in Art. 12 Abs. 1 DSGVO getroffen, wäre obsolet. Es spricht daher viel dafür, den durch Art. 5 Abs. 1 lit. a DSGVO aufgestellten Transpa­ renzgrundsatz als allgemeine Vorgabe des Datenschutzes zu verstehen,439 der aber einer weitergehenden Konkretisierung, auch im Sinne einer Analogie, nicht entgegensteht. bb) Vergleichbare Interessenlage Für eine vergleichbare Interessenlage spricht zunächst der Umstand, dass Erwägungsgrund 42 Satz 1 der DSGVO die Kriterien der Verständlichkeit, der leicht zugänglichen Form sowie das Kriterium einer klaren und einfachen Sprache auf sämtliche vorformulierte Einwilligungserklärungen bezieht. Das einschränkende Erfordernis eines weiteren Sachverhalts findet sich hingegen nicht. Freilich kann dem entgegengehalten werden, dass der verfügende Teil nicht übergebührlich durch die Erwägungsgründe ausgelegt werden

438  Vgl. 439  In

dazu die Ausführungen unter Dritter Teil Kap. 3 A. diesem Sinne Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 12.



Kap. 3: Die formellen Einwilligungsvoraussetzungen193

darf,440 ein wesentliches Indiz für eine vergleichbare Interessenlage lässt sich aber nicht dementieren. Darüber hinaus spricht aber auch die deutliche Einbeziehung der KlauselRichtlinie dafür, dass die Anforderungen des Art. 7 Abs. 2 Satz 1 DSGVO bereits dann zur Anwendung gelangen, wenn eine lediglich vorformulierte Einwilligungserklärung Prüfungsgegenstand ist. Von zentraler Bedeutung ist dabei auch das gesonderte Transparenzgebot der Richtlinie.441 Sobald dem Verbraucher Klauseln schriftlich unterbreitet werden, müssen diese gem. Art. 5 Satz 1 der Richtlinie klar und verständlich abgefasst sein. Entschei­ dend für das Vorliegen einer Klausel im Sinne der Richtlinie ist aber nicht, dass diese im Zusammenhang mit weiteren Erklärungen steht, sondern, dass der Verbraucher letztlich keinen Einfluss auf die Ausgestaltung der Klausel nehmen konnte, vgl. Art. 3 Abs. 2 der Klausel-Richtlinie. Mithin würde es zu differierenden Transparenzanforderungen zwischen der Richtlinie und der DSGVO kommen, wenn die Vorgaben des Art. 7 Abs. 2 Satz 1 DSGVO le­ diglich solche Einwilligungen umfassen würden, welche einen weiteren Sachverhalt miteinbeziehen. Die aktive Einbeziehung der Klausel-Richtlinie spricht aber gerade dafür, dass es zu einem Gleichlauf der Transparenzvorga­ ben bei vorformulierten Erklärungen kommen sollte. Im Ergebnis spricht daher vieles dafür, dass die formellen Transparenzvorgaben des Art. 7 Abs. 2 Satz 1 DSGVO in allen Fällen vorformulierter Einwilligungserklärungen zu beachten sind.442 3. Die verständliche und leicht zugängliche Form Das Gebot der formellen Transparenz im Sinne des Art. 7 Abs. 2 Satz 1 DSGVO setzt zunächst voraus, dass das Ersuchen um die Einwilligung in einer verständlichen und leicht zugänglichen Form erfolgt. Um das Einwilli­ gungsersuchen verständlich ausgestalten zu können, ist der Verantwortliche vorab gehalten, die Zielgruppe des Verarbeitungsvorgangs zu identifizie­ ren.443 Für den Fall, dass mehrere Zielgruppen angesprochen werden sollen, 440  Zu Umfang und Reichweite der Auslegung anhand der Erwägungsgründe vgl. Erster Teil Kap. 2 B. III. 441  Vgl. dazu Graf von Westphalen, VuR 2017, 323 (324). 442  So i. E. auch Graf von Westphalen, VuR 2017, 323 (324); Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 95; Frenzel, in: Paal /  Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 14; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 61. 443  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 9; Artikel-29-Daten­ schutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 17.

194

Dritter Teil: Die Einwilligung

ist es denkbar, dass unterschiedliche Erklärungen anhand der nachfolgenden Kriterien erstellt werden müssen.444 Insbesondere wenn die Einwilligung auch bei grenzüberschreitenden Sachverhalten eingeholt werden soll, ist der Verantwortliche gehalten, mehrere Sprachfassungen bereitzuhalten.445 Auf Grundlage der identifizierten Zielgruppe ist der Begriff der Verständlichkeit sodann zu interpretieren: Verständlich ist die Einwilligungserklärung jeden­ falls dann, wenn ein durchschnittliches Mitglied der identifizierten Ziel­ gruppe in der Lage ist, das Einwilligungsersuchen samt den daraus folgenden Konsequenzen für dessen Datenhoheit zu begreifen.446 Basierend auf dem somit ermittelten Adressatenkreis sind sowohl der Um­ fang als auch die Art und Weise der Informationsvermittlung zu bestim­ men.447 Dabei ist allerdings zu berücksichtigen, dass sich der angesprochene Adressatenkreis im Laufe des Verarbeitungsprozesses ändern kann, sodass eine regelmäßige Überprüfung der Verständlichkeitskriterien angezeigt ist.448 Mit Blick auf die Aufsichtsbehörden als auch auf die Betroffenen sind die aufgestellten Kriterien anhand regelmäßiger Nutzerbefragungen auf den Prüfstand zu stellen.449 Um dem Betroffenen die Folgen seiner Einwilligung tatsächlich verständ­ lich zu machen, bietet es sich beispielsweise an, die zentralen Elemente der Datenverarbeitung innerhalb eines abgestuften Systems vorab überblicksartig darzustellen.450 Zugleich kann damit auch dem Kriterium der leichten Zu­ gänglichkeit entsprochen werden, da dieses Tatbestandsmerkmal im Wesent­ lichen darauf abzielt, Barrieren bei der Informationsfindung abzubauen. Ins­ Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art. 12 Rn. 11. Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 13. 446  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 9; Joachim, ZD 2017, 414 (418); Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 30; Quaas, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 12 DSGVO Rn. 12; Greve, in: Sydow, DSGVO, Art. 12 Rn. 12. Heckmann / Paschke, in: Ehmann / Selmayr, ­DSGVO, Art. 12 Rn. 13 geben dabei allerdings zu bedenken, dass insbesondere im Kontext komplexer Datenverarbeitungen grundsätzlich sehr niedrige Anforderungen an den durchschnittlichen Adressaten zu stellen sind. 447  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 17. 448  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 9. 449  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 8 Ziffer 9. 450  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 8 Ziffer 10; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 31. 444  Vgl.

445  Artikel-29-Datenschutzgruppe,



Kap. 3: Die formellen Einwilligungsvoraussetzungen195

besondere soll der Betroffene auf einen Blick erkennen können, wo entspre­ chende Hinweise und Informationen über die Folgen seiner Einwilligungser­ klärung zu finden sind und wie er auf diese zugreifen kann.451 Die Anforderungen an das Merkmal sind dabei in Bezug zu der Umgebung zu setzen, in welcher die Einwilligung eingeholt werden soll.452 Während im analogen Bereich sichergestellt werden muss, dass der Betroffene das (schriftliche) Einwilligungsersuchen auch tatsächlich erhält, kommt es im digitalen Bereich maßgeblich auf die Ausgestaltung und Platzierung der Auf­ forderung zur Abgabe der Einwilligung an.453 Das leicht zugängliche Einwil­ ligungsersuchen sollte letztlich der Maxime folgen, dass die Hinweise und Informationen den Weg zu dem Betroffenen finden müssen, nicht aber der Betroffene den Weg zu den erforderlichen Informationen.454 Mithin ist denk­ bar, dass sich im Zusammenhang mit der Aufforderung zur Abgabe der Ein­ willigungserklärung entsprechende Pop-up-Fenster öffnen, welche zusätzli­ che Informationen und Verweise bereithalten oder dass der Betroffene anhand eines interaktiven Chat-Bots direkt über die Konsequenzen seiner Einwilli­ gungserklärung aufgeklärt wird.455 4. Die klare und einfache Sprache „I’m a lawyer. I have no idea what that means. But, when you look at terms of service, this is what you get.“456 Mit dieser Aussage konfrontierte Senator Graham Facebook-Gründer Zuckerberg im Rahmen der Anhörung vor dem US-Kongress am 10. April 2018 und legt damit zugleich ein zentra­ 451  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 10; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 14. 452  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 10; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 32; Quaas, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 12 DSGVO Rn. 16. 453  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260, S. 8 Ziffer 11; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 32. 454  So i.  E. auch Quaas, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 12 ­DSGVO Rn. 16, der darauf abstellt, dass die Informationen ohne wesentliche Mitwir­ kung des Betroffenen erteilt werden müssen. 455  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 11. 456  Die Abschrift der Anhörung Zuckerbergs vor dem US-Kongress ist unter https: /  / www.washingtonpost.com / news / the-switch / wp / 2018 / 04 / 10 / transcript-ofmark-zuckerbergs-senate-hearing / ?utm_term=.4c676c5812c6 abrufbar. Zuletzt abge­ rufen am 11.10.2018.

196

Dritter Teil: Die Einwilligung

les Problem datenschutzrechtlicher Erklärungen offen: Transparenz ist eben nicht nur eine Frage der Informationsbereitstellung, sondern auch eine Frage der Ausgestaltung. In diesem Sinne fordern die Transparenzvorgaben des Art. 7 Abs. 2 Satz 1 DSGVO, dass das Ersuchen in einer klaren und einfachen Sprache zu formulieren ist. In Abgrenzung zu dem Kriterium der Verständlichkeit bezie­ hen sich die Sprachanforderungen insbesondere auf das herangezogene Sprachniveau. Mithin ist die Einwilligungserklärung sprachlich so zu formu­ lieren, dass nicht nur, wenn überhaupt, der versierte Rechtsanwender in der Lage ist, diese als solche zu dechiffrieren.457 a) Allgemeine Anforderungen an die klare und einfache Sprache Um dem Gebot der klaren und einfachen Sprache gerecht zu werden, kann auf den im Jahr 2016 veröffentlichten Leitfaden „Klar und deutlich schreiben“458 zurückgegriffen werden. Wenngleich es sich dabei um eine Arbeitshilfe für die Mitarbeiter der Europäischen Kommission handelt, bietet es sich gerade im europarechtlichen Kontext an, auch solche Quellen bei der Auslegung der Norm miteinzubeziehen.459 Dabei benennen die Hinweise zehn zentrale Punkte, welche sich gleichermaßen auch auf die Aufforderung zur Abgabe einer Einwilligungserklärung übertragen lassen:460 Mithin sollte sich der Verantwortliche in einem ersten Schritt nochmals vergegenwärtigen, welche Zielgruppe angesprochen wird, welchen Sinn und Zweck die Einwilligung im konkreten Fall verfolgt und welche Informatio­ nen für den Betroffenen erforderlich sind. Fixpunkt der Ausgestaltung sollte stets der Betroffene sein. Dabei gilt es zu hinterfragen, wie der Betroffene im Rahmen der Erklärung miteinbezogen werden kann, welche Punkte von be­ sonderem Interesse für den Betroffenen sind und wie dessen Interesse gege­ benenfalls geweckt werden kann. Bei der darauffolgenden Ausgestaltung der Einwilligungsaufforderung kann es hilfreich sein, dem Text eine Zusammenfassung voranzustellen. Ne­ 457  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 16. 458  Europäische Kommission, Klar und deutlich schreiben. Abrufbar unter: https: / /  publications.europa.eu / en / publication-detail / - / publication / 725b7eb0-d92e-11e58fea-01aa75ed71a1 / language-de, zuletzt abgerufen am 11.10.2018. 459  Jedenfalls im Sinne einer Best-Practise-Herangehensweise, vgl. Artikel-29-Da­ tenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 9 Ziffer 12. 460  Vgl. zum folgenden Europäische Kommission, Klar und deutlich schreiben, S. 3–14.



Kap. 3: Die formellen Einwilligungsvoraussetzungen197

ben Zwischenüberschriften können auch Symbole und Tabellen herangezo­ gen werden, um den Betroffenen bei der Informationsfindung zu unterstüt­ zen. Die wesentlichen Textpassagen sind dabei so kurz und einfach wie möglich zu halten („KISS – Keep it short and simple“). Die Reduktion des Sprachniveaus trägt dabei nicht nur zur Verständlichkeit,461 sondern letztlich auch zur Glaubhaftigkeit des Textes bei. Dass diese Vorgehensweise erfolg­ versprechend ist, lässt sich prominent an der „Ästhetik des Grundgesetzes“ illustrieren.462 Der „Pathos der Knappheit“ dient gleichermaßen der Identifi­ kation mit dem Inhalt als auch der Legitimation desselben durch die Adres­ saten.463 Freilich lässt sich die rechtliche Tragweite beider Institute nur schwerlich vergleichen. Es zeigt sich allerdings, dass eine entsprechende sprachliche Wirk- und Identifikationsmacht sowohl auf Verfassungsebene als auch im Bereich rechtsgestalterische Mittel verfangen kann. Grundlegend gilt, dass ein Satz zwischen 15–20 Wörter umfassen und weitestgehend auf Fachvokabular verzichten sollte.464 Weiterhin kann es zur Klarheit des Textes beitragen, auf Verneinungen zu verzichten und zentrale Begriffe durchgehend einheitlich zu verwenden. Auch die Positionierung der zentralen Informationen am Ende des Satzes kann maßgeblich zu einer kla­ ren und einfachen Sprache beitragen. Darüber hinaus empfehlen sich der gezielte Einsatz von Verben statt Substantiven sowie der Verzicht auf Passiv­ konstruktionen. Zuletzt sollten die Verarbeitungsvorgänge konkret benannt werden, allen voran um Interpretationsmöglichkeiten durch den Betroffenen weitestgehend auszuschließen.465 Abstrakte und pauschale Hinweise auf mögliche Verarbeitungsvorgänge sind zu vermeiden. Konkret sind Sätze wie beispielsweise „Es kommt in Betracht, dass Ihre personenbezogenen Daten verarbeitet werden, um neue Produkte und Angebote zu entwickeln“ im Rah­ men der Einwilligungserklärung zu unterlassen.466

461  Vgl. dazu auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 17; Greve, in: Sydow, DSGVO, Art. 12 Rn. 13; Franck, in: Gola, DSGVO, Art. 12 Rn. 22; Quaas, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 12 DSGVO Rn. 19; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 DSGVO Rn. 33. 462  Vgl. dazu Isensee, Legitimation des Grundgesetzes, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band XII, § 254 Rn. 91 ff. 463  Isensee, Legitimation des Grundgesetzes, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band XII, § 254 Rn. 92. 464  Vgl. dazu auch Franck, in: Gola, DSGVO, Art. 12 Rn. 22. 465  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 9 Ziffer 11; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 17. 466  Beispiel nach Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guide­lines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 9 Zif­ fer 12.

198

Dritter Teil: Die Einwilligung

b) Besonderheiten bei kindlichen Adressatenkreisen Wie bereits im Rahmen der Einwilligungsfähigkeit dargestellt, ist es ein zentrales Anliegen der DSGVO, Betroffene im Kindesalter dezidiert zu schützen. Dieser Schutzgedanke ist auch bei der Ausgestaltung etwaiger In­ formationen und Hinweise zu berücksichtigen. Ein entsprechend ausdrückli­ cher Handlungsauftrag findet sich in Erwägungsgrund 58 Satz 3 der DSGVO wieder. Bei Verarbeitungssituationen, welche sich an Kinder richten, sind die erforderlichen Informationen und Hinweise aufgrund der besonderen Schutz­ bedürftigkeit der Kinder in klarer und einfacher Sprache zu erteilen, sodass ein Kind sie verstehen kann.467 Korrespondierend dazu verfügt Art. 12 Abs. 1 Satz 1 HS. 2 DSGVO, dass die Anforderungen des Art. 12 Abs. 1 DSGVO insbesondere bei Informationen, die sich an Kinder richten, zu be­ achten sind. Freilich können die Vorgaben des Art. 12 Abs. 1 DSGVO, wie bereits ge­ zeigt, nicht unmittelbar auf die Einwilligungssituation angewendet werden. Da aber Art. 7 Abs. 2 DSGVO selbst keine Entsprechung beinhaltet, ist es überzeugend, die Vorgaben analog auch im Rahmen der Erteilung der Ein­ willigungserklärung heranzuziehen. Insbesondere wäre eine andere Ansicht mit Blick auf das Ziel der DSGVO, insbesondere Kinder bei der Verarbei­ tung ihrer personenbezogenen Daten zu schützen, schwer vereinbar. Es ist kein Grund ersichtlich, warum zwar Informationen und Mitteilungen gem. den Art. 12 ff. DSGVO im Sinne des Kindeswohls ausgestaltet werden soll­ ten, nicht aber die wesentlich grundrechtsrelevantere Einwilligungssituation. Vielmehr sollte gerade der letztgenannte Aspekt dazu führen, dass erst recht die Einwilligung gesondert auf die gesteigerten Anforderungen bei Kindern eingehen muss. Mithin ist bei der Ausgestaltung der Einwilligungserklärung, welche jedenfalls auch ein kindliches Publikum adressiert, darauf zu achten, dass auch Kinder den erforderlichen Informationsgehalt tatsächlich wahrneh­ men.468 Besonderes Augenmerk sollte dabei sowohl auf die eingesetzte Sprache als auch auf die Ausgestaltung und Aufmachung der Erklärung ge­ legt werden.469 Als gelungenes Beispiel kinderfreundlicher Ausgestaltung rechtlicher Texte benennt die Artikel-29-Datenschutzgruppe die UNICEF Fassung der Kinderrechtskonvention:470 467  Erwägungsgrund 58

Satz 3 DSGVO. Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 14. 469  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, Ziffer 14. 470  Unverändert entnommen bei: UNICEF, Konventionen über die Rechte des Kindes, online abrufbar unter: https: /  / www.unicef.de / blob / 50770 / b803ba01e7ad59 468  Artikel-29-Datenschutzgruppe,



Kap. 3: Die formellen Einwilligungsvoraussetzungen199

Anhand dieses Beispiels wird zugleich nochmals deutlich, dass es erfor­ derlich sein kann, mehrere entsprechende Einwilligungserklärungen bereitzu­ halten. Die Einbeziehung beziehungsweise Bereithaltung kindgerecht formu­ lierter Einwilligungserklärungen sollte nicht nur in dem Fall erfolgen, in dem sich das Angebot ausschließlich an Kinder richtet,471 sondern vielmehr auch in den Fällen, in denen sich das Angebot „auch“ an Kinder richtet.472 Unbe­ nommen ist dabei, dass die Akzeptanz entsprechend kindlich ausgestalteter Erklärungen bei Erwachsenen eingeschränkt sein kann. Insofern sollte inner­ halb des identifizierten Adressatenkreises auch zwischen verschiedenen Al­ tersgruppen unterschieden werden. Abhängig von der Anzahl der identifizier­ ten Altersgruppen (innerhalb des Adressatenkreises) kann es daher erforder­ lich sein, verschiedene Einwilligungserklärungen bereitzuhalten.

fc9607c893b8800ede / d0007-krk-kinderversion-illustrationen-2014-pdf-data.pdf, zu­ letzt abgerufen am 11.10.2018. 471  So aber Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 21; Paal / Hennemann, in: DSGVO / BDSG, Art. 12 DSGVO Rn. 36. 472  Vgl. dazu bereits die Ausführungen zum direkten Angebot im Sinne des Art. 8 DSGVO unter Dritter Teil Kap. 2. B. II.

200

Dritter Teil: Die Einwilligung

c) Die Dichotomie zwischen klarer, einfacher Sprache und juristisch erforderlicher Präzision Insgesamt lässt sich festhalten dass die formellen Transparenzanforderun­ gen der DSGVO den Verantwortlichen regelmäßig dazu zwingen, ein teils erheblich reduziertes Sprachniveau heranzuziehen. Mithin ist davon auszuge­ hen, dass die umfassende, komplexe und schwerverständliche Erklärung re­ gelmäßig nicht mehr als „juristisch wasserdicht“ einzustufen ist.473 Aufgrund der Rechtserheblichkeit der datenschutzrechtlichen Einwilligungserklärung stellt sich in diesem Kontext allerdings die Frage, wie das Spannungsverhält­ nis zwischen einfacher Sprache und gegebenenfalls juristisch erforderlicher Präzision aufgelöst werden kann. Vor dem Hintergrund, dass allen voran Rechtstexte und Rechtsbegriffe ohne juristische Vorbildung kaum verstanden werden,474 besteht zunächst Einigkeit, dass das Gebot der einfachen Sprache die Verwendung entspre­ chender Fachbegriffe regelmäßig ausschließt.475 Zugleich führt die bereits vorgeschlagene Umschreibung virulenter Begriffe476 aber zu einer Ausdeh­ nung des Einwilligungstextes und steht damit im Widerspruch zu dem Erfor­ dernis der knappen Erklärung. Hinzu kommt, dass die Substituierung der (oftmals stehenden) Rechtsbegriffe kaum einfach umsetzbar ist.477 Bei der jedenfalls vergleichbaren Ausgestaltung abstrakter Rechtsnormen greift der Europäische Leitfaden für Personen, die an der Abfassung von Rechtstexten der EU mitwirken,478 den aufgezeigten Widerspruch auf. Der Leitfaden empfiehlt dabei für die Praxis, dass „[…] ein Gleichgewicht gefun­ den werden [muss], sodass der Rechtsakt so präzise wie möglich und gleich­ zeitig hinreichend verständlich ist. Dieses Gleichgewicht kann, je nach den Normadressaten, an anderer Stelle liegen […]“479. Mithin bleibt bei der 473  von Lewinski, PinG 2013, 12 (13) weist darauf hin, dass sich die mangelnde Transparenz und Verständlichkeit auch aus Gründen der Compliance ergab, da die umfassendere Erklärung im Zweifel mehr Rechtssicherheit versprach. 474  Darauf insbesondere hinweisend Eichhorn / Schuhmann, ZfBR 2014, 211 (212). 475  Vgl. statt vieler Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 16; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 80; Stemmer, in: Wolff /  Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 63. 476  So Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 63. 477  Vgl. dazu etwa Becker / Klein, Recht verstehen, S. 20. 478  Amt für Veröffentlichungen der Europäischen Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken DE. 479  Amt für Veröffentlichungen der Europäischen Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an



Kap. 3: Die formellen Einwilligungsvoraussetzungen201

Ausgestaltung der Einwilligungserklärung der Adressatenkreis das zentrale Merkmal, sodass sich bereits aus diesem Grund pauschalierte Lösungen ver­ bieten. Vor dem Hintergrund, dass aber auch die adressatenorientierte Einwilli­ gungserklärung nicht dazu beitragen kann, das Spannungsverhältnis in seiner Gänze aufzulösen, bietet sich auch aus dieser Perspektive der Rückgriff auf digitalisierte Mittel an.480 Allen voran bietet die ergänzende Visualisierung bestimmter Begriffe die Möglichkeit, umständliche Umschreibungen zu ver­ meiden und zugleich komplizierte Prozesse vereinfacht darzustellen („One Look is Worth A Thousand Words“).481 Darüber hinaus ist aber auch auf die allgemeine Ausgestaltung und Konzeption des Textes zu achten, wobei ins­ besondere über elektronische Verlinkungen auf weitere Hintergrundinforma­ tionen verwiesen werden kann.482 Sollte sich beispielsweise der Einsatz ei­ nes bestimmten Fachbegriffs nicht vermeiden lassen, wäre es denkbar, die entsprechenden Informationen zum Begriff durch eine Verlinkung verfügbar zu machen. Zugleich wird damit sichergestellt, dass die abzugebende Erklä­ rung nicht mit letztlich nichtverarbeitungsrelevanten Informationen überladen wird. Zudem kann aber auch daran gedacht werden, entsprechende Erklärun­ gen multisensorisch, beispielsweise visuell und auditiv, auszugestalten.483 5. Zwischenergebnis Mit den Vorgaben des Art. 7 Abs. 2 Satz 1 DSGVO wollte der Verord­ nungsgeber versteckten Einwilligungserklärungen vorbeugen. Wenngleich die Gefahr der „Drive-By-Einwilligung“ insbesondere im Falle weiterer ein­ bezogener Sachverhalte droht, ist es letztlich überzeugend, dass die formellen Transparenzvorgaben des Art. 7 Abs. 2 DSGVO in allen Fällen vorformulier­ ter Einwilligungserklärungen zur Anwendung gelangen sollten. Transparenz ist eben nicht nur eine Frage der verdeckten oder offenen Einwilligungs­ erklärung, sondern vielmehr auch eine Frage der allgemeinen Zugänglichkeit und Verständlichkeit für die Betroffenen. Insgesamt kann festgehalten wer­ den, dass die Anforderungen der formellen Transparenz den Verantwortlichen einen klaren Auftrag erteilen: Der Informationsgehalt der Einwilligungserklä­ der Abfassung von Rechtstexten der Europäischen Union mitwirken DE, S. 10 Zif­ fer 1. 4. 480  In diesem Sinne auch Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 64. 481  Vgl. Eichhorn / Schuhmann, ZfBR 2014, 211 (214); vgl. dazu die Ausführun­ gen unter Kap. 4 B. V. 482  Eichhorn / Schuhmann, ZfBR 2014, 211 (214). 483  In diesem Sinne bereits Brunschwig, MMR 2009, IX.

202

Dritter Teil: Die Einwilligung

rung muss den Weg zu dem Betroffenen suchen, nicht aber der Betroffene den Weg zu den erforderlichen Auskünften.

C. Die Nachweispflichten im Rahmen der Erteilung der Einwilligungserklärung Sofern die Verarbeitung auf Grundlage einer Einwilligung legitimiert wer­ den soll, hat der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachzuweisen, dass der Betroffene in die Verarbeitung eingewilligt hat (dazu unter I.). Die Nachweispflichten im Rahmen der Einwilligung verschärfen sich nochmals, wenn die Einwilligung im Rahmen des Anwendungsbereichs des Art. 8 Abs. 1 DSGVO erfolgt. In diesem Fall hat der Verantwortliche unter Berück­ sichtigung der verfügbaren Technik angemessene Anstrengungen zu unter­ nehmen, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung er­ teilt wurde (dazu unter II.). I. Die Nachweispflicht des Art. 7 Abs. 1 DSGVO Beruht die Verarbeitung auf einer Einwilligung muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO den Nachweis erbringen, dass der Betroffene eine entsprechende Einwilligung abgegeben hat. Die Nachweispflicht des Art. 7 Abs. 1 DSGVO stellt dabei weniger eine Wirksamkeitsvoraussetzung der Einwilligungserklärung als vielmehr eine letztlich deklaratorische484 Beweislastregelung485 dar. Indem der Verantwortliche allerdings insbeson­ dere durch die Vorgaben des Art. 7 Abs. 1 DSGVO gehalten ist, jedwede Einwilligungssituation rechtskonform zu gestalten und zu protokollieren, wird zudem auch dem allgemeinen Transparenzgrundsatz Rechnung getra­ gen.486 Insofern kann der Vorschrift eine Doppelfunktion im Sinne sowohl 484  Da das Vorliegen der Einwilligungserklärung letztlich günstig für den Verant­ wortlichen ist, liegt die Beweislast jedenfalls nach deutschem Zivilprozessrecht ohne­ hin bei diesem, vgl. statt vieler Brand, NJW 2017, 3558 (3560); Prütting, in: Rau­ scher / Krüger, Münchener Kommentar zur ZPO, § 286 ZPO Rn. 110 ff.; sowie die ständige Rechtsprechung des BGH, vgl. nur BGH, Urt. v. 10.03.2010 – IV ZR 264 / 08 – NJW-RR 2010, 1378 (1379) mit Verweis auf weitere Rechtsprechung. 485  Vgl. dazu im Kontext der DSGVO Thüsing / Schmidt, RDV 2017, 116 (121); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 68; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 53; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 22; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 86; Schulz, in: Gola, DSGVO, Art. 7 Rn. 60. 486  Thüsing / Schmidt / Forst, RDV 2017, 116 (121); Frenzel, in: Paal / Pauly, DS­ GVO / BDSG, Art. 7 DSGVO Rn. 6.



Kap. 3: Die formellen Einwilligungsvoraussetzungen203

einer Beweislast- als auch einer Transparenzregelung entnommen werden.487 Der Wortlaut der Vorschrift verdeutlicht dabei, dass nicht nur der allgemeine Nachweis des Vorliegens entsprechender Einwilligungsmechanismen, son­ dern der konkrete Beweis der wirksamen Einwilligung durch die betroffene Person im Verarbeitungsfall erbracht werden muss.488 Das „Wie“, mithin die konkrete Ausgestaltung der Nachweismechanismen im Einzelnen, überlasst die DSGVO allerdings dem Verantwortlichen.489 Da­ bei gilt es allerdings zu berücksichtigen, dass auch der Nachweis der erteilten Einwilligung als Verarbeitungsvorgang im Sinne der DSGVO zu bewerten ist.490 Wenngleich diese akzessorisch zur letztlichen Einwilligungserklärung gerechtfertigt ist,491 hat der Verantwortliche auch in diesem Kontext die allge­ meinen Grundsätze der Erforderlichkeit und Datensparsamkeit zu beachten492. Abhängig vom Kontext der jeweiligen Verarbeitungssituation bieten sich unterschiedliche Möglichkeiten zum Nachweis der erteilten Einwilligung an. Mit Blick auf den „sanften Druck der Beweislast“,493 wird der Verantwortli­ che zum Nachweis der Einwilligung regelmäßig auf die Schriftform zurück­ greifen.494 Dabei ist allerdings das bereits aufgezeigte weite Begriffsver­ ständnis der DSGVO zu berücksichtigen.495 Eine Renaissance der „klassi­ schen Schriftform“ durch die Hintertür ist daher kaum zu erwarten. Diesbe­ züglich lässt sich nochmals auf Erwägungsgrund 32 Satz 5 DSGVO abstellen, welcher klarstellt, dass bei der Einholung elektronischer Einwilligungserklä­ rungen unnötige Unterbrechungen des Dienstes zu vermeiden sind. Mithin wäre es widersprüchlich, einerseits die elektronische unterbrechungsfreie 487  Vgl. dazu Kramer, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO /  BDSG, Art. 7 Rn. 9 ff. 488  Schantz / Wolff, Das neue Datenschutzrecht, Rn. 490; Gierschmann, in: Giersch­ mann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 38; Frenzel, in: Paal / Pauly, DS­ GVO / BDSG, Art. 7 DSGVO Rn. 8; Stemmer, in: Wolff / Brink, BeckOK Datenschutz­ recht, Art. 7 DSGVO Rn. 87; Schulz, in: Gola, DSGVO, Art. 7 Rn. 60. 489  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 24; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 88. 490  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 9. 491  So Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 9. 492  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 24. 493  So Thüsing / Schmidt, RDV 2017, 116 (121). 494  Vgl. dazu Der Bayerische Landesbeauftragte für den Datenschutz, Die Einwil­ ligung nach der DSGVO, 2017, S. 5; Buchner / Kühling, DuD 2017, 544 (546); Spranger, MedR 2017, 864 (865); Buchner, Datenverarbeitung im nicht-öffentlichen Be­ reich, in: Tinnefeld / Buchner / Petri / Hof, Einführung in das Datenschutzrecht, S. 422; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 88. 495  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 3 B. II. 1.

204

Dritter Teil: Die Einwilligung

Einwilligungserklärung zu forcieren, andererseits dem Verantwortlichen aus Gründen der Beweislast die analoge Einholung nahezulegen. Vor diesem Hintergrund verbietet sich der pauschale Rekurs auf Stift und Papier und zwingt die Verantwortlichen zu kreativen Lösungsansätzen. Auch bei der Einholung der Einwilligungserklärung in der mündlichen Form496 gilt es, die Nachweis- und Transparenzpflichten des Art. 7 Abs. 1 DSGVO zu berücksichtigen. Wenngleich die Einhaltung der Vorgaben form­ bedingt erhöhten Schwierigkeiten unterliegt, ist eine entsprechend rechtskon­ forme Ausgestaltung der Einwilligungssituation durchaus denkbar. Mit Blick auf den regelmäßig schwer abschätzbaren Beweiswert einer Zeugenaus­ sage497 sollte der Verantwortliche zum Nachweis mündlicher Einwilligungs­ erklärungen allerdings auf den bloßen Beweisantritt mittels Zeugen verzich­ ten.498 Denkbar ist allerdings, dass die entsprechende Einwilligungserklärung elektronisch aufgezeichnet wird.499 Ein probates Mittel könnte dabei die Einholung der Erklärung im Rahmen eines mitgeschnittenen Telefonats sein, wobei im Sinne umfassender Transparenz auf den Mitschnitt hingewiesen werden sollte.500 II. Die Nachweispflichten im Rahmen des Anwendungsbereichs des Art. 8 DSGVO Auch im Rahmen der Nachweispflichten zeigt sich, dass die DSGVO je­ denfalls bereichsspezifisch ein besonderes Augenmerk auf den Schutz perso­ nenbezogener Daten betroffener Kinder legt. Dabei stellen aber auch die ge­ sonderten Anforderungen des Art. 8 Abs. 2 DSGVO keine Wirksamkeitsvor­ aussetzungen der jeweiligen Einwilligungserklärung des Kindes dar, diese konkretisieren und ergänzen vielmehr die Vorgaben des Art. 7 Abs. 1 DSGVO im Anwendungsbereich des Art. 8 DSGVO.501 Sofern allerdings zum Nach­ 496  Vgl.

dazu bereits die Ausführungen unter Dritter Teil Kap. 3 B. II. 2. dazu statt vieler Kühne, NStZ 1985, 252 ff., der die potentiellen Defizite der Zeugenaussage überzeugend auf Wahrnehmungsprobleme und Erinnerungsschwä­ chen des Zeugen sowie letztlichen Übermittlungsschwierigkeiten zwischen Zeugen und Empfängern stützt. 498  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 131. 499  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 24; Gierschmann, in: Giersch­mann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 131. 500  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guide­ lines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 24. 501  Vgl. Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 8 Rn. 39; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 36; Buchner /  Kühling, in: DSGVO / BDSG, Art. 8 DSGVO Rn. 27. 497  Vgl.



Kap. 3: Die formellen Einwilligungsvoraussetzungen205

weis im Sinne des Art. 8 Abs. 2 DSGVO personenbezogene Daten der Träger elterlicher Verantwortung verarbeitet werden, ist es überzeugend, dass dieser Verarbeitungsvorgang auf Grundlage des Art. 8 Abs. 2 DSGVO gerechtfertigt ist.502 Neben der Tatsache, dass der erforderliche Nachweis über die entspre­ chende Mitwirkungshandlung regelmäßig nicht ohne die Verarbeitung elter­ licher Daten zu erbringen ist,503 wäre die Einholung einer weiteren Einwilli­ gung („Einwilligung zum Nachweis der Einwilligung“) nicht mehr als För­ melei. Im Anwendungsbereich des Art. 8 Abs. 1 DSGVO504 ist der Verantwortli­ che gehalten, Anstrengungen zu unternehmen, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde (dazu unter 1.). Begrenzt wird die Nachweispflicht im Sinne des Art. 8 Abs. 2 DSGVO sowohl durch das Merkmal der Angemessenheit als auch durch die letztlich verfügbare Technik (dazu unter 2.). 1. Anforderungen an den Grad des Nachweises Über die Nachweispflichten des Art. 7 Abs. 1 DSGVO hinaus505 hat sich der Verantwortliche bei der Verarbeitung personenbezogener Daten von Kin­ dern gem. Art. 8 Abs. 1 DSGVO zu vergewissern, dass die erforderliche el­ terliche Mitwirkungshandlung vorliegt. Dazu bedarf es vorab der Feststel­ lung, ob ein Kind im Sinne der DSGVO Bezugssubjekt der in Frage stehen­ den Datenverarbeitung ist.506 Daran anschließend gilt es zu überprüfen, ob die entsprechend erforderliche Mitwirkungshandlung der Träger elterlicher Verantwortung vorliegt. Mithin bedarf es der Implementierung eines zwei­ stufigen Verfahrens: Vorab ist zu prüfen, ob das Datensubjekt dem Anwendungsbereich des Art. 8 Abs. 1 DSGVO unterliegt. Für den Fall, dass es einer Mitwirkungs­ handlung im Sinne des Art. 8 Abs. 1 DSGVO bedarf, sind dessen Vorausset­ zungen festzustellen. Zudem muss das Verfahren geeignet sein, die auf diese 502  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 14; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 24. 503  Darauf abstellend: Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 14; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 Rn. 24. 504  Vgl. dazu bereits die Ausführungen unter Dritter Teil Kap. 2 B. II. 505  Wie bereits gezeigt, stellt Art. 8 DSGVO keine eigenständige Rechtsgrundlage dar, sondern ergänzt und erweitert die Vorgaben des Art. 7 DSGVO. Mithin sind des­ sen Voraussetzungen auch im Kontext des Art. 8 DSGVO zu beachten, vgl. dazu die Ausführungen unter Dritter Teil Kap. 2 B. II. 506  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 8 Rn. 42 spricht insofern von einer denklogisch vorgelagerten Frage.

206

Dritter Teil: Die Einwilligung

Weise festgestellten Tatsachen in einer der Nachweispflicht entsprechenden Form zu dokumentieren.507 Die Entwicklung, Ausgestaltung und Umsetzung eines entsprechenden Verfahrens wird allerdings sowohl Verantwortliche als auch zuständige Datenschutzbehörden vor gewisse Herausforderungen stel­ len,508 welche letztlich nur im Rahmen einer Kooperation sinnvoll gelöst werden können. Rechtssicherheit wird letztlich nur auf Grundlage einer EuGH-Entscheidung erlangt werden können.509 2. Angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik Die Prüf- und Nachweispflichten des Art. 8 Abs. 2 DSGVO stehen unter den einschränkenden Bedingungen der Angemessenheit und des Stands der Technik. Beide Kriterien sollen letztlich sicherstellen, dass der Verantwort­ liche nicht übergebührlich in die Pflicht genommen wird und tragen somit dem Grundsatz der Verhältnismäßigkeit Rechnung.510 Abwägungserheblich ist dabei einerseits das der Datenverarbeitung innewohnende Gefährdungspo­ tential für die Betroffenen, andererseits die dem Verantwortlichen zur Verfü­ gung stehende Technik sowie dessen Grundrechtspositionen wie beispiels­ weise die Meinungs- und Berufsfreiheit sowie das Eigentumsgrundrecht.511 Grundsätzlich lässt sich festhalten, dass das Maß der geforderten Anstren­ gungen mit zunehmendem Gefährdungspotential für die Betroffenen an­ steigt.512 Dabei bildet der Grundsatz der Datenminimierung im Sinne des Art. 5 Abs. 1 lit. c DSGVO allerdings eine Art Übermaßverbot, sodass es 507  Vgl. dazu Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S. 216; Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 8 DSGVO Rn. 55; Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer  – ­DSGVO / BDSG, Art. 8 Rn. 17; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 37; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 Rn. 13. 508  So das Bayerische Landesamt für Datenschutzaufsicht, XV Bedingungen für die Einwilligung eines Kindes, Art. 8 DSGVO, S. 2. 509  Vgl. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 27. 510  Greve, in: Eßer / Kramer / v. Lewinski, Auernhammer  – DSGVO / BDSG, Art. 8 Rn. 18; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 37. 511  Vgl. dazu Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Ein­ willigung im Zivilrecht, S. 218; Artikel-29-Datenschutzgruppe, Stellungnahme  17 /  2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 32; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 23; Karg, in: BeckOK Datenschutzrecht, Art. 8 Rn. 58, 59; Heckmann / Paschke, in: Eh­ mann / Selmayr, DSGVO Art. 8 Rn. 37. 512  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 31; Buchner / Kühling, in:



Kap. 3: Die formellen Einwilligungsvoraussetzungen207

auch aus Verifikationsgründen nicht zu einer exzessiven Datensammlung kommen darf.513 Hingegen ist es nicht ausreichend, wenn zum Nachweis der erforderlichen elterlichen Mitwirkungshandlung allein eine Checkbox im Rahmen der Einwilligungserklärung („Meine Eltern sind damit einverstan­ den, dass ich die folgende datenschutzrechtliche Einwilligungserklärung ab­ gebe“) eingefügt wird.514 Vielmehr bedarf es in jedem Fall der unmittelbaren Einbeziehung der Eltern.515 Dabei kann die Kontaktaufnahme allerdings in einfach gelagerten und wenig gefahrgeneigten Fällen durchaus per E-Mail erfolgen, wobei auch die Artikel-29-Datenschutzgruppe das sog. DoubleOpt-In-Verfahren empfiehlt:516 Dabei ist der Verantwortliche im digitalen Kontext zunächst gehalten, das Alter der betroffenen einwilligungsbereiten Person zu erfragen. Für den Fall, dass der Betroffene angibt, die jeweils einschlägige Altersgrenze noch nicht erreicht zu haben, informiert der Verantwortliche darüber, dass es der daten­ schutzrechtlichen Mitwirkungshandlung der Eltern bedarf, bevor der Dienst genutzt werden kann. Zu diesem Zweck wird das Kind aufgefordert eine ­E-Mail-Adresse des Trägers der elterlichen Verantwortung anzugeben. An­ schließend kontaktiert der Dienst die gesetzlichen Vertreter und erbittet die entsprechende Einwilligungserklärung. Dabei können, erneut in Abhängigkeit vom Gefährdungspotential der Datenverarbeitung, weitere Maßnahmen ange­ bracht sein, um die Echtheit der elterlichen Einwilligungserklärung zu über­ prüfen. Abschließend sollte der Verantwortliche ein Beschwerdemanage­ mentsystem einrichten und getroffene Maßnahmen einer regelmäßigen Über­ prüfung unterziehen. Freilich birgt auch dieses Verfahren die Gefahr des Missbrauchs, da regel­ mäßig nicht ohne übergebührliche Anstrengungen rechtssicher festgestellt werden kann, ob die erforderliche Mitwirkungshandlung tatsächlich durch Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 23; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 DSGVO Rn. 13; Kampert, in: Sydow, DSGVO, Art. 8 Rn. 14. 513  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 31; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 24. 514  Vgl. Funke, Dogmatik und Voraussetzung der datenschutzrechtlichen Einwil­ ligung im Zivilrecht, S. 218; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 23; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 DSGVO Rn. 13; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 8 Rn. 43; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 37. 515  Vgl. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 8 DSGVO Rn. 13; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 37. 516  Darstellung nach Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 31 Bei­ spiel 23.

208

Dritter Teil: Die Einwilligung

den gesetzlichen Vertreter vorgenommen wurde.517 Ein solches Restrisiko ist allerdings mit den Vorgaben des Art. 8 Abs. 2 DSGVO zu vereinbaren, da es bedingt durch die vorzunehmende Interessenabwägung regelmäßig keiner absoluten, sondern vielmehr einer relativen Vergewisserung des Verantwort­ lichen bedarf. Dementsprechend sind im Rahmen des Double-Opt-In-Verfah­ rens grundsätzlich erst dann weitergehende Überprüfungsmaßnahmen vorzu­ nehmen, wenn deutliche Indizien dafür sprechen, dass die Mitwirkungshand­ lung gerade nicht durch einen gesetzlichen Vertreter vorgenommen wurde.518 Wenngleich es maßgeblich auf den für den jeweiligen Verarbeitungsvorgang Verantwortlichen ankommt, sollten die gesetzlichen Vertreter jedenfalls aber dafür Sorge tragen, dass ihre Accounts nicht unbefugt durch ihre Kinder ge­ nutzt werden können.519 III. Zwischenergebnis Mit der Einführung der Nachweispflichten in Art. 7 Abs. 1 DSGVO sowie in Art. 8 Abs. 2 DSGVO schafft der Verordnungsgeber einen Ausgleichsme­ chanismus zur grundsätzlich formfreien Einwilligungserklärung. Mithin sind die Verantwortlichen auch im Kontext der DSGVO gehalten, für die hinrei­ chende Nachweisbarkeit der Einwilligungserklärung zu sorgen. Über die Be­ weislastregelung hinaus bewirkt die Nachweispflicht sowohl für den Verant­ wortlichen als auch für die Betroffenen zugleich ein Mehr an Transparenz, indem neue, innovative Methoden zur rechtssicheren Einholung der Erklärung gefordert werden. Die damit verbundenen Herausforderungen sollten weniger als Risiko, sondern vielmehr als Chance begriffen werden, das bislang beste­ hende normative Korsett der Einwilligungserklärung zu durchbrechen. Kapitel 4

Die materiellen Einwilligungsvoraussetzungen Bislang konnte gezeigt werden, dass die Art und Weise, also die konkrete formelle Ausgestaltung der Einwilligungserklärung maßgeblichen Einfluss auf die selbstbestimmte Grundrechtsausübung der Betroffenen hat. Mit ande­ ren Worten: Rechtsgestalterische Elemente können bestimmte Verhaltenswei­ 517  Joachim, ZD 2017, 414 (416); Möhrke-Sobolewski / Klas, K&R 2016, 373 (377); Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 24; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 8 Rn. 38. 518  So i. E. auch Möhrke-Sobolewski / Klas, K&R 2016, 373 (378); Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 8 DSGVO Rn. 24; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 8 Rn. 43. 519  So auch Möhrke-Sobolewski / Klas, K&R 2016, 373 (377).



Kap. 4: Die materiellen Einwilligungsvoraussetzungen209

sen vorweg antizipieren oder verhindern und damit maßgeblich das „Ob“ des Entscheidungsprozesses determinieren. Daran anschließend gilt es nunmehr die erforderlichen inhaltlichen As­ pekte, also das „Wie“ des Erklärungsaktes, zu untersuchen. Mit Blick auf die materiellen Einwilligungsvoraussetzungen ist daher insbesondere die Trias Bestimmtheit – Informiertheit – Freiwilligkeit zu beleuchten. Im Anschluss an die materiellen Transparenzvorgaben des Bestimmtheitsgrundsatzes (A.) soll ein besonderer Schwerpunkt auf die Informationspflichten im Rahmen der Einwilligungserklärung gelegt werden (B.). Dabei soll allen voran unter­ sucht werden, ob sich das multipolare Spannungsfeld zwischen Informations­ defizit und „Information-Overload“ einerseits sowie berechtigten Betriebsund Geschäftsgeheimnissen auf Seiten des Verantwortlichen andererseits auflösen lässt. Eingebettet in die Vorgaben der informierten Einwilligung gilt es sodann verschiedene Lösungsmöglichkeiten aufzuzeigen. Abschließend sind die Anforderungen an die Freiwilligkeit der Erklärung zu untersuchen, wobei insbesondere das Koppelungsverbot des Art. 7 Abs. 4 DSGVO zu be­ leuchten ist (C.).

A. Das Gebot der materiellen Transparenz – Die Bestimmtheit, Art. 4 Nr. 11 i. V. m. Art. 6 Abs. 1 Satz 1 lit. a DSGVO Sowohl Art. 4 Nr. 11 DSGVO als auch Art. 6 Abs. 1 Satz 1 lit. a DSGVO statuieren, dass die Einwilligung für den bestimmten Fall respektive für ei­ nen oder mehrere bestimmte Zwecke erklärt werden muss. Damit greift der Bestimmtheitsgrundsatz der Einwilligungserklärung insbesondere den Zweckbindungsgrundsatz auf und unterstreicht dessen Bedeutung im Rah­ men der Erklärung (dazu unter I.). Ob und wie weit von diesem Grundsatz im Rahmen der Einwilligung abgewichen werden kann, soll unter II. unter­ sucht werden. I. Der Grundsatz der Zweckbindung im Rahmen der Einwilligungserklärung Der Grundsatz der Bestimmtheit steht im engen Zusammenhang mit dem primärrechtlich in Art. 8 Abs. 2 Satz 1 der Charta verankerten und sekundär­ rechtlich nunmehr in Art. 5 Abs. 1 lit. b DSGVO kodifizierten Grundsatz der Zweckbindung.520 Die Einbeziehung des Zweckbindungsgrundsatzes verfolgt 520  Buchner, Datenverarbeitung im nicht-öffentlichen Bereich, in: Tinnefeld /  Buchner / Petri / Hof, Einführung in das Datenschutzrecht, S. 419; Buchner / Kühling,

210

Dritter Teil: Die Einwilligung

dabei maßgeblich das Ziel, (materielle) Transparenz für den Betroffenen zu erzeugen, indem dieser vor unerwarteten Verarbeitungsvorgängen bezie­ hungsweise deren schleichender Ausweitung („function creep“) geschützt wird.521 Zugleich wird dadurch das Fundament einer informierten Einwilli­ gungserklärung geschaffen, da die Frage nach den Verarbeitungszwecken wesentlicher Bestandteil der Informationserteilung ist.522 In diesem Sinn legt Art. 5 Abs. 1 lit. b DSGVO fest, dass die Erhebung personenbezogener Daten (auf Grundlage der Einwilligungserklärung) nur für festgelegte, eindeutige und legitime Zwecke zu erfolgen hat, wobei die Weiterverarbeitung der Daten in einer mit diesen Zwecken nicht zu vereinba­ renden Weise unzulässig ist. Für den Verantwortlichen hat das zur Folge, dass die Verarbeitung der personenbezogenen Daten allein im Sinne der zu­ vor klar und eindeutig benannten Zwecke erfolgen darf. Dabei stellen sowohl der erläuternde als auch der verfügende Teil der DSGVO klar, dass die Er­ klärung durchaus zeitgleich für mehrere Verarbeitungszwecke abgegeben werden kann. Mithin erklärt Erwägungsgrund 32 Satz 5 DSGVO ausdrück­ lich, dass bei mehreren Verarbeitungszwecken lediglich eine Einwilligungs­ erklärung abgeben werden sollte. In diesem Sinne bestimmt auch Art. 6 Abs. 1 Satz 1 lit. a DSGVO, dass die Verarbeitung rechtmäßig ist, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gege­ ben hat. Der ausdrücklichen Forderung des Verordnungsgebers, mehrere Verarbei­ tungszwecke anhand einer Erklärung zu behandeln, kann dabei ein doppelter Transparenzgedanke entnommen werden: Einerseits wird damit sicherge­ stellt, dass die geplante Verarbeitung allein auf Grundlage der Einwilligungs­ erklärung stattfindet und nicht etwa aus einem letztlich intransparenten Konglomerat verschiedenster Erlaubnistatbestände.523 Andererseits wird der Betroffene davor bewahrt, mit einer Vielzahl verschiedenster Einwilligungs­ erklärungen seitens des Verantwortlichen konfrontiert zu werden. Letzteres würde insbesondere die Gefahr in sich bergen, dass durch die unvermeidbare Quantität datenschutzrechtlicher Entscheidungen, die grundrechtliche Quali­ in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 61; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 73. 521  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme  00569 / 13 / EN Opin­ ion 03 / 2013 on purpose limitation, WP 203, S. 11. 522  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 13; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 63; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 75. 523  Darauf abstellend Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 77.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen211

tät derselben signifikant herabgesetzt werden würde. Die Grenze bildet dabei das in Erwägungsgrund 43 Satz 2 DSGVO angelegte „Gebot der differen­ zierten Einwilligungserklärung“524, welches insbesondere bei nicht erforder­ lichen Zusatzfunktionen die Einholung separater Einwilligungserklärungen bedingen kann.525 Darüber hinaus ist für den Fall, dass ein gänzlich neuer Verarbeitungszweck beabsichtigt ist, erneut eine entsprechende Einwilli­ gungserklärung einzuholen.526 Mit Blick auf den erforderlichen Grad der Zweckspezifizierung im Einzel­ fall darf es dabei weder zur Abgabe einer Blankett-Erklärung527 noch zur Überdetaillierung kommen528. Festhalten lässt sich allerdings, dass pauscha­ lierende und unbestimmte Begriffe wie „unter Umständen“, „möglicherweise“ oder „zu Geschäftszwecken“ zu vermeiden sind.529 Vielmehr sollten konkrete Beispiele herangezogen werden, welche den Zweck, die Dauer und auch die aktuellen und zukünftigen Auswirkungen für die Betroffenen illustrieren.530 Allgemein gilt dabei auch im Kontext der Zweckbindung, dass der erforder­ liche Detailgrad der jeweiligen Spezifizierungen mit zunehmendem Gefahren­ potential der Datenverarbeitung für die Betroffenen ansteigt.531 Dabei bietet sich auch hier der Rückgriff auf die abgestufte Informationsdarstellung an,532 wobei anhand eines ersten Überblicks zentrale Verarbeitungszwecke bestimmt und Zugriffsmöglichkeiten auf weitere Informationen benannt werden.533 524  So Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 71. 525  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 71. 526  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 14; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 62. 527  So Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 8; dem fol­ gend Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 527; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 76; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 39. 528  Artikel-29-Datenschutzgruppe, Stellungnahme 00569 / 13 / EN Opinion 03 / 2013 on purpose limitation, WP 203, S. 16. 529  Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 527; Buchner, Da­ tenverarbeitung im nicht-öffentlichen Bereich, in: Tinnefeld / Buchner / Petri / Hof, Ein­ führung in das Datenschutzrecht, S. 420. 530  Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 260. 531  Artikel-29-Datenschutzgruppe, Stellungnahme 00569 / 13 / EN Opinion 03 / 2013 on purpose limitation, WP 203, S. 16 sowie S. 51 ff. m. w. N.; ebenso Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 65; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 76. 532  Vgl. dazu bereits die Ausführungen unter Dritter Teil Kap. 3 B. II. 3. 533  Artikel-29-Datenschutzgruppe, Stellungnahme 00569 / 13 / EN Opinion 03 / 2013 on purpose limitation, WP 203, S. 52.

212

Dritter Teil: Die Einwilligung

Der Grundsatz der Bestimmtheit erschöpft sich allerdings nicht in der Be­ nennung der relevanten Zwecke des zu legitimierenden Verarbeitungsvor­ gangs. Vielmehr obliegt es den Verantwortlichen, zusätzlich dafür Sorge zu tragen, dass die jeweiligen Erklärungen hinreichend granular sowie mit Blick auf die Informationsbereitstellung differenziert ausgestaltet werden.534 Da­ bei bedeutet Granularität im Kontext des Bestimmtheitserfordernisses, dass es den Betroffenen ermöglicht werden sollte, für jeden einzelnen Verarbei­ tungszweck separat aktiv einzuwilligen.535 Freilich lässt sich nicht von der Hand weisen, dass mit der zunehmenden Verästelung der Einwilligungserklä­ rung auch ein Anstieg des Komplexitätsgrades verbunden ist, der zur Über­ forderung der Betroffenen führen kann.536 Dabei gilt es allerdings zu beach­ ten, dass auch der Aspekt der Granularität stets in Abhängigkeit zu der Komplexität des zugrundeliegenden Verarbeitungsvorgangs zu sehen ist. Mit anderen Worten: Je umfangreicher die Verarbeitung, desto höher ist der er­ forderliche Grad der Differenzierung. Die potentielle Überforderung des Betroffenen folgt daher letztlich nicht aus der granularen Ausgestaltung der Einwilligungserklärung, sondern aus dem Verarbeitungsvorgang, welchen es zu rechtfertigen gilt. Das Mittel der Granularität kann vielmehr dazu beitragen, die Verarbeitung verständlich aufzubereiten, wenngleich selbstredend die entsprechenden In­ formationspflichten und die entsprechenden gestalterischen Mittel durch den Verantwortlichen ergänzend zur Verfügung gestellt werden müssen. Mit Blick auf die Zwecke der Verarbeitung könnte der Verantwortliche Obergrup­ pen bilden, welche wiederum weitere Optionen in einem Untermenü bereit­ halten. Ist der Betroffene allgemein gewillt, beispielsweise in die Verarbei­ tung seiner Daten zu Zwecken des Qualitätsmanagements einzuwilligen, ist die Auswahl der Obergruppe ausreichend. Möchte der Betroffen allerdings weitergehende Einstellungen (Umfang, Art und Ausmaß der Verarbeitung) treffen, kann er diese anhand des Untermenüs differenziert vornehmen. In diesem Zusammenhang hat der Verantwortliche, wie bereits angedeutet, die entsprechenden Informationen den unterschiedlichen Verarbeitungszwe­ cken bestimmungsgemäß zuzuordnen.537 In diesem Sinne bezieht sich der Grundsatz der Bestimmtheit nicht nur auf inhaltliche, sondern auch auf 534  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 14. 535  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 14. 536  So Solove, Harvard Law Review, 2013, 1880 (1885); dem folgend: Wolff, Schantz / Wolff, Das neue Datenschutzrecht, Rn. 518. 537  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 14.

on on in: on



Kap. 4: Die materiellen Einwilligungsvoraussetzungen213

strukturelle Aspekte. Aufbau und Ausgestaltung der Erklärung müssen es dem Betroffenen ermöglichen, unterschiedliche Informationen bestimmten Verarbeitungsvorgängen konkret zuzuweisen, damit dieser die Auswirkungen der unterschiedlichen Entscheidungen jedenfalls abschätzen kann.538 II. Möglichkeiten der Abweichung vom Bestimmtheitsgrundsatz Jedenfalls nach den erläuternden Vorgaben zur DSGVO kann vom Grund­ satz der Bestimmtheit im Rahmen der Einwilligungserklärung abgewichen werden. Diesbezüglich statuiert Erwägungsgrund 33 Satz 1 DSGVO, dass der Zweck der Verarbeitung personenbezogener Daten im Bereich der wis­ senschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezo­ genen Daten oftmals nicht vollständig angegeben werden kann. Daher sollte es den Betroffenen nach Erwägungsgrund 33 Satz 2 DSGVO ermöglicht werden, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher For­ schung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Einschränkend sieht Erwägungsgrund 33 Satz 3 DSGVO die Möglichkeit vor, dass die Betroffe­ nen ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße er­ teilen. Mithin kommt es zu einer Privilegierung der wissenschaftlichen Forschung,539 welche allerdings nicht die uneingeschränkte Aufgabe des Zweckbindungsgrundsatzes im Forschungsbereich zur Folge hat540. Der Rück­ griff auf den sog. „Broad Consent“541 soll lediglich innerhalb des engen Kor­ 538  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 14. 539  Auch Erwägungsgrund 159 Satz 2 DSGVO verdeutlicht die Sonderstellung der Wissenschaft im Rahmen der DSGVO. Mithin sind die wissenschaftlichen For­ schungszwecke weit auszulegen. Erfasst werden insbesondere die Verarbeitung für die technologische Entwicklung und Demonstration, die Grundlagenforschung, die angewandte Forschung sowie die privat finanzierte Forschung, vgl. dazu m. w. N. Rammos, Die datenschutzrechtliche Zulässigkeit von Broad Consent für Forschungs­ zwecke nach der DSGVO, in: Taeger (Hrsg.), DSRI Tagungsband Herbstakademie 2017, S. 359, 368. 540  Spranger, MedR 2017, 864; Der Bayerische Landesbeauftragte für den Daten­ schutz, Die Einwilligung nach der DSGVO, S. 3. 541  Vgl. dazu m. w. N. Bieresborn, NZS 2017, 926 (931); Schaar, ZD 2017, 213 (215); Rammos, Die datenschutzrechtliche Zulässigkeit von Broad Consent für For­ schungszwecke nach der DSGVO, in: Taeger (Hrsg.), DSRI Tagungsband Herbst­ akademie 2017, S. 359 ff.; Herbst, DuD 2016, 371 (373); Raum, in: Ehmann / Selmayr, DSGVO, Art. 89 Rn. 35.

214

Dritter Teil: Die Einwilligung

setts des Erwägungsgrundes 33 möglich sein542. Insbesondere ist der Verant­ wortliche in dieser Fallkonstellation gehalten, den Mangel an Bestimmtheit durch weitergehende Schutzvorkehrungen für die Betroffenen auszuglei­ chen.543 Neben weiterführenden technischen und organisatorischen Maßnah­ men zum Schutz der Daten544 kommt allen voran der Einsatz einer „fortge­ setzten Einwilligungserklärung“ in Betracht:545 Die vorweg aus tatsächlichen Gründen allgemein gehaltene Einwilligungserklärung wird im Laufe des For­ schungsvorhabens anhand von „Updates“ konkretisiert, sodass parallel zum Erkenntnisgewinn des Forschungsprojekts auch der Informations- und Be­ stimmtheitsgehalt der korrespondierenden Einwilligungserklärung steigt. Nicht zuletzt steht die Lockerung des Bestimmtheitsgebotes unter dem Vorbehalt der Einhaltung anerkannter ethischer Standards der wissenschaftli­ chen Forschung, wobei insbesondere etwaige Berufsordnungen sowie EthikKodizes als Beurteilungsmaßstab herangezogen werden können.546 Letzteren ist im Rahmen der medizinischen Forschung, unter anderem als Reaktion auf die Gräueltaten während des Nationalsozialismus, erhebliche Relevanz bei­ zumessen, welche nunmehr auch im Bereich des Datenschutzrechts durch­ schlägt.547 Beispielhaft kann auf den Arbeitskreis Medizinischer Ethik-Kommissionen in der Bundesrepublik Deutschland e. V. verwiesen werden, der die Be­ stimmtheitsdefizite allen voran durch die gesonderte Ausgestaltung des Ein­ willigungsverfahrens absichern möchte.548 Neben der Begutachtung der je­ weiligen Forschungsvorhaben durch die Ethikkommission, sollen die Betrof­ fenen insbesondere auf die fehlende Bestimmtheit der Verarbeitungszwecke hingewiesen und entsprechend informiert werden.549 542  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 34. 543  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 35; Gierschmann, in: Giersch­mann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 75; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 64. 544  Darauf abstellend Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 64. 545  So Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 35. 546  Bieresborn, NZS 2017, 926 (931) unter Verweis auf BT-Drs. 18 / 12611, S. 104. 547  Vgl. dazu m. w. N. Schaar, ZD 2017, 213 (218 ff.). 548  Nach Rammos, Die datenschutzrechtliche Zulässigkeit von Broad Consent für Forschungszwecke nach der DSGVO, in: Taeger (Hrsg.), DSRI Tagungsband Herbst­ akademie 2017, S. 359, 365. 549  Rammos, Die datenschutzrechtliche Zulässigkeit von Broad Consent für For­ schungszwecke nach der DSGVO, in: Taeger (Hrsg.), DSRI Tagungsband Herbst­ akademie 2017, S. 359, 366.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen215

III. Zwischenergebnis Transparenz ist, wie dem Erfordernis der Bestimmtheit deutlich zu entneh­ men ist, nicht nur eine Frage der formellen Ausgestaltung der Einwilligungs­ erklärung. Vielmehr folgt die umfassend transparente Einwilligungserklärung auch inhaltlichen Anforderungen, welche wiederum im engen Zusammen­ hang mit dem Grundsatz der Zweckbindung stehen. Mithin hat sich die Struktur und damit insbesondere auch die formelle Ausgestaltung der Einwil­ ligungserklärung maßgeblich an diesem Bestimmtheitsgebot zu orientieren. Insgesamt lässt sich festhalten, dass das Gebot der Bestimmtheit die zentrale Schnittstelle zwischen formellen und materiellen Einwilligungsanforderun­ gen ist.

B. Das Gebot der Informiertheit, Art. 4 Nr. 11 i. V. m. Art. 7 DSGVO „Sunlight is said to be the best of disinfectants.“550

Das in Art. 4 Nr. 11 DSGVO normierte Gebot der Informiertheit („in in­ formierter Weise“) stellt ein zentrales Element der rechtskonformen Einwilli­ gungserklärung nach den Vorgaben der DSGVO dar. Auf dem Fundament formeller und materieller Transparenz soll der Betroffene umfassend infor­ miert und damit befähigt werden, die erforderliche Abwägungsentscheidung zugunsten oder zulasten seiner Grundrechtspositionen zu treffen. Allem voran die Frage nach Art, Umfang und Ausmaß der Informationser­ teilung entfacht zentrale Konfliktfelder des Datenschutzrechts und stellt die Praxis vor signifikante Umsetzungsprobleme. Prägnant zeigten jüngst Buchner / Rothmann am Beispiel Facebook, dass ca. 80 Prozent der Betroffenen etwaige Datenschutzbestimmungen nicht lesen, wobei selbst bei gezielter Vorlage der entscheidenden Einwilligungsklauseln lediglich ein Prozent der befragten Betroffenen von einer insgesamt informierten Einwilligung spre­ chen würden.551 Vor diesem Hintergrund ist insbesondere das Spannungsverhältnis zwi­ schen Informationsdefizit (I.) und Überinformation (dazu unter II.) zu be­ leuchten. Mit Blick darauf, dass insbesondere auch Belange des Verantwort­ lichen Einfluss auf die Informationspflicht nehmen könnten, soll untersucht werden, ob das Instrument der praktischen Konkordanz (dazu unter III.) oder 550  Brandeis, What Puplicity Can Do, Harper’s Weekly Dezember 1913. Abrufbar unter: http: /  / louisville.edu / law / library / special-collections / the-louis-d.-brandeis-col lection / other-peoples-money-chapter-v, zuletzt abgerufen am 12.10.2018. 551  Vgl. Buchner / Rothmann, DuD 2018, 342 (345).

216

Dritter Teil: Die Einwilligung

aber das des Vertrauensschutzes (dazu unter IV.) herangezogen werden kann, um die erforderliche aber auch ausreichende Informationspflicht zu bestim­ men. Daran anschließend soll die Einsatzmöglichkeit datenschutzrechtlicher Piktogramme untersucht werden (V.), um der abschließenden These, dass auch spielerische Mittel zur Informationsübermittlung geeignet sind, den Weg zu ebnen (dazu unter VI.). I. Der Mindestinformationsumfang – Das Informationsdefizit als Untermaßverbot Um dem Gebot der Informiertheit zu entsprechen, muss der Einwilligungs­ text dergestalt informationell angereichert werden, dass der Betroffene die Folgen der Erklärung zum Zeitpunkt der Abgabe hinreichend abschätzen kann.552 Mithin bedarf es einer Einwilligungserklärung, welche auf „Wissen und Bewusstsein fußt“553. Freilich ist damit noch nichts darüber gesagt, wel­ che Informationsbestandteile das informatorische Untermaß der Einwilli­ gungserklärung bilden. Auch die Angabe, dass der Betroffene jedenfalls alle entscheidungsrelevanten Informationen erhalten muss, auf deren Grundlage er die Grundrechtsdisposition vornehmen kann,554 lässt Raum für Interpreta­ tionsmöglichkeiten. Es gilt daher im Folgenden „konstitutive Elemente“ zu definieren, zu denen jedenfalls Angaben gemacht werden müssen, damit von einer informierten Einwilligungserklärung gesprochen werden kann. Ein erster konkreter Anhaltspunkt zu Art und Umfang der erforderlichen Informationspflichten kann Erwägungsgrund 42 Satz 4 DSGVO entnommen werden: Um in Kenntnis der Sachlage, also informiert, einwilligen zu kön­ nen, ist der betroffenen Person mindestens mitzuteilen, wer der Verantwort­ liche ist und für welchen Zweck die personenbezogenen Daten verarbeitet werden sollen. Darüber hinaus verpflichtet Art. 7 Abs. 3 Satz 4 DSGVO, über das Recht zum Widerruf der Einwilligungserklärung zu informieren. Dementsprechend bildet die Troika Verantwortlicher – Zweckbenennung – Widerrufsrecht das absolute Mindestmaß, welches in keinem Fall unterschrit­ ten werden darf.

552  Vgl. Tinnefeld / Conrad, ZD 2018, 391 (394); Krüger, ZRP 2016, 190; Pollmann / Kipker, DuD 2016, 378; Radlanski, Das Konzept der Einwilligung in der da­ tenschutzrechtlichen Realität, S. 104; Rogosch, Die Einwilligung im Datenschutz­ recht, S. 69; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 259; Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 77; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 59. 553  So Richter, PinG 2018, 6. 554  Rogosch, Die Einwilligung im Datenschutzrecht, S. 69.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen217

Damit ist, jedenfalls nach Überzeugung der Artikel-29-Datenschutzgruppe, der Mindestinformationsgehalt der Erklärung allerdings noch nicht erschöp­ fend behandelt.555 Vielmehr bedarf es in jedem Fall weiterer Angaben über die Art der zu verarbeitenden Daten. Sofern automatisierte Entscheidungen im Einzelfall einschließlich Profiling vorgesehen sind, ist auch hierüber um­ fassend zu informieren. Zudem bedarf es weiterer Informationen, falls eine Datenübermittlung an Drittländer im Sinne des Art. 49 Abs. 1 Satz 1 DSGVO stattfindet. Dabei bestimmt Art. 49 Abs. 1 Satz 1 lit. a DSGVO, dass die ­Datenübermittlung in den Fällen des Art. 49 Abs. 1 Satz 1 DSGVO zulässig sein kann, wenn die betroffene Person in die vorgeschlagene Übermittlung ausdrücklich einwilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen unterrichtet wurde. Im konkreten Einzelfall kann es zudem erforderlich sein, weitergehende Informationen bereitzuhalten, um dem Betroffenen ein umfassendes Verständnis des zu­ grundeliegenden Verarbeitungsprozesses zu ermöglichen.556 Diesbezüglich bietet es sich an, die Vorgaben der Art. 13 ff. DSGVO im Auge zu behalten. Wenngleich die dort normierten Informationspflichten grundsätzlich einen eigenständigen Pflichtenkanon begründen,557 kann eine allgemeine Orientierung an den dort normierten Vorgaben von Nutzen sein558. Neben den bereits im Wesentlichen aufgelisteten Vorgaben des Art. 13 Abs. 1 DSGVO sieht Art. 13 Abs. 2 DSGVO weitere umfassende In­ formationspflichten vor. Insbesondere sind Angaben über die Speicherdauer respektive die Kriterien zur Festlegung der Speicherdauer, Informationen über die Rechte der Betroffenen gem. Art. 15 ff. DSGVO sowie über das Recht auf Beschwerde bei einer Auskunftsbehörde gem. Art. 77 DSGVO zu treffen. Weiterhin ist jedenfalls auf die Folgen der Nichtbereitstellung der personenbezogenen Daten hinzuweisen sowie im Falle automatisierter Ent­ scheidungen auf die zugrundeliegende Technik und deren Auswirkungen auf die Betroffenen. Dabei kann es allerdings nicht ausreichend sein, allein den 555  Vgl. dazu Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guideli­ nes on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 15. 556  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev. 01, S. 16. 557  Gierschmann, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 7 Rn. 77; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 59; Schulz, in: Gola, DSGVO, Art. 7 Rn. 36. 558  So auch Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 520 mit Verweis auf Artikel-29-Datenschutzgruppe, Stellungnahme  15 / 2011 zur Definition von Einwilligung, WP 187, S. 22. Ebenfalls für eine Ausrichtung der Informations­ pflichten an den Art.  13  ff. DSGVO: Buchner / Kühling, in: Kühling / Buchner, ­DSGVO / BDSG, Art. 7 DSGVO Rn. 59; Schulz, in: Gola, DSGVO, Art. 7 Rn. 36; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 40.

218

Dritter Teil: Die Einwilligung

Wortlaut der entsprechenden Normen im Rahmen der Einwilligungserklärung abzudrucken.559 Deutlich wird, dass bereits die Mindestvorgaben an die informierte Einwil­ ligung einen erheblichen Umfang aufweisen. So augenscheinlich das Anlie­ gen der DSGVO, die Betroffenen umfassend zu informieren, hervortritt, so kritisch muss angemerkt werden, dass die bloße, nicht weitergehend aufbe­ reitete Informationserteilung dieses Ziel verfehlt.560 Mithin bleiben zentrale Problemkreise, welche im Folgenden zu beleuchten sind, unberührt. Allein die Kodifizierung weitreichender Informationspflichten trägt nicht zur Lö­ sung des Problems bei.561 II. Begrenzung durch Informationsaufnahmebeschränkungen der Betroffenen „Adam and Eve were the first people to agree to the Apple terms and conditions without reading them.“ John Lyon via Twitter562

Bei der Beurteilung, welchen Umfang die Informationspflicht letztlich im Rahmen der Einwilligungserklärung annehmen sollte, ist ein besonderes Au­ genmerk darauf zu legen, dass die Auffassungsgabe der Betroffenen begrenzt ist. Das Konzept der informierten Einwilligung beschränkt sich gerade nicht auf die bloße Umsetzung gesetzlicher Vorgaben. Vielmehr ist adressatenge­ recht dafür Sorge zu tragen, dass es nicht nur zu einem Informationsgewinn-, sondern allen voran zu einem tatsächlichen Wissensgewinn auf Seiten der Betroffenen kommt. Dabei spielen neben subjektiven Voraussetzungen des individuell Betroffenen (1.) auch objektive Faktoren (2.) eine Rolle, welche im Folgenden zu untersuchen sind. 1. Subjektive Voraussetzungen Bei der Frage nach Quantität und Qualität der jeweiligen Informationen sind insbesondere die subjektiven Voraussetzungen auf Seiten des Betroffe­ 559  Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilli­ gung im Zivilrecht, S. 326; Rogosch, Die Einwilligung im Datenschutzrecht, S. 72; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 259. 560  So u. a. Pollmann / Kipker, DuD 2016, 378 (379); Hermstrüwer, Informatio­ nelle Selbstgefährdung, S. 82; Rogosch, Die Einwilligung im Datenschutzrecht, S. 72. 561  So auch Pollmann / Kipker, DuD 2016, 378. 562  Abrufbar unter: https: /  / twitter.com / johnlyontweets / status / 39773309603375513 6?lang=de, zuletzt abgerufen am 22.10.2018.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen219

nen zu berücksichtigen. Dabei lassen sich zwei wesentliche Faktoren iden­ tifizieren, welche das Informationsausmaß entscheidend beeinflussen: Die Gefahr der Informationsüberflutung („Information Overload“) (a)) sowie mangelnde Kenntnisse der Betroffenen im Datenverarbeitungsbereich (b)). a) Die Problematik des „Information Overload“ Ausgehend davon, dass die menschliche Kapazität zur Informationsverar­ beitung (entgegen der Annahmen des Rationalmodells)563 begrenzt ist,564 kann auch die Überinformation zur Unterinformiertheit führen.565 In diesem Zusammenhang konstatierte Neisbitt bereits 1982: „We are drowning in in­ formation but starved for knowledge.“566 Wird der Betroffene mit mehr Informationen konfrontiert als er im Augen­ blick der Bekanntgabe verarbeiten kann („Information Overload“)567, kommt es regelmäßig zur Schaffung einer Überforderungssituation, welche die sach­ gerechte Beurteilung der Informationen erschwert, wenn nicht aller Erfolgs­ aussichten beraubt568. Studien belegen dabei, dass der persönliche Informa­ tionsgrenzwert des jeweils Betroffenen den Scheitelpunkt zwischen Infor­ miertheit und Desinformation durch Überinformation bildet.569 Die Relation zwischen Entscheidungsqualität und Informationsbereitstellung steigt im Er­ gebnis nicht durchgehend linear, sondern lässt sich vielmehr im Sinne einer invertierten U-Form beschreiben.570 563  Vgl.

dazu bereits die Ausführungen unter Dritter Teil Kap. 3 B. I. 1. a). KJ 2013, 184 (193) sprechen diesbezüglich von der ubiquitären kognitiven Beschränkung der Betroffenen; vgl. dazu grundlegend Miller, Psychological Review, Vol. 101 / No. 2, 343 ff. 565  Vgl. Hermstrüwer, jipitec 2017, 9 (13); Eckhardt, CR 2012, 195 (198); Ingold, Desinformationsrecht: Verfassungsrechtliche Vorgaben für staatliche Desinfor­ mationstätigkeit, S. 33; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 DSGVO Rn. 5; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 8. 566  Naisbitt, Megatrends: ten new directions transforming our lives, S. 24. 567  Vgl. zur teils uneinheitlichen Begriffsdefinition statt vieler Paredes, Washing­ ton University Law Review 2003, 417 (441); Strother / Ulijn / Fazal, Information Overload: An international Challenge for Professional Engineers and Technical Com­ municators, S. 2; Pijpers, Information Overload – A System for Better Managing Everyday Data, S. 22 m. w. N. 568  Spindler, Gutachten F zum 69. Deutschen Juristentag, F 105. 569  Vgl. dazu m. w. N. Volnhals / Hirsch, ZfCM, 50 (51); Eidenmüller, JZ 2011, 814 (816); Paredes, Washington University Law Review 2003, 417 (442); Schümann, Informationspflichten bei Spendenaufrufen mittels akzessorischer Kaufappelle, S. 286; Stahl, Information Overload am Kapitalmarkt, S. 69. 570  Volnhals / Hirsch, ZfCM, 2008, 50 (51); Stahl, Information Overload am Kapi­ talmarkt, S. 72. 564  Hamann / Hermstrüwer,

220

Dritter Teil: Die Einwilligung

Eine erste Orientierung bildet dabei die Annahme, dass der Grad der Infor­ miertheit jedenfalls ab 10 Informationsbestandteilen, also beispielsweise Angaben über die Art und Weise der Verarbeitung im konkreten Fall, ab­ nimmt.571 Mithin kann davon ausgegangen werden, dass die Betroffenen auch auf die zunehmende Informationsdichte mit Vereinfachungsstrate­ gien572 reagieren, sodass ein Mehr an Informationen regelmäßig ein Defizit an Informiertheit mit sich bringt.573 Dabei zeigt sich, dass die Betroffenen oftmals aufgrund sog. „Schlüssel­ informationen“ den Blick für detaillierte Einzelangaben verlieren.574 Der Rückgriff auf zentrale Angaben wie das Branding, das damit verbundene Markenimage oder auch Wert- und Preisurteile substituiert die komplexe Detailstudie der Informationen, ohne dass tatsächlich ein Wissenszuwachs über den konkreten Dienst stattgefunden hat.575 In diesem Sinne kann im Bereich des Datenschutzes die optisch ansprechende Ausgestaltung einer Webseite dazu verleiten, auf die weitergehende Informationseinholung, sei es im Rahmen der Datenschutzerklärung oder konkret bei Abgabe der Einwilli­ gung, zu verzichten.576 Mit der Fokussierung auf bestimmte Angaben kommt erschwerend hinzu, dass nicht gewährleistet werden kann, dass der Betrof­ fene damit auch tatsächlich die letztlich relevanten Informationen erhält.577 Vielmehr besteht die Gefahr, dass die Betroffenen durch die Aufbereitung und Platzierung bestimmter (nicht relevanter) Informationen gezielt desinfor­ miert werden. Insofern kommt es auch bei der Vermeidung der Informations­ überlastung auf die Qualität und Komplexität der Informationserteilung ent­ scheidend an.578 Nicht ausschließlich579 aber allen voran innerhalb des digitalen Kontexts verschärft sich die informationelle Reizüberflutung zudem durch die dort 571  Vgl. dazu m. w. N. Paredes, Washington University Law Review 2003, 417 (441); Kroeber-Riel / Weinberg / Gröppel-Klein, Konsumentenverhalten, S. 333; Stahl, Information Overload am Kapitalmarkt, S. 73. 572  Vgl. dazu die bereits die Ausführungen unter Dritter Teil Kap. 3 B. I. 1. b). 573  Paredes, Washington University Law Review 2003, 417 (442). 574  Vgl. dazu Kroeber-Riel / Weinberg / Gröppel-Klein, Konsumentenverhalten, S.  332 ff. 575  Kroeber-Riel / Weinberg / Gröppel-Klein, Konsumentenverhalten, S. 332. 576  Kettner / Thorun / Vetter, Wege zur besseren Informiertheit, S. 78. 577  Paredes, Washington University Law Review 2003, 417 (442). 578  So auch Volnhals / Hirsch, ZfCM, 2008, 50 (51); Strother / Ulijn / Fazal, Infor­ mation Overload: An international Challenge for Professional Engineers and Techni­ cal Communicators, S. 2. 579  Jedenfalls für das Jahr 2011 kommt eine repräsentative Untersuchung des Bundesverbandes für Informationswirtschaft zu dem Ergebnis, dass die überwiegende Mehrheit den Fernseher für die Informationsüberflutung verantwortlich macht, vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen221

vorherrschende Dynamik und dem damit verbundenen Ablenkungspoten­ tial580. Mithin wird geschätzt, dass pro Minute ca. 350.000 Tweets verfasst, mehr als 243.000 Fotos auf Facebook gepostet, über 400 Stunden Videoma­ terial auf YouTube hochgeladen sowie 156 Millionen E-Mails versendet werden.581 Freilich lässt sich daraus kein Rückschluss auf das Ablenkungs­ potential im Einzelfall entnehmen, die diesbezüglich inhärente Gefahr sowie die insbesondere digitale Informationsflut ist jedoch kaum bestreitbar. Dabei lässt sich grundsätzlich festhalten, dass mit zunehmender Quantität verfüg­ barer Informationen auch die Aufmerksamkeitsqualität im konkreten Fall abnimmt: „More Competition for attention reduces the attention to the tedious.“582 In der Folge steht dem eingangszitierten Wissensdurst knapp 40 Jahre später ein Tsunami an Informationsmöglichkeiten gegenüber. Letztlich kann die Gefahr der Überforderung allerdings keiner allgemei­ nen Exkulpation zu Gunsten des Verantwortlichen gleichkommen. Vielmehr ist dieser gehalten, bei der Ausgestaltung seiner gesetzlichen Informations­ pflichten auch der Gefahr der Informationsflut Rechnung zu tragen. Neben der Reduktion auf zentrale Informationen kommt allem voran deren Ausge­ staltung maßgebliche Bedeutung zu, letztlich auch, um die Aufmerksamkeit der Betroffenen auf die entscheidenden Informationsbestandteile zu fokus­ sieren. b) Unzureichendes Verständnis für komplexe Verarbeitungsvorgänge Im Bereich der subjektiven Voraussetzungen ist zudem zu beachten, dass der Kontext Datenverarbeitung respektive Datenschutz durch einen hohen Abstraktionsgrad geprägt ist. Mithin setzt tatsächliche Informiertheit voraus, dass die Betroffenen mit hinreichenden Kompetenzen ausgestattet werden, um letztlich den Informationsgehalt kognitiv erfassen zu können. Dass bei­ spielsweise die Teilnahme am Straßenverkehr mit Gefahren verbunden ist oder aber Nikotin sowie Alkohol tödlich sein können, ist für die Betroffenen BITKOM, Netzgesellschaft, S. 38. Abrufbar unter: https: /  / www.bitkom.org / noindex /  Publikationen / 2011 / Studie / Studie-Netzgesellschaft / BITKOM-Publikation-Netzge sellschaft.pdf, zuletzt abgerufen am 12.10.2018. 580  So auch Kettner / Thorun / Vetter, Wege zur besseren Informiertheit, S. 78, wel­ che allerdings den Fokus darauf richten, dass das digitale Ablenkungspotential die Fähigkeit zur Selbstregulierung maßgeblich beeinflusst; vgl. dazu auch Lessig, George­town Law Journal 2001, 2063 ff.; Hermstrüwer, Informationelle Selbstgefähr­ dung, S. 116. 581  Vgl. Go-Globe, Things that happen on internet every 60 Seconds. Abrufbar unter: https: /  / www.go-globe.com / blog / things-that-happen-every-60-seconds / , zu­ letzt abgerufen am 12.10.2018. 582  Lessig, Georgetown Law Journal 2001, 2063 (2066).

222

Dritter Teil: Die Einwilligung

regelmäßig ohne vertiefte Aufklärungsarbeit nachvollziehbar. Anders hinge­ gen die abstrakten und regelmäßig nicht unmittelbar „erfahrbaren“ Gefahren, welche mit Datenverarbeitungen verbunden sind.583 Diesbezüglich stellt sich grundlegend die Frage, ob und wie weit die Einwilligungserklärung zudem jedenfalls im Ansatz didaktische Elemente enthalten muss, um die Infor­ miertheit der Betroffenen gewährleisten zu können. Dabei gilt es, zunächst Grundlagen einer „Datenschutzerziehung“ zu be­ leuchten, (aa)), um sodann die Möglichkeit der jedenfalls partiellen Einbezie­ hung im Rahmen der Einwilligungserklärung (bb)) zu untersuchen. aa) Warum Datenschutzerziehung? Ein digitales Bildungsideal ist Grundvoraussetzung digitaler Souveräni­ tät.584 Mithin bedarf es einer digitalen Allgemeinbildung, welche die Betrof­ fenen dazu befähigt, selbstbestimmt und selbstständig, also digital souverän, zu agieren.585 In diesem Sinne darf sich eine „Datenschutzkultur“ des 21. Jahrhunderts nicht darauf beschränken, ein kritisches Datenschutzbe­ wusstsein zu schaffen, vielmehr ist zugleich auch dafür Sorge zu tragen, dass auf Seiten der Betroffenen das erforderliche (Allgemein-)Wissen im Umgang mit ihren Daten vorhanden ist.586 Auch die internationale Konferenz der Beauftragten für den Datenschutz und die Privatsphäre bekräftigt dieses Ergebnis. Dabei hält sie mit Entschluss vom 16. Oktober 2016 fest, „[…] dass es für […] die aktive Teilnahme an der heutigen digitalen Gesellschaft und der digitalen Wirtschaft wichtig ist, bereits bei Schulbeginn bei den Kindern das Bewusstsein über die Auswir­ 583  Vgl. Solove, Harvard Law Review, 2013, 1880 (1885); Rüpke / v. Lewinski /  Eckhardt, Datenschutzrecht, § 13 Rn. 51. 584  Auf Seiten der Betroffenen wird unter dem Begriff der digitalen Souveränität jedenfalls der selbstbestimmte und aufgeklärte Technikumgang verstanden, vgl. Fox, DuD 2018, 271. Ausführlich zu den unterschiedlichen Kompetenzbereichen im Rah­ men digitaler Souveränität BITKOM, Digitale Souveränität – Positionsbestimmung und erste Handlungsempfehlung für Deutschland und Europa, abgedruckt in DuD 2018, 294 ff.; Lepping / Palzkill, Die Chance der digitalen Souveränität, in: Wittpahl (Hrsg.), Digitalisierung, S. 17, 20. 585  Kompetenzen für eine digitale Souveränität – Studie im Auftrag des Bundes­ ministeriums für Wirtschaft und Energie, S. 22. Abrufbar unter: https: /  / www.bmwi. de / Redaktion / DE / Publikationen / Studien / kompetenzen-fuer-eine-digitale-souverae nitaet.html, zuletzt abgerufen am 12.10.2018. 586  82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. / 29.  September 2011, Datenschutz als Bildungsaufgabe. Online abrufbar unter: https: /  / www.datenschutz-bayern.de / print / dsbk-ent / DSK_82-Bildung.html, zuletzt abgerufen am 12.10.2018.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen223

kungen der Nutzung und Weitergabe von Daten zu wecken […].“587 Wenn­ gleich Digitalkompetenz mehr als die Sensibilisierung auf den Datenschutz ist, kommt letzterem eine zentrale Rolle bei der „Herausbildung von Staats­ bürgern“ zu.588 Insgesamt lässt sich konstatieren: Datenschutz ist eine (gesamtgesellschaft­ liche) Bildungsaufgabe, da nur der hinreichend geschulte Betroffene in der Lage ist, selbstbestimmt über seine Daten zu verfügen.589 Zwar finden sich insbesondere Kinder und Jugendliche innerhalb der zunehmend digitalisier­ ten Umgebung problemlos zurecht, regelmäßig werden jedoch die damit verbundenen Verarbeitungsvorgänge unterschätzt.590 Im Rahmen der daten­ schutzrechtlichen Kompetenzvermittlung kommt es daher neben dem allge­ meinen Technikverständnis insbesondere darauf an, die Grundlagen einer „persönlichen Risiko-Folgeabschätzung“ zu vermitteln sowie, letztlich darauf aufbauend, die Betroffenen zur bewussten und ausgewogenen Entscheidung über die Datenpreisgabe zu befähigen.591 Zentrale Aspekte des schulischen und damit letztlich staatlich veranlass­ ten Kompetenzerwerbs sind dabei die Förderung des Selbstdatenschutzes, schulinterne sowie weiterführende Projekte im Bereich der Medien- und Datenschutzkompetenz sowie eine ergänzende Anpassung im Bereich der Lehrerausbildung.592 Die Etablierung eines entsprechenden Datenschutz­ kompetenzfachs, wie von der Konferenz der Datenschutzbeauftragten noch 587  38. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre, Entschließung über die Annahme eines internationalen Kompetenzrah­ mens für die Datenschutzerziehung, S. 2. Abrufbar unter: https: /  / www.bfdi.bund. de / SharedDocs / Publikationen / Entschliessungssammlung / IntDSK / 38.Annahme_ internationalerKompetenzrahmen_f %C3 %BCr %20Datenschutzerziehung_Marra kesh.html, zuletzt abgerufen am 12.10.2018. 588  38. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre, Entschließung über die Annahme eines internationalen Kompetenzrah­ mens für die Datenschutzerziehung, S. 2. 589  So insbesondere: Richter, DuD 2014, 367  ff.; Kramer / Spaeing, DuD 2014, 370 ff.; Mester, DuD 2014, 412; Gimmler, DuD 2012, 110 ff.; Wagner, DuD 2010, 83 ff.; 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. / 29. September 2011, Datenschutz als Bildungsaufgabe; Sandfuchs, Privatheit wi­ der Willen? S. 108. 590  So die Landesbeauftragte für den Datenschutz Niedersachsen im Rahmen des Safer Internet Day 2018; vgl. Pressemitteilung v. 05.02.2018, abrufbar unter: https: /  /  www.lfd.niedersachsen.de / startseite / allgemein / presseinformationen / safer_internet_ day_2018 / safer-internet-day-2018-161899.html, zuletzt abgerufen am 12.10.2018. 591  So auch Gimmler, DuD 2012, 110; Sandfuchs, Privatheit wider Willen? S. 108. 592  82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. / 29. September 2011, Datenschutz als Bildungsaufgabe.

224

Dritter Teil: Die Einwilligung

gefordert,593 wurde allerdings seitens der Kultusministerkonferenz im Jahr 2016 abgelehnt594. Digitalkompetenz ist keine Frage isolierter Kenntnisver­ mittlung, sondern stets im fachspezifischen Kontext zu sehen.595 Statt die Etablierung eines eigenständigen Digitalfachs zu forcieren, setzt die Kultus­ ministerkonferenz darauf, innerhalb des gesamten Curriculums fachspezifi­ sche Digitalkompetenzen zu vermitteln.596 Der digitale Bildungsauftrag darf dabei allerdings nicht mit Aushändigung des schulischen Abschlusszeugnisses enden.597 Mit Blick auf die Schnellle­ bigkeit und den steten Wandel innerhalb der digitalen Gesellschaft bedarf es lebenslanger Lern- und Fortbildungsprozesse.598 Auch die „Charta der Digi­ talen Grundrechte in der Europäischen Union“,599 eine 2016 in das Leben gerufene Initiative, greift diesen Gedanken auf. Mithin sieht Art. 14 Satz 1 der im Jahr 2018 überarbeiteten Entwurfsfassung vor, dass jeder Mensch ein Recht auf Bildung hat, die ein selbstbestimmtes Leben in der digitalen Welt ermöglicht.600 Wenngleich das Vorhaben nicht vor Kritik gefeit ist,601 wird nochmals deutlich, dass es nicht nur einer Digitalisierung des Bildungswe­ sens bedarf, sondern dass gleichermaßen eine altersunabhängige und lebens­ lange Bildung über das Digitale, also insbesondere über den Datenschutz, erforderlich ist. Gerade unter Berücksichtigung dessen bietet es sich an, ge­ eignete (spielerische)602 Mittel heranzuziehen, welche die Betroffenen zur 593  82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. / 29. September 2011, Datenschutz als Bildungsaufgabe. 594  Kultusministerkonferenz, Bildung in der digitalen Welt – Strategie der Kultus­ ministerkonferenz, S. 11 ff. Abrufbar unter: https: /  / www.kmk.org / fileadmin / Datei en / pdf / PresseUndAktuelles / 2016 / Bildung_digitale_Welt_Webversion.pdf, zuletzt abgerufen am 12.10.2018. 595  Kultusministerkonferenz, Bildung in der digitalen Welt – Strategie der Kultus­ ministerkonferenz, S. 11; so auch Richter, DuD 2014, 367 (369). 596  Kultusministerkonferenz, Bildung in der digitalen Welt – Strategie der Kultus­ ministerkonferenz, S. 12. 597  Wagner, DuD 2012, 83 (85). 598  Ausführlich dazu Loroff / Lindow / Schubert, Bildung als Voraussetzung digita­ ler Souveränität, in: Wittpahl (Hrsg.), Digitale Souveränität, S. 151, 166. 599  Vgl. zur (möglichen) rechtlichen Relevanz der Digital-Charta Graf von Westphalen, BB 2018, 899 ff. 600  Charta der Digitalen Grundrechte in der Europäischen Union Stand 2018. Ab­ rufbar unter: https: /  / digitalcharta.eu / #post-22838, zuletzt abgerufen am 12.10.2018. 601  Vgl. nur Belihart, FAZ, Beitrag v. 25.04.2018, „Zweiter Anlauf für die ‚Digi­ talcharta‘“. Abrufbar unter: http: /  / www.faz.net / aktuell / feuilleton / medien / neue-ver sion-der-digitalcharta-in-berlin-praesentiert-15559683.html, zuletzt abgerufen am 12.10.2018. 602  Die Möglichkeiten und Eignung spielerischer Mittel zur Wissens- und Infor­ mationsvermittlung werden ausführlich in Dritter Teil Kap. 4 B. VI. behandelt.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen225

autodidaktischen Aneignung datenschutzrechtlicher Kompetenzen befähi­ gen.603 Unabhängig von der Frage der konkreten Ausgestaltung etwaiger Informa­ tionspflichten kann damit grundlegend festgehalten werden, dass das Krite­ rium der Informiertheit in einem unmittelbaren Zusammenhang mit dem zu­ grundeliegenden (Datenverarbeitungs-)Kenntnisstand der Betroffenen steht. Das schlichte zur Verfügung Stellen etwaiger Informationsbestandteile des Verarbeitungsvorgangs verfehlt das Ziel der Schaffung des informierten Be­ troffenen, wenn dieser nicht in der Lage ist, die Informationen zu dechiffrie­ ren. Mit zunehmender Komplexität der Verarbeitungsvorgänge, welche im Rahmen der Einwilligungserklärung dargestellt werden sollen, ist grundsätz­ lich daran zu denken, entsprechende didaktische Mittel bei der Informations­ erteilung heranzuziehen. bb) A  llgemeine Pflicht zur Einbeziehung didaktischer Aspekte im Rahmen der Einwilligungserklärung? Wenngleich festgestellt werden konnte, dass im Rahmen des Gebots der Informiertheit von einem korrespondierenden datenschutzrechtlichen Bil­ dungsauftrag ausgegangen werden kann, stellt sich die Frage, ob sich auch der nichtöffentlich organisierte Verantwortliche zur entsprechend didakti­ schen Aufbereitung veranlasst sehen muss. Dabei wäre es denkbar, dass sich nichtöffentliche Verantwortliche auf den Standpunkt zurückziehen, dass der (allgemeine) Bildungs- und Erziehungsauftrag sowohl auf europäischer Ebene604 als auch im Rahmen grundgesetzlicher Bestimmungen regelmäßig in die Hand der Eltern respektive staatlicher Institutionen gelegt wird.605 Daran ändert auch der Umstand nichts, dass sowohl die Grundrechte-Charta in Art. 14 Abs. 3 Alt. 1 als auch das Grundgesetz in Art. 7 Abs. 4 Satz 1 die 603  Vgl. dazu auch Kompetenzen für eine digitale Souveränität – Studie im Auf­ trag des Bundesministeriums für Wirtschaft und Energie, S. 71. 604  Auch die Charta sieht in Art. 14 Abs. 1 ein Grundrecht auf Bildung vor, man­ gels entsprechender Kompetenzen der Union verbleibt das Bildungswesen allerdings maßgeblich in der Hand der Mitgliedstaaten. Vgl. dazu m. w. N. Frenz, DÖV 2011, 249 (255); Langenfeld, Soziale Grundrechte, in: Merten / Papier, Handbuch der Grund­ rechte Band  VI / 1, § 163 Rn. 46; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 14 Rn. 3. 605  Vgl. zum staatlichen Erziehungs- und Bildungsauftrag nach den Vorgaben des Grundgesetzes insbesondere: Beaucamp / Beaucamp, DÖV 2015, 174 (180); Huster, DÖV 2014, 860 (861); Zimmermann, FamFR 2013, 268 (269); Badura, in: Maunz / Dü­ rig, Grundgesetz, Art. 7 Rn. 45; Uhle, in: Epping / Hillgruber, BeckOK Grundgesetz, Art. 7 Rn. 21. Im Speziellen mit Blick auf den Bildungs- und Erziehungsauftrag im Bereich des Datenschutzrechts: Mester, DuD 2012, 132.

226

Dritter Teil: Die Einwilligung

Freiheit zur Gründung privater Schulen vorsieht. Durch die Absage an ein „staatliches Schulmonopol“606 kommt es nicht zur Ausdehnung des Erzie­ hungs- und Bildungsauftrages auf Private, sondern vielmehr zur Gewährleis­ tung (jedenfalls partieller) unternehmerischer Freiheiten im Bildungswe­ sen.607 Daraus könnte nunmehr gefolgert werden, dass sich das Gebot der Infor­ miertheit jedenfalls im nichtöffentlichen Sektor darin erschöpft, dafür Sorge zu tragen, dass den Betroffenen der – allerdings entsprechend aufbereitete – Zugang zu den erforderlichen Informationen gewährt wird. Sicherlich kann dem insofern entgegengekommen werden, als dass der Schwerpunkt des da­ tenschutzrechtlichen Bildungsauftrages auf Seiten der öffentlichen Einrich­ tungen zu suchen ist. Mit Blick darauf, dass die einschneidenden Verarbei­ tungsprozesse allen voran im digitalen Kontext maßgeblich durch private Verarbeiter vorangetrieben werden, ist es allerdings nicht überzeugend, diese von jedweder Datenschutzdidaktik zu befreien. Für diesen Befund sprechen, neben gesamtgesellschaftlichen Erwägun­ gen,608 insbesondere die Vorgaben der DSGVO, deren Anforderungen auch nichtöffentliche Verantwortliche jedenfalls mittelbar zur Integration didakti­ scher Konzepte im Rahmen der Einwilligungserklärung bewegen sollten. Informiertheit im Kontext der Einwilligung ist, wie zuvor gezeigt, nicht nur eine Frage der Informationserteilung, sondern auch eine Frage der Sicherstel­ lung, dass die entsprechenden Informationen auch verstanden werden kön­ nen. Berücksichtigt man in diesem Zusammenhang, dass die Normierungen der DSGVO, jedenfalls im Rahmen der Einwilligung, gleichermaßen öffent­ liche als auch nichtöffentliche Stellen adressieren,609 ist eine stellenabhän­ gige Differenzierung weder angezeigt noch zulässig. Mithin hat auch der private Verantwortliche sicherzustellen, dass die Betroffenen tatsächlich in­ formiert im Sinne der Einwilligungsvorgaben sind, sodass es letztlich in seinem Interesse ist, die Informationsgehalte im Bedarfsfall didaktisch aufzu­ bereiten. Da davon ausgegangen werden kann, dass das Instrument der Ein­ willigung auch weiterhin insbesondere im nichtöffentlichen Bereich zur An­ 606  So für die Vorgaben des Grundgesetzes: BVerfG, Beschl. v. 14.11.1969 – 1 BvK 24 / 64 – NJW 1970, 275. 607  Vgl. dazu: Badura, in: Maunz / Dürig, Grundgesetz, Art. 7 Rn. 104; für die Vorgaben der Charta: Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 14 Rn. 17. 608  Darauf mitunter abstellend Richter, DuD 2014, 367 (368); Wagner, DuD 2012, 83 (84). 609  Vgl. statt vieler Ziegenhorn / von Heckel, NVwZ 2016, 1585 (1587); Buchner, Grundsätze des Datenschutzrechts, in: Tinnefeld / Buchner / Petri / Hof, Einführung in das Datenschutzrecht, S. 216; Buchner / Kühling, in: Kühling / Buchner, DSGVO /  BDSG, Art. 7 DSGVO Rn. 13.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen227

wendung gelangt,610 sollte der Verantwortliche den Betroffenen nicht nur informationelle Selbstbestimmung suggerieren, sondern alles Erforderliche veranlassen, um das Versprechen selbstbestimmter Datenschutzmaßnahmen auch einlösen zu können. Freilich lässt sich daraus kein gesamtgesellschaft­ licher Bildungsauftrag privater Unternehmen ableiten, gleichermaßen wird diesen allerdings der vermeintliche „Rückzug ins Private“ im Kontext didak­ tischer Maßnahmen verwehrt. Ein vielversprechender Ansatz könnte dabei die Einbeziehung des betrieb­ lichen Datenschutzbeauftragten darstellen. Mit Blick darauf, dass die nicht­ öffentlichen Stellen gem. Art. 37 Abs. 1 DSGVO respektive § 38 Abs. 1 BDSG regelmäßig ohnehin zur entsprechenden Bestellung verpflichtet sind,611 bietet es sich an, dessen Kompetenzen auch bei der Ausgestaltung entsprechender Informationspflichten zu nutzen.612 Ein gesetzlicher Anhalts­ punkt findet sich dabei in den Vorgaben des Pflichtenkanons des Daten­ schutzbeauftragten gem. Art. 39 Abs. 1 DSGVO. Mithin kommt dem Daten­ schutzbeauftragten eine zentrale Compliance-Funktion hinsichtlich der Ein­ haltung beziehungsweise Ausgestaltung datenschutzrechtlicher Vorgaben in­ nerhalb des Unternehmens zu.613 Diese erschöpft sich ausweislich der Vorgaben des Art. 39 Abs. 1 lit. b DSGVO allerdings nicht in einer reinen Kontrollfunktion. Neben der Überwachung der Einhaltung der datenschutz­ rechtlichen Bestimmungen ist der Datenschutzbeauftragte vielmehr auch dazu gehalten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter hinreichend zu schulen und zu sensibilisieren. In der Folge obliegt es dem Datenschutzbeauftragten, ein datenschutzrechtliches Grundwissen zu vermit­ teln,614 welches durchaus auch bei der Ausgestaltung der Informationspflich­ ten herangezogen werden kann. Allen voran, da der Pflichtenkatalog des Datenschutzbeauftragten keinesfalls abschließend zu verstehen ist („zumin­ dest“) und sich gerade nicht nur auf die Schulung und Sensibilisierung der Mitarbeiter beschränken muss,615 spricht vieles dafür, ein gegebenenfalls be­ reits bekanntes und bewährtes Didaktik-Konzept bei der Informationsausge­ staltung einzupflegen.

610  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 14. 611  Vgl. dazu Kazemi, NJW 2018, 443; Niklas / Faas, NZA 2017, 1091 (1092); Heckmann, in: Heckmann, jurisPK – Internetrecht, Kap. 9. 1. Überarbeitung Rn. 400; Klug, in: Gola, DSGVO, Art. 37 Rn. 24 ff. 612  So auch im Ansatz Kramer / Spaeing, DuD 2014, 370 (371); Wagner, DuD 2012, 83 (87). 613  Vgl. Jung, ZD 2018, 208 (209); Klug, in: Gola, DSGVO, Art. 39 Rn. 4. 614  So Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 39 Rn. 12. 615  Vgl. Klug, in: Gola, DSGVO, Art. 39 Rn. 4.

228

Dritter Teil: Die Einwilligung

2. Objektive Gegebenheiten Neben den subjektiven Voraussetzungen auf Seiten der Betroffenen sind aber auch objektive Faktoren bei der Ausgestaltung der Informationspflicht zu berücksichtigen. Dabei kommt allen voran dem Umstand, dass die Betrof­ fenen regelmäßig nur begrenzt Zeit zur Informationsaufnahme aufwenden können und wollen, zentrale Bedeutung zu. Mangelnde Informiertheit ist regelmäßig keine Frage des Informationsan­ gebots, sondern vielmehr eine Frage der Ausgestaltung der Informationen. Dabei lässt sich grundlegend festhalten, dass bestehende Informationsasym­ metrien, allen voran bei Diensten der Informationsgesellschaft, Folge der Über-, nicht aber der Unterinformation sind. Berücksichtigt man, dass die durchschnittliche Datenschutzerklärung im Kontext sozialer Medien 2.245 Wörter umfasst,616 verwundert es nicht, dass „too long; didn’t read“, also „clicking-without-reading“ eine gängige Betroffenenstrategie im Umgang mit entsprechenden Erklärungen ist.617 Mithin wird davon ausgegangen, dass lediglich ein Prozent der Nutzer sich tatsächlich mit entsprechenden Erklä­ rungen auseinandersetzen.618 Berücksichtigt man allerdings, dass die Betroffenen dem Datenschutz zen­ trale Bedeutung beimessen, kann das entsprechende Verhalten nicht allein auf Gleichgültigkeit oder allgemeinem Desinteresse der betroffenen Personen be­ ruhen.619 Überzeugend ist vielmehr die Annahme, dass die Betroffenen die Möglichkeit zur Information zwar zur Kenntnis nehmen, diese aber auch mit Blick auf den verbundenen Zeitaufwand, letztlich aus Opportunitätsgründen, nicht wahrnehmen (wollen).620 Wenngleich der tatsächlich eingesetzte Auf­ wand stark vom individuellen Betroffenen abhängt, kommt eine empirische Studie bereits 2008 zu dem Ergebnis, dass das Lesen aller relevanten Daten­ schutzbestimmungen ca. 40 Minuten täglich in Anspruch nehmen würde.621 616  Bonneau / Preibusch, The Privacy Jungle: On the Market für Data Protection in Social Networks, in: Moore / Pym / Ioannides (Hrsg.), Economics of Information Security and Privacy, S. 147. 617  Vgl. Buchner / Rothmann, DuD 2018, 342 (344); Kamps / Schneider, K&R 2017 Beilage 1, 24 (26); Kipker / Pollmann, DuD 2016, 378 (379); Arnold / Hille­brand / Waldburger, DuD 2015, 730 (731). 618  Hermstrüwer, jipitec 2017, 9 (13); Bonneau / Preibusch, The Privacy Jungle: On the Market für Data Protection in Social Networks, in: Moore / Pym / Ioannides (Hrsg.), Economics of Information Security and Privacy, S. 147. 619  So aber wohl Sandfuchs, Privatheit wider Willen? S. 218. 620  Vgl. Hermstrüwer, jipitec 2017, 9 (13); Kamps / Schneider, K&R 2017 Beilage 1, 24 (26); Bolsinger, DuD 2016, 382 (385); Kipker / Pollmann, DuD 2016, 378 (379). 621  Vgl. McDonald / Cranor, I / S: A Journal of Law and Policy for the Information Society 2008, 540 (560); Hermstrüwer, jipitec 2017, 9 (13); Bolsinger, DuD 2016, 382 (385).



Kap. 4: Die materiellen Einwilligungsvoraussetzungen229

Allein daran gemessen würde durch das Lesen der entsprechenden Erklärun­ gen ein volkswirtschaftlicher Schaden in Milliardenhöhe entstehen.622 Mit Blick darauf, dass sich die durchschnittliche Internetnutzung seit dem Jahr 2008 annähernd verdreifacht hat,623 kann davon ausgegangen werden, dass der in Einsatz zu bringende Zeitfaktor ebenfalls nochmals deutlich erhöht ist. Es verwundert daher nicht, dass die Abwägungsentscheidung der Betroffe­ nen regelmäßig in der Übergehung der entsprechenden Erklärungen mündet. Mithin kann darin sogar eine bewusst rationale Entscheidung gesehen werden,624 da das Lesen der Informationsbestandteile in keinem Verhältnis zu dem eigentlichen Vertragsabschluss steht625. 3. Zwischenergebnis Insgesamt lässt sich festhalten, dass das Gebot der Informiertheit seine Grenzen in subjektiven und objektiven Gegebenheiten findet. Informiertheit ist keine Frage der bloßen Informationsbereitstellung, vielmehr ist der Ver­ antwortliche gehalten, die maßgeblichen Informationen hinreichend aufzube­ reiten. Neben der Möglichkeit, datenschutzdidaktische Aspekte im Rahmen der Einwilligung aufzugreifen, gilt es allen voran die Informationsüberflu­ tung des betroffenen Adressatenkreises zu vermeiden. Letzteres verfolgt da­ bei eine Doppelfunktion: Mit Blick auf den Betroffenen ist davon auszu­ gehen, dass das Mehr an Informationen lediglich bis zu dem persönlichen Informationsgrenzpunkt einen effektiven Mehrwert erzeugt. Darüber ist zu berücksichtigen, dass die Bereitstellung umfangreicher, unübersichtlicher Textdokumente („Wall of Text“) bei weiten Teilen der Betroffenen dazu führt, dass diese bereits aus Opportunitätsgründen nicht mehr zur Kenntnis genommen werden. III. Begrenzung durch Belange der Verantwortlichen Weiterhin ist denkbar, dass die Informationspflichten im Rahmen der Ein­ willigungserklärung auch durch berechtigte Belange der Verantwortlichen 622  Hermstrüwer, jipitec 2017, 9 (13); Arnold / Hillebrand / Waldburger, DuD 2015, 730 (731); McDonald / Cranor, I / S: A Journal of Law and Policy for the Infor­ mation Society 2008, 540 (561); Sandfuchs, Privatheit wider Willen? S. 220. 623  Vgl. ARD&ZDF, Entwicklung der durchschnittlichen täglichen Nutzungsdauer des Internets in Deutschland in den Jahren 2000 bis 2017. Abrufbar unter: ­https: /  / de. statista.com / statistik / daten / studie / 1388 / umfrage / taegliche-nutzung-des-internets-inminuten / , zuletzt abgerufen am 12.10.2018. 624  So Arnold / Hillebrand / Waldburger, DuD 2015, 730 (731). 625  Darauf abstellend Kipker / Pollmann, DuD 2016, 378 (379).

230

Dritter Teil: Die Einwilligung

begrenzt werden könnten. Im Kontext einer möglichen Einschränkung der Informationspflichten durch die Interessen des Verantwortlichen soll dabei im Folgenden ein gesondertes Augenmerk auf etwaige Geschäftsgeheimnisse gelegt werden. Diesbezüglich ist grundsätzlich zu klären, ob die Informa­ tionspflichten innerhalb der Einwilligungserklärung durch berechtigte Inte­ ressen des Verantwortlichen eingeschränkt werden können (1.). Daran an­ schließend ist zu untersuchen, ob die Wahrung von Geschäftsgeheimnissen im Kontext der DSGVO ein solches Interesse darstellen kann (2.). Ob und wie eine daraus resultierende Grundrechtskollision in Einklang gebracht wer­ den kann, ist abschließend zu klären (3.). 1. Die Möglichkeit zur Einschränkung der Informationspflichten durch berechtigte Interessen des Verantwortlichen Das Datenschutzrecht ist geprägt durch Abwägungs- und Interessensaus­ gleichsmechanismen.626 Dies zeigt sich auch anhand der Vorgaben der DSGVO, welche nicht nur die Interessen, Grundrechte und Belange der ­ ­Betroffenen im Blick haben, sondern gleichermaßen auch dem freien Ver­ kehr personenbezogener Daten innerhalb der Union (Art. 1 Abs. 3 DSGVO) dienen.627 Jedenfalls gleichwertiges Ziel des Verordnungsgebers ist die Schaffung einer Wirtschaftsunion, welche mitunter durch die Stärkung und das Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarktes erreicht werden soll.628 Der Datenschutz soll nach der Intention des Verord­ nungsgebers keine absolute Geltung beanspruchen, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und einem steten Abwägungserfor­ dernis mit den Grundrechten anderer unterliegen.629 In der Folge ist es daher grundsätzlich angezeigt, bei der Ausgestaltung etwaiger Einwilligungserklä­ rungen auch die Belange des Verantwortlichen zu berücksichtigen. a) Anwendbarkeit des Interessensausgleichs im Rahmen der Informationspflichten Dabei stellt sich allerdings die Frage, auf welcher Grundlage die (informa­ tionseinschränkenden) Interessen der Verantwortlichen im Rahmen der Infor­ mationspflichten miteinbezogen werden können. Das zentrale Abwägungs­ dazu ausführlich Beyvers, Privatheit in der Waagschale, S. 54 ff. zur dualen Zielsetzung der DSGVO auch: Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 9 1. Überarbeitung Rn. 9 ff. 628  Vgl. Erwägungsgrund 2 Satz 2 DSGVO. 629  Vgl. Erwägungsgrund 4 Satz 2 DSGVO. 626  Vgl. 627  Vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen231

instrument der DSGVO findet sich in Art. 6 Abs. 1 Satz 1 lit. f.630 Die Norm dient „als zentrale Stellschraube“ des Datenschutzrechts insbesondere der Schaffung eines gerechten und angemessenen Ausgleichs zwischen Wirt­ schafts- und Betroffeneninteressen.631 Konkret rechtfertigt die Rechtsgrund­ lage den Verarbeitungsvorgang, wenn dieser zur Wahrung berechtigter Inte­ ressen des Verantwortlichen oder eines Dritten erforderlich ist und die Inte­ ressen des Betroffenen nicht überwiegen. Ob die Wertung des Art. 6 Abs. 1 Satz 1 lit. f DSGVO allerdings auch im Rahmen der Informationspflichten herangezogen werden kann ist fraglich, da es an einer ausdrücklichen oder jedenfalls vergleichbaren Abwägungsbestim­ mung fehlt. Gegen die Annahme könnte freilich das Argument vorgebracht werden, dass die Informationspflichten als zentrale Transparenz-, Kontrollund Ausgleichsmaßnahmen gerade dazu dienen,632 erweiterte Verarbeitungs­ befugnisse zu kompensieren und daher keiner solchen Einschränkung unter­ liegen dürfen. Für eine Übernahme der Wertungen sprechen allerdings systematische Argumente. Wenn auf Grundlage überwiegender berechtigter Interessen be­ reits die erforderliche Verarbeitung, als wesentlich invasiverer Eingriff, ge­ rechtfertigt werden kann, ist es durchaus denkbar, dass die Einschränkung der Informationspflichten als Minusmaßnahme ebenfalls entsprechend ge­ rechtfertigt werden könnte. Mit anderen Worten: Wenn überwiegende berech­ tigte Interessen bereits ausreichend sein können, um einen erforderlichen Verarbeitungsvorgang zu legitimieren, sollte es grundsätzlich auch möglich sein, aufgrund berechtigter Interessen etwaige Betroffenenrechte im Zusam­ menhang mit der Einwilligung einzuschränken. Anders ausgedrückt: Je eher der in Frage stehende Verarbeitungsprozess bereits über berechtigte Interes­ sen im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO legitimiert werden könnte, desto eher können die Anforderungen an die Informationspflichten im Rahmen der Einwilligungserklärung reduziert werden. Darüber hinaus ist eine mögliche Begrenzung der Informationspflichten im Rahmen der Einwilligung aber auch auf Grundlage der folgenden Überle­ gung denkbar: Anders als im Rahmen der Informationspflichten gem. Art. 12 ff. DSGVO hat der Verordnungsgeber bei der Ausgestaltung des Tat­ bestandes der informierten Einwilligung sowohl im verfügenden als auch im 630  von Lewinski / Pohl, ZD 2018, 17 (18); Schulz, in: Gola, DSGVO, Art. 6 Rn. 56; Albers / Veit, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 45. 631  So Albrecht, CR 2016, 88 (91); Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 51; i. E. auch Ziegenhorn / von Heckel, NVwZ 2016, 1585 (1588). 632  Vgl. dazu auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 3.

232

Dritter Teil: Die Einwilligung

erläuternden Teil der DSGVO bewusst darauf verzichtet, weitergehende Konkretisierungen vorzunehmen. Mithin sieht die Verordnung lediglich vor, dass letztlich nur die informierte Einwilligung rechtfertigende Wirkung ent­ falten kann.633 Die damit begründete Flexibilität muss sich dann aber sowohl zu Gunsten als auch im berechtigten und erforderlichen Fall zu Lasten des Betroffenen auswirken können. Für dieses Ergebnis spricht auch der Blick auf die Beschränkungsmöglichkeiten der Informationspflichten gem. Art. 23 DSGVO im Übrigen. Korrespondierend zu der detaillierten Normierung der Betroffenenrechte gem. Art. 12 ff. DSGVO sollen die Pflichten und Rechte gem. Art. 12 bis 22, Art. 34 und Art. 5 DSGVO gem. Art. 23 Abs. 1 DSGVO lediglich auf Grundlage einer jedenfalls vergleichbar detaillierten nationalen beziehungsweise supranationalen Rechtsgrundlage eingeschränkt werden können. Die ausdrückliche Ausklammerung der Einwilligungserklärung spricht nicht nur nochmals für deren eigenständigen Anforderungskatalog, vielmehr kann daraus auch der Rückschluss gezogen werden, dass die Anfor­ derungen an die Beschränkung mit den jeweils normierten Anforderungen an das Recht des Betroffenen korrelieren. Im Ergebnis können daher jedenfalls berechtigte Interessen des Verant­ wortlichen herangezogen werden, um die Informationspflicht im Rahmen der Einwilligungserklärung zu beschränken. Freilich ist damit noch nichts darü­ ber gesagt, ob es im Einzelfall zur Beschränkung der Informationspflicht kommen kann. b) Zum Begriff der berechtigten Interessen Auf Grundlage des im Wesentlichen mit den Vorgaben des Art. 6 DSGVO übereinstimmenden Art. 7 der Datenschutz-Richtlinie beschäftigte sich die Artikel‑29‑Datenschutzgruppe bereits im Jahr 2014 umfassend mit dem Tat­ bestandsmerkmal der berechtigten Interessen.634 Der Begriff des Interesses umfasst dabei in einem weiten Verständnis sämtliche Bestrebungen, welche der Verantwortliche im Rahmen der Verar­ beitung verfolgen kann.635 Dass dabei insbesondere auch wirtschaftliche 633  Vgl. Erwägungsgrund 32 Satz 1 DSGVO sowie korrespondierend Art. 4 Nr. 11 DSGVO. 634  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217; vgl. dazu auch Beyvers, PinG 2015, 60 ff. 635  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217, S. 31; vgl. dazu auch Frenzel, in: Paal / Pauly, ­DSGVO / BDSG, Art. 6 DSGVO Rn. 28.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen233

Interessen des mitunter datengetriebenen Verantwortlichen von erheblicher Abwägungsrelevanz sein können, hat der EuGH bereits hinreichend klarge­ stellt.636 Darüber hinaus kommen aber auch rechtliche oder ideelle Interessen des Verantwortlichen in Betracht.637 Aus primärrechtlicher Perspektive kön­ nen sich entsprechende Interessen insbesondere aus der Meinungsäußerungsund Informationsfreiheit gem. Art. 11 der Charta, der Freiheit der Kunst und Wissenschaft gem. Art. 13 der Charta, der unternehmerischen Freiheit gem. Art. 16 der Charta sowie aus dem Eigentumsrecht gem. Art. 17 der Charta ergeben.638 Vorausgesetzt wird allerdings, dass der Verantwortliche das Inte­ resse klar benennen kann, rein spekulative oder bloß vage Interessensbekun­ dungen sind demnach ausgeschlossen.639 Insofern muss der Verantwortliche ein reelles Interesse im Zusammenhang mit der aktuellen beziehungsweise in naher Zukunft geplanten Verarbeitung aufzeigen können.640 Im Rahmen des Interessenausgleichs können seitens des Verantwortlichen allerdings nur berechtigte Interessen in Ansatz gebracht werden.641 Dabei sind aber auch die Anforderungen an die Berechtigung des Interesses tenden­ ziell gering.642 Berechtigt ist das Interesse regelmäßig bereits dann, wenn es sowohl mit den Bestimmungen des Datenschutzrechts als auch den weiteren Vorgaben der supranationalen sowie nationalen Rechtsordnung in Einklang gebracht werden kann.643 636  Vgl.

EuGH, Urt. v. 13.5.2014 – C-131 / 12 – EuZW 2014, 541 (547 Rn. 81). MMR 2018, 7 (10); Schulz, in: Gola, DSGVO, Art. 6 Rn. 57; Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 9 1. Überarbeitung Rn. 313; Albers / Veit, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 49. 638  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme  6 / 2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95 / 46 / EG, WP 217, S. 44. 639  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217, S. 31. 640  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217, S. 31. 641  A. A. Schantz / Wolff, Das neue Datenschutzrecht, Rn. 643, der darauf abstellt, dass die Wahrnehmung etwaiger Grundrechte stets als berechtigtes Interesse zu qua­ lifizieren sei. 642  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217, S. 31; Albers / Veit, in: Wolff / Brink, BeckOK Datenschutz­ recht, Art. 6 DSGVO Rn. 49. 643  Artikel-29-Datenschutzgruppe, Stellungnahme 6 / 2014 zum Begriff des berech­ tigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richt­ linie 95 / 46 / EG, WP 217, S. 31; Schulz, in: Gola, DSGVO, Art. 6 Rn. 57; Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 25. 637  Gierschmann,

234

Dritter Teil: Die Einwilligung

2. Die Wahrung von Geschäftsgeheimnissen als berechtigtes Interesse des Verantwortlichen Ein berechtigtes Interesse des Verantwortlichen im soeben genannten Sinne könnte die Geheimhaltung etwaiger Geschäftsgeheimnisse darstellen. Untersuchungsgegenstand der folgenden Ausführungen ist daher die Frage, ob und in welchem Umfang die Wahrung der Geschäftsgeheimnisse ein hin­ reichend berechtigtes Interesse darstellen kann, um das Informationsinteresse des Betroffenen im Rahmen der Einwilligungserklärung zu begrenzen. Dazu ist vorab der Begriff des Geschäftsgeheimnisses (dazu unter a)) im allgemei­ nen Kontext der DSGVO zu untersuchen. Daran anschließend ist die mög­ liche Relevanz des Geschäftsgeheimnisses im spezifischen Kontext der In­ formationspflicht zu analysieren (dazu unter b)). a) Die Wahrung des Geschäftsgeheimnisses als grundsätzliches Interesse des Verantwortlichen Ob das Geschäftsgeheimnis als Interesse im vorab benannten Sinne zu verstehen ist, hängt maßgeblich von dessen Bedeutungsgehalt im Rahmen des Datenschutzrechts ab. Wenngleich sich innerhalb der nationalen Vorga­ ben zahlreiche Bestimmungen finden,644 welche den Schutz etwaiger Ge­ schäftsgeheimnisse ausdrücklich anerkennen,645 kommt es im Anwendungs­ bereich der DSGVO maßgeblich auf einen europarechtlich autonom zu be­ stimmenden Schutz des Geschäftsgeheimnisses an646. Dabei ist die Aner­ kennung der Betriebs- und Geschäftsgeheimnisse sowohl auf primärrechtlicher (dazu unter aa)) als auch auf sekundärrechtlicher Ebene (dazu unter bb)) weitestgehend gefestigt, wie im Folgenden aufzuzeigen ist.

644  Hauck, NJW 2016, 2218 geht davon aus, dass sich der Begriff des Geschäftsbeziehungsweise Betriebsgeheimnisses in über hundert Bundes- und Landesvorschrif­ ten wiederfindet. 645  Aus dem Bereich des Zivilrechts kommen dabei unter anderen die Bestim­ mungen des § 93 Abs. 1 Satz 3 AktG, § 140c Abs. 1 Satz 3 PatG, § 85 GmbHG, § 138 TKG, § 90 HGB, § 79 Abs. 1 BetrVG in Betracht, strafrechtlich allen voran § 203 StGB oder aber die §§ 17–19 UWG und letztlich innerhalb der Vorgaben des öffent­ lichen Rechts § 30 Abs. 1 AO sowie § 30 VwVfG, vgl. Hauck, NJW 2016, 2218 (2219); Schmieder, in: Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, Teil  XI Kapitel 2 Rn. 5. 646  So i. E. auch Strubel, ZD 2017, 355 (360); von Lewinski, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 20 DSGVO Rn. 99; Schwartmann / Schneider, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO, Art. 13 Rn. 57; allgemein zur Auslegung der DSGVO vgl. Zweiter Teil Kap. 1.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen235

aa) Der Schutz des Geschäftsgeheimnisses auf primärrechtlicher Ebene Anhaltspunkte für die primärrechtliche Verankerung des Geschäftsgeheim­ nisschutzes finden sich insbesondere in den Vorgaben des Art. 15, Art. 16 sowie Art. 17 der Charta.647 Dabei lässt sich vorab festhalten, dass auf Grundlage der europäischen Wirtschaftsgrundrechte grundsätzlich sämtliche Erscheinungsformen wirtschaftlicher Betätigung geschützt sind, wobei die Ausformung und Ausgestaltung einzelner Teilbereiche maßgeblich anhand der Rechtsprechung des EuGH erfolgt.648 Hier mangelt es allerdings noch an einer ausdrücklichen Einordnung des Geschäftsgeheimnisschutzes durch den EuGH im Rahmen des Grundrechtekanons der Charta.649 Vielmehr hielt das Gericht 1986 fest, dass „[…] Geschäftsgeheimnisse besonders weitgehend geschützt [werden] […]“, wobei zugleich herausgestellt wurde, dass dieser Schutz „[…] Ausdruck eines allgemeinen Grundsatzes […]“ ist.650 Damit ist dem Geschäftsgeheimnisschutz bereits auf Grundlage der Rechtsprechung des Gerichtshofs primärrechtlicher Schutz im Sinne eines allgemeinen Rechtsgrundsatzes zuzubilligen.651 Für eine weitergehende Einordnung des Geschäftsgeheimnisses unter den Schutzbereich des Eigentumsrechts gem. Art. 17 der Charta spricht gleich­ wohl die Tatsache, dass bereits die Verfügungsbefugnis über Informationen dem Schutzbereich des Art. 17 der Charta zugeordnet werden kann.652 In der Konsequenz unterfällt dann aber auch die Entscheidung zur Geheimhal­ tung respektive zur Offenbarung eines Geschäftsgeheimnisses dem Schutzbe­ reich des Eigentumsrechts der Charta.653 647  Vgl. dazu Kloepfer / Greve, NVwZ 2011, 577 (578); Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 256 ff.; Beyerbach, Die geheime Unternehmensinformation, S. 295 ff. 648  Vgl. Oppermann / Classen / Nettesheim, Europarecht, § 17 Rn. 61; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 16 Rn. 9; Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 16 Charta Rn. 1; Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 16 Charta Rn. 11. 649  Vgl. dazu m. w. N. Beyerbach, Die geheime Unternehmensinformation, S. 296; Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigen­ tums, S. 260. 650  EuGH, Urt. v. 24.06.1986  – Rs. 53 / 85 Rn. 28  – BeckRS 2004, 73286; jüngst EuGH, Urt. v. 19.06.2018 – C-15 / 16 Rn. 53 – BeckRS 2018, 11635. 651  Zur Einordnung der allgemeinen Rechtsgrundsätze innerhalb des Ranggefüges des Unionsrechts Zweiter Teil Kap. 2 A. II.; zudem Oppermann / Classen / Nettesheim, Europarecht, § 9 Rn. 31 ff.; Haratsch / Koenig / Pechstein, Europarecht, 2. Kapitel Rn.  435 ff.; Streinz, Europarecht, § 5 Rn. 456 ff. 652  Darauf abstellend Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 260. 653  Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 260; so i. E. auch Beyerbach, Die geheime Unternehmensinformation,

236

Dritter Teil: Die Einwilligung

Zudem kann sich der primärrechtliche Schutz des Geschäftsgeheimnisses aber auch aus dem Schutz der Berufsfreiheit gem. Art. 15 der Charta respek­ tive dem Schutz der unternehmerischen Freiheit gem. Art. 16 der Charta er­ geben. Dabei grenzt allen voran der EuGH nicht oder jedenfalls nicht präzise zwischen den Grundrechten des Art. 15 beziehungsweise des Art. 16 und der Eigentumsfreiheit des Art. 17 der Charta ab.654 Vielmehr zieht der Gerichts­ hof insbesondere im Kontext des Geschäftsgeheimnisses ein „[…] berufsund eigentumsfreiheitliches Wertungskonglomerat […]“655 zur Beurteilung heran. Bei der Einordnung des Geschäftsgeheimnisses innerhalb der Vorga­ ben des Art. 15 respektive des Art. 16 der Charta ist allerdings zu berücksich­ tigen, dass das Geschäftsgeheimnis regelmäßig im unmittelbaren Zusammen­ hang mit der unternehmerischen Tätigkeit des Verantwortlichen steht. Es kommt daher eine Eingliederung in den Schutzbereich der Unternehmens­ freiheit in Betracht, mit der Folge, dass jedenfalls solche Unterlagen, welche für die unternehmerische Tätigkeit von Bedeutung sind, dem Schutzbereich des Art. 16 der Charta unterfallen.656 Letztlich kann es im Rahmen der vorliegenden Arbeit dahinstehen, ob der primärrechtliche Schutz des Geschäftsgeheimnisses auf Grundlage eines all­ gemeinen Rechtsgrundsatzes oder als Ausprägung eines der benannten Wirt­ schaftsgrundrechte erfolgt. Jedenfalls lässt sich festhalten, dass das Ge­ schäftsgeheimnis durch das europäische Verfassungsrecht geschützt wird und damit grundsätzlich ein abwägungsrelevantes Kriterium auf Seiten der Ver­ antwortlichen darstellt. bb) Der Schutz des Geschäftsgeheimnisses auf sekundärrechtlicher Ebene Die sekundärrechtliche Konkretisierung des Geschäftsgeheimnisschutzes findet sich zwischenzeitlich insbesondere in der Know-How-Richtlinie657 aus dem Jahr 2016. Mit der Richtlinie wird, wie sich insbesondere aus Art. 1 S. 303; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 17 Rn. 10; Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 17 Charta Rn. 10. 654  Beyerbach, Die geheime Unternehmensinformation, S. 304; Siebert, Geheim­ nisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 260; Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 15 Charta Rn. 20. 655  So Beyerbach, Die geheime Unternehmensinformation, S. 304. 656  So Beyerbach, Die geheime Unternehmensinformation, S. 304; Siebert, Ge­ heimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 261; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 16 Rn. 9. 657  Richtlinie (EU) 2016 / 943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-Hows und vertraulicher Geschäfts­ informationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidri­ ger Nutzung und Offenlegung, ABl. L 157 vom 15. Juni 2016, S. 1.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen237

Abs. 1 ergibt, das Ziel verfolgt, den Schutz der Geschäftsgeheimnisse inner­ halb der Union einer Mindestharmonisierung zu unterziehen.658 Mithin kön­ nen die Mitgliedstaaten unter Beachtung der Bestimmungen des AEUV einen weitergehenden Schutz von Geschäftsgeheimnissen vor rechtswidrigem Er­ werb, rechtswidriger Nutzung und rechtswidriger Offenlegung vorsehen, so­ fern gewährleistet ist, dass die besonderen Vorgaben der Richtlinie eingehal­ ten werden. Wenngleich die Union im Bereich des Know-How-Schutzes le­ diglich das Instrument der mindestharmonisierenden Richtlinie heranzieht, ist deutlich erkennbar, dass die Union dem Schutz des Geschäftsgeheimnisses einen hohen Stellenwert im Rahmen der Schaffung eines einheitlichen euro­ päischen Binnenmarktes beimisst.659 Für den vorliegenden Abschnitt kommt es allen voran auf die zentrale Begriffsbestimmung des Geschäftsgeheimnisses in Art. 2 Nr. 1 der Richtlinie an, welche sich maßgeblich an der Formulierung des Art. 39 Abs. 2 des TRIPS-Abkommens660 orientiert661. Dabei differenziert die Richtlinienbe­ stimmung nicht zwischen Betriebs- und Geschäftsgeheimnissen, also zwi­ schen technischem und kaufmännischem Wissen.662 Damit Informationen dem Geschäftsgeheimnisschutz unterfallen, müssen der Richtlinie zur Folge drei Kriterien kumulativ vorliegen.663 Es muss sich zunächst um geheime Informationen handeln, also Informationen, welche weder in ihrer Gesamt­ heit noch in der genauen Anordnung und Zusammensetzung ihrer Bestand­ teile den Personen in den Kreisen, die üblicherweise mit dieser Art von In­ formationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind (Art. 2 Nr. 1 lit. a). Zudem muss sich der kommerzielle Wert der Informatio­ nen aus dem Umstand ergeben, dass diese geheim sind (Art. 2 Nr. 1 lit. b). Abschließend fordert die Richtlinienbestimmung, dass die Informationen angemessenen Geheimhaltungsmaßnahmen durch die Person, die die recht­ mäßige Kontrolle über die Informationen besitzt, unterliegen (Art. 2 Nr. 1 lit. c). Mit dem Erfordernis der angemessenen Geheimhaltungsmaßnahmen 658  Hoeren / Münker, WRP 2018, 150 (151); Kalbfus, GRUR 2016, 1009 (1010); Hauck, NJW 2016, 2218. 659  Vgl. nur Erwägungsgrund 8 Satz 1 Know-How-Richtlinie. 660  Das Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums (TRIPS-Abkommen) verpflichtet die Vertragspartner zur Etablierung um­ fassender Mindeststandards zum Schutz des geistigen Eigentums, welche sich insbe­ sondere im Rahmen von Harmonisierungsmaßnahmen innerhalb der nationalen Rechtsordnungen wiederfinden, vgl. Hahn, in: Calliess / Ruffert, EUV / AEUV, Art. 207 AEUV Rn. 155; Sosnitza, in: Ohly / Sosnitza, UWG, § 5 Rn. 412. 661  Hoeren / Münker, WRP 2018, 150 (151); Koós, MMR 2016, 224 (225); Baranowski / Glaßl, BB 2016, 2563 (2564). 662  Vgl. Specht, CR 2016, 288 (291). 663  Koós, MMR 2016, 224 (225).

238

Dritter Teil: Die Einwilligung

werden vor allem deutsche Rechtsanwender mit einem Novum konfrontiert, da nach der bisherigen Rechtsprechung des BGH664 bereits der bloße Wille zur Geheimhaltung als ausreichend angesehen wurde.665 Mit der europäischen Begriffsdefinition soll ein homogener, möglichst breiter Anwendungsbereich für das Geschäftsgeheimnis geschaffen werden, wobei insbesondere das Know-How, Geschäftsinformationen sowie techno­ logische Informationen erfasst werden, solange ein legitimes Interesse an der Geheimhaltung besteht.666 Im Ergebnis sind daher durchaus Informationsbe­ standteile im Zusammenhang mit der zu legitimierenden Verarbeitung denk­ bar, welche sowohl dem Geheimnisschutz der Richtlinie als auch der Infor­ mationspflicht im Rahmen der Einwilligungserklärung unterfallen. Grundle­ gend lässt sich festhalten, dass sich der Schutz des Geschäftsgeheimnisses auch innerhalb der Vorgaben der Union wiederfindet und jedenfalls mindest­ harmonisierend kodifiziert wird. Für die DSGVO hat das zur Folge, dass jedenfalls solche Informationen, welche ein Geheimnis darstellen, deswegen von Wert sind und zudem geson­ derten Schutzmaßnahmen unterliegen, als Geschäftsgeheimnis angesehen werden müssen. b) Die Wahrung des Geschäftsgeheimnisses als berechtigtes Interesse im Rahmen der informierten Einwilligung Im Anschluss an die Feststellung, dass das Geschäftsgeheimnis auch im Kontext des supranationalen Primär- und Sekundärrechts anerkannt wird, ist zu untersuchen, ob die Wahrung des Geschäftsgeheimnisses auch im spezifi­ schen Einwilligungskontext der DSGVO ein berechtigtes Interesse darstellen kann. Dabei kann dem Wortlaut des Art. 4 Nr. 11 DSGVO erneut kein wei­ terführendes Indiz hinsichtlich der Bedeutung etwaiger Geschäftsgeheimnisse entnommen werden. Auch im Rahmen der jedenfalls nahestehenden Informa­ tionspflichten gem. den Art. 12 ff. DSGVO finden sich keine ausdrücklichen Ausnahmetatbestände für den Fall, dass ein Geschäftsgeheimnis betroffen sein könnte. Darüber hinaus schweigen auch die Vorgaben der Know-HowRichtlinie bezüglich des Verhältnisses zwischen Geschäftsgeheimnis und Datenschutz.667 664  Vgl. BGH, Urt. v. 27.04.2006  – I ZR 126 / 03  – GRUR 2006, 1044 (1046 Rn. 19): Ein Geschäfts- oder Betriebsgeheimnis liegt der Rechtsprechung zur Folge bereits dann vor, wenn die nicht offenkundige, im Zusammenhang mit einem Betrieb stehende Tatsache „[…] nach dem bekundeten, auf wirtschaftlichem Interesse beru­ henden Willen des Betriebsinhabers geheim gehalten werden soll.“ 665  Vgl. dazu auch Hoeren / Münker, WRP 2018, 150 (152). 666  Vgl. Erwägungsgrund 14 Satz 1 Know-How-Richtlinie.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen239

In der Folge könnte die Annahme vertreten werden, dass das Interesse des Verantwortlichen an der Geheimhaltung etwaiger Geschäftsgeheimnisse je­ denfalls im Kontext der Informationspflichten keine Rolle spielen darf.668 Da­ mit würde die Beschränkung der Informationspflichten aufgrund etwaiger Ge­ schäftsgeheimnisse einen Verstoß gegen das Datenschutzrecht darstellen, mit der Konsequenz, dass die Wahrung etwaiger Geschäftsgeheimnisse nicht mehr als berechtigtes Interesse im zuvor genannten Sinne eingestuft werden dürfte. Überzeugend ist allerdings, dass auch im Rahmen der Informationspflich­ ten entsprechende Geschäftsgeheimnisse des Verantwortlichen hinreichend und angemessen zu berücksichtigen sind.669 So kann der DSGVO anhand der Vorgaben des Erwägungsgrundes 63 Satz 5 der allgemeine Auslegungs­ grundsatz entnommen werden, dass Geschäftsgeheimnisse von den Informa­ tionspflichten des Verantwortlichen grundsätzlich unberührt bleiben sol­ len.670 Konkret hält der Erwägungsgrund fest, dass das Recht (auf Auskunft) die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Soft­ ware, nicht beeinträchtigen soll. Auch der Umkehrschluss aus den Informationspflichten des Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g DSGVO beziehungsweise aus der Aus­ kunftspflicht des Art. 15 Abs. 1 lit. h DSGVO legen eine entsprechende Ver­ mutung nahe.671 So soll der Verantwortliche bei automatisierten Entschei­ dungsfindungen einschließlich Profiling gem. Art. 22 Abs. 1 und 4 DSGVO zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derarti­ gen Verarbeitung für die betroffene Person erteilen. Augenfällig ist, dass Umfang und Ausmaß der aussagekräftigen Informationen selbst für den Fall, dass die Verarbeitungsentscheidung gänzlich ohne menschliche Mitwirkung erfolgt,672 unklar bleiben. Mit Blick darauf, dass der Betroffene „[…] nicht 667  von Lewinski, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 20 DSGVO Rn. 101. 668  So Veil, NVwZ 2018, 686 (688). 669  So i.  E. auch von Lewinski, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 20 DSGVO Rn. 102 ff.; Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 15 Rn. 162, 190 hält es für erforderlich, dass der nationale Gesetzgeber einen entsprechenden Ausnahmetatbestand zugunsten etwaiger Geschäftsgeheimnisse schafft. 670  So i. E. auch Schwartmann / Schneider, in: Schwartmann / Jaspers / Thüsing / Ku­ gelmann, DSGVO, Art. 13 Rn. 57. 671  So auch Schmidt-Wudy, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 77. 672  Vgl. dazu Martini / Nink, NVwZ 2017, 681; Hjladjik, in: Ehmann / Selmayr, DSGVO, Art. 22 Rn. 6.

240

Dritter Teil: Die Einwilligung

zum bloßen Objekt einer rein maschinellen Entscheidung verkommen [soll]“673, ist es evident, dass die Informations- und Auskunftspflichten in diesem Fall, wie bereits der Wortlaut nahelegt, erhöhten Anforderungen un­ terliegen. Mithin kann der Verantwortliche in der Pflicht sein, jedenfalls grundlegende Informationen zu dem herangezogenen Verfahren, also etwa über den verwendeten Algorithmus, preiszugeben.674 Damit korrespondiert freilich eine entsprechende Ausgestaltungspflicht, da die Betroffenen allein durch die schematische Darstellung der Algorithmen, beispielsweise in Ge­ stalt eines Quellcodes, kaum informatorischen Mehrwert erlangen.675 In der Folge kann allerdings davon ausgegangen werden, dass Geschäftsgeheim­ nisse jedenfalls abseits automatisierter Einzelfallentscheidungen durch die Informationspflichten des Verantwortlichen unberührt bleiben sollen und da­ mit ein anerkanntes Interesse im Sinne der DSGVO darstellen. Dass das Geschäftsgeheimnis besonders schutzwürdig ist und damit als berechtigtes Interesse des Verantwortlichen anzuerkennen ist, wird dem Grunde nach auch durch die Artikel-29-Datenschutzgruppe anerkannt. Mit­ hin stellt diese, jedenfalls im Kontext der Datenportabilität gem. Art. 20 DSGVO fest, dass dieses Recht nicht dazu missbraucht werden darf, unlau­ tere Geschäftspraktiken zu praktizieren respektive geistiges Eigentum zu verletzen.676 Zwar darf das nicht dazu führen, dass die Datenübertragung in der Gänze verwehrt wird, jedenfalls aber ist diese derart auszugestalten, dass Geschäftsgeheimnisse beziehungsweise geistiges Eigentum nicht verletzt werden.677 Berücksichtigt man zudem, dass der Richtliniengeber dem Ge­ heimnisschutz zentrale Bedeutung innerhalb des europäischen Binnenmarktes einräumt, ist dieser jedenfalls grundsätzlich auch bei der Ausgestaltung da­ tenschutzrechtlicher Anforderungen zu berücksichtigen. Damit wird zugleich dem Gedanken einer einheitlichen Rechtsordnung678 auf europäischer Ebene Rechnung getragen, der letztlich konterkariert werden würde, wenn einerseits Martini / Nink, NVwZ 2017, 681. auch Martini, DÖV 2017, 443 (453); Ehmann, in: Ehmann / Selmayr, DS­ GVO, Art. 15 Rn. 19; Veil, in: Gierschmann / Schlender / Stentzel / Veil, DSGVO, Art. 15 Rn. 150; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 13 DSGVO Rn. 31. 675  Martini, DÖV 2017, 443 (453); Frank, in: Gola, DSGVO, Art. 13 Rn. 26. 676  Artikel-29-Datenschutzgruppe, Stellungnahme  16 / 2017 EN Guidelines on the right to data portability 2016 / 679, WP 242 rev. 01, S. 12; vgl. dazu auch Bitkom, Stellungnahme zum Recht auf Datenübertragbarkeit nach Art.  20 DSGVO v. 14.03.2017, S. 4. 677  Artikel-29-Datenschutzgruppe, Stellungnahme  16 / 2017 EN Guidelines on the right to data portability 2016 / 679, WP 242 rev. 01, S. 12. 678  Ungeachtet der zahlreichen europäischen Rechtsquellen wird auch der unions­ rechtliche Rechtskorpus einheitlich verstanden, vgl. Oppermann / Classen / Nettesheim, Europarecht, § 9 Rn. 2. 673  So 674  So



Kap. 4: Die materiellen Einwilligungsvoraussetzungen241

der Geheimnisschutz dezidiert kodifiziert, andererseits durch die Vorgaben des Datenschutzes aufgegeben werden würde. c) Zwischenergebnis Damit stellt die Wahrung des Geschäftsgeheimnisses ein berechtigtes Inte­ resse des Verantwortlichen dar, welches insbesondere im Kontext der Ausge­ staltung der Einwilligungserklärung zu berücksichtigen ist. Fällt die Informa­ tion unter das Geschäftsgeheimnis im Sinne der Know-How-Richtlinie, ist der Verantwortliche nicht zwangsläufig in der Pflicht, diese im Kontext der Informationspflichten preiszugeben. Unbenommen bleibt dabei, dass im Kontext des Datenschutzes die Anforderungen an das Vorliegen eines ent­ sprechenden Geschäftsgeheimnisses hoch anzusetzen sind.679 3. Das Prinzip der praktischen Konkordanz als Ausgleichsmechanismus kollidierender Interessen Wenngleich festgestellt werden konnte, dass im Kontext der Informations­ anforderungen das Interesse an der Wahrung des Geschäftsgeheimnisses einbezogen werden kann, folgt daraus keinesfalls die zwingende Annahme, dass es zur Berücksichtigung im Einzelfall kommen muss. Vielmehr bewegt sich die informatorische Ausgestaltung der Einwilligungserklärung im Span­ nungsfeld widerstreitender Grundrechtspositionen zwischen Verantwortlichen und Betroffenen. Letztliche Konsequenz der Wertungsübernahme aus den Vorgaben des Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist, dass dem Verantwortli­ chen nicht nur abwägungsrelevante Interessen zur Seite stehen müssen, diese müssen zudem gegenüber den Interessen der Betroffenen ein überwiegendes Gewicht im Einzelfall aufweisen. Gerade aber mit Blick auf die aufgezeigte verfassungsrechtliche Verwurzelung680 soll im Folgenden untersucht wer­ den, unter welchen Voraussetzungen die widerstreitenden Interessen in Aus­ gleich gebracht werden können. Dabei gilt es insbesondere eine „alles-odernichts-Situation“ zu vermeiden. Mithin kommt es in Betracht, dass der Ver­ antwortliche die Informationsgestaltung derart modifiziert, dass sowohl sei­ nem Geheimhaltungsinteresse als auch dem Informationsinteresse der Betroffenen ausreichend Rechnung getragen wird.681 Ein mögliches Aus­ 679  Franck,

in: Gola, DSGVO, Art. 15 Rn. 34. zu den Grundrechtspositionen der Betroffenen unter Zweiter

680  Umfassend

Teil Kap. 2. 681  Vgl. dazu auch im Kontext des Art. 20 DSGVO: Artikel-29-Datenschutzgruppe, Stellungnahme 16 / 2017 EN Guidelines on the right to data portability 2016 / 679, WP 242 rev. 01, S. 12.

242

Dritter Teil: Die Einwilligung

gleichsinstrument bei der Ausgestaltung der Erklärung könnte dabei das allen voran im nationalen Grundrechtskontext bekannte Prinzip der praktischen Konkordanz darstellen. Dazu sollen zunächst die Grundlagen der praktischen Konkordanz nach Hesse aufgezeigt werden (a)), um diese sodann auf das Spannungsfeld zwi­ schen Informations- und Geheimhaltungsinteresse anzuwenden (b)). a) Das Prinzip der praktischen Konkordanz nach Hesse Im Kern verhilft das Prinzip der praktischen Konkordanz den in Konflikt stehenden Rechtsgütern zur beiderseitigen optimalen Berücksichtigung im Einzelfall.682 Den Ausgangspunkt bildet dabei nach Hesse die Annahme ei­ ner einheitlichen Verfassung, welcher zur Folge Normen stets in ihrem Ge­ samtzusammenhang, nicht aber isoliert zu interpretieren sind.683 Im Fall der Kollision sollen sodann „[…] verfassungsrechtlich geschützte Rechtsgüter […] in der Problemlösung einander so zugeordnet werden, daß jedes von ihnen Wirklichkeit gewinnt.“684 Mit den Worten des Bundesverfassungsge­ richts, welches sich in ständiger Rechtsprechung auf das Prinzip der prakti­ schen Konkordanz beruft: „Die Freiheit der einen ist dabei mit der Freiheit der anderen in Einklang zu bringen. Dabei kollidierende Grundrechtspositio­ nen sind hierfür in ihrer Wechselwirkung zu erfassen und nach dem Grund­ satz der praktischen Konkordanz so in Ausgleich zu bringen, dass sie für alle Beteiligten möglichst weitgehend wirksam werden.“685 Zwar entspringt das Prinzip der deutschen Verfassungsdogmatik, der zu­ grundeliegende Gedanke lässt sich allerdings im Allgemeinen auch auf die Grundrechtskollisionen der Charta686 respektive im Speziellen auf die Kon­ fliktfelder der DSGVO687 übertragen. Zur Begründung kann dabei nochmals 682  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72; jüngst umfassend zur praktischen Konkordanz in der Fallbearbeitung Kalenborn, JA 2016, 6 ff. 683  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 71. 684  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72. 685  BVerfG, Beschl. v. 11.04.2018  – 1 BvR 3080 / 09  – NJW 2018, 1667 (1668 Rn. 32) mit Verweis auf die ständige Rechtsprechung. 686  So i.  E. auch Jarass, ZEuP 2017, 310 (328); Herresthal, ZEuP 2014, 238 (261); Nolte / Wimmer, GRUR 2014, 16 (22); Borowsky, in: Meyer, Charta der Grund­ rechte der Europäischen Union, Art. 53 Rn. 20; Jarass, in: Jarass, Charta der Grund­ rechte der EU, Art. 53 Rn. 17. 687  So i. E. auch Denga, NJW 2018, 1371 (1376); Ambrock / Karg, ZD 2017, 154 (159); Ziegenhorn / von Heckel, NVwZ 2016, 1585 (1588); Specht, in: Sydow,



Kap. 4: Die materiellen Einwilligungsvoraussetzungen243

auf Erwägungsgrund 4 der DSGVO rekurriert werden. Neben dem bereits aufgeführten allgemeinen Abwägungsvorbehalt spricht auch der Umstand, dass die DSGVO ausweislich des Erwägungsgrundes „[…] mit allen Grund­ rechten [im Einklang steht] […] und alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden [achtet] […]“688, dafür, dass in Kollisionsfäl­ len möglichst beiden Rechtspositionen zur hinreichenden Geltung verholfen werden sollte. Mithin ist auch nach den Vorgaben der DSGVO dafür Sorge zu tragen, dass möglicherweise konkurrierende Interessen in Einklang, also in Konkordanz,689 gebracht werden. Es darf gerade nicht dazu kommen, dass Rechtspositionen auf Grundlage einer „vorschnellen Güterabwägung“ vollständig zurücktreten müssen.690 In diesem Sinne lässt sich auch die Rechtsprechung des EuGH interpretieren, der ebenfalls zunehmend darauf abstellt, dass „[…] ein angemessenes Gleichgewicht zwischen den miteinan­ der in Einklang zu bringenden Grundrechten zu gewährleisten [ist] […]“.691 Insofern sind den involvierten Rechtsgütern sowohl auf Seiten der Betrof­ fenen als auch auf Seiten der Verantwortlichen Grenzen zu ziehen, damit diese zu „optimaler Wirksamkeit“ gelangen.692 Bei der Grundrechtsoptimie­ rung durch Grenzziehung kommt es dabei nicht zwingend auf das klassische mildeste Mittel an, sondern vielmehr auf die Synthese eines idealen Interes­ senverhältnisses.693 Andererseits darf die wechselseitige Eingrenzung der Grundrechte jeweils nur in dem Umfang erfolgen, in dem diese unbedingt erforderlich ist, um dem Gegeninteresse zur Geltung zu verhelfen.694

­ SGVO, Art. 85 Rn. 1; Thüsing / Traut, in: Schwartmann / Jaspers / Thüsing / Kugel­ D mann, DSGVO, Art. 88 Rn. 28. 688  Erwägungsgrund 4 Satz 2 DSGVO. 689  Der Begriff der Konkordanz entlehnt sich dem mittellateinischen Begriff „concordantia“, also Übereinstimmung, welcher wiederum dem Begriff „concordia“ (Eintracht / Einklang) entspringt, vgl. Kalenborn, JA 2016, 6 (7). 690  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72. 691  Vgl. EuGH, Urt. v. 16.05.2015  – C-580 / 13  – WM 2015, 1557 (1559 Rn. 35); EuGH, Urt. v. 31.01.2013 – C-12 / 11 – EuZW 2013, 223 (226 Rn. 62); EuGH, Urt. v. 06.09.2012 – C-544 / 10 – EuZW 2012, 828 (829 Rn. 47). 692  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72. 693  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72. 694  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 72.

244

Dritter Teil: Die Einwilligung

b) Interessensausgleich im Kontext der Geschäftsgeheimnisse Letztlich erfordert der Interessensausgleich im Rahmen der praktischen Konkordanz eine „[…] verhältnismäßige Zuordnung von Grundrechten und grundrechtsbegrenzenden Rechtsgütern […]“695. In der Folge ersetzt das Prinzip der praktischen Konkordanz nicht die Verhältnismäßigkeitsprüfung, vielmehr werden deren Anforderungen in einem restriktiven Sinne modifi­ ziert.696 Hierbei lässt sich ein weiterer Brückenschlag zu den Vorgaben des Uni­ onsrechts leisten. Während der EuGH auch das Prinzip der Verhältnismäßig­ keit als allgemeinen Rechtsgrundsatz anerkennt,697 findet sich dessen nor­ mative Verankerung zudem in den Vorgaben des Art. 52 Abs. 1 Satz 2 der Charta.698 Demnach dürfen Einschränkungen unter Wahrung des Grundsat­ zes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten, dem Gemeinwohl dienenden Ziel­ setzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Dabei hat die allgemeine Schrankenregelung des Art. 52 der Charta nicht nur staatliche Eingriffe im Blick, vielmehr ist diese nach der Rechtsprechung des EuGH auch auf privatrechtliche Kolli­ sionslagen anzuwenden.699 Darüber hinaus hat der EuGH bereits mehrfach festgestellt, dass dem Grundsatz der Verhältnismäßigkeit allen voran im Kontext des Datenschutzes gesondert Rechnung zu tragen ist.700 In Überein­ stimmung mit den strengen Anforderungen der praktischen Konkordanz hält der EuGH fest, „[…] dass sich die Ausnahmen und Einschränkungen in Be­ zug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränken […] [müssen].“701

695  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, § 2 Rn. 318. 696  Kalenborn, JA 2016, 6 (8). 697  Vgl. jüngst EuGH, Urt. v. 23.11.2017  – C-246 / 16  – BeckRS 2017, 132136 Rn. 25. 698  Vgl. dazu Hilf, Die Schranken der EU-Grundrechte, in: Merten / Papier, Hand­ buch der Grundrechte  – Band  VI / 1, § 164 Rn. 63; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 34 ff.; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 52 Charta Rn. 65 ff. 699  Vgl. Jarass, ZEuP 2017, 310 (327) mit Verweis auf EuGH, Urt. v. 31.01.2013 – C-12 / 11 – EuZW 2013, 223 (226 Rn. 61). 700  Vgl. EuGH, Gutachten 1 / 15 des Gerichtshofs (Große Kammer) v. 26.07.2017 – ECLI:EU:C:2017:592 Rn. 140 mit Verweis auf die ständige Rechtsprechung. 701  EuGH, Gutachten 1 / 15 des Gerichtshofs (Große Kammer) v. 26.07.2017  – ECLI:EU:C:2017:592 Rn. 140.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen245

Für die Frage, ob die Informationspflichten im Rahmen der Einwilligungs­ erklärung durch die Geschäftsgeheimnisse des Verantwortlichen einge­ schränkt werden können, ist also zu prüfen, ob eine Einschränkung der Be­ troffenengrundrechte vorliegt (aa)), diese zur Erreichung eines legitimen Ziels erfolgt (bb)), das entsprechende Mittel geeignet (cc)) und erforderlich (dd)) ist sowie letztlich den Kriterien der Angemessenheit entspricht (ee)). Die Besonderheiten der praktischen Konkordanz sollen dabei an geeigneter Stelle in die Bewertung miteinfließen. aa) Bestimmung der Grundrechtskollision Ein Mehr an Geheimhaltung stellt zugleich ein Weniger an Transparenz auf Seiten der Betroffenen dar und könnte damit in den Schutzbereichsgehalt des Art. 7 i. V. m. Art. 8 der Charta eingreifen.702 Insbesondere dürfen perso­ nenbezogene Daten gem. Art. 8 Abs. 2 Satz 1 der Charta ausschließlich nach Treu und Glauben verarbeitet werden, wobei nach der Rechtsprechung des EuGH insbesondere das Transparenzgebot zu beachten ist.703 Mithin kann ein Verarbeitungsvorgang nach Treu und Glauben nur dann gewährleistet werden, wenn der Betroffene vorweg hinreichend informiert wird.704 Wenn­ gleich regelmäßig die Verarbeitung personenbezogener Daten als Eingriff in die informationelle Selbstbestimmung nach den Vorgaben der Charta zu werten ist,705 kann dementsprechend auch die Reduktion der Transparenz im Rahmen der vorweggelagerten einwilligungsbezogenen Selbstbestimmung eine Grundrechtsverkürzung darstellen. Die Ausübung des durch die Mög­ lichkeit der Einwilligung manifestierten Selbstbestimmungsrechts erfordert gerade eine möglichst umfassende Transparenz des zugrundeliegenden Verar­ beitungsvorgangs.706 Insofern lässt sich eine Relation zwischen Transparenz und Selbstbestimmung festhalten, welche durch die Geheimhaltungsinteres­ sen des Verantwortlichen jedenfalls verkürzt wird. Damit zeigt sich deutlich die im Folgenden aufzulösende Grundrechtskollision im Spannungsfeld zwischen Geheimhaltungsschutz und Informationsbedürfnis.

702  Zum

Schutzbereich des Art. 8 der Charta bereits unter Zweiter Teil Kap. 2 A. EuGH, Urt. 01.10.2015 – C-201 / 14 – ZD 2015, 577 (578 Rn. 32). 704  EuGH, Urt. 01.10.2015 – C-201 / 14 – ZD 2015, 577 (578 Rn. 32). 705  Vgl. dazu die Ausführungen unter Zweiter Teil Kap. 2. 706  Albrecht / Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 3. Allgemein zur informationellen Selbstbestimmung nach den Vorgaben der Charta in Zweiter Teil Kap. 2 der vorliegenden Arbeit. 703  Vgl.

246

Dritter Teil: Die Einwilligung

bb) Legitimes Ziel Mit der Wahrung etwaiger Geschäftsgeheimnisse im Rahmen der informa­ torischen Ausgestaltung der Einwilligungsklärung müsste ein legitimes Ziel verfolgt werden. Grundsätzlich kommen dabei unter Einbeziehung der Vor­ gaben des Art. 52 Abs. 1 Satz 2 der Charta sowohl dem Gemeinwohl die­ nende Zielsetzungen (Alt. 1) als auch der Schutz der Rechte und Freiheiten anderer (Alt. 2) in Betracht. Das legitime Ziel der Einschränkung kann also insbesondere auch im Schutz kollidierender Grundrechte Dritter erblickt wer­ den, wobei allen voran die Kommunikations- und Wirtschaftsgrundrechte der Charta von Relevanz sind.707 Die Einschränkung der Informationspflichten dient der Wahrung des Geschäftsgeheimnisses und kommt damit als legiti­ mes Ziel innerhalb der Verhältnismäßigkeitsprüfung in Betracht. Die Legitimität der Zielsetzung ergibt sich dabei nicht zuletzt aus dem bereits festgestellten dezidierten Schutz des Geschäftsgeheimnisses durch die Vorgaben des Primärrechts. Dabei kommt insbesondere der Schutz der unter­ nehmerischen Freiheit gem. Art. 16 der Charta in Betracht, der nach der Überzeugung des EuGH jedenfalls innerhalb bestimmter Grenzen auch die Einschränkung weiterer Grundrechte gestattet.708 Mithin kann die Begren­ zung der Informationspflichten maßgeblich dazu beitragen, etwaige Ge­ schäftsgeheimnisse des Verantwortlichen zu schützen, wobei neben der ­bereits aufgeführten unternehmerischen Freiheit zugleich sowohl einem all­ gemeinen Grundsatz des Unionsrechts als auch der Eigentumsgarantie der Charta (Art. 17) Rechnung getragen wird. Dabei ist festzuhalten, dass die Informationspflichten im Einzelfall nicht unerheblich eingeschränkt werden könnten, keinesfalls aber in der Gänze entfallen. Mit Blick darauf, dass eine Begrenzung der Informationspflichten ausschließlich für den klar umgrenzten Zweck des restriktiv auszulegenden Geheimnisschutzes in Betracht kommt, ist die Gefahr der Verletzung des Wesensgehaltes, also des „unantastbaren Kernbereichs“709, des Art. 7 i. V. m. Art. 8 der Charta nicht virulent. cc) Geeignetheit Mittels des Kriteriums der Geeignetheit ist festzustellen, ob das legitime Ziel durch die vorgesehene Maßnahme tatsächlich erreicht beziehungsweise 707  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 52 Charta Rn. 67; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 32. 708  Vgl. EuGH, Urt. v. 14.03.2017 – C-157 / 15 – EuZW 2017, 480 (482 Rn. 37 ff.). 709  So Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 52 Charta Rn. 64; Borowsky, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 52 Rn. 23a.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen247

gefördert werden kann.710 Nach der Überzeugung des Gerichtshofs sind dabei die Anforderungen an das Mittel nicht zu überdehnen, vielmehr geht dieser regelmäßig bereits dann von einer Eignung aus, wenn das vorgesehene Instrument dem Ziel jedenfalls dienlich ist.711 Wenngleich der Schutz des Geschäftsgeheimnisses selbstredend nicht ausschließlich durch „Offenba­ rungspflichten“ beeinträchtigt wird, kann die jedenfalls punktuelle Begren­ zung etwaiger Informationsbestandteile maßgeblich dazu beitragen, das in­ tendierte und grundrechtlich fundierte Ziel des Geheimnisschutzes zu errei­ chen. Mit Blick darauf, dass im Kontext der Eignung keine weitergehenden Anforderungen an das Mittel gestellt werden, stellt der Ausschluss der Ge­ schäftsgeheimnisse von den Informationspflichten der Einwilligung ein ge­ eignetes Mittel zur Zielerreichung dar. dd) Erforderlichkeit In einem weiteren Schritt ist zu klären, ob die Reduktion der Informations­ pflichten tatsächlich erforderlich ist, um das Ziel des Geschäftsgeheimnis­ schutzes zu erreichen. Im Allgemeinen lässt sich diesbezüglich konstatieren, dass das Kriterium der Erforderlichkeit auch im Kontext des Unionsrechts voraussetzt, dass andere gleich geeignete aber mildere Mittel im konkreten Fall ausscheiden.712 In datenschutzrechtlichen Sachverhalten entfaltet das Kriterium der Erforderlichkeit nach der Rechtsprechung des EuGH darüber hinaus doppelte Relevanz: Die Einschränkung der Betroffenengrundrechte muss nicht nur das mildeste verfügbare Mittel darstellen, zugleich sind „[…] Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbe­ zogenen Daten auf das absolut Notwendige [zu] beschränken […]“.713 Wenn Albers / Veit überzeugenderweise davon sprechen, dass das Kriterium der Er­ forderlichkeit im Verarbeitungskontext als „Conditio-Sine-Qua-Non“ zu ver­ stehen ist,714 muss daraus folgen, dass die Einschränkung der Betroffenen­ 710  Vgl. statt vieler EuGH, Urt. v. 08.04.2014  – C-293 / 12, C-594 / 12  – EuZW 2014, 459 (462 Rn. 46, 49). 711  Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 37. 712  Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 52 Charta Rn. 69; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 39; Borowsky, in: Meyer, Charta der Grundrechte der Europäischen Union, Art. 52 Rn. 22b. 713  Vgl. EuGH, Urt. v. 04.05.2017  – C-13 / 16  – CR 2017, 504 (505 Rn. 30); EuGH, Gutachten 1 / 15 des Gerichtshofs (Große Kammer) v. 26.07.2017  – ECLI:EU:C:2017:592 Rn. 140; EuGH, Urt. v. 21.12.2016  – C-203 / 15, C-698 / 15  – EuZW 2017, 153 (157 Rn. 96); EuGH, Urt. v. 06.10.2015 – C-362 / 14 – EuZW 2015, 881 (887 Rn. 92); EuGH, Urt. v. 08.04.2014  – C-293 / 12, C-594 / 12  – EuZW 2014, 459 (462 Rn. 52). 714  Vgl. Albers / Veit, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 6 DSGVO Rn. 14.

248

Dritter Teil: Die Einwilligung

grundrechte auch nur dann als erforderlich anzusehen ist, wenn anderenfalls der Schutz der kollidierenden Rechte des Verantwortlichen in der Gänze ausgeschlossen wäre. Insofern ist zu hinterfragen, ob die Ausklammerung etwaiger Geschäftsgeheimnisse aus der informierten Einwilligungserklärung tatsächlich notwendig ist, um dem Ziel des Geheimnisschutzes gerecht zu werden. Hierbei gilt es, zwei wesentliche Faktoren zu berücksichtigen. Zunächst ist nochmals festzuhalten, dass lediglich der Ausschluss etwaiger Geschäftsge­ heimnisse im Rahmen der informierten Einwilligung in Betracht kommt. Eine weitergehende Begrenzung der Informationspflichten ist damit nicht verbunden. Mit Blick darauf, dass der Verantwortliche die Beweislast hin­ sichtlich des Vorliegens einer rechtswirksamen Einwilligungserklärung trägt,715 obliegt diesem in der Folge auch der Nachweis der Klassifizierung der Information als Geschäftsgeheimnis. Wenngleich der Verantwortliche damit im Konfliktfall aus Zwecken des Nachweises gehalten sein kann, ent­ sprechende Geschäftsgeheimnisse zu offenbaren, ist der Kreis der Informa­ tionsrezipienten vorab begrenzt. Zudem ist es in diesem Fall denkbar, den Schutz des Geschäftsgeheimnisses durch Verschwiegenheitsklauseln respek­ tive im Rahmen eines Verfahrens durch den entsprechenden Ausschluss der Öffentlichkeit weitestgehend zu wahren.716 Anders hingegen bei der antizi­ pierten Veröffentlichung etwaiger Geschäftsgeheimnisse im Rahmen des In­ formationsbestandteils der Einwilligung. Aufgrund der regelmäßig allen vo­ ran bei Diensten der Informationsgesellschaft leicht zugänglichen Einwilli­ gungserklärungen ist davon auszugehen, dass das Geschäftsgeheimnis allge­ mein bekannt wird und damit seinen Geheimnischarakter in der Gänze verliert. Ein milderes Mittel kommt demnach nicht in Betracht, sodass auch die Erforderlichkeit des Ausschlusses zu bejahen ist. ee) Angemessenheit Damit kommt es maßgeblich auf eine „[…] Abwägung der jeweiligen ein­ ander gegenüberstehenden Rechte und Interessen […]“717 an, wobei ganz im Sinne der eingangs dargestellten praktischen Konkordanz ein „[…] angemes­ senes Gleichgewicht zwischen diesen Rechten […]“718 herzustellen ist. Im Einzelfall sind die Interessen der Grundrechtsträger, die Zielsetzung der 715  Vgl.

dazu die Ausführungen unter Dritter Teil Kap. 3 C. dazu m. w. N. Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 280 ff. 717  EuGH, Urt. v. 04.05.2017 – C-13 / 16 – CR 2017, 504 (505 Rn. 31). 718  EuGH, Urt. v. 15.09.2016 – C-484 / 14 – EuZW 2016, 821 (825 Rn. 83). 716  Vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen249

vorgesehenen Einschränkungen und der Grad, das Gewicht und die Intensität des Grundrechtseingriffs durch die Maßnahme in die Abwägungsentschei­ dung einzubringen.719 Konkret gilt es zu hinterfragen, ob und wie der grund­ rechtlich verbürgte Schutz des Geschäftsgeheimnisses mit dem Grundrecht auf informationelle Selbstbestimmung in Einklang zu bringen ist. Mit Blick auf den Verantwortlichen ergibt sich das zentrale Abwägungs­ moment insbesondere aus der (wirtschaftlichen) Bedeutung des Geschäftsge­ heimnisses für dessen Unternehmen.720 Der Frage nach den wirtschaftlichen Konsequenzen einer Offenbarung ist dabei das allgemeine Informations- und Transparenzinteresse der Betroffenen angemessen gegenüberzustellen. Dem­ entsprechend kann jedenfalls dann nicht mehr von einem angemessenen Ausgleich gesprochen werden, wenn eines der beiden Interessen vollständig zurücktreten muss. In der Folge kann der Verantwortliche jedenfalls in den Fällen, in denen das Geschäftsgeheimnis durch die Offenbarung vollständig „entwertet“ werden würde, nicht zur entsprechenden Informationsbereitstel­ lung verpflichtet werden.721 Zugleich kann aber auch das Informationsinteresse der Betroffenen nicht in der Gänze unberücksichtigt bleiben. Vor dem Hintergrund, dass insbeson­ dere bei Diensten der Informationsgesellschaft regelmäßig ein erhebliches informationelles Strukturungleichgewicht herrscht,722 darf das Geschäftsge­ heimnis gerade nicht zum Feigenblatt des zugrundeliegenden Verarbeitungs­ vorgangs verkommen. Mithin kann der Verantwortliche die Informations­ pflichten grundsätzlich nicht dadurch ausschließen, dass Geschäftsgeheim­ nisse lediglich berührt sein könnten. Bei dem Streben nach Gleichklang der Grundrechte gilt es aber auch, die potentielle Eingriffstiefe innerhalb der Abwägungsentscheidung zu berück­ sichtigen.723 Dabei kann konstatiert werden, dass die Gefahr der Entwertung des Geschäftsgeheimnisses durch die Offenbarung an einen weitestgehend unbestimmten Adressatenkreis nicht von der Hand zu weisen ist. Mitunter kommt dabei auch die missbräuchliche Ausforschung seitens etwaiger Kon­ kurrenten in Betracht.724 Zugleich ist aber fraglich, wie dem Gedanken einer selbstbestimmten, informierten und transparenten Einwilligung Rechnung Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 Rn. 42. Beyerbach, Die geheime Unternehmensinformation, S. 336 ff.; Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S.  315 ff. 721  Beyerbach, Die geheime Unternehmensinformation, S. 303. 722  Dazu Beyvers, Privatheit in der Waagschale, S. 185. 723  Kalenborn, JA 2016, 6 (11). 724  Vgl dazu m. w. N. Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, S. 319. 719  Vgl. 720  Vgl.

250

Dritter Teil: Die Einwilligung

getragen werden kann, wenn (mitunter) zentrale Informationsaspekte bewusst zurückgehalten werden könnten. Die diesbezügliche Eingriffsqualität poten­ ziert sich unter Einbeziehung der regelmäßig vorhandenen Informations­ asymmetrien, also der Abhängigkeit des Betroffenen von der Informations­ erteilung durch den Verantwortlichen.725 Allen voran bei komplexen daten­ schutzrechtlichen Sachverhalten ist es den Betroffenen ohne die ausgleichen­ den Informationspflichten kaum möglich, tatsächliches Verständnis für den Verarbeitungsvorgang zu entwickeln. Insofern ist gesondert darauf zu achten, dass die angestrebte Grundrechtskonkordanz nicht zu einer Perpetuierung des Informationsungleichgewichts führt. In der Konsequenz ist daher eine Lö­ sung zu suchen, welche einerseits dem Informationsinteresse der Betroffenen hinreichend Rechnung trägt, zugleich aber eine Offenbarung etwaiger Ge­ schäftsgeheimnisse verhindert.726 Dabei bietet es sich an, auf bereits in der DSGVO angelegte Ausgleichs­ instrumente zurückzugreifen. Ein mögliches Interessenausgleichsinstrument könnte dabei die „Pseudonymisierung der Geschäftsgeheimnisse“ im Rah­ men der Informationspflichten darstellen.727 Dem liegt der Gedanke zu­ grunde, dass die Pseudonymisierung, wie in Art. 4 Nr. 5 DSGVO definiert, grundsätzlich immer dann herangezogen werden kann, wenn der Verarbei­ tungsvorgang an sich zwar auf die Daten, nicht aber zwingend auf die Iden­ tität der Person angewiesen ist728. Dementsprechend kommt es im Zuge der Pseudonymisierung zur Ersetzung identifizierender Merkmale durch identi­ tätsverschleiernde Substitute:729 dem Pseudonym730. Der Sinn und Zweck der Pseudonymisierung liegt dabei maßgeblich in der Risikominimierung auf Seiten der Betroffenen im Zuge des Verarbeitungsvorgangs.731 Der zugrunde­ liegende Ansatz könnte dabei nach hiesiger Überzeugung auch auf die aufge­ dazu m. w. N. Beyvers, Privatheit in der Waagschale, S. 185. auch im Kontext der Datenportabilität: Artikel-29-Datenschutzgruppe, Stel­ lungnahme  16 / DE Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev. 01, S. 14. 727  Unabhängig davon, ob die Pseudonymisierung auch anonymisierende Wir­ kung entfaltet, ist jedenfalls anerkannt, dass sich die Heranziehung etwaiger Pseudo­ nymisierungsmaßnahmen günstig auf die Interessenabwägung auswirken kann, vgl. Roßnagel, ZD 2018, 243 (246); Rüpke / v. Lewinski / Eckhardt, Datenschutzrecht, § 10 Rn. 37; Klar / Kühling, in: Buchner / Kühling, DSGVO / BDSG, Art. 4 Nr. 5 Rn. 13. 728  Vgl. Roßnagel, ZD 2018, 243 (245); Klar / Kühling, in: Buchner / Kühling, ­DSGVO / BDSG, Art. 4 Nr. 5 Rn. 1; Ziebarth, in: Sydow, DSGVO, Art. 4 Rn. 100. 729  Artikel-29-Datenschutzgruppe, Stellungnahme 01248 / 07 / DE zum Begriff „per­ sonenbezogene Daten“, WP 136, S. 21. 730  Roßnagel / Scholz, MMR 2000, 721 (724) leiten den Begriff des Pseudonyms aus dem griechischen Wort „pseudónymos“ ab, welches mitunter als falscher, bezie­ hungsweise fingierter Name oder Deckname verstanden werden kann. 731  Erwägungsgrund 27 Satz 1 DSGVO. 725  Vgl. 726  So



Kap. 4: Die materiellen Einwilligungsvoraussetzungen251

zeigte Grundrechtskollision zwischen Geschäftsgeheimnis und Informations­ pflichten übertragen werden. Entscheidend ist dabei, vergleichbar mit dem Einsatz pseudonymer Daten, dass die Betroffenen zwar Informationen über den Verarbeitungsvorgang er­ halten, nicht aber im Detail in Kenntnis gesetzt werden, wie dieser beispiels­ weise konkret technisch abläuft. Der Betroffene rückt also in diesem Sinne vermeintlich in die Stellung des Verantwortlichen, der bei dem Einsatz pseu­ donymer Daten zwar die Möglichkeit zur Verarbeitung erhält, nicht aber In­ formationen über die zugrundeliegenden Personen. Die Betroffenen erhalten die Informationen, die zur Einordnung und Abschätzung des Gefährdungs­ potentials erforderlich sind und können diese zum Zwecke der selbstbe­ stimmten Entscheidung „verarbeiten“. Gleichermaßen kommt es zur Risiko­ minimierung auf Seiten des datenschutzrechtlichen Verantwortlichen, da die Gefahr der Offenbarung etwaiger Geschäftsgeheimnisse durch die „Pseudo­ nymisierung“ reduziert wird. Nach dieser Lösung ist der Verantwortliche zwar gehalten, etwaige Verar­ beitungsprozesse, nicht aber deren detaillierte technische Umsetzung und Ausgestaltung darzustellen. Hierbei kann der Verantwortliche zur Minimie­ rung seines Offenbarungsrisikos auf Umschreibungen zurückgreifen, solange die allgemeine Verständlichkeit für den Betroffenen gewährleistet wird. Letztlich kann eine solche Abstrahierung des Verarbeitungsprozesses auch zur allgemeinen Informationsakzeptanz auf Seiten der Betroffenen beitragen, da es an dem Verantwortlichen ist, Informationen allgemeinverständlich, ge­ heimniswahrend sowie prägnant aufzubereiten. 4. Zwischenergebnis Wenngleich die Informationspflichten innerhalb der Vorgaben der DSGVO ein zentrales Instrument darstellen, um bestehende Wissensasymmetrien zwi­ schen Verantwortlichen und Betroffenen auszugleichen, sollte die duale Ziel­ setzung der DSGVO nicht außer Acht gelassen werden. Mithin sind die verfassungsrechtlich fundierten und sekundärrechtlich konkretisierten Rechte und Interessen der Verantwortlichen auch innerhalb der Informationspflich­ ten hinreichend zu berücksichtigen. Es bedarf eines angemessenen und ein­ zelfallorientierten Interessensausgleichs, wobei auch innerhalb der europa­ rechtlich geprägten Vorgaben des Datenschutzrechts das Instrument der praktischen Konkordanz einen praktikablen Fixpunkt darstellt. Verhältnismä­ ßigkeit bedeutet dabei nicht, dass die Interessen der Betroffenen in der Gänze zurücktreten müssen, sobald Interessen und Rechte des Verantwortlichen tangiert sein könnten. Vielmehr ist dieser gehalten, im Sinne eines angemes­ senen Grundrechtsausgleichs Informationen derart auszugestalten, dass bei­

252

Dritter Teil: Die Einwilligung

spielsweise weder die Geheimnisoffenbarung noch die Unterinformation droht. Die „Pseudonymisierung des Geschäftsgeheimnisses“ könnte dabei ein probates Mittel darstellen. IV. Vertrauensbildende Maßnahmen als Risiko- und damit Informationsminimierung Bislang konnte gezeigt werden, dass die Anforderungen an die informierte Einwilligungserklärung für den Verantwortlichen regelmäßig einen Ritt auf der Rasierklinge darstellen: Weder darf der Betroffene unterinformiert noch überinformiert werden, wobei zugleich auch die Interessen des Verantwortli­ chen gebührend zu berücksichtigen sind. Bezieht man nunmehr kaum prog­ nostizierbare Risiken wie beispielsweise Fernwirkungen, Manipulationen oder technische Defekte mit ein, verschärft sich das Informationsdilemma in Abhängigkeit zur Komplexität des Verarbeitungsvorgangs nochmals deut­ lich. Mit Blick darauf, dass aber die Informationen den Betroffenen letztlich dazu befähigen sollen, das Risiko der Datenpreisgabe hinreichend abzuschät­ zen, stellt sich die Frage, ob der Verantwortliche weitergehende Risikomini­ mierungsmaßnahmen ergreifen könnte, welche korrespondierend dazu die Informationspflicht begrenzen. Mit anderen Worten: Lässt sich der erforder­ liche Informationsumfang durch vertrauensbildende Maßnahmen seitens des Verantwortlichen möglicherweise zusätzlich begrenzen oder sind die „Risi­ ken und Nebenwirkungen“ der Verarbeitung detailliert anzugeben? Ziel der vorliegenden Arbeit kann es dabei nicht sein, den interdisziplinär vielschich­ tigen Begriff des Vertrauens vollständig aufzubereiten.732 Vielmehr sollen wesentliche Aspekte des Vertrauens im Kontext des (Datenschutz-)Rechts erarbeitet werden (1.), um darauf gründend die Möglichkeit zur Begrenzung der Informationspflichten durch Vertrauensmaßnahmen aufzuzeigen (2.). 1. Vertrauen im Kontext des Datenschutzrechts Allen Aufklärungs-, Transparenz- und Informationspflichten zum Trotz bleibt es dabei, dass der Betroffene die Kontrolle über seine Daten spätestens zum Zeitpunkt der Abgabe der Erklärung weitestgehend aus der Hand gibt. Systembedingte Unwägbarkeiten wie beispielsweise Manipulationsanfällig­ keit, technische Störungen oder menschliches Versagen können seitens der Betroffenen schlechterdings nicht kontrolliert werden.733 Dementsprechend 732  Vgl. 733  Vgl.

dazu etwa Jandt, Vertrauen im Mobile Commerce, S. 41 ff. Heckmann, K&R 2010, 1 (7); Grimm / Bräunlich, DuD 2015, 289 (293).



Kap. 4: Die materiellen Einwilligungsvoraussetzungen253

ist fraglich, ob die Einwilligung letztlich nur dann als informiert gelten kann, wenn der Betroffene über alle Unwägbarkeiten, Risiken und / oder potentiel­ len Schäden des Verarbeitungsvorgangs aufgeklärt wird. Der entsprechende „Beipackzettel“ würde aber nicht nur die vorab dargestellten Grundsätze sprengen, die Antizipation aller Risiken ist mit Blick auf die Komplexität der Verarbeitungssysteme regelmäßig nicht durchführbar.734 Unter Berücksichti­ gung dessen kommt es in Betracht, dass der Verantwortliche den Fokus nicht auf das Verarbeitungsrisiko, sondern vielmehr auf den Verarbeitungsschutz legt und dadurch Vertrauen auf Seiten der Betroffenen erzeugt. Dem liegt der Gedanke zugrunde, dass Vertrauen dazu beitragen kann, systeminhärente Komplexität zu reduzieren:735 „Wer vertraut, kann auch in Situationen han­ deln, deren Komplexität er nicht vollständig durchschaut.“736 a) Zum Begriff des Vertrauens Wenngleich sowohl die nationale737 als auch die supranationale Rechtsord­ nung738 auf den Begriff des Vertrauens rekurrieren,739 handelt es sich um keinen originären Rechtsbegriff, sodass auch hier der Rückgriff auf eine au­ ßerrechtliche Begriffsbestimmung – jedenfalls in gebotener Kürze – erkennt­ nisversprechend ist.740 Der Begriff des Vertrauens lässt sich nach dem Rechtssoziologen Luhmann grundlegend als „Überbrückung eines Unsicherheitsmoments“, als „riskante Vorleistung“ des Vertrauenden umschreiben.741 Obwohl dem Vertrauensvor­ schuss stets das Risiko des Vertrauensbruchs innewohnt („Vertrauen bleibt 734  Vgl. Solove, Harvard Law Review 2013, 1880 (1893); Gaycken, DuD 2015, 346 (347). 735  Vgl. dazu grundlegend: Luhmann, Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität, S. 27. 736  So Boehme-Neßler, MMR 2009, 439; in diesem Sinne ebenfalls statt vieler: Heckmann, K&R 2010, 1 (7); Heckmann, K&R 2010, 770 (777); Heussen, CR 2004, 1 (2); Gaycken, DuD 2011, 346 (347); Eichenhofer, Der Staat 55 (2016), 41 (67); Jandt, Vertrauen im Mobile Commerce, S. 41; DIVSI, Vertrauen in Kommunikation im digitalen Zeitalter, S. 31. Abrufbar unter: https: /  / www.divsi.de / wp-content / up loads / 2017 / 12 / DIVSI-Vertrauen2018.pdf, zuletzt abgerufen am 12.10.2018. 737  Vgl. beispielsweise die Vorschriften zu Rücknahme beziehungsweise Widerruf eines Verwaltungsaktes, §§ 48, 49 VwVfG. 738  von Bogdandy, EuR 2017, 487 (497) spricht insofern vom „Vertrauen als Fluchtpunkt der europäischen Rechtsstaatlichkeit“. 739  Vgl. dazu auch Eichenhofer, Der Staat 55 (2016), 41 (52). 740  So auch von Bogdandy, EuR 2017, 487 (499); Jandt, Vertrauen im Mobile Commerce, S. 42. 741  Luhmann, Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität, S. 27.

254

Dritter Teil: Die Einwilligung

ein Wagnis“)742, erweitert der Vertrauende seine Handlungsoptionen durch die damit jedenfalls für ihn verbundene (subjektive) Komplexitätsreduktion im Einzelfall.743 Da eine tatsächliche Kontrolle durch den Betroffenen auf­ grund der Komplexität des Sachverhalts regelmäßig nicht durchführbar ist, setzt dieser auf die Integrität des Vertrauensnehmers: Es kommt zur Erset­ zung äußerer Unsicherheiten über den in Frage stehenden Vorgang durch die innere Sicherheit über das Vertrauenssubjekt oder auch -objekt.744 Freilich ist damit keine reelle Reduktion verbunden, vielmehr ist das Vertrauen „[…] eine Ersatzformel für das Ursprungsproblem der Komplexität.“745 Mit Blick auf die Digitalisierung der Gesellschaft ist die interpersonelle Dimension des Vertrauens durch eine weitergehende strukturelle Dimension zu ergänzen, welche Luhmann als Systemvertrauen bezeichnet.746 Fixpunkt des Vertrauens ist dabei nicht eine bekannte Person, sondern vielmehr das Funktionieren eines bestimmten Systems.747 Insgesamt lässt sich damit festhalten, dass das Instrument des Vertrauens herangezogen werden kann, um undurchsichtige beziehungsweise überkom­ plexe Sachverhalte zu bewältigen, wodurch zugleich die Handlungsoptionen des Vertrauenden erweitert werden.748 b) Übertragbarkeit auf datenschutzrechtliche Sachverhalte So sehr der Patient seinem Arzt oder der Fahrzeugführer dem verkehrsge­ rechten Verhalten der weiteren Teilnehmer im Straßenverkehr vertrauen kann, darf und muss,749 so sehr stellt sich die Frage, ob ein gleichgelagertes Vertrauensverhältnis auch zwischen datenschutzrechtlich Betroffenen und Verantwortlichen konstruiert werden kann. Auf ein solches könnte jedenfalls dann geschlossen werden, wenn das Verhältnis Verantwortlicher-Betroffener mit den vorab aufgezählten Gruppen vergleichbar wäre. Diesbezüglich gilt 742  Luhmann,

Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität,

743  Luhmann,

Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität,

744  Luhmann,

Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität,

745  Luhmann,

Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität,

S. 31. S. 30. S. 32. S. 38.

746  Luhmann, Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität, S.  60 ff. 747  Luhmann, Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität, S. 64. 748  So Boehme-Neßler, MMR 2009, 439 (440) im Kontext des Internets. 749  Beispiele angelehnt an Grimm / Meier / Rothmund, DuD 2015, 283.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen255

es, Charakteristika der vorab benannten und anerkannten Vertrauensverhält­ nisse zu abstrahieren und auf das System des Datenschutzes zu übertragen. Hierbei lässt sich festhalten, dass sich das Vertrauensverhältnis zwischen Arzt und Patient maßgeblich sowohl in der Höchstpersönlichkeit der Be­ handlung als auch in der evidenten Wissensasymmetrie zwischen Leistungs­ erbringer und Leistungsnehmer begründet.750 Der Erfolg der Behandlung beruht dabei auf einem wechselseitigen Vertrauensverhältnis: Der Arzt kann nur auf Grundlage des Patientenvertrauens optimal behandeln, der Patient wiederum muss dem Arzt dahingehend vertrauen, dass dieser ihn erfolgver­ sprechend behandelt.751 Neben der Überbrückung etwaiger Wissensasymme­ trien ist dem Vertrauen im Kontext des Arzt-Patienten-Verhältnisses also auch eine operative (Funktionsfähigkeit) sowie eine soziale (höchstpersön­ liche) Komponente beizumessen. Ein vergleichbares Ergebnis lässt sich auch aus dem Kontext des Straßen­ verkehrs ableiten. Regelmäßig darf der Verkehrsteilnehmer entsprechend dem aus § 1 Abs. 2 StVO folgenden Grundsatz darauf vertrauen, dass sich die übrigen Teilnehmer am Straßenverkehr ebenfalls an die geltenden Ver­ kehrsregeln halten.752 Müsste der Verkehrsteilnehmer stets mit einem (nicht vorhersehbaren) Fehlverhalten der übrigen Fahrzeugführer rechnen, würde dies den fließenden Verkehr in einer nicht hinnehmbaren Weise einschrän­ ken.753 Begrenzend gilt der Vertrauensgrundsatz allerdings nur für denjeni­ gen, der selbst ein verkehrsgerechtes Verhalten an den Tag legt.754 Mit Blick darauf, dass auch der Straßenverkehr einer zunehmenden Automatisierung und Vernetzung unterliegt, verschieben und erweitern sich die gleichwohl anerkannten Vertrauensinstanzen. Innerhalb des technisierten Straßenverkehrs begrenzt sich das Vertrauen des Fahrzeugführers nicht nur auf das Verhalten der weiteren Verkehrsteilnehmer. Vielmehr bilden Risikominimierung sowie Funktionsfähigkeit der hochkomplexen Fahrzeugsysteme weitere Vertrauens­ bezugsobjekte.755 Darüber hinaus darf beziehungsweise muss der Verkehrs­ teilnehmer, auch unter Berücksichtigung der mit der Automatisierung ver­ 750  Lipp,

Rn. 4.

in: Laufs / Katzenhammer / Lipp, Arztrecht, II. Ärztliches Berufsrecht

751  Schaar, Wie viel Datenschutz braucht ein digitales Gesundheitssystem?, in: Stiftung Datenschutz, Big Data und E-Health, S. 142. 752  von Bodungen / Hoffmann, NZV 2016, 503 (504); Heß, in: Burmann / Heß / Hüh­ nermann / Jahnke, Straßenverkehrsrecht, § 1 StVO Rn. 25. 753  Freymann, in: Geigel, Haftpflichtprozess, 27. Kapitel Rn. 12. 754  Heß, in: Burmann / Heß / Hühnermann / Jahnke, Straßenverkehrsrecht, § 1 StVO Rn. 25. 755  Zu Risiko und Sicherheit im Kontext des autonomen Fahrens: Schulz, NZV 2017, 548 ff.

256

Dritter Teil: Die Einwilligung

bundenen Haftungsverschiebungen,756 zunehmend auch auf die Funktions­ fähigkeit der Infrastruktur vertrauen. So hält die Ethik-Kommission „Automatisiertes und Vernetztes Fahren“ in ihrem Bericht aus dem Jahr 2017 fest: „Die dem Menschen vorbehaltene Verantwortung verschiebt sich bei automatisierten und vernetzten Fahrsys­ temen vom Autofahrer auf die Hersteller und Betreiber der technischen Systeme und die infrastrukturellen, politischen und rechtlichen Entschei­ ­ dungsinstanzen.“757 Wenn aber mit dem Verlust der Eigenverantwortlichkeit eine Verschiebung des Haftungsrisikos anerkannt wird, muss dazu korres­ pondierend auch das vorgelagerte Vertrauen darauf, dass es zu keinem Haf­ tungsfall kommt, bejaht werden. In diesem Sinne lässt sich auch die Ethikbe­ stimmung verstehen, welche vorsieht, dass das „[automatisierte] Fahren […] nur in dem Maße vertretbar [ist], in dem denkbare Angriffe, insbesondere Manipulationen des IT-Systems oder auch immanente Systemschwächen nicht zu solchen Schäden führen, die das Vertrauen in den Straßenverkehr nachhaltig erschüttern.“758 Mithin lässt sich konstatieren, dass das autonome und vernetzte Verkehrswesen einem Vertrauensvorbehalt seitens der Ver­ kehrsteilnehmer untersteht. Kann diesem nicht mehr entsprochen werden, ist die Automatisierung und Vernetzung des Verkehrswesens nicht beziehungs­ weise nicht mehr vertretbar. Abstrahiert lässt sich am Beispiel des (vernetzten) Straßenverkehrs festhal­ ten, dass das Vertrauen der Rezipienten der erforderliche Katalysator ist, um hochkomplexe Systeme zu etablieren und fortzuentwickeln. Weder hat der Verkehrsteilnehmer detaillierte Kenntnisse über die Funktionsweise der auto­ matisierten Infrastruktur im Allgemeinen noch über die des automatisierten Fahrzeugs im Speziellen, substituiert diese Unkenntnis jedoch durch ein be­ rechtigtes systemisches Vertrauen in die wirtschaftlichen und politischen Akteure. Wenngleich es sich, im Unterschied zu dem vorab beschriebenen Arzt-Patienten-Vertrauensverhältnis, in erster Linie um ein strukturelles Ver­ trauen handelt, bedingt auch dieses die Funktionsfähigkeit des vernetzten Verkehrssystems. Nur wenn die Verkehrsteilnehmer darauf vertrauen können, dass fundamentale Rechtsgüter wie die körperliche Unversehrtheit trotz ver­ 756  Vgl. zu den teils kontrovers diskutierten Haftungsfragen im Rahmen des auto­ matisierten Fahrens statt vieler Borges, NJW 2018, 977 (980); Nehm, JZ 2018, 398 (400); Greger, NZV 2018, 1 ff.; Balke, SVR 2018, 5 (6); Armbrüster, ZRP 2017, 83 ff. 757  Ethik-Kommission Automatisiertes und Vernetztes Fahren, Bericht 2017. Ethi­ sche Regeln für den automatisierten und vernetzen Fahrzeugverkehr Nr. 10, S. 11. Abrufbar unter: https: /  / www.bmvi.de / SharedDocs / DE / Publikationen / DG / berichtder-ethik-kommission.pdf?__blob=publicationFile, zuletzt abgerufen am 12.10.2018. 758  Ethik-Kommission Automatisiertes und Vernetztes Fahren, Bericht 2017, Ethi­ sche Regeln für den automatisierten und vernetzen Fahrzeugverkehr Nr. 14, S. 12.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen257

meintlichen Kontrollverlusts unversehrt bleiben, kann das entsprechende System angewandt werden. Eine zumindest vergleichbare vertrauensbedingte Abhängigkeit findet sich auch innerhalb des Datenschutzrechts, mit der Folge, dass die zentralen, vorab benannten Gedanken jedenfalls übertragbar sind. Auch im Kontext des Verarbeitungsprozesses wird der Betroffene (der „Datenverkehrsteilnehmer“) höchstpersönlich759 mit hochkomplexen Verarbeitungssystemen („Datenver­ kehrsinfrastruktur“) sowie mit unterschiedlichsten Verantwortlichen (Herstel­ ler, Entwickler, Betreiber, Regulierer) konfrontiert.760 Auch hier zeigt sich, dass der Betroffene insbesondere unter den bereits dargestellten Einschrän­ kungen761 kaum in der Lage ist, sich mit allen Bedingungen der Verarbei­ tung hinreichend vertraut zu machen, sodass ihm letztlich nur der Ausweg über das Vertrauen in den Verantwortlichen verbleibt. Erweist sich dieser als integer, hat das zwar, wie bereits dargestellt, keine objektive Komplexitätsre­ duktion zur Folge, die Unsicherheiten des komplexen (äußeren) Verarbei­ tungsvorgangs bleiben bestehen. Diese können allerdings durch die (innere) Sicherheit, dass ein vertrauenswürdiger Verantwortlicher diesen kontrolliert, kompensiert und damit in der subjektiven Komplexitätswahrnehmung redu­ ziert werden. Mithin ist auch im Kontext des Datenschutzrechts die Substituierung des unsicheren Wissens über die Verarbeitung durch das sichere Wissen über die Integrität des Verarbeiters ein mögliches Mittel zur Komplexitäts- und damit Informationsreduktion.762 2. Vertrauensbildende Maßnahmen zur Reduktion der Informationspflichten Wenngleich die strukturelle Vergleichbarkeit und damit einhergehend die Heranziehbarkeit eines Vertrauenstatbestandes im Kontext des Datenschutz­ rechts festgestellt werden konnte, ist damit noch nichts darüber gesagt, wie letztlich das möglicherweise informationsbegrenzende Vertrauen im spezifi­ schen Fall hergestellt werden kann. Konkret ist zu hinterfragen, anhand welcher Maßnahmen der Verantwortliche den Verarbeitungsprozess vertrau­ enswürdig ausgestalten kann und wie sich eine entsprechende Ausgestaltung auf die Informationspflichten im Rahmen der Einwilligungserklärung auswir­ ken kann. 759  Vgl. zur Höchstpersönlichkeit der Einwilligungserklärung die Ausführungen unter Dritter Teil Kap. 2 A. I. 760  Vgl. dazu auch Gaycken, DuD 2011, 346 (347). 761  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 3 B. I. 762  Gaycken, DuD 2011, 346 (347).

258

Dritter Teil: Die Einwilligung

Die Generierung eines vertrauenswürdigen Verarbeitungsprozesses stellt eine erhebliche Herausforderung dar. Es gibt kein „Urvertrauen“ der Betrof­ fenen in Datenverarbeitungsprozesse, vielmehr ist der Verantwortliche gehal­ ten, dieses durch überprüfbare Maßnahmen auf Seiten der Betroffenen zu erzeugen.763 Die Ausgangslage ist dabei vor dem Hintergrund jüngster Da­ tenschutzskandale764 denkbar schwierig, da die Sorge vor Datenmissbrauch durch die Verantwortlichen zwischenzeitlich tief verwurzelt ist765. Für die Verantwortlichen gilt es daher umso mehr proaktiv Anreize zu schaffen, an­ hand derer die Betroffenen die Vertrauenswürdigkeit des Verantwortlichen beurteilen können.766 Es ist also eine positive Erwartungshaltung der Betrof­ fenen hinsichtlich der Funktions- und Datenschutzkonformität des Verarbei­ tungsprozesses zu erzeugen,767 wobei die folgenden Ausführungen keinesfalls abschließend, sondern vielmehr beispielhaft zu verstehen sind. a) Transparente Verarbeitungsprozesse Ein zentrales Vertrauensinstrument ist die Gewährleistung transparenter Verarbeitungsprozesse.768 Mit Blick auf die eingangs proklamierte These, dass Vertrauen dazu beitragen kann, die Informationspflichten im Rahmen 763  So Weichert, Der transparente Verbraucher, in: Klumpp / Kubicek / Roßna­ gel / Schulz (Hrsg.), Informationelles Vertrauen für die Informationsgesellschaft, S. 326. 764  Hier sei stellvertretend für viele auf den Cambridge-Analytica-Fall aus dem Frühjahr 2018 hingewiesen, der die millionenfache Auswertung von Facebook-Kon­ ten zum Gegenstand hatte. Vgl. dazu etwa Kühl, Zeit-Online v. 4. April 2018, „Bis zu 87 Millionen Facebook-Nutzer betroffen“. Abrufbar unter: https: /  / www.zeit.de / digi tal / internet / 2018-04 / datenmissbrauch-facebook-zuckerberg-cambridge-analytica, zu­ letzt abgerufen am 12.10.2018. 765  Allem voran innerhalb des Internets ist die Sorge vor dem Datenmissbrauch evident. Einer Umfrage der Infratest dimap in Zusammenarbeit mit der ARD ergab für das Frühjahr 2018, dass jedenfalls 46 Prozent der Umfrageteilnehmer große Sorge vor dem Missbrauch ihrer persönlichen Daten im Internet haben. Vgl. Infratest dimap & ARD, Haben Sie [Internetnutzer] sehr große Sorge, große Sorge, geringe Sorge oder keine Sorge vor einem Missbrauch Ihrer persönlichen Daten im Internet? Abruf­ bar unter: https: /  / de.statista.com / statistik / daten / studie / 1758 / umfrage / aussagen-zumthema-datenschutz-in-deutschland / , zuletzt abgerufen am 12.10.2018. 766  Vgl. Kubicek, Vertrauen durch Sicherheit – Vertrauen in Sicherheit. Annähe­ rung an ein schwieriges Verhältnis, in: Klumpp / Kubicek / Roßnagel / Schulz (Hrsg.), Informationelles Vertrauen für die Informationsgesellschaft, S. 22. 767  Vgl. dazu auch Jandt, Vertrauen im Mobile Commerce, S. 52 ff. 768  Vgl. Boehme-Neßler, MMR 2009, 439, 441; Weber, in: Hoeren / Sieber / Holz­ nagel, Multimedia-Recht, 46. EL. Januar 2018, Teil 2 Rn. 60; Schantz / Wolff, Das neue Datenschutzrecht, Rn. 1149; Kuhlen, Vertrauen in elektronischen Räumen, in: Klumpp / Kubicek / Roßnagel / Schulz (Hrsg.), Informationelles Vertrauen für die Infor­ mationsgesellschaft, S. 42.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen259

der Einwilligungserklärung zu „entschlacken“, stellt sich hierbei die Frage, ob die vorgesehene Reduktion der Informationen nicht in einem Zielkonflikt mit dem Vertrauensmedium Transparenz steht. Vergegenwärtigt man sich al­ lerdings nochmals die Funktion und damit verbunden auch die Eigenständig­ keit des Merkmals der Transparenz im Sinne der DSGVO,769 so ist darauf abzustellen, dass Transparenz eben nicht eine Frage der Quantität, sondern letztlich der Qualität der Informationsaufbereitung ist. Freilich lässt sich Transparenz nicht erzeugen, wenn konstitutive Informationsbestandteile fehlen,770 umgekehrt verwehrt eine reduzierte aber präzise und damit letzt­ lich umso verständlichere Erklärung nicht einen darauf basierenden Vertrau­ enstatbestand. Vielmehr kommt eine Studie des Centre for the Study of European Contract Law im Auftrag der Europäischen Kommission sogar zu fol­ gender Annahme: „It seems that if there is a different way than actually reading the privacy notices for the consumers to conclude that an online store is trustworthy, this increases trust […]“.771 In diesem Sinne ist die Relation zwischen Transparenz und Vertrauen der­ gestalt zu verstehen, dass der Verantwortliche geeignete Maßnahmen ergrei­ fen muss, um den Betroffenen den Verarbeitungsvorgang tatsächlich zu ver­ gegenwärtigen. Es kommt gerade nicht auf eine In-Extenso-Erklärung an, welche im Zweifel gegen die subjektiven Hürden auf Seiten der Betroffenen verstößt,772 sondern darauf, den Betroffenen mit dem Verarbeitungsprozess vertraut zu machen.773 Transparenz schafft Vertrauen, auch innerhalb der Vorgaben des Datenschutzrechts: Nicht aber durch die Provokation eines ­Information Overload, sondern vielmehr durch die Pflicht zur Etablierung nachvollziehbarer Verarbeitungsvorgänge im Sinne des Art. 5 Abs. 1 lit. a DSGVO.

769  Vgl.

dazu die Ausführungen unter Dritter Teil Kap. 3 B. III. dazu die Ausführungen unter Dritter Teil Kap. 4 B. I. 771  Centre for the Study of European Contract Law, Study on consumers’ attitude towards Terms and Conditions (T&Cs) Final Report, S. 23. Abrufbar unter: https: /  /  papers.ssrn.com / sol3 / papers.cfm?abstract_id=2847546, zuletzt abgerufen am 12.10. 2018. 772  Nach Jandt bedarf es zum Vertrauensaufbau jedenfalls eines „[Mindestmaßes] an Informationen über das Vertrauensobjekt“, vgl. Jandt, Vertrauen im Mobile Com­ merce, S. 53; vgl. zu den Mindestanforderungen auch die Ausführungen unter Drit­ ter Teil Kap. 4 B. I. 773  So auch Weber, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil  2 Rn. 58. 770  Vgl.

260

Dritter Teil: Die Einwilligung

b) Zertifizierungsverfahren sowie korrespondierende Datenschutzsiegel Vertrauen ist aber nicht nur eine Frage der Transparenz. Vertrauen kann insbesondere im digitalen Kontext vielschichtig generiert werden. Um den Betroffenen ein Sicherheitsgefühl vermitteln zu können, kann daran gedacht werden, sowohl digitale als auch analoge Ansprechpartner zur Verfügung zu stellen oder aber regelmäßige Mitteilungen über die Verarbeitung zu übermit­ teln („informationelle Wellness“)774. Maßgebliche und letztlich entscheidende Bedeutung kommt aber dem As­ pekt der Datensicherheit zu.775 Als Teilaspekt des Datenschutzes beschäftigt sich die Datensicherheit mit der Vertraulichkeit, Verfügbarkeit, Integrität so­ wie der Belastbarkeit776 der verarbeitenden Systeme, also insbesondere mit technischen und organisatorischen Maßnahmen zum Schutz der Daten.777 Zur Generierung von Vertrauen durch Datensicherheit sollte insbesondere sichergestellt werden, dass es nicht zur Weitergabe der personenbezogenen Daten an Dritte kommt und dass wirksame Maßnahmen zum Schutz der Daten ergriffen werden.778 Wenngleich diesbezüglich zahlreiche Handlungsoptionen denkbar sind,779 begrenzen sich die nachfolgenden Ausführungen (insbesondere mit Blick auf 774  So Kuhlen, Vertrauen in elektronischen Räumen, in: Klumpp / Kubicek / Roß­ nagel / Schulz (Hrsg.), Informationelles Vertrauen für die Informationsgesellschaft, S. 49. 775  Härting, in: Härting, Internetrecht, Teil A Rn. 267; Kubicek, Vertrauen durch Sicherheit – Vertrauen in Sicherheit. Annäherung an ein schwieriges Verhältnis, in: Klumpp / Kubicek / Roßnagel / Schulz (Hrsg.), Informationelles Vertrauen für die Infor­ mationsgesellschaft, S. 24; zu diesem Ergebnis gelangt auch die Studie „Total Retail 2017“, derer zur Folge „Datensicherheit […] für das Kundenvertrauen unverzichtbar [ist]“, vgl. pwc, Total Retail 2017 – Sechs Trends, die den Handel nachhaltig verän­ dern. Abrufbar unter: https: /  / www.pwc.de / de / handel-und-konsumguter / studie-totalretail-2017.pdf, zuletzt abgerufen am 12.10.2018. 776  Neben den bekannten Schutzzielen der IT-Sicherheit integriert die DSGVO nunmehr zudem das Erfordernis der Belastbarkeit, welches allen voran die Wider­ standsfähigkeit der Verarbeitungssysteme im Blick hat, vgl. dazu m. w. N. Gonscherowski / Hansen / Rost, DuD 2018, 442 ff.; Jandt, in: Kühling / Buchner, DSGVO / BDSG, Art. 32 DSGVO Rn. 26; Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 1. Überarbeitung Rn. 376. 777  Vgl. zum Begriff der Datensicherheit statt vieler Schallbruch, CR 2017, 798 (802); Rüpke / v. Lewinski / Eckhardt, Datenschutzrecht, § 19 Rn. 6; Jandt, in: Küh­ ling / Buchner, DSGVO / BDSG, Art. 32 Rn. 22; Kramer / Meints, in: Hoeren / Sieber /  Holznagel, Multimedia-Recht, Teil 16.5 Rn. 3; 778  Grimm / Bräunlich, DuD 2015, 289 (293). 779  Eine umfassende Darstellung über zu ergreifende Maßnahmen im Kontext der IT- und Datensicherheit bietet das zwischenzeitlich jährlich erscheinende IT-Grund­ schutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik. Das



Kap. 4: Die materiellen Einwilligungsvoraussetzungen261

den Fokus der vorliegenden Arbeit) exemplarisch auf das im nationalen Recht bereits bekannte und nunmehr auch im europäischen Kontext regu­ lierte Instrument der Zertifizierung.780 So sieht Art. 42 Abs. 1 Satz 1 DSGVO vor, dass die Einführung von datenschutzspezifischen Zertifizierungsverfah­ ren sowie von Datenschutzsiegeln und –prüfzeichen, welche dem Nachweis der DSGVO-Konformität dienen, insbesondere auf Unionsebene gefördert werden soll. Darin kann eine erfolgversprechende Möglichkeit erblickt wer­ den, sowohl Transparenz als auch Datensicherheit zu gewährleisten und da­ mit das Vertrauen der Betroffenen in den Verantwortlichen zu stärken bezie­ hungsweise zurückzugewinnen.781 Allgemein lässt sich festhalten, dass im Rahmen der Zertifizierung die Einhaltung bestimmter Qualitätsstandards unabhängig davon, ob diese pro­ dukt-, dienstleistungs- oder betriebsbezogen sind, durch unabhängige Dritte kontrolliert, bewertet und ausgezeichnet wird.782 Die Zertifizierung beschreibt demnach den Überprüfungs- und Kontrollvorgang, die daran anschließende Siegelvergabe die abschließende Auszeichnung.783 Mit Blick auf den Verbreitungsgrad etwaiger TÜV-Plaketten ist davon auszugehen, dass eine entsprechende sachgerechte datenschutzrechtliche Zer­ tifizierung allen voran in Deutschland auf eine umfassende Akzeptanz treffen könnte.784 Dabei können Gütesiegel insbesondere für den Fall, dass der Ver­ antwortliche dem Betroffenen noch nicht bekannt ist, dazu beitragen, dass es zur Vertrauensbildung kommt. So stellte statista im Jahr 2017 allgemein für den Bereich des e-Commerce fest, dass 58 Prozent der Nutzer einem noch unbekannten Online-Shop mehr vertrauen, wenn dieser entsprechende Siegel Grundschutz-Kompendium (zuvor Grundschutz-Katalog) verfolgt dabei das Ziel, an­ hand einzelner standardisierter Bausteine einen angemessenen Schutz der Informatio­ nen innerhalb der jeweiligen Institution zu erreichen, vgl. Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium. Stand: Februar 2018, S. 3. 780  Eine unverbindliche Normierung der Zertifizierung respektive Auditierung etwaiger Verarbeitungsprozesse fand sich bereits in § 9a BDSG a. F. Da das in § 9a Satz 2 BDSG a. F. vorgesehene Ausführungsgesetz unterblieb, wurde die Vorschrift lediglich als „Programmnorm“, als „Merkposten für den Gesetzgeber“, charakteri­ siert, vgl. Karper, PinG 2016, 201 (203); Feik / v. Lewinski, ZD 2014, 59 m. w. N. 781  Vgl. Erwägungsgrund 100 DSGVO; in diesem Sinne bereits Krüger, ZRP 2016, 190 (191); Feik / v. Lewinski, ZD 2014, 59; Bergt, in: Kühling / Buchner, DSGVO / BDSG, Art. 42 DSGVO Rn. 4; Meissner, Datenschutzgütesiegel als ver­ trauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, in: Bogendorfer (Hrsg.), Datenschutzgespräche 2011 – Datenschutz im Unternehmen, S. 105. 782  Thiel / Fiedler, DuD 2018, 434. 783  So i. E. auch Raschauer, in: Sydow, DSGVO, Art. 42 Rn. 1. 784  So Eckert, in: DIVSI, Vertrauen in Kommunikation im digitalen Zeitalter, S. 55.

262

Dritter Teil: Die Einwilligung

aufweisen kann.785 Auch die bereits zitierte Studie des Centre for the Study of European Contract Law hält fest: „Moreover, the presence of alternatives to reading (i. e privacy seals, the reputation of a brand, prior experience with the brand or the online store belongs to a well-known company) [is] posi­ tively related to trusting the notices […]“.786 Die DSGVO greift diese Möglichkeit auf und gibt vor, dass die Betroffe­ nen anhand des Zertifizierungsverfahrens sowie korrespondierender Daten­ schutzsiegel „[…] einen raschen Überblick über das Datenschutzniveau ein­ schlägiger Produkte und Dienstleistungen […]“787 erhalten sollen. Die Zerti­ fizierung soll dabei gem. Art. 45 Abs. 5 Satz 1 DSGVO durch eine akkredi­ tierte Zertifizierungsstelle im Sinne des Art. 43 DSGVO oder aber durch die zuständigen Aufsichtsbehörden erfolgen.788 Für den Verantwortlichen hat die Zertifizierung jedoch nicht zur Folge, dass dessen datenschutzrechtlicher Pflichtenkanon reduziert wird, vielmehr dient die Zertifizierung allein dem Nachweis, dass die Vorgaben der DSGVO bei der Verarbeitung umfassend eingehalten werden.789 Nach den Vorgaben des Art. 42 Abs. 7 Satz 1 DSGVO wird die Zertifizierung für eine Höchstdauer von drei Jahren erteilt, wobei die Möglichkeit zur Verlängerung besteht, sofern die Voraussetzungen für eine Zertifizierung unverändert vorliegen. In diesem Sinne lassen die Vorgaben der DSGVO keinen Zweifel daran, dass die Zertifizierung respektive die entsprechende Auszeichnung durch ein Siegel ein probates Mittel zur Vertrauenskreation ist. Chance und Risiko des Einsatzes etwaiger Siegel hängt aber maßgeblich von deren konkreter Aus­ gestaltung ab. Hierbei gilt es zu beachten, dass der Einsatz entsprechender Siegel einer Heuristik, also einer kognitiven Daumenregel,790 gleich­ kommt.791 Das Siegel zerschlägt den gordischen Informationsknoten, aller­ dings zum Preis korrespondierender „Informationsdefizite“ auf Seiten der Betroffenen. Mit Blick auf die bereits umfassend dargestellten Risiken infor­ 785  Statista, Gütesiegel für Online-Shops, S. 7. Abrufbar unter: https: /  / de.statista. com / statistik / studie / id / 45126 / dokument / guetesiegel-fuer-online-shops-bekanntheit ---vertrauen---beachtung / , zuletzt abgerufen am 12.10.2018. 786  Centre for the Study of European Contract Law, Study on consumers’ attitude towards Terms and Conditions (T&Cs) Final Report, S. 23. Abrufbar unter: https: /  /  papers.ssrn.com / sol3 / papers.cfm?abstract_id=2847546, zuletzt abgerufen am 12.10. 2018. 787  Erwägungsgrund 100 DSGVO. 788  Spindler, ZD 2016, 407 (409); Hofmann, ZD-Aktuell 2016, 05324. 789  Hofmann, ZD-Aktuell 2016, 05324; Spindler, ZD 2016, 407 (409); Bergt, in: Kühling / Buchner, DSGVO / BDSG, Art. 42 DSGVO Rn. 27; von Braunmühl / Wittmann, in: Plath, DSGVO / BDSG, Art. 42 DSGVO Rn. 13. 790  Vgl. dazu bereits umfassend unter Dritter Teil Kap. 3 B. I. 1. 791  ConPolicy, Wege zur besseren Informiertheit im Datenschutz, S. 81.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen263

mationeller Abkürzungen darf das Siegel daher nicht als Nebelkerze im In­ formationsdickicht missbraucht werden. Vertrauenswürdige Siegel aber kön­ nen maßgeblich dazu beitragen, sowohl den Informationsumfang als auch die zu investierende Zeit auf Seiten des Betroffenen deutlich zu reduzie­ ren.792 In der Folge kommt es damit zu einer weiteren Vertrauensbindung auf Seiten des Verantwortlichen, der gehalten ist, zur Schaffung von Vertrauen durch Datenschutzsiegel auf vertrauenswürdige Zertifizierungsstellen zu­ rückzugreifen. Dabei spielen nicht nur datenschutzrechtliche Aspekte eine Rolle, vielmehr kann die „substanzlose“ Verwendung etwaiger Siegel zu­ dem einen abmahnfähigen Wettbewerbsverstoß darstellen.793 Insbesondere kommt bei der nicht substantiierten Verwendung eines Datenschutzsiegels ein Verstoß gegen § 3 Abs. 3 UWG i. V. m. Nr. 2 des korrespondierenden Gesetzesanhangs („Blacklist“) in Betracht, der die Verwendung von Güte­ zeichen, Qualitätskennzeichen oder Ähnlichem ohne die erforderliche Ge­ nehmigung als stets wettbewerbswidrig klassifiziert.794 Unter Berücksichti­ gung der zwischenzeitlichen Vielzahl an Zertifizierungs- beziehungsweise Gütesiegelangeboten795 benennt Meissner drei Schlüsselfaktoren, welche bei der Beurteilung der Vertrauenswürdigkeit des Zertifizierungsangebots be­ rücksichtigt werden sollten: Transparenz, (Über‑)Prüfbarkeit sowie Glaub­ würdigkeit.796 Wenngleich auch nach den Vorgaben der DSGVO kein Zertifizierungsmo­ nopol seitens der Aufsichtsbehörden normiert wird,797 kann jedenfalls die dort angelegte europaweite Vereinheitlichung des Zertifizierungswesens maßgeblich zur Rechtssicherheit auf Seiten der Verantwortlichen beitragen. Zwar finden sich auch innerhalb der DSGVO nur bedingt Vorgaben hinsicht­ 792  ConPolicy,

Wege zur besseren Informiertheit im Datenschutz, S. 81. in: Forgó / Helfrich / Schneider, Betrieblicher Daten­ schutz, Teil VIII Kapitel 4 Rn. 111. 794  Bergt, in: Kühling / Buchner, DSGVO / BDSG, Art. 42 DSGVO Rn. 36. 795  Vgl. nur Stiftung Datenschutz, Übersicht zu Zertifizierung und Gütesiegeln im Datenschutz, Stand: Februar 2017. Abrufbar unter: https: /  / www.stiftungdatenschutz. org / fileadmin / Redaktion / PDF / Zertifizierungsuebersicht / SDS-Zertifizierungsueber­ sicht_02_2017.pdf, zuletzt abgerufen am 12.10.2018. 796  Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Bei­ spiel des europäischen EuroPriSe-Zeichens, in: Bogendorfer (Hrsg.), Datenschutzge­ spräche 2011 – Datenschutz im Unternehmen, S. 106 m. w. N. 797  Meissner geht sogar davon aus, dass auch nach den Vorgaben der DSGVO Zertifizierungen überwiegend von Privaten erteilt werden, vgl. Meissner, Aktiv voran: Neue Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO – Vortrag im Rahmen der ULD Sommerakademie 2017. Abrufbar unter: ­https: /  / www.datenschutzzentrum.de / uploads / sommerakademie / 2017 / SAK17_IB09 b_Meissner_Zertifizierung.pdf, zuletzt abgerufen am 12.10.2018. 793  Conrad / Dovas / Klatte,

264

Dritter Teil: Die Einwilligung

lich der Ausgestaltung der Zertifizierung,798 zumindest aber wird auch dem durch Meissner bereits proklamierten Aspekt der Transparenz maßgebliche Bedeutung beigemessen. Mithin stellt Art. 42 Abs. 3 DSGVO klar, dass die Zertifizierung nicht nur freiwillig erfolgen, sondern zudem über ein transpa­ rentes Verfahren zugänglich sein muss. Transparenz im Sinne der Norm versteht sich dabei nicht nur bezogen auf die Zugänglichkeit des Zertifizie­ rungsverfahrens durch den Dienstleister, vielmehr sollen auch die Modalitä­ ten des Verfahrens vom Gebot der Transparenz umfasst sein.799 Dabei wird der Möglichkeit der Zertifizierung durch ein Europäisches Datenschutzsiegel gem. Art. 42 Abs. 5 Satz 2 DSGVO, auch mit Blick auf die intendierte euro­ paweite Vereinheitlichung des Datenschutzrechts, gesonderte Bedeutung beizumessen sein. Mithin können Zertifizierungsstellen respektive Aufsichts­ behörden das Zertifizierungsverfahren unter Verleihung eines Europäischen Datenschutzsiegels abschließen, wenn deren Zertifizierungskriterien durch den Europäischen Datenschutzausschuss genehmigt wurden.800 Es bleibt abzuwarten, ob sowohl der Europäische Datenschutzausschuss als auch die Kommission die Chance ergreifen, den europäischen Zertifizie­ rungsmarkt zu vereinheitlichen. Dabei wäre eine einheitliche Kennzeichnung, Staffelung und gegebenenfalls farbliche Ausgestaltung der Datenschutzsie­ gel, welche dem Betroffenen auf einen Blick das Gefahrenpotential des Ver­ arbeitungsprozesses nahelegen, eine sinnvolle und wünschenswerte Adaption bereits bekannter und bewährter Kennzeichnungen.801 c) Die praktische Ausgestaltung Als Vorbild einer möglichen Ausgestaltung könnte dabei die in § 12 Abs. 1 Jugendschutzgesetz (JuSchG) normierte Kennzeichnungspflicht für Bildträ­ ger mit Filmen oder Spielen dienen. Die Vorschrift sieht vor, dass Bild- und oder Spieledatenträger nur dann für Kinder und Jugendliche öffentlich zu­ gänglich gemacht werden dürfen, wenn diese vorab durch die oberste 798  Eine weitergehende Konkretisierung soll nach den Vorgaben des Art.  43 Abs. 8 DSGVO vielmehr durch die Kommission anhand delegierter Rechtsakte gem. Art. 92 DSGVO erfolgen. Zu den Charakteristika delegierter Rechtsakte vgl. bereits die Ausführungen unter Erster Teil Kap. 2 B. II. 2. 799  Will, in: Ehmann / Selmayr, DSGVO, Art. 42 Rn. 23; Paal, in: Paal / Pauly, ­DSGVO / BDSG, Art. 42 DSGVO Rn. 11; Bergt, in: Kühling / Buchner, DSGVO /  BDSG, Art. 42 DSGVO Rn. 11; so auch bereits Meissner, Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens, in: Bogendorfer (Hrsg.), Datenschutzgespräche 2011 – Datenschutz im Unternehmen, S. 106. 800  Vgl. dazu m. w. N. Will, in: Ehmann / Selmayr, DSGVO, Art. 42 Rn. 34 ff. 801  So Krüger, ZRP 2016, 190 (191).



Kap. 4: Die materiellen Einwilligungsvoraussetzungen265

­ andesbehörde oder eine Organisation der freiwilligen Selbstkontrolle frei­ L gegeben und gekennzeichnet worden sind.802 Aufbauend auf dem Ansatz Krügers803 wäre es denkbar, Datenschutzgütesiegel entsprechend der auf Grundlage des § 14 Abs. 2 JuSchG eingeführten und hinreichend bekannten fünfstufigen USK-Alterskennzeichnung zu gestalten. Allen voran bei Diens­ ten, welche sich an Kinder und Jugendliche richten, könnte es sich anbieten, eine solche Auszeichnung im Rahmen der Einwilligungserklärung zu etablie­ ren. Anhand der folgenden Tabelle soll exemplarisch dargestellt werden, wie eine entsprechende Ausgestaltung erfolgen könnte. Insbesondere die Merk­ male Datensicherheit, Transparenz (Komplexität) sowie die Art der zu verar­ beitenden Daten sollen dabei, analog zu den Gewaltanteilen im Rahmen der USK-Einstufung, maßgebliche Kriterien der Einordnung bilden. Mit Blick auf die Komplexität des Datenschutzes im Allgemeinen kann die nachfol­ gende Tabelle freilich keinen Anspruch auf Vollständigkeit entfalten, viel­ mehr soll aufgezeigt werden, dass bereits hinreichend bekannte und bewährte Siegelinstrumente vorhanden sind, welche entsprechend innerhalb daten­ schutzrechtlicher Kontexte etabliert werden könnten.804

802  Vgl. dazu jüngst Hilgert / Sümmermann, CR 2016, 104; Rauda, Recht der Com­ puterspiele, Teil M. Jugendschutz Rn. 500 ff. 803  Vgl. Krüger, ZRP 2016, 190 (191). 804  Vgl. zur folgenden Ausgestaltung und Bedeutung der Alterskennzeichen für Computer- und Videospiele: USK, Kinder und Jugendliche schützen. 2013, S. 16 ff. Abrufbar unter: http: /  / www.usk.de / fileadmin / documents / USK_Broschuere_Dt.pdf, zuletzt abgerufen am 12.10.2018.

„Freigegeben ohne Altersbeschränkung“:

Nr. 1

Erfasst werden könnten beispielsweise rein inländische Verarbeitungsprozesse unter Pseudonym und / oder hinreichen­ der Verschlüsselung. Dem zugrundelie­ genden Dienst kommt es nicht auf die Person des Betroffenen an.

Übertragen auf das Datenschutzrecht könnten Verarbeitungsprozesse, welche hinreichend hohe technische und organisatorische Maßnahmen gewähr­ leisten, entsprechende Zertifikationen aufweisen, auf klaren und transparen­ ten (nichtkomplexen) Prozessen basieren, personenbezogene Daten nicht an Drittstaaten übermitteln oder zu kommerziellen Zwecken weiterver­ äußern, eine entsprechende Kennzeich­ nung erhalten.

„Datenschutzrechtlich unbedenklich“:

USK-Kennzeich- Datenschutzrechtliche Entsprechung nung

805

DSR-Kennzeich­ nung

805  Vorliegendes Icon soll beispielhaft darstellen, wie eine mögliche einheitliche Zertifizierung ausgestaltet werden könnte. Das Icon wurde bei www.icons8.de entnommen. Dieses Werk ist lizenziert unter einer Creative Commons Lizenz Namensnennung – Keine Be­ arbeitungen 3.0 Unportet (CC BY-ND 3.0), abrufbar unter: https: /  / creativecommons.org / licenses / by-nd / 3.0 / deed.de.

Nach den Vorgaben der USK charakte­ risieren sich Spiele ohne Altersbe­ schränkung als „[…] Spiele, die sich sowohl direkt an Kinder und Jugend­ liche als auch an Erwachsene als Käuferschicht richten. […] Sie enthalten keine Gewaltdarstellungen und konfrontieren Kinder nicht mit nachhaltig ängstigenden Situationen. […] Der ruhigere Spielaufbau setzt auch jüngere Kinder nicht unter einen hohen Handlungsdruck.“ Erfasst werden insbesondere Sportspiele, Geschicklichkeitsspiele, Jump’n’Runs sowie Simulationen oder Adventures.

Spielinhalte

§ 14 Abs. 2 JuSchG

266 Dritter Teil: Die Einwilligung

Eine entsprechende Kennzeichnung bietet sich bei Verarbeitungsvorgängen an, welche zwar umfassend daten­ schutzfreundlich ausgestaltet, quantita­ tiv und qualitativ allerdings (umfassen­ der) auf personenbezogene Daten des Betroffenen angewiesen sind.

Spiele, welche nach Ansicht der USK eine Altersfreigabe ab sechs Jahren erhalten, „[…] [dürfen] bereits spannender und wettkampfbetonter ausfallen […]. Die Spielaufgaben sind temporeicher und erfordern Grundfer­ tigkeiten der Hand-Auge-Koordination. […] Sind Kampfdarstellungen enthalten, können sie mit der Alltags­ wirklichkeit nicht verwechselt werden, sondern werden märchenhaft oder abstrakt-symbolisch präsentiert.“ Regelmäßig erhalten insbesondere Rennspiele, Rollenspiele, gegebenen­ falls auch Jump’n’Runs sowie Simulationen eine entsprechende Kennzeichnung. 806

(Fortsetzung nächste Seite)

Die Ausgestaltung des Verarbeitungs­ prozesses nimmt bereits an Komplexi­ tät zu, ist aber auch für den durch­ schnittlichen Betroffenen noch verständlich.

„Geringes Gefahrenpotential“:

„Freigeben ab sechs Jahren“:

806  Vorliegendes Icon soll beispielhaft darstellen, wie eine mögliche einheitliche Zertifizierung ausgestaltet werden könnte. Das Icon wurde bei www.icons8.de entnommen. Dieses Werk ist lizenziert unter einer Creative Commons Lizenz Namensnennung – Keine Be­ arbeitungen 3.0 Unportet (CC BY-ND 3.0), abrufbar unter: https: /  / creativecommons.org / licenses / by-nd / 3.0 / deed.de.

Nr. 2

Kap. 4: Die materiellen Einwilligungsvoraussetzungen267

Stützt sich der Dienst maßgeblich auf personenbezogene Daten des Betroffe­ nen, kompensiert dies aber durch hinreichende Ausgestaltungs-, Siche­ rungs- und oder Zertifizierungsmaß­ nahmen, ist eine entsprechende Kennzeichnung geboten.

Eine Altersfreigabe ab zwölf Jahren kommt in Betracht, wenn das Spiel zwar „deutlich kampfbetonter“, regelmäßig aber in einem „histori­ schen, futuristischen oder märchenhaftmystischen Kontext angesiedelt“ ist. Die Inszenierung bleibt auch für 12-jährige deutlich erkennbar, wobei insbesondere Gewaltdarstellungen einen niedrigen Realitätsgrad aufwei­ sen, sich nicht auf Alltagssituationen übertragen lassen und kein Modell der Konfliktlösung darstellen. Erfasst werden insbesondere Arcade-, Strategiespiele und Rollenspiele.

807

DSR-Kennzeich­ nung

807  Vorliegendes Icon soll beispielhaft darstellen, wie eine mögliche einheitliche Zertifizierung ausgestaltet werden könnte. Das Icon wurde bei www.icons8.de entnommen. Dieses Werk ist lizenziert unter einer Creative Commons Lizenz Namensnennung – Keine Be­ arbeitungen 3.0 Unportet (CC BY-ND 3.0), abrufbar unter: https: /  / creativecommons.org / licenses / by-nd / 3.0 / deed.de.

Die Komplexität des Verarbeitungspro­ zesses übersteigt grundlegende Kenntnisse, eine vertiefte (weiterfüh­ rende) Auseinandersetzung mit dem Verarbeitungsvorgang wird empfohlen.

„Sorgfalt geboten“:

„Freigegeben ab zwölf Jahren“:

Nr. 3

USK-Kennzeich- Datenschutzrechtliche Entsprechung nung

Spielinhalte

§ 14 Abs. 2 JuSchG

(Fortsetzung Tabelle)

268 Dritter Teil: Die Einwilligung

Eine entsprechende Einordnung rechtfertigt sich in den Fällen, in denen die Verarbeitung umfassend auf personenbezogenen Daten des Betroffenen beruht, wobei auch die Einbeziehung sensibler Daten in Betracht kommt. Darüber hinaus ist die Weitergabe der Daten an Dritte sowie gegebenenfalls die Weiterverar­ beitung unter Zweckänderung nicht ausgeschlossen. Die Komplexität der Verarbeitung lässt sich ohne weiterfüh­ rende Kenntnisse innerhalb des jeweili­ gen Anwendungsbereichs nicht ohne weiteres erschließen.

Eine Altersfreigabe ab sechzehn Jahren erfolgt regelmäßig dann, wenn Spiele auch Gewalthandlungen inszenieren, wobei bewaffnete Kämpfe oder militärische Missionen die Rahmen­ handlung bilden. Dabei bieten die Spiele jedoch keine sozialschädigenden Handlungsoptionen, Gewalthandlungen bleiben klar als Spiel erkennbar. Im Fokus der Spiele stehen oftmals strategische, taktische sowie TeamplayElemente. Spielekategorien mit einer Freigabe ab sechzehn Jahren sind oftmals Action-Adventures, (militäri­ sche) Strategiespiele sowie teilweise auch Shooter. 808

(Fortsetzung nächste Seite)

„Erhöhtes Gefahrenpotential“

„Freigegeben ab sechzehn Jahren“:

808  Vorliegendes Icon soll beispielhaft darstellen, wie eine mögliche einheitliche Zertifizierung ausgestaltet werden könnte. Das Icon wurde bei www.icons8.de entnommen. Dieses Werk ist lizenziert unter einer Creative Commons Lizenz Namensnennung – Keine Be­ arbeitungen 3.0 Unportet (CC BY-ND 3.0), abrufbar unter: https: /  / creativecommons.org / licenses / by-nd / 3.0 / deed.de.

Nr. 4

Kap. 4: Die materiellen Einwilligungsvoraussetzungen269

Handelt es sich bei dem Verarbeitungs­ vorgang um einen solchen, der umfassend auf personenbezogenen Daten beruht, mithin auch sensible Daten wie beispielsweise Gesundheits­ daten einbezieht, Zweckänderungen und oder Veräußerungen vorsieht sowie einen hohen Abstraktions- und Komplexitätsgrad aufweist, kommt das Kennzeichen „hohes Gefahrenpoten­ tial“ in Betracht.

Spiele ohne Jugendfreigabe fokussieren sich auf gewalthaltige Spielkonzepte, wobei eine düstere, häufig bedrohliche Atmosphäre erzeugt und thematisiert wird. Die Atmosphäre und Glaubwür­ digkeit des Spielgeschehens verhindern eine Distanzierung des Spielers. Insbesondere Ego-Shooter, ActionAdventure oder aber auch OpenWorld-Spiele erhalten oftmals keine Jugendfreigabe. Sofern sich das Spiel nicht nur als jugendbeeinträchtigend, sondern als jugendgefährdend im Sinne des § 18 Abs. 1 JuSchG darstellt, ist das Spiel nach den Vorgaben der Bundesprüfstelle für jugendgefährden­ de Medien (BPjM) in die Liste jugendgefährdender Medien aufzuneh­ men (Indizierung). Eine USKKennzeichnung kommt in diesen Fällen nicht mehr in Betracht.

809

DSR-Kennzeich­ nung

809  Vorliegendes Icon soll beispielhaft darstellen, wie eine mögliche einheitliche Zertifizierung ausgestaltet werden könnte. Das Icon wurde bei www.icons8.de entnommen. Dieses Werk ist lizenziert unter einer Creative Commons Lizenz Namensnennung – Keine Be­ arbeitungen 3.0 Unportet (CC BY-ND 3.0), abrufbar unter: https: /  / creativecommons.org / licenses / by-nd / 3.0 / deed.de.

„Hohes Gefahrenpotential“:

„Keine Jugendfreigabe“:

Nr. 5

USK-Kennzeich- Datenschutzrechtliche Entsprechung nung

Spielinhalte

§ 14 Abs. 2 JuSchG

(Fortsetzung Tabelle)

270 Dritter Teil: Die Einwilligung



Kap. 4: Die materiellen Einwilligungsvoraussetzungen271

3. Zwischenergebnis „Vertraue, aber prüfe nach“?810 Ein hehres Ziel, dessen Geltungsanspruch in Relation zur Komplexität des jeweiligen Kontexts an Gültigkeit verlieren muss. Die Kontrolle beziehungsweise die Nachprüfung durch den Einzelnen, ist im Rahmen der digitalisierten Gesellschaft schlechterdings kaum mehr möglich. Es obliegt daher dem Arzt, dem Hersteller, dem Entwickler, dem Betreiber und letztlich auch dem datenschutzrechtlich Verantwortlichen die mit der Komplexitätszunahme korrespondierenden Kontrolldefizite auszu­ gleichen. Es gilt eine positive Erwartungshaltung seitens der Betroffenen zu erzeugen, wobei jedenfalls eine subjektive Reduktion der Komplexität an­ hand eines Vertrauensfundaments kreiert werden kann. Mit Blick auf die eingangs aufgeworfene These, dass Vertrauen dazu beitragen kann, Informa­ tionspflichten zu reduzieren, kann festgehalten werden, dass dies durchaus denkbar ist: Subjektive Sicherheit substituiert in diesem Sinne objektives Nichtwissen. Die konkrete Umsetzung und Ausgestaltung steht dabei allerdings vor dem Problem der Vertrauenserzeugung. Die Skepsis gegenüber potentiellen Ver­ trauensnehmern ist insbesondere im datenschutzrechtlichen Kontext weit­ verbreitet und tief verwurzelt. Vertrauen muss erarbeitet werden, wobei nicht nur der Transparenzgedanke von Relevanz ist. Vielmehr konnte gezeigt werden, dass allen voran der Fokus auf Datensicherheitsmaßnahmen dazu beitragen kann, das Vertrauen der Betroffenen in die jeweiligen Verarbei­ tungsvorgänge zurückzugewinnen. Vielversprechend ist dabei der vorgestellte und rechtlich novellierte Ansatz der Datenschutzzertifizierung. Doch auch dieser steht unter der Bedingung einer alsbaldigen, einheitlichen, aussage­ kräftigen und verständlichen Ausgestaltung durch Kommission und Daten­ schutzausschuss. V. Informationsbegrenzung durch den Einsatz von Bildsymbolen Im engen Zusammenhang mit den zuvor beschriebenen Datenschutzsie­ geln steht der Einsatz standardisierter Piktogramme mit dem Ziel der visua­ lisierten Vermittlung einzelner Informationsbestandteile. Piktogramme, oft­ mals auch Bildsymbole respektive im digitalen Kontext Icons genannt,811 810  „Dowerjai, no prowerjai“, ein gängiges russisches Sprichwort, welches insbe­ sondere dem russischen Politiker Wladimir I. Lenin zugeschrieben wird, vgl. Duden Band 12 – Zitate und Aussprüche, S. 569. 811  Im Unterschied zur Symbolik, welche oftmals gewohnten und praktizierten Umgangsformen entspringt, werden Piktogramme ausdrücklich zur Bezeichnung ei­ nes bestimmten Gegenstandes oder Verhaltens eingesetzt, vgl. Röhl / Ulbrich, Recht

272

Dritter Teil: Die Einwilligung

finden sich seit jeher insbesondere im Straßenverkehr812 sowie bei der Kenn­ zeichnung von Lebensmitteln813 oder Gefahrstoffen814. Auch im Rahmen di­ gitaler Anwendungen lässt sich ein vermehrter Einsatz der Piktogramme, beispielsweise bei der Kennzeichnung von Creative-Commons-Lizenzen,815 feststellen.816 Ihr Anwendungsbereich ist allerdings keinesfalls auf die ge­ nannten Praxisbeispiele begrenzt. Vielmehr bieten Piktogramme auch inner­ halb des Datenschutzrechts die Möglichkeit, schnell, einfach, kostensparend über kognitive Grenzen hinweg verständlich zentrale Informationsbestand­ teile „auf einen Blick“ zu übermitteln817. Allen voran bei Diensten der Infor­ mationsgesellschaft wie etwa bei E-Mail-Services, sozialen Netzwerken oder auch bei schlichten Webseiten kann an den Einsatz datenschutzrechtlicher Piktogramme gedacht werden.818 Die grundlegende Idee der grafischen Auf­ wertung entsprechender Datenschutzerklärungen wird bereits seit längerem diskutiert,819 erfährt aber durch die Regelungen der DSGVO einen zusätzli­ chen regulativen Impuls. Im Kontext der Arbeit stellt sich dabei die Frage, ob und wie weit entsprechende Bildsymbole auch bei der Ausgestaltung der Einwilligungserklärung herangezogen werden können, um den Informations­ bestandteil der Erklärung aufzuwerten (dazu unter 1.). Im Anschluss sollen bereits vorhandene Ansätze, auch mit Blick auf die Möglichkeit delegierter Rechtsakte durch die Kommission, dargestellt und untersucht werden (2.).

anschaulich, S. 58. Boehme-Neßler spricht insofern von einem normativen Bild, wel­ ches Hinweise, Ge- und Verbote enthält, vgl. Boehme-Neßler, BilderRecht, S. 60. 812  Vgl. dazu etwa Metz, NZV 2018, 60 ff. 813  Vgl. dazu Hentschel, VuR 2015, 55 ff. 814  Vgl. dazu bereits Tonner / Brieske, BB 1996, 913 (917). 815  Vgl. dazu https: /  / creativecommons.org / licenses / ?lang=de, zuletzt abgerufen am 12.10.2018. 816  Vgl. dazu m. w. N. Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services, S. 10 ff. 817  So auch Richter, PinG 2017, 65; Greve, in: Sydow, DSGVO, Art. 12 Rn. 31; Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fi­ scher-Hübner et al., Privacy and Identity Management for Life, S. 340. 818  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 340. 819  Vgl. nur Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Con­ fidence in Digital Services; van den Berg / van der Hof, What happens to my data? A novel approach to informing users of data processing practices, first Monday 2012. Abrufbar unter: http: /  / firstmonday.org / ojs / index.php / fm / article / view / 4010 / 3274doi: 10.5210 / fm.v17i7.4010, zuletzt abgerufen am 12.10.2018; Holtz / Nocun / Hansen, To­ wards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 338 ff.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen273

1. Die Vorgaben der DSGVO – Anwendbarkeit im Kontext der Einwilligung Den Vorgaben der DSGVO ist die Verwendung von Bildsymbolen nicht un­ bekannt. Einen normativen Anhaltspunkt bietet Art. 12 Abs. 7 DSGVO, wel­ cher den Einsatz standardisierter Bildsymbole jedenfalls im Rahmen der nach­ gelagerten Informationspflichten ausdrücklich vorsieht. Mithin können Infor­ mationen, die den betroffenen Personen gem. Art. 13 und 14 DSGVO bereit­ zustellen sind, in Kombination mit standardisierten Bildsymbolen aufbereitet werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehba­ rer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu übermitteln.820 Mit Blick auf die bereits dargelegte und gebotene Differen­ zierung zwischen den Informationspflichten gem. Art. 12 ff. DSGVO und dem Erfordernis der informierten Einwilligung stellt sich aber auch hier die Proble­ matik der Übertragbarkeit der Norm. Der Wortlaut des Art. 12 Abs. 7 DSGVO verdeutlicht, dass sich der unmittelbare Anwendungsbereich der Vorschrift ausschließlich auf die Vorgaben der Art. 13, 14 DSGVO bezieht.821 Mithin ist davon auszugehen, dass der Verordnungsgeber bei der Integration der Pikto­ gramme in den Verordnungstext mehr allgemeine Datenschutzerklärungen und weniger die Vorgaben der Einwilligungserklärung im Blick hatte.822 Dass Piktogramme im Sinne des Art. 12 Abs. 7 DSGVO aber auch im Kon­ text der Einwilligungserklärung herangezogen werden können und sollten, wird im Ergebnis von mehreren Seiten bejaht, ohne allerdings die Frage der Normanwendbarkeit weiter zu untersuchen.823 Auch Franck spricht sich für die Erweiterung des Anwendungsbereichs der Norm, beispielsweise auf Aus­ kunfts- und Mitteilungspflichten, aus und begründet dies maßgeblich damit, dass die Bildsymbole auch nach den Vorgaben der DSGVO lediglich ergän­ zenden Charakter aufweisen, es also ohnehin eines (erläuternden) Textkorpus bedarf:824 Die Informationen können auch nach Art. 12 Abs. 7 DSGVO aus­ schließlich in Kombination mit standardisierten Bildsymbolen bereitgestellt werden825. 820  In

diesem Sinne Erwägungsgrund 60 Satz 6 DSGVO. auch Petri, DuD 2018, 347 (348); Heckmann / Paschke, in: Ehmann / Sel­ mayr, DSGVO, Art. 12 Rn. 53; Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art. 12 DSGVO Rn. 19; Franck, in: Gola, DSGVO, Art. 12 Rn. 50. 822  Vgl. Albrecht, CR 2016, 88 (93). 823  Vgl. Veil, NVwZ 2018, 686 (688); Pollmann / Kipker, DuD 2016, 378 (380); Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 64. 824  Franck, in: Gola, DSGVO, Art. 12 Rn. 50. 825  In diesem Sinne auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 54, welche daraus folgern, dass die Betroffenenrechte in jedem Fall ge­ wahrt bleiben. 821  So

274

Dritter Teil: Die Einwilligung

Darüber hinaus sprechen für die jedenfalls mittelbare Anwendbarkeit der Norm im Rahmen der Einwilligungserklärung aber auch teleologische Erwä­ gungen. Wenngleich die Vorgaben des Art. 12 Abs. 7 DSGVO die Einwilli­ gung augenscheinlich nicht im Blick hatten, wäre die Annahme, dass die vorgelagerten Informationspflichten nicht von dessen rechtlicher Innova­ tionskraft erfasst sein sollen, widersprüchlich. Mithin kann es nicht Sinn und Zweck der Transparenzvorschrift sein, dass lediglich nachgelagerte Informa­ tionsbestandteile grafisch aufgewertet werden können, nicht aber solche, welche den Verarbeitungsprozess maßgeblich in Gang setzen. Vielmehr be­ gründet sich der Zweck der Piktogramme gerade allgemein darin, Informa­ tionsbestandteile durch die Reduktion des Textanteils transparenter zu gestalten,826 sodass eine Differenzierung zwischen Informationen im Sinne des Art. 4 Nr. 11 DSGVO und solchen im Sinne der Art. 12 ff. DSGVO in diesem Fall nicht angezeigt ist. Zudem spricht aber auch die bereits umfas­ send behandelte Formfreiheit der Einwilligungserklärung827 dafür, dass auch Piktogramme zur Informationsvermittlung herangezogen werden können. Wenn bereits die mündliche Einholung der Einwilligungserklärung und da­ mit korrespondierend auch die mündliche Informationserteilung denkbar ist, muss der Einsatz entsprechender Bildsymbole erst recht im Rahmen einer elektronischen oder schriftlichen Erklärung möglich sein. Insbesondere letz­ tere erfordert, wie auch die Datenschutzerklärung, leicht wahrnehmbare, verständliche und klar nachvollziehbare Formen, welche einen aussagekräfti­ gen Überblick über die beabsichtigte Verarbeitung vermitteln können. Ent­ scheidend wird auch hier sein, dass es zu einer raschen Standardisierung der Datenschutz-Bildsymbole, wie bereits in Art. 12 Abs. 7 DSGVO vorgesehen, kommt. 2. Umsetzungsvorschläge Wie eingangs erwähnt, wird die Idee des Datenschutzpiktogramms jeden­ falls im Kontext der Datenschutzerklärungen seit geraumer Zeit diskutiert. Entsprechend zahlreich finden sich Lösungs- und Umsetzungsvorschläge, welche längst nicht umfassend in der vorliegenden Arbeit aufgearbeitet wer­ den können.828 Stattdessen gilt es zunächst zu untersuchen, welche Kriterien an das Piktogramm gestellt werden sollten, um einen möglichst hohen Infor­ mationsnutzen zu erzielen (a)). Daran anschließend sollen ausgewählte Aus­ 826  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2018 EN Guidelines on transparency under Regulation 2016 / 679, WP 260 rev. 01, S. 31 Ziffer 52. 827  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 3 B. II. 828  Jedenfalls eine Auflistung aktueller Projekte findet sich bei Conpolicy, Wege zur besseren Informiertheit im Datenschutz, S. 63 ff.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen275

gestaltungsmöglichkeiten mit Blick auf die zuvor genannten Kriterien unter­ sucht und auf deren Praktikabilität geprüft werden (dazu unter b)). a) Anforderungen an ein gelungenes Datenschutzpiktogramm Bereits im Jahr 2010 benannten Holtz / Nocun / Hansen fünf zentrale und überzeugende Kriterien, die bei der Ausgestaltung entsprechender Daten­ schutzpiktogramme herangezogen werden sollten.829 Dabei führen die Auto­ ren zunächst an, dass das Datenschutzpiktogramm grundsätzlich gleicherma­ ßen für alle potentiell Betroffenen, unabhängig von deren sozialen, intellek­ tuellen, rechtlichen, kulturellen und geographischen Hintergründen, verständ­ lich sein muss.830 Berücksichtigt man dabei allerdings die weltweit differenten Datenschutzperspektiven, werden die Verantwortlichen gerade durch diese Anforderung vor eine erhebliche Herausforderung gestellt.831 Unabhängig davon, dass auch im Kontext der Piktogramme der Aspekt der Adressatenspezifizierung nicht außer Acht gelassen werden sollte,832 könnte der Rückgriff auf die Prinzipien der Organization for Economic Cooperation and Development („OECD“) zum Umgang mit personenbezogenen Daten833 ein erster, global bekannter und anerkannter Ankerpunkt darstellen.834 Die Ausgestaltung der Piktogramme nach Maßgabe der acht Fair-InformationPrinciples würde zugleich für eine quantitative und damit positive Begren­ zung vorhandener Bildsymbole sorgen.835 In diesem Sinne bieten die Grund­ 829  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 338 ff.; diesen ebenfalls folgend: Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Con­ fidence in Digital Services, S. 21 ff. 830  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 342. 831  Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services, S. 24. 832  Vgl. dazu bereits die Ausführungen unter Dritter Teil Kap. 3 B. III. 833  Recommendation of the Council Concerning Guidelines Governing the Pro­ tection of Privacy and Transborder Flows Of Personal Data (1980). Abrufbar unter: http: /  / www.oecd.org / sti / ieconomy / 49710223.pdf, zuletzt abgerufen am 12.10.2018. 834  So van den Berg / van der Hof, What happens to my data? A novel approach to informing users of data processing practices, first Monday 2012. Abrufbar unter: http: /   firstmonday.org / ojs / index.php / fm / article / view / 4010 / 3274doi:10.5210 / fm. v17i7.4010, zuletzt abgerufen am 12.10.2018. 835  Für eine allgemeine quantitative Begrenzung sprechen sich insbesondere Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services, S. 24 aus.

276

Dritter Teil: Die Einwilligung

sätze der Datensparsamkeit836, der Datenrichtigkeit837, der Zweckbindung beziehungsweise lediglich eingeschränkter Zweckänderung838, der Daten­ sicherheit839, der Transparenz840, der Wahrung der Betroffenenrechte841 und auch der Grundsatz der Rechenschaftspflicht842 einen globalen normativen Ankerpunkt bei der Ausgestaltung der Piktogramme. Mit Blick darauf, dass verschiedene Farben assoziativ vorbelastet sind so­ wie teils nicht durch alle Rezipienten gleichermaßen wahrgenommen werden können (beispielsweise aufgrund einer Rot-Grün-Schwäche)843, ist eine schwarz-weiße Ausgestaltung vorzugswürdig844. Weiterhin kommt es maß­ geblich darauf an, „zeitlose“ Piktogramme zu verwenden, wobei insbeson­ dere auf ein technologieneutrales Design geachtet werden sollte.845 Darüber hinaus sollte bei der Ausgestaltung der Bildsymbole auf eine möglichst ein­ fache Darstellung geachtet werden, wobei die Komplexität des Piktogramms in Relation zur Größe stehen sollte.846 Mit anderen Worten: Je kleiner das Piktogramm, desto einfacher sollte dessen Ausgestaltung erfolgen. Zur Kom­ plexitätsreduktion könnte insbesondere auch daran gedacht werden, für ver­ schiedene Anwendungsfelder unterschiedliche (aber standardisierte und spe­ zifizierte) Piktogramme zu gestalten.847 Zuletzt sollten die Piktogramme ei­ nem einheitlichen Design folgen, sprich das Symbolset sollte nach einheit­ lichen Maßgaben ausgestaltet und standardisiert sein.848 836  Die OECD-Richtlinie spricht insofern vom Grundsatz der begrenzten Daten­ erhebung, vgl. diesbezüglich Art. 5 Abs. 1 lit. c DSGVO. 837  Die OECD-Richtlinie spricht insofern vom Grundsatz der Datenqualität, vgl. diesbezüglich Art. 5 Abs. 1 lit. d DSGVO. 838  Vgl. diesbezüglich Art. 5 Abs. 1 lit. b DSGVO. 839  Die OECD-Richtlinie spricht insofern vom Grundsatz der Sicherung, vgl. diesbezüglich Art. 5 Abs. 1 lit. f DSGVO. 840  Die OECD-Richtlinie spricht insofern vom Grundsatz der Offenheit, vgl. dies­ bezüglich Art. 5 Abs. 1 lit. a DSGVO. 841  Die OECD-Richtlinie spricht insofern vom Grundsatz des Mitspracherechts. 842  Vgl. diesbezüglich Art. 5 Abs. 2 DSGVO. 843  Darauf ebenfalls hinweisend Heckmann / Paschke, in: Ehmann / Selmayr, ­DSGVO, Art. 12 Rn. 20. 844  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 340. 845  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 344 verwei­ sen dabei beispielsweise darauf, dass eine Diskette als Speichersymbol zwischenzeit­ lich nicht mehr als solches erkannt werden könnte. 846  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 345. 847  Edwards / Abel, CREATe Working Paper 2014 / 2015  – The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services, S. 22.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen277

Insgesamt lässt sich damit festhalten, dass das ideale Datenschutzpikto­ gramm auf Sozial- und Technologiereferenzen verzichtet, farblich sowie in­ haltlich schlicht, dafür aber innerhalb des Sets einheitlich ausgestaltet ist. b) Die praktische Ausgestaltung Vorab soll in Kürze sowohl auf den Umsetzungsvorschlag des Europäi­ schen Parlaments als auch auf die nunmehr vorgesehene Möglichkeit dele­ gierter Rechtsakte durch die Kommission eingegangen werden (aa)). Stell­ vertretend für die zahlreichen Ansätze soll anschließend das Iconset des CC-Projekts Privicons anhand der zuvor ermittelten Kriterien untersucht und fortentwickelt werden (bb)). aa) V  orschlag des Europäischen Parlaments – Delegierte Rechtsakte der Kommission Bereits während der Verhandlungen zur DSGVO wurden erste Vorschläge zur Ausgestaltung der Datenschutz-Piktogramme durch das Europäische Par­ lament eingebracht. Art. 13a Abs. 2 des Parlamentsentwurfs sah vor, dass Hinweise im Sinne des Art. 13a Abs. 1849 nach Maßgabe des Anhangs zum Parlamentsentwurf in Tabellenform geordnet mit Text und Symbolen in drei Spalten aufzuführen sind. Während die erste Spalte vorgeschriebene Pikto­ gramme beinhalten sollte, welche die Hinweise im Sinne des Art. 13a Abs. 1 symbolisieren, sollte die zweite Spalte ergänzende Erläuterungen aufweisen. Die dritte Spalte sollte wiederum piktographisch erläutern, ob der Hinweis im vorliegenden Fall zutreffend ist oder nicht.850 Mit Blick darauf, dass sich der Parlamentsentwurf im Rahmen des weiteren Abstimmungsprozesses nicht durchsetzen konnte,851 kommt es auf eine vertiefte Auseinandersetzung 848  Holtz / Nocun / Hansen, Towards Displaying Privacy Information with Icons, in: Fischer-Hübner et al., Privacy and Identity Management for Life, S. 345. 849  Unter anderem Hinweise zu Zweck, Zweckänderung, Weitergabe oder Verkauf der Daten an Dritte beziehungsweise Verschlüsselung der Daten, vgl. Art. 13a Abs. 1 DSGVO-Parlamentsentwurf. 850  Siehe dazu Legislative Entschließung des Europäischen Parlaments v. 12.03.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM (2012)0011 – C7-0025 / 2012 – 2012 / 0011(COD)), ABl. C 378 v. 09.11.2017, S. 490. Abrufbar unter: https: /  / eur-lex.europa.eu / legal-content / DE / TXT / PDF / ?uri=CELEX: 52014AP0212&from=EN, zuletzt abgerufen am 12.10.2018. 851  Richter, PinG 2017, 65 (66); Franck, in: Gola, DSGVO, Art. 12 Rn. 49; Knyrim, in: Ehmann / Selmayr, DSGVO, 2017, Art. 13 Rn. 20.

278

Dritter Teil: Die Einwilligung

mit den vorgeschlagenen Abbildungen nicht an852. Vielmehr einigte man sich im Rahmen der Trilog-Verhandlungen darauf, dass der Kommission gem. Art. 12 Abs. 8 i. V. m. Art. 92 Abs. 2 DSGVO die (wesentlich flexiblere)853 Befugnis zum Erlass delegierter Rechtsakte854 in der Sache eingeräumt wird855. Durch delegierten Rechtsakt sollen sowohl die Informationsarten, welche durch Bildsymbole darzustellen sind, als auch das entsprechende Verfahren zur Bereitstellung der standardisierten Bildsymbole geregelt wer­ den. Wenngleich in der juristischen Literatur umstritten, spricht sich der Wortlaut eindeutig dafür aus, dass der Kommission lediglich die Befugnis eingeräumt wird, die Informationsarten sowie die Ausgestaltung eines ent­ sprechenden Verfahrens zu bestimmen. Hingegen kann dem Wortlaut der Befugnisnorm nicht entnommen werden, dass es an der Kommission liegen soll, ebenfalls die (grafische) Ausgestaltung der entsprechenden Bildsymbole zu verantworten.856 Dabei überzeugt mit Blick auf den Wortlaut, dass sich die Befugnis der Kommission lediglich auf die Bestimmung der Informa­ tionsarten und des entsprechenden Verfahrensablaufs beschränken sollte.857 Darüber hinaus sprechen aber auch praktische Erwägungen für eine derartige Lesart der Norm: Mithin könnte die Kommission, beispielsweise auf Grund­ lage der vorab zitierten OECD-Richtlinien, acht Informationsbestandteile benennen, welche durch Piktogramme umzusetzen sind. Dazu korrespondie­ rend könnte ein entsprechendes Verfahren durch Kommission und Sachver­ ständige entwickelt werden, anhand dessen das erforderliche Maß an Stan­ dardisierung gewährleistet wird und den Verantwortlichen zugleich das Rüstzeug zur rechtssicheren Ausgestaltung an die Hand gibt. Vergleichbar mit den bereits dargestellten Zertifizierungsmechanismen sollte dabei die Möglichkeit der europaweiten Anerkennung der Piktogramme bestehen. Mit Blick auf die vorab dargestellten Kriterien an das gelungene Bildsymbol kann dabei eine gewisse weitergehende Flexibilität und Spezifizierung inner­ halb des konkreten Anwendungsfalls erreicht werden. Zwar ist der Verant­ wortliche auch in diesem Fall gehalten, die Standardisierungsmaßgaben der Kommission zu beachten, er kann die Piktogramme allerdings in gewissem 852  Kritisch zu Verständlichkeit und Praktikabilität des Parlamentsvorschlags u. a. Härting, CR 2013, 715 (716); Robrecht, EU-Datenschutzgrundverordnung: Transpa­ renzgewinn oder Information-Overkill, S. 49. 853  Darauf abstellend Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 57. 854  Zur Einordnung delegierter Rechtsakte im Gefüge des Unionsrechts vgl. die Ausführungen unter Erster Teil Kap. 2 B. II. 2. 855  Pollmann / Kipker, DuD 2016, 378 (381). 856  So aber Pollmann / Kipker, DuD 2016, 378 (381). 857  So jedenfalls auch Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art. 12 DSGVO Rn. 24; Franck, in: Gola, DSGVO, Art. 12 Rn. 30.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen279

Maß an seine Bedürfnisse anpassen und ausgestalten. Für diese Auslegung spricht zudem Erwägungsgrund 166 der DSGVO. Mithin sollen anhand des delegierten Rechtsaktes der Kommission die darzustellenden Informationen und das Verfahren zur Bereitstellung der Informationen geregelt werden, nicht aber die Ausgestaltung der Symbole.858 Geregelt werden soll also das „ob“, nicht das „wie“, wobei der angemessenen Konsultation auf Sachver­ ständigenebene besondere Bedeutung beizumessen ist.859 Gesteigerte Rele­ vanz wird dabei sicherlich die korrespondierende Stellungnahme des Euro­ päischen Datenschutzausschusses gem. Art. 70 Abs. 1 Satz 2 lit. r DSGVO entfalten. Insgesamt kann festgehalten werden, dass die grundsätzliche Möglichkeit der Aufwertung der Informationsbestandteile durch Piktogramme auch poli­ tisch anerkannt und in der Umsetzung forciert wird. In diesem Sinne obliegt es der Kommission, schnellstmöglich die Rahmenbedingungen zu schaffen, auf deren Grundlage die Visualisierung des Datenschutzrechts vorangetrie­ ben werden kann. bb) Privicons Wenngleich sich das im Jahr 2010 durch Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Universität Stanford gegründete Projekt ausschließlich auf den Datenschutz im Kontext des E-Mail-Verkehrs bezieht, kann anhand der dort verwendeten Icons eine gelungene Umsetzung der zuvor benannten Kriterien illustriert werden. Das Projekt verfolgt das Ziel, den Nutzern ein anpassungsfähiges, leicht verständ­ liches sowie open-source-gestütztes Werkzeug an die Hand zu geben, anhand dessen die Privatsphäre bei der E-Mail-Kommunikation gewahrt werden kann.860 Durch den Einsatz der sechs Privicons soll der Nutzer schnell, leicht verständlich sowie unkompliziert seine Privatheitspräferenz bezüglich der nachfolgenden E-Mail-Kommunikation bekanntgeben können.861 Dabei setzt das Projekt allerdings nicht auf technischen Zwang, der unter Umstän­ den Geräte- und / oder Softwarevoraussetzungen unterliegen würde, sondern vielmehr darauf, dass der E-Mail-Empfänger dem Wunsch des Senders nach­

858  Vgl.

Erwägungsgrund 166 Satz 2 DSGVO. Erwägungsgrund 166 Satz 3 DSGVO. 860  Forrest / Schallaböck, Privicons: An Approach to Communicating Privacy Pref­ erences Between Users, S. 1. Abrufbar unter: http: /  / www.privicons.org / files / privi conspaper_v2.pdf, zuletzt abgerufen am 12.10.2018. 861  Forrest / Schallaböck, Privicons: An Approach to Communicating Privacy Pref­ erences Between Users, S. 1. 859  Vgl.

280

Dritter Teil: Die Einwilligung

kommt.862 Bei der Ausgestaltung der Icons wurde der Zeichensatz des American Standard Code for Information Interchange (ASCII) zugrunde gelegt. Neben dem Vorteil der umfassenden Komptabilität bietet diese Ausgestaltung zugleich die Möglichkeit, die Icons im Zweifel auch durch „Privacy-Emot­ icons“ ([ / ]; [=]; [o]; [>]; [X]; [-]) zu ersetzen.863 In diesem Sinne entsprechen die Icons nicht nur dem Gebot der Einfachheit, sie können international einheitlich, plattformübergreifend und leicht verständlich eingesetzt werden (siehe dazu Abbildung864 oben). Das zugrundeliegende Prinzip lässt sich stellvertretend auch auf die vorab benannten Fair-Principles der OECD übertragen. In diesem Sinne lässt sich die Idee des „Privacy-Icons“ zum „Data-Protection-Emoticon“ fortentwi­ ckeln. Mithin könnten allgemeine, international verständliche, schlichte Da­ tenschutzpiktogramme auf der folgenden Basis erstellt werden: Datensparsamkeit /  data minimization

( %

Datenrichtigkeit /  accuracy

(+

[Das Prozentzeichen als allgemein bekanntes Symbol für Reduktion, beispielsweise im Rahmen eines Preisnachlasses] [Das Pluszeichen als Symbol für „richtig“]

862  Forrest / Schallaböck, Privicons: An Approach to Communicating Privacy Pref­ erences Between Users, S. 2. 863  Forrest / Schallaböck, Privicons: An Approach to Communicating Privacy Pref­ erences Between Users, S. 2. 864  Das Iconset ist zur freien Verwendung unter http: /  / privicons.org / projects /  icons /  abrufbar.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen281 Zweckbindung /  purpose limitation

(#

Datensicherheit /  integrity

(>

Transparenz /  transparency

(*

Betroffenenrechte /  rights of data subject



Dokumentationspflichten /  accountability

(„

[Das Hashtag im Sinne einer Verknüpfung – also Zweckbindung] [Das größer-als-Symbol – als stilisiertes (schützendes) Dach] [Der Stern – als Symbol einer ausgeleuchteten, transparenten Datenverarbeitung] [Das Paragraphenzeichen als Symbol der Rechte der Betroffenen] [Das Anführungszeichen als stilisierter Beginn der nachfolgenden Dokumentation]

3. Zwischenergebnis Ein Bild sagt mehr als tausend Worte: Bildsymbole durchbrechen den „Wall of Text“ und können dadurch auch eine wichtige Orientierungshilfe im Dickicht des Datenschutzes darstellen. Gerade aber mit Blick auf die informierte Einwilligung kommt es maßgeblich auf die Ausgestaltung des entsprechenden Bildes an. Wenngleich Piktogramme dazu beitragen kön­ nen, Informationen betroffenenfreundlich zu übermitteln, wird deren grafi­ sche Wirkmacht durch eine entsprechende Ausarbeitung bedingt. Auch im Kontext der Einwilligungserklärung bieten dabei die Vorgaben des Art. 12 Abs. 7 sowie Abs. 8 DSGVO einen normativen Ankerpunkt, der durch die Zusammenarbeit zwischen europäischen und nationalen Institutionen mög­ lichst zeitnahe genutzt und ausgefüllt werden sollte. Es gilt, entsprechende Verfahren und Vorgaben zu entwickeln, welche den Verantwortlichen ein rechtssicheres Werkzeug zur Ausgestaltung der Bildsymbole im konkreten Fall an die Hand geben. Stellvertretend für zahlreiche denkbare Ansätze soll die fortentwickelte Idee des Datenschutz-Emoticons lediglich einen Impuls setzen, wie im Rahmen der Ausgestaltung vorgegangen werden könnte. Freilich kann ein solches Datenschutz-Emoticon nur bedingt dazu beitragen, komplexe Datenschutzsachverhalte zu erhellen. Berücksichtigt man allerdings, dass Emoticons respektive Emojis zwischenzeitlich fester, nahezu unabdingbarer Bestandteil der digitalen Kommunikationskultur

282

Dritter Teil: Die Einwilligung

sind,865 könnte ein umfassend vertrautes Instrument dazu beitragen, Inte­ resse für eine vertiefte Auseinandersetzung mit dem Datenschutz im kon­ kreten Fall zu wecken. Zugleich entspricht die Ausgestaltung den benann­ ten Anforderungen an das gelungene Datenschutzpiktogramm, wobei insbe­ sondere auf Sozial- und Technologiereferenzen verzichtet wird, farbliche sowie inhaltliche Schlichtheit vorherrscht und auf eine einheitliche, global bekannte Ausgestaltung gesetzt werden kann. VI. Spielerisch selbstbestimmt – Informationsvermittlung durch den Einsatz spielerischer Mittel Abschließend und auf Grundlage der vorangegangenen Ausführungen auf­ bauend, möchte der nachfolgende Abschnitt der These nachgehen, dass ins­ besondere spielerische Mittel dazu geeignet sind, den Informationsgehalt der Einwilligungserklärung aufzuwerten. Dem Bonmot Schillers folgend, dass „[…][der] Mensch [nur spielt], wo er in voller Bedeutung des Wortes Mensch ist, und er [nur da ganz Mensch ist], wo er spielt“866 soll im Folgenden un­ tersucht werden, ob insbesondere die gamifizierte Einwilligungserklärung dazu beitragen kann, den Menschenrechtsgehalt der selbstbestimmten Daten­ disposition umzusetzen. Zu diesem Zwecke gilt es zunächst die Grundlagen des Gamifications darzulegen, wobei neben der Herleitung und Analyse einer entsprechenden Definition insbesondere auch gezeigt werden soll, dass das Prinzip des Ga­ mifications zwischenzeitlich fester Bestandteil in unterschiedlichsten An­ wendungsbereichen ist (dazu unter 1.). Dass spielerische Mittel nicht nur profaner sowie für die zugrundeliegende Industrie beachtlich gewinnbrin­ 865  So ermittelte bitkom durch Nutzerbefragung jüngst, dass 79 Prozent der Be­ fragten bei dem Versand von Nachrichten auf Emojis zurückgreifen, vgl. bitkom, Nutzen Sie sogenannte Emojis, wenn Sie Nachrichten in Messenger wie WhatsApp oder Facebook-Messenger verschicken? Abrufbar unter: https: /  / de.statista.com / sta tistik / daten / studie / 865343 / umfrage / umfrage-zur-nutzung-von-emojis-in-messengernachrichten-in-deutschland / , zuletzt abgerufen am 12.10.2018. Auch die Gesellschaft für deutsche Sprache kommt für das Jahr 2018 zu einem vergleichbaren Ergebnis: Lediglich 17 Prozent der Befragten gaben an, auf den Einsatz von Emoticons im Rahmen der digitalen Kommunikation in der Gänze zu verzichten. Vgl. GfdS, Wie häufig nutzen Sie beim Schreiben digitaler Textnachrichten sogenannte Emoticons, also Kombinationen aus Satzzeichen, Buchstaben und Sonderzeichen? Abrufbar un­ ter: https: /  / de.statista.com / statistik / daten / studie / 819454 / umfrage / nutzungshaeufig keit-von-emoticons-in-deutschland / , zuletzt abgerufen am 12.10.2018. 866  Schiller, Über die ästhetische Erziehung des Menschen in einer Reihe von Briefen, 15. Brief, S. 30. Abrufbar unter: http: /  / www2.ibw.uni-heidelberg.de / ~gers ter / Schiller_Aesthetische_Erziehung.pdf, zuletzt abgerufen am 12.10.2018.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen283

gender867 Zeitvertreib sind, soll anhand der daran anschließenden Untersu­ chung der Wirkungsmechanismen gamifizierter Elemente auf den Spieler dargestellt werden. Dabei soll insbesondere gezeigt werden, dass Gamifica­ tion das Potential aufweist, ein erhebliches Maß an intrinsischer Motivation zu erzeugen (dazu unter 2.). Abschließend wird der Versuch unternommen, das Konzept Gamification auf den datenschutzrechtlichen Kontext unter be­ sonderer Berücksichtigung der Einwilligungsvorgaben zu übertragen (dazu unter 3.). Insgesamt ist darzulegen, dass der Einsatz spielerischer Elemente auch im Kontext des Datenschutzes ein vielversprechendes Mittel darstellt, um das Ausgangsproblem der informierten Einwilligung zu bewältigen. 1. Grundlagen des Gamifications Zunächst ist der Begriff des Gamifications näher zu bestimmen, wobei insbesondere eine Abgrenzung zu Games im Allgemeinen sowie zu den so­ genannten Serious Games im Besonderen vorzunehmen ist (a)). Zur Illustrie­ rung des dargestellten Gamification-Mechanismus sind daran anschließend praktische Anwendungsbeispiele darzustellen (b)). a) Begriffsbestimmung und Abgrenzung Der Begriff Gamification, zwischenzeitlich auch unter dem Schlagwort Gamifizierung bekannt, wurde bereits 2002 durch den britischen Informati­ ker Nick Pelling geprägt, erfuhr aber erst ab dem Jahr 2010 weitergehende Beachtung in Forschung und Anwendung.868 Während Pellings intendiertes Gamification-Startup erfolglos blieb,869 wurde die zugrundeliegende Idee umfassend wissenschaftlich aufgegriffen und aufgearbeitet, wobei die für die vorliegende Arbeit zentralen Erkenntnisse im Folgenden aufgezeigt werden sollen. Die grundlegende Idee spielerische Mittel zur Motivations- und damit beispielsweise zur Produktionssteigerung in der Arbeitswelt einzusetzen, ist 867  Insbesondere Deutschland ist mit einem Umsatzvolumen in Höhe von ca. 3,3 Milliarden Euro allein im Jahr 2017 einer der wichtigsten Absatzmärkte der Gamesbranche, vgl. Falk, MMR 2018, 493. 868  Vgl. Kamasheva / Valeev / Yagudin / Maksimova, Mediterranean Journal of So­ cial Science, 2015, 77; Anderie, Gamification, Digitalisierung und Industrie 4.0, S. 1; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 5; Marczew­ ski, Gamification – A Simple Introduction, S. 3. 869  Die Webseite des Startups ist im Originalzustand (2003) abrufbar unter http: /  / www.nanodome.com / conundra.co.uk / , zuletzt abgerufen am 12.10.2018.

284

Dritter Teil: Die Einwilligung

allerdings keine originäre Erscheinung der Digitalisierung. Vielmehr konnte Nelson im Jahr 2012 nachweisen, dass insbesondere innerhalb der sozialisti­ schen Planwirtschaft der Versuch unternommen wurde, kapitalistisch-mone­ täre Anreize durch spielerische Elemente zu ersetzen.870 Im Sinne eines „sozialistischen Wettkampfs“ sollte zwischen Produktionsstätten ein Punkte­ system zur Ermittlung der Produktivität etabliert, Wettkämpfe zwischen Bautrupps organisiert sowie Auszeichnungen, beispielsweise in Gestalt von Abzeichen und Orden, institutionalisiert werden.871 Wie nachfolgend zu zei­ gen ist, handelt es sich dabei allesamt um zentrale Elemente moderner Gami­ fication-Strategien, freilich ohne diese als solche zu benennen. Mithin muss­ ten knapp 80 Jahre verstreichen, bis es zur Etablierung des entsprechenden Terminus durch den bereits erwähnten Informatiker Pelling kam. Pelling zur Folge sollte die absichtlich hässlich gehaltene Bezeichnung Gamification („deliberately ugly word gamification“) die Integration spielerischer Ele­ mente in das Design etwaiger Benutzeroberflächen beschreiben.872 Zweck des Gamifications sollte ihm zur Folge die Erleichterung und Beschleuni­ gung elektronischer Transaktionen sein.873 Wenngleich sich innerhalb der letzten 16 Jahre keine einheitliche Begriffs­ bestimmung herausbilden konnte,874 besteht jedenfalls dahingehende Einig­ keit, dass sich das Konzept Gamification nicht nur auf die Ausgestaltung elektronischer Transaktionen beschränkt875. In einem weitest möglichen Sinn etablierten Deterding et al. eine Begriffsdefinition, welche unter Gami­ fication die Verwendung von spielerischen (Design-)Elementen in einem spielfremden Kontext („Gamification as the use of game design elements in non-game contexts“) verstehen möchte.876 Mit Blick darauf, dass das Ziel der gamifizierten Einwilligungserklärung der Informationsgewinn auf Seiten der Betroffenen sein soll, bietet es sich an, diese allgemeine Definition, wie 870  Nelson, Soviet and American Precursors to the Gamification of Work, in: Pro­ ceedings of the 16th International Academic MindTrek Conference 2012, S. 23. 871  Nelson, Soviet and American Precursors to the Gamification of Work, in: Pro­ ceedings of the 16th International Academic MindTrek Conference 2012, S. 23. 872  Pelling, The (short) prehistory of „gamification“…, 2011. Abrufbar unter: https: /  / nanodome.wordpress.com / 2011 / 08 / 09 / the-short-prehistory-of-gamification / , zuletzt abgerufen am 12.10.2018. 873  Pelling, The (short) prehistory of „gamification“…, 2011. 874  Vgl. dazu m. w. N. Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S.  6 ff. 875  Shpakova / Dörfler / Macbryde, The role(s) of Gamification in Knowledge Man­ agement, in: EURAM 2016 – 16th Annual Conference of the European Academy of Management, S. 7. 876  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 10.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen285

auch von mehreren Seiten vorgetragen, um eine zielorientierte Nutzerper­ spektive zu erweitern.877 Eine entsprechend überzeugende Ergänzung lässt sich beispielsweise bei Kamasheva et al. finden: „Gamification is usage of game thinking and game mechanics in non-game context to engage users in solving problems.“878 Mithin kann zusammengefasst dann von einer gamifizierten Anwendung gesprochen werden, wenn sich diese durch die Integration spielerischer Ele­ mente auszeichnet, ein spieltypisches Design verfolgt, innerhalb eines spiel­ fremden Kontexts platziert ist (objektive Komponenten) sowie zu einer kon­ kreten Problemlösung des Spielers beitragen kann (subjektive Komponente). Zum besseren Verständnis der einzelnen Definitionselemente sollen diese in der gebotenen Kürze gesondert beschrieben werden. aa) Die Integration spielerischer Elemente Soweit darauf abzustellen ist, dass die Anwendung spielerische Elemente beinhaltet, lässt sich dem Kriterium eine doppelte Abgrenzungsfunktion ent­ nehmen. Im Sinne der durch Caillois getroffenen Unterscheidung zwischen ludus und paidia879 beziehen sich gamifizierte Anwendungen auf ersteres mit der Folge, dass die Anwendung auf festen vordefinierten Regelwerken sowie entsprechenden Zielvorgaben beruhen muss.880 Insofern kommt es bei Gami­ fication nicht nur darauf an, eine spielerische Umgebung zu schaffen, son­ 877  Vgl. dazu auch Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann, Gamification, S. 5; Sailer, Die Wirkung von Gamification auf Motivation und Leis­ tung, S. 18; Huatari / Hamari, Defining Gamification – A Service Marketing Perspec­ tive, in: Proceedings of the 16th International Academic MindTrek Conference 2012, S. 19; Zichermann / Cunningham, Gamification by Design, S. XIV. 878  Kamasheva / Valeev / Yagudin / Maksimova, Mediterranean Journal of Social Science 2015, 77. In diesem Sinne auch Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 18; Werbach, (Re)Defining Gamification: A Process Ap­ proach, in: Spagnolli / Chittaro / Gamberini, Persuasive Technology  – 9th International Conference, PERSUASIVE 2014, S. 267; Zichermann / Cunningham, Gamification by Design, S. XIV. 879  Während der Begriff paida nach Callois den spontanen, freien und unkontrol­ lierten Spielinstinkt des Menschen beschreibt, umfasst der Term ludus das zivilisierte, regelbasierte und zielorientierte Spiel, vgl. dazu m. w. N. Callois, Man, Play and Games, S. 27 ff. Ausführlich zu der nach Callois getroffenen Unterscheidung im Kon­ text von Computer- und Videospielen: Backe, Strukturen und Funktionen des Erzäh­ lens im Computerspiel, S. 265 ff. 880  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 11; Stieglitz / Lattemann / Robra-Bissantz / Zarnekow /  Brockmann, Gamification, S. 6; Sailer, Die Wirkung von Gamification auf Motiva­ tion und Leistung, S. 11.

286

Dritter Teil: Die Einwilligung

dern vielmehr darauf, dass die Anwendung basierend auf einem festgelegtem Regelwerk Punkte vergibt und darauf basierend unterschiedliche Zielvorga­ ben, beispielsweise in Form eines Highscores, implementiert.881 Zugleich dient das Merkmal des spielerischen Elements aber auch zur Abgrenzung der gamifizierten Anwendungen von den sogenannten Serious Games882. Wenngleich beiden Spieltypen gemeinsam ist, dass diese abseits des Unterhaltungswertes einen weitergehenden Nutzen für den Spieler ver­ folgen, unterscheiden sie sich in Umfang und Wahrnehmung für den Spie­ ler.883 Während das Serious Game regelmäßig eine vollständige und abge­ grenzte Spielerfahrung inkorporiert, beinhalten gamifizierte Anwendungen lediglich spielerische Elemente, stellen als solches also keine vollwertige, geschlossene Spielererfahrung dar.884 Freilich wird dadurch nicht ausge­ schlossen, dass es im Einzelfall zu Überlappungen kommen kann.885 bb) Die Ausgestaltung im Sinne eines Spiel-Designs Durch das Definitionsmerkmal des Spiel-Designs kommt es zu einer wei­ tergehenden Konkretisierung des spielerischen Elements innerhalb der gami­ fizierten Anwendung. Entscheidend ist demnach, dass nicht nur technische Spielfunktionen herangezogen werden, sondern sowohl wesentliche spielty­ pische Mechanik- als auch Dynamikelemente886 durch die gamifizierte An­ 881  Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann,

Gamification, S. 7. zu Einsatz und Anwendungsmöglichkeiten der Serious Games Jöckel, Computerspiele – Nutzung, Wirkung und Bedeutung, S. 71 ff.; Dörner / Göbel / Effelsberg / Wiemeyer, Serious Games – Foundations, Concepts and Practice, S. 3 ff. 883  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 11; Sailer, Die Wirkung von Gamification auf Moti­ vation und Leistung, S. 12. 884  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 11; Sailer, Die Wirkung von Gamification auf Moti­ vation und Leistung, S. 12. 885  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 11; Sailer, Die Wirkung von Gamification auf Moti­ vation und Leistung, S. 13; Richter / Raban / Rafaeli, Studying Gamification: The Ef­ fect of Rewards and Incentives on Motivation, in: Reiner / Wood, Gamification in Education and Business, S. 23. 886  Die Unterscheidung zwischen Spielmechanik und Spieldynamik kennzeichnet sich im Wesentlichen dadurch aus, dass sich die Spielmechanik für die zugrundelie­ gende Ausgestaltung der Anwendung verantwortlich zeichnet, während die Spiel­ dynamik die letztliche Interaktion des Spielers mit der Anwendung umfasst. Vgl. 882  Vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen287

wendung aufgegriffen werden887. Von Gamification kann beispielsweise dann nicht gesprochen werden, wenn lediglich die Game-Grafikengine zur Dar­ stellung wissenschaftlicher Erkenntnisse genutzt wird.888 Wenngleich insbe­ sondere im Kontext des Spiel-Designs zahlreiche Facetten denkbar sind,889 basieren gamifizierte Anwendungen weitestgehend auf den folgenden fünf Spieldesign-Elementen:890 Mit der Etablierung eines Punktesystems wird das grundlegende Anreiz­ system der Anwendung geschaffen. Neben unmittelbar spielbezogenen Er­ fahrungs- und Fertigkeitspunkten ist auch die Integration von Statuspunkten, wie etwa Karma- oder Rufpunkten sowie von Treue- und Sammelpunkten denkbar. Darüber hinaus beruhen die meisten Anwendungen auf einem zusätzlichen Level-System, welches maßgeblich dazu dient den Fortschritt der Nutzer zu dokumentieren. Häufig finden sich auch differenzierte Ranglisten nach bestimmten vorge­ gebenen Bezugsvariablen, um einen Abgleich mit anderen Nutzern zu er­ möglichen und dadurch eine Einschätzung der eigenen Leistungsfähigkeit im jeweiligen Kontext zu ermöglichen (sog. Leaderboards). Weiterhin vergeben zahlreiche gamifizierte Anwendungen sogenannte Abzeichen (Badges oder auch Achievements) für das Erreichen vordefinierter dazu m. w. N. da Rocha Seixas / Gomes / Filho, Computers in Human Behavior 58, 48 (50); Zichermann / Cunningham, Gamification by design, S. 36. 887  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 12; Sailer, Die Wirkung von Gamification auf Moti­ vation und Leistung, S. 13. 888  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 12; Sailer, Die Wirkung von Gamification auf Moti­ vation und Leistung, S. 13. 889  Vgl. dazu umfassend m. w. N. Sailer, Die Wirkung von Gamification auf Mo­ tivation und Leistung, S. 19 ff. 890  Vgl. zu den nachfolgenden Ausführungen (überwiegend übereinstimmend): Shpakova / Dörfler / Macbryde, The role(s) of Gamification in Knowledge Manage­ ment, in: EURAM 2016 – 16th Annual Conference of the European Academy of Ma­ nagement, S. 11; da Rocha Seixas / Gomes / Filho, Computers in Human Behavior 58, 48 (50); Hamari / Koivisto / Sarsa, Does Gamification Work? – A Literature Review of Empirical Studies on Gamification, in: Proceedings of the 47th Hawaii International Conference on System Sciences, S. 3027; Stieglitz, Enterprise Gamification – Vorge­ hen und Anwendung, in: Strahringer / Leyh, Gamification und Serious Games, S. 5; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 30 ff., 89; Anderie, Games Industry Management, S. 105; Zichermann / Cunningham, Gamifica­ tion by design, S. 36 ff.

288

Dritter Teil: Die Einwilligung

Ziele, wobei auch hier unterschiedlichste Errungenschaften durch die Nutzer denkbar sind.891 Oftmals werden Achievements für bestimmte Spielhandlun­ gen, das Erreichen einer vorgegebenen Punktezahl oder dem Abschluss eines Teilbereichs vergeben. Den jeweiligen Abzeichen kommen dabei keine kon­ stitutiven Bedeutungen für das Spielgeschehen zu, vielmehr dienen diese unter anderem als Motivationsfaktor, als digitales Statussymbol oder aber als Milestone innerhalb der jeweiligen Anwendung. Zuletzt beinhalten gamifizierte Anwendungen oftmals Aufgaben (Quests), welche sowohl zur Motivationssteigerung als auch zur Anweisungserteilung eingesetzt werden können. Insbesondere letzteres dient dazu, den Nutzer, vergleichbar mit einem Handlungsstrang (Story), durch die Anwendung zu führen, wobei zugleich unmittelbares Feedback zu den jeweiligen (Spiel-) Aktionen gegeben werden kann. cc) Die Platzierung innerhalb eines spielfremden Kontexts Gamification ist nicht zuletzt eine Frage des Anwendungskontexts. Diesem sind dabei abseits des Umstandes, dass es sich gerade nicht um einen origi­ när spielerischen Kontext handeln darf, keine Grenzen gesetzt.892 Mithin finden sich zwischenzeitlich bereits zahlreiche spielfremde Anwendungsfel­ der, welche jedenfalls partiell im Anschluss an die Definitionsanalyse darge­ stellt werden. dd) „Zweckbindung“: Gamification als Werkzeug zur Problemlösung Während die bisherigen Definitionsmerkmale maßgeblich dazu beigetragen haben, das Konzept Gamification objektiv zu beschreiben und als solches von weiteren Spieltypen abzugrenzen, dient das letzte Definitionselement dazu, den intendierten Sinn und Zweck der gamifizierten Anwendung zu erfassen. Dazu überzeugt es, die bislang untersuchten Merkmale der Elementardefinition893 um ein subjektives Kriterium zu ergänzen.894 Gamification soll gerade 891  Kritisch hierzu Reichert, Die Vermessung des Selbst, in: Friedewald / Lamla /  Roßnagel, Informationelle Selbstbestimmung im digitalen Wandel, S. 99 der den Ein­ satz solcher Abzeichen im Rahmen gamifizierter Anwendungen „[…] als ein formales Handlungsdiktat, das erst dann seine Befehlsform aufgibt, wenn sein vorgeschriebe­ nes Ziel erreicht wird […]“ bezeichnet. 892  Deterding / Dixon / Khaled / Nacke, From Game Design Elements to Gameful­ ness: Defining „Gamification“, in: Proceedings of the 15th International Academic MindTrek Conference 2011, S. 12. 893  So Werbach, (Re)Defining Gamification: A Process Approach, in: Spagnolli /  Chittaro / Gamberini, Persuasive Technology  – 9th International Conference, PER­ SUASIVE 2014, S. 267.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen289

nicht um seiner selbst willen erfolgen, es kommt entscheidend darauf an, durch die gamifizierte Anwendung eine vorab definierte Nutzererfahrung res­ pektive einen Lern- und oder Motivationsprozess zu initiieren. Gamification ist der Weg, der intendierte Wissensgewinn auf Seiten der Nutzer das Ziel oder mit anderen Worten: „the use of games to trigger people to do something they normally would not do or would have a hard time doing“895. Der subjektiven Komponente ist dabei eine Doppelfunktion beizumessen. Das verhindert eine Reduktion gamifizierter Anwendungen auf deren digita­ les Grundgerüst sowie eine ungewollte Expansion des Anwendungsbereichs auf Darstellungen, welche offensichtlich nicht den Anspruch der Gamifizie­ rung erheben. Ohne eine solche Eingrenzung könnte, so Werbach, beispiels­ weise auch die Darstellung eines Installationsbalkens als Gamification dekla­ riert werden, obwohl eindeutig kein weitergehender Zweck als die Visualisie­ rung des Installationsfortschrittes verfolgt wird.896 In diesem Sinne halten Wood / Reiners prägnant fest: „Gamification must occur within a wider context with particular outcomes that the system designers desire to encourage and support.“897 b) Anwendungsbeispiele Wie bereits angedeutet, ist das Anwendungsfeld gamifizierter Anwendun­ gen denkbar weit. Dementsprechend finden sich innerhalb der unterschied­ lichsten Kontexte zahlreiche Praxisbeispiele,898 wobei insbesondere innerhalb des Gesundheits-,899 des Bildungs-900 als auch des Arbeitssektors901 vermehrt 894  So überzeugend Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 30 ff., 89; Anderie, Games Industry Management, S. 18. 895  So Masser / Mory, The Gamification of Citizens’ Participation in Policymaking, S. 20. 896  Werbach, (Re) Defining Gamification: A Process Approach, in: Spagnolli /  Chittaro / Gamberini, Persuasive Technology  – 9th International Conference, PER­ SUASIVE 2014, S. 270. 897  Wood / Reiners, Gamification, in: Khosrow-Pour, Encyclopedia of Information Science and Technology, S. 3039. Abrufbar unter: https: /  / www.researchgate.net / pro file / Lincoln_Wood / publication / 265337179_Gamification / links / 540956410cf2718 acd3d0740 / Gamification.pdf, zuletzt abgerufen am 12.10.2018. 898  Eine umfassende Übersicht zu den jeweils getroffenen empirischen Studien innerhalb der unterschiedlichsten Anwendungsfelder findet sich bei Sailer, Gamifica­ tion, S. 47. 899  Vgl. dazu statt vieler Anderie, Gamification, Digitalisierung und Industrie 4.0, S.  10 ff.; Horstmann / Tolks / Dadaczynski / Paulus, Prävention und Gesundheitsförde­ rung 2018, 1 ff.; Plugmann, Was kann die Gesundheitswirtschaft von Gamification lernen?, in: Matusiewicz / Muhrer-Schwaiger, Neuvermessung der Gesundheitswirt­ schaft, S.  307 ff.; Johnson / Deterding / Kuhn / Staneva / Stoyanov / Hides, Internet Inter­

290

Dritter Teil: Die Einwilligung

auf Gamification gesetzt wird. Gamification kann sich aber auch innerhalb der städtischen Infrastruktur wiederfinden, wie sich anhand der Beispiele „Piano Stairs“ als auch „Bottle Bank Arcade“ zeigen lässt.902 Während die „Klaviertreppe“ durch Ausgestaltung und Klangfunktionalität zur Nutzung der Treppe statt der Rolltreppe motivieren soll, modifiziert das „Bottle Bank Arcade“ gewöhnliche Flaschencontainer zu Spielautomaten mit entsprechen­ der Punktevergabe für das Einwerfen des Leerguts.903 Dabei konnte hinsicht­ lich der Treppennutzung festgestellt werden, dass 66 Prozent der Passanten das musizierende Treppensteigen der Rolltreppe vorzogen und auch, dass der gamifizierte Flaschencontainer auf deutlich mehr Resonanz stieß als die na­ hegelegenen nicht-spielerischen Rückgabestellen.904 Zur weiteren Veranschaulichung des Prinzips Gamification sollen im Fol­ genden aktuelle praktische Beispiele aus dem Gesundheits- und Bildungswe­ sen dargestellt werden, welche in vergleichbarer Form auch im Kontext des Datenschutzrechts zur Anwendung gelangen könnten. aa) Kontext Gesundheitswesen Anwendungen innerhalb des Gesundheitswesens setzen allen voran auf die motivierende Komponente gamifizierter Applikationen: Der Nutzer soll durch Gamification zu einem möglichst langfristig gesundheitsfördernden ventions 2016, S. 89 ff.; Marston / Hall, Gamification: Applications for Health Promo­ tion and Health Information Technology Engagement, in: Novák / Tulu / Brendryen, Handbook of Research on Holistic Perspectives in Gamification for Clinical Practice, S.  78 ff. 900  Vgl. dazu statt vieler da Rocha Seixas / Gomes / Filho, Computers in Human Behavior 58, 48 ff.; Kim / Song / Lockee / Burton, Gamification in Learning and Educa­ tion, S.  117 ff.; Siemon / Eckhardt, Gamification of Teaching in Higher Education, in: Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann, Gamification, S. 153 ff.; Kotini / Tzelepi, A Gamification-Based Framework for Developing Learning Activities of Computational Thinking, in: Reiners / Wood, Gamification in Education and Busi­ ness, S.  219 ff. 901  Vgl. dazu statt vieler Kamasheva / Valeev / Yagudin / Maksimova, Mediterranean Journal of Social Sciences 2015, 77 ff.; Savignac, The Gamification of Work, S. XV; Werbach / Hunter, For the Win: How Game Thinking can revolutionize your business, S.  17 ff. 902  Pfaff / Lenge, Spielerisch Verhalten ändern, in: Matusiewicz / Kaiser, Digitales Betriebliches Gesundheitsmanagement, S. 238; Vgl. dazu auch Kapp, The Gamifica­ tion of Learning and Instruction, S. 3. 903  Pfaff / Lenge, Spielerisch Verhalten ändern, in: Matusiewicz / Kaiser, Digitales Betriebliches Gesundheitsmanagement, S. 238. 904  Pfaff / Lenge, Spielerisch Verhalten ändern, in: Matusiewicz / Kaiser, Digitales Betriebliches Gesundheitsmanagement, S. 238.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen291

Lebensstil angeregt werden.905 Zugleich dient die Gamifizierung aber auch der kurzfristigen Steigerung des aktuellen Wohlbefindens. Durch Mechani­ ken, wie die bereits benannten Abzeichen, Level-Ups, Wettbewerbe, Ranglis­ ten aber auch durch sogenannte Social Engagement Loops906 wird persön­ liche Produktivität sowie insgesamt ein positives Feedback vermittelt. Dabei kann im Kontext des Gesundheitswesens positiv von einem Selbstoptimie­ rungs- kritisch von einem „Carrot-on-Stick“-Prinzip gesprochen werden.907 Neben Fitnessanwendungen, wie beispielsweise die regelmäßig diskutierte Nike+-App908, Fitbit oder auch Runtastic, durchzieht Gamification den ge­ samten e-Health-Bereich. So finden sich auch gamifizierte Gewichtsmanager, Apps zur Planung, Kontrolle und Überwachung der persönlichen Medi­ kamention sowie spezielle Gamification-Anwendungen im Bereich der ­Langzeiterkrankungen.909 Zu letztbenannter Gruppe zählt beispielsweise die gamifizierte Fitness-App „Mission: Schweinehund“, welche Patienten mit ­ chronisch obstruktiver Lungenerkrankung (COPD) langfristig zu einem akti­ veren Leben motivieren möchte.910 Im Bereich der Gewichtsabnahme kann stellvertretend für zahlreiche Anwendungen auf die App „Lose it!“ verwiesen werden, welche abseits des obligatorischen Kalorienzählers verstärkt auf spielerische Community-Features setzt. Neben individuellen Herausforderun­ gen soll der Nutzer durch die Erstellung eigener Wettbewerbe unter Freunden beziehungsweise durch die Teilnahme an öffentlichen Wettbewerben inner­ halb der „Lose it! -Gemeinschaft“ zur Erreichung der individuellen Ziele 905  Horstmann / Tolks / Dadaczynski / Paulus, Prävention und Gesundheitsförderung 2018, 1, 3; Jacob / Teuteberg, Gamification: Konzepte und Anwendungsfelder – eine quantitative Metaanalyse, in: Eibl / Gaedke, INFORMATIK 2017, S. 399. 906  Social Engagement Loops nützen die Integration sozialer Netzwerke innerhalb der gamifizierten Anwendung. Durch die Möglichkeit seine täglichen Leistungen un­ mittelbar mit einem sozialen Netzwerk zu teilen, wird der Nutzer durch die Resonanz (im besten Fall) zusätzlich positiv bestärkt mit der Folge, dass die Motivation zur Fortführung, beispielsweise des Trainings, steigt. Vgl. dazu Marston / Hall, Gamifica­ tion: Applications for Health Promotion and Health Information Technology Engage­ ment, in: Novák / Tulu / Brendryen, Handbook of Research on Holistic Perspectives in Gamification for Clinical Practice, S. 80. 907  Vgl. dazu beispielsweise Schollas, Onlinejournal Kultur & Geschlecht 2014, 1, 4. Abrufbar unter: https: /  / kulturundgeschlecht.blogs.ruhr-uni-bochum.de / wp-con tent / uploads / 2015 / 08 / schollas_make.pdf, zuletzt abgerufen am 12.10.2018. 908  Vgl. ausführlich zu Nike+ und Gamification Schollas, Onlinejournal Kultur & Geschlecht 2014, 1, 5 ff.; Raczkowski / Schrape, Gamification, in: Beil / Hensel / Rau­ scher, Game Studies, S. 315 ff.; Reichert, Die Vermessung des Selbst, in: Friede­ wald / Lamla / Roßnagel, Informationelle Selbstbestimmung im digitalen Wandel, S. 97. 909  Johnson / Deterding / Kuhn / Staneva / Stoyanov / Hides, Internet Interventions 2016, 89 (91). 910  Vgl. dazu Jäger-Becke, MMW 2016, 82.

292

Dritter Teil: Die Einwilligung

motiviert werden.911 Mithin zählt der Nutzer nicht nur Kalorien, er wird durch die sozial-spielerische aber auch kompetitive Komponente angeregt, das Ziel der Gewichtsabnahme zu fokussieren. Dabei profitiert insbesondere der medizinische Anwendungsbereich maß­ geblich von dem zwischenzeitlichen hohen Verbreitungsgrad des Smart­ phones, also letztlich der zunehmenden Durchsetzung des mobile-health-Be­ reichs (mHealth)912.913 Mithin bilden die leistungsstarken Sensoren, Prozes­ soren sowie Displays der mobilen Geräte eine geeignete und leistungsstarke technische Grundlage der jeweiligen Gesundheitsanwendungen.914 Mit Blick auf die damit verbundene technische Standardisierung ist die Entwicklung der Anwendungen für spezialisierte Game Development Studios leicht hand­ habbar und in entsprechender Kooperation mit Fachkräften auch ohne medi­ zinische Vorbildung realisierbar.915 Zugleich muss dabei aber auch angemerkt werden, dass Gamification im Kontext des Gesundheitswesens oftmals eine Frage der in diesem Bereich regelmäßig sensiblen und umfassenden Datengrundlage ist. Nur anhand einer solchen können wesentliche Mechaniken wie die Punkteberechnung sowie die daraus resultierenden Leaderboards und / oder Badges funktionsfähig aus­ gestaltet werden.916 Wenngleich davon ausgegangen wird, dass die überwiegende Mehrheit der Patienten ein großes Interesse an Gamification im Bereich des Gesundheits­ wesens zeigt, so konnte zugleich festgestellt werden, dass dieses Interesse 911  Vgl. dazu Lose it! – Calorie Counter – Apple App Store Preview. Abrufbar un­ ter: https: /  / itunes.apple.com / us / app / lose-it-calorie-counter / id297368629?mt=8, zu­ letzt abgerufen am 12.10.2018. 912  Nach den Vorgaben der Europäische Kommission umfasst der Begriff mobile Health „[…] medizinische Verfahren und Praktiken der öffentlichen Gesundheitsfür­ sorge, die durch Mobilgeräte wie Mobiltelefone, Patientenüberwachungsgeräte, per­ sönliche digitale Assistenten (PDA) und andere drahtlos angebundene Geräte unter­ stützt werden“, vgl. Europäische Kommission, Grünbuch über Mobile-Health-Dienste („mHealth“), 2014, KOM (2014) 219 final, S. 3. 913  Eine Übersicht gamifizierter mobile Health-Anwendungen findet sich bei Marston / Hall, Gamification: Applications for Health Promotion and Health Informa­ tion Technology Engagement, in: Novák / Tulu / Brendryen, Handbook of Research on Holistic Perspectives in Gamification for Clinical Practice, S. 90. 914  Johnson / Deterding / Kuhn / Staneva / Stoyanov / Hides, Internet Interventions 2016, 89, 91. 915  Anderie, Gamification, Digitalisierung und Industrie 4.0, S. 10. 916  Raczkowski / Schrape, Gamification, in: Beil / Hensel / Rauscher, Game Studies, S. 317 gehen insofern davon aus, dass „[im] Herzen der Gamification [die] Verdatung liegt […]“; kritisch hierzu Reichert, Die Vermessung des Selbst, in: Friede­ wald / Lamla / Roßnagel, Informationelle Selbstbestimmung im digitalen Wandel, S.  97 ff.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen293

stets unter die Bedingung bestmöglicher IT-Sicherheit gestellt wird.917 Die Gewährleistung der IT-Sicherheit im Kontext Gamification wiederrum er­ möglicht den Rückgriff auf die bereits dargestellte Vertrauenslösung,918 wobei sich ebenfalls zeigt, dass singuläre Ansätze im Kontext Datenschutz kaum erfolgversprechend sind. Vielmehr gilt es ein aufeinander abgestimm­ tes Maßnahmenpaket zu schnüren, um die grundrechtlich garantierte Selbst­ bestimmung des Betroffenen bestmöglich umzusetzen. bb) Kontext Bildungswesen Spielerischer Wissenserwerb ist Teil der menschlichen Natur und damit zugleich faktischer Ankerpunkt der Idee, datenschutzrechtliche Informations­ bestandteile einer gamifizierten Ausgestaltung zu unterwerfen.919 Es über­ rascht nicht, dass insbesondere ein akademisches Interesse an der allgemei­ nen Wissensvermittlung mittels gamifizierter Anwendungen vorherrscht, wobei gleichermaßen eine zunehmende politische Sensibilisierung für das Thema erkennbar ist. So formulierte Baden-Württembergs Kultusministerin Eisenmann im Mai 2018 pointiert das Ziel des Gamification im Bildungswe­ sen: „Lernen und Spaß sollen idealerweise Hand in Hand gehen. Und wenn solche Games Spaß beim Lernen ermöglichen, dann gehören sie auch in den Unterricht.“920 Auch im Rahmen der Wissensvermittlung fokussieren sich gamifizierte Anwendungen insbesondere darauf, die Motivation auf Seiten der Lernenden durch eine spielerische Ausgestaltung des Lernprozesses zu fördern.921 Zu­ 917  Vgl. zur diesbezüglichen empirischen Grundlage: Plugmann, Was kann die Gesundheitswirtschaft von Gamification lernen?, in: Matusiewicz / Muhrer-Schwaiger, Neuvermessung der Gesundheitswirtschaft, S. 314. 918  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 4 B. IV. 919  Vgl. zu Spiel und Wissenserwerb im Allgemeinen Knautz, Gamification in der Hochschuldidaktik, S.  35 ff. 920  Landesmedienzentrum Baden-Württemberg, Kultusministerin zeigt sich offen in Sachen Gamification, MediaCulture-Online Blog v. 07.05.2018. Abrufbar unter: https: /  / www.lmz-bw.de / nc / newsroom / aktuelle-beitraege-aller-bereiche / detail­ seite / kultusministerin-zeigt-sich-offen-in-sachen-gamification / , zuletzt abgerufen am 12.10.2018. 921  Vgl. dazu m. w. N. da Rocha Seixas / Gomes / Filho, Computers in Human Be­ havior 58, 48 (49); Kim / Song / Lockee / Burton, Gamification in Learning and Educa­ tion, S. 29; Siemon / Eckhardt, Gamification of Teaching in Higher Education, in: Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann, Gamification, S. 156; Jacob / Teutersberg, Game-Based Learning, Serious Games, Business Games und Gamification – Lernförderliche Anwendungsszenarien, gewonnene Erkenntnisse und Handlungsempfehlungen, in: Strahringer / Leyh, Gamification und Serious Games, S. 103.

294

Dritter Teil: Die Einwilligung

dem können entsprechend gamifizierte Lehrveranstaltungen und Anwendun­ gen aber auch dazu beitragen, den zu erzielenden Lerneffekt als auch den Partizipationswillen auf Seiten der Lernenden zu erhöhen, die Aufnahme­ fähigkeit als auch den Abruf des Erlernten zu verbessern, unmittelbares Feedback gegenüber den Lernenden zu erteilen sowie die Fähigkeit zur Teamarbeit zu steigern.922 Darüber hinaus können gamifizierte Anwendungen bei der Findung und Präsentation etwaiger Lösungsansätze unterstützen so­ wie die Kommunikationsfähigkeit der Lernenden verbessern.923 Die ent­ scheidenden Einflussfaktoren gamifizierter Anwendungen im Kontext der Wissensvermittlung sind dabei nach Knautz: Engagement, Autonomy, Mas­ tery, Progression sowie Meaning / Purpose.924 In Kontrast zu gängigen Methoden wie dem Frontalunterricht übergibt Gamification das Heft des Handelns an die Lernenden, erzeugt dadurch Inte­ resse für das zu Lernende, fördert das persönliche Engagement und motiviert dadurch, sich intensiver mit der zugrundeliegenden Thematik zu beschäfti­ gen.925 Zugleich befreien gamifizierte Anwendungen den Unterricht jeden­ falls teilweise von „Befehl und Zwang“, indem den Lernenden die Möglich­ keit eingeräumt wird, autonom zu entscheiden, wann und in welchem Um­ fang das Lernen zur Zielerreichung erforderlich ist.926 Anstelle extrinsischer Aufgabenerteilung setzt Gamification darauf, dass die kontinuierliche Steige­ rung der Fähigkeiten des Lernenden eine positive Erfahrung („Play is Fun“) darstellt und dadurch den intrinsischen Wunsch erweckt, das eigene Können zu perfektionieren.927 Verstärkt wird dieser Effekt durch visualisierende Ele­ mente innerhalb der gamifizierten Lernumgebung mit der Folge, dass der Lernende einen steten und zugleich ebenfalls motivierenden Lernfortschritt erkennen kann.928 Zuletzt kann Gamification den Lernaufwand durch ein konkretes positives Ziel, abseits etwaiger regelmäßig negativ konnotierter Prüfungen, anreichern.929 922  Kim / Song / Lockee / Burton,

Gamification in Learning and Education, S. 5. Game-Based Learning, Serious Games, Business Games und Gamification – Lernförderliche Anwendungsszenarien, gewonnene Erkenntnisse und Handlungsempfehlungen, in: Strahringer / Leyh, Gamification und Serious Games, S. 115. 924  Knautz, Gamification in der Hochschuldidaktik, S. 70. 925  Knautz, Gamification in der Hochschuldidaktik, S. 70; so auch Siemon / Eckhardt, Gamification of Teaching in Higher Education, in: Stieglitz / Lattemann / RobraBissantz / Zarnekow / Brockmann, Gamification, S. 156. 926  Knautz, Gamification in der Hochschuldidaktik, S. 70. 927  Knautz, Gamification in der Hochschuldidaktik, S.  71; vgl. dazu auch Kim / Song / Lockee / Burton, Gamification in Learning and Education, S. 41. 928  Knautz, Gamification in der Hochschuldidaktik, S. 71; vgl. dazu auch Sailer, Gamification, S. 61 mit Verweis auf zahlreiche empirische Studien. 929  Knautz, Gamification in der Hochschuldidaktik, S. 71. 923  Jacob / Teutersberg,



Kap. 4: Die materiellen Einwilligungsvoraussetzungen295

Mit Blick darauf, dass die spielerische Anreicherung etwaiger Lernpro­ zesse aber auch ein kontraproduktives Ablenkungspotential entfalten kann, kommt es entscheidend auf die pädagogische Konzeption, Zielsetzung und Ausgestaltung der konkreten Anwendung an.930 Insbesondere ist bei der Gestaltung wissensvermittelnder Anwendungen darauf zu achten, dass das Scheitern des Lernenden nicht zu Motivationseinbußen führt, sondern als Anreiz zur Verbesserung der eigenen Fähigkeiten aufgefasst wird („Freedom to Fail“).931 Ebenso muss die gamifizierte Anwendung die Möglichkeit er­ öffnen, alternative Lösungsstrategien zu entdecken und zu entwickeln („Free­ dom to experiment“) sowie unterschiedliche Perspektiven auf das zu lösende Problem gestatten („Freedom to Fashion Identities“).932 Im Rahmen der spielerischen Ausgestaltung sollte zudem berücksichtigt werden, dass tat­ sächlich der Spieler über den Spielfluss entscheiden kann und damit den Spiel- und letztlich Lernfortschritt an seine individuellen Gegebenheiten an­ passen kann („Freedom to effort“).933 Dabei setzen auch Anwendungen des Bildungswesens auf „klassische“ Elemente und Mechaniken des Gamifications wie Punktevergabe, Ranglis­ ten, Achievements, Quests, Story Lines sowie Level-Fortschritte.934 Eine mögliche Umsetzungsvariante gamifizierter Lehre lässt sich anhand der seit dem Jahr 2014 bestehenden Gamification-Plattform Classcraft zeigen, wel­ che bereits durch 900.000 Nutzer, respektive 20.000 Schulen in 75 Ländern genutzt wird.935

930  Fischer / Heinz / Schlenker / Münster / Follert / Köhler, Die Gamifizierung der Hochschullehre – Potenziale und Herausforderungen, in: Strahringer / Leyh, Gamifica­ tion und Serious Games, S. 116. 931  Klopfer / Osterweil / Salen, Moving learning games forward, S. 4; dem folgend Fischer / Heinz / Schlenker / Münster / Follert / Köhler, Die Gamifizierung der Hoch­ schullehre  – Potenziale und Herausforderungen, in: Strahringer / Leyh, Gamification und Serious Games, S. 116. 932  Klopfer / Osterweil / Salen, Moving learning games forward, S. 4; dem folgend Fischer / Heinz / Schlenker / Münster / Follert / Köhler, Die Gamifizierung der Hoch­ schullehre  – Potenziale und Herausforderungen, in: Strahringer / Leyh, Gamification und Serious Games, S. 117. 933  Klopfer / Osterweil / Salen, Moving learning games forward, S. 4; dem folgend Fischer / Heinz / Schlenker / Münster / Follert / Köhler, Die Gamifizierung der Hoch­ schullehre  – Potenziale und Herausforderungen, in: Strahringer / Leyh, Gamification und Serious Games, S. 117. 934  Vgl. dazu umfassend Kim / Song / Lockee / Burton, Gamification in Learning and Education, S. 59 ff.; Knautz, Gamification in der Hochschuldidaktik, S. 72 ff. 935  So Microsoft Education, Classcraft. Abrufbar unter: https: /  / www.microsoft. com / de-de / education / partners / showpartnersdetails.aspx?id=2033311&i=false&t=0& p=1&ps=24, zuletzt abgerufen am 12.10.2018.

296

Dritter Teil: Die Einwilligung

Classcraft ist ein jedenfalls in der Basisversion kostenloses, cloudbasier­ tes und plattformunabhängiges Online-Rollenspiel mit starken Bezügen zu bekannten Genregrößen wie World of Warcraft.936 Durch das Spiel soll der reguläre Unterricht um eine gamifizierte Ebene erweitert werden, wobei die zugrundeliegende Web-Engine dafür sorgt, dass Handlungen innerhalb des Klassenzimmers als auch auf digitaler Ebene stets in Echtzeit angeglichen und angezeigt werden.937 Das Klassenzimmer soll dadurch zu einem inter­ aktiven Rollenspiel transformiert werden, wobei der reguläre Unterricht nicht subsituiert, sondern um eine „digitale Metaebene“, vergleichbar mit Augmented-Reality-Anwendungen, ergänzt wird.938 Konkret soll die An­ wendung die Motivation der Schülerinnen und Schüler erhöhen, das Klas­ senklima verbessern sowie den Zusammenhalt im Klassenverband stär­ ken.939 Zu diesem Zweck werden die Schülerinnen und Schüler in Gruppen eingeteilt und unterschiedlichen, gängigen Rollenspielklassen wie Krieger, Zauberer oder Heiler mit jeweils individuellen Fähigkeiten zugewiesen.940 Für positive Verhaltensweisen erhalten die Schülerinnen und Schüler in der Regel Erfahrungspunkte („XP“), für negatives Verhalten, wie Verspätungen oder Unterrichtsstörungen, können dem einzelnen Schüler oder aber auch der zugehörigen Gruppe Lebenspunkte („HP“) abgezogen werden.941 Mit Zunahme der XP werden individuelle oder gruppenbezogene Boni freige­ schaltet, mit Verlust der HP können Maßnahmen wie Strafaufgaben ein­ hergehen.942 Der Lehrkraft kommt dabei ganz im Sinne eines „Gamemasters“ die Schlüsselrolle für den Erfolg der Anwendung zu.943 Mithin verteilt dieser sowohl Boni als auch Strafpunkte, passt die Plattform an die individuellen Gegebenheiten der Lehreinrichtung / Klasse an und koordiniert den jeweiligen 936  Ein allgemeiner Überblick zur Funktionsweise des Spiels findet sich unter https: /  / www.classcraft.com / de / overview / , zuletzt abgerufen am 23.10.2018. 937  Sanchez / Young / Jouneau-Sion, Education and Information Technologies 2017, 497 (500). 938  Sanchez / Young / Jouneau-Sion, Education and Information Technologies 2017, 497 (500). 939  Classcraft Studios Inc., Überblick über Classcraft. Online abrufbar unter: ­https: /  / www.classcraft.com / de / overview / , zuletzt abgerufen am 12.10.2018. 940  Classcraft Studios Inc., Überblick über Classcraft. 941  Classcraft Studios Inc., Überblick über Classcraft. 942  Classcraft Studios Inc., Überblick über Classcraft. 943  Sanchez / Young / Jouneau-Sion, Education and Information Technologies 2017, 497 (501); Papadakis / Kalogiannakis, Using Gamification for Supporting an Intro­ ductory Programming Course. The Case of ClassCraft in a Secondary Education Classroom, in: Brooks / Brooks / Vidakis, Interactivity, Game Creation, Design, Learn­ ing, and Innovation, S. 373.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen297

Lehrplan mit der Anwendung.944 Auch Classcraft kann und soll traditionelle Unterrichtsmethoden nicht in der Gänze ersetzen. Dass sich der Einsatz der gamifizierten Plattform positiv auf das Verhalten der Schüler im Unterricht, auf deren Motivation als auch die Einhaltung bestimmter Regeln auswirken kann, konnte allerdings zwischenzeitlich mehrfach anhand unterschiedlicher Versuchsreihen aufgezeigt werden.945 c) Zwischenergebnis Insgesamt lässt sich festhalten, dass das Prinzip der Gamifizierung zwar keine originäre Erscheinung der digitalisierten Gesellschaft ist, durch diese aber erheblich an Aufschwung erfahren hat. Insbesondere die Digitalisierung bietet innovative Möglichkeiten, spielerische Elemente wie die benannten Punkte- oder Levelsysteme, Ranglisten, Abzeichen, Quests und Storys in den Alltag einzubetten. Gamification ist dabei aber nicht nur die Integration spie­ lerischer Elemente innerhalb eines spielfremden Kontexts, vielmehr soll die jeweilige gamifizierte Anwendung „zweckgebunden“ zur Lösung konkreter Probleme beitragen. In diesem Sinne will Gamification nicht als zusätzlicher digitaler Zuckerguss verstanden werden, sondern als helfende Hand zur Be­ wältigung sorgfältig vordefinierter Ziele. Anhand der Praxisbeispiele, allem voran aus dem Bereich des Gesundheits- und Bildungswesens konnte gezeigt werden, dass der Ansatz dabei nicht nur in der Theorie überzeugt, sondern bereits auf breiter Basis praktischer Anwendungen erfolgreich getestet wer­ den konnte. 2. Die motivierende Wirkung gamifizierter Anwendungen auf den Spieler Bislang konnte aufgezeigt werden, dass es ein zentrales Anliegen des Ga­ mifications ist, den Nutzer insbesondere zu solchen Verhaltensweisen zu motivieren, welche anderenfalls nicht oder nur unter großen Anstrengungen an den Tag gelegt werden. Mithin kann der Erfolg einer gamifizierten An­ wendung maßgeblich daran gemessen werden, in welchem Umfang sich diese auf die Motivation des Spielers auswirkt.946 Abschließend ist daher 944  Sanchez / Young / Jouneau-Sion, Education and Information Technologies 2017, 497 (501). 945  Vgl. dazu Sanchez / Young / Jouneau-Sion, Education and Information Technolo­ gies 2017, 497 (504); Papadakis / Kalogiannakis, Using Gamification for Supporting an Introductory Programming Course. The Case of ClassCraft in a Secondary Educa­ tion Classroom, in: Brooks / Brooks / Vidakis, Interactivity, Game Creation, Design, Learning, and Innovation, S. 373. 946  Zichermann / Cunningham, Gamification by design, S. 15.

298

Dritter Teil: Die Einwilligung

darzustellen, warum und unter welchen Umständen gamifizierte Anwendun­ gen einen „Motivations-Boost“ auf Seiten der Nutzer erzeugen können.947 Zu diesem Zweck soll auf die Grundlagen des Begriffs der Motivation eingegan­ gen werden (dazu unter a)), um darauf aufbauend zentrale Erkenntnisse be­ züglich motivierender Aspekte des Gamifications darzulegen (dazu unter b)). a) Zum Begriff der Motivation Die Motivation, also letztlich die Frage, warum Menschen bestimmte Handlungen vollziehen, ist Gegenstand unterschiedlichster Forschungsdiszip­ linen, wobei insbesondere sowohl der Psychologie als auch der Soziologie gesonderte Relevanz beizumessen ist.948 Entsprechend umfangreich gestaltet sich der wissenschaftliche Korpus an Modellen und Theorien, wobei auch hierbei mit Blick auf den Fokus der Arbeit lediglich zentrale Erkenntnisse dargestellt werden können. Vorweg lässt sich festhalten, dass Motivation aus solchen Faktoren (Moti­ ven) folgt, welche bestimmte Verhaltensweisen aktivieren, lenken und oder aufrechterhalten.949 Dabei kommt aber nicht nur das Bestreben nach biolo­ gischer Bedürfnisbefriedigung, beispielsweise durch Essen oder Trinken in Betracht.950 Vielmehr sind auf Grundlage der Selbstbestimmungstheorie, welche insbesondere bei der Erforschung der motivierenden Wirkung von Computer- und Videospielen herangezogen wird, auch psychologische Grund­bedürfnisse des Menschen („basic needs“) zu berücksichtigen.951 Von 947  Vgl. ausführlich hierzu m.  w. N. Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 97 ff.; Knautz, Gamification in der Hochschuldidaktik, S.  147 ff.; 948  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 97; Richter / Raban / Rafaeli, Studying Gamification: The Effect of Rewards and Incen­ tives on Motivation, in: Reiners / Wood, Gamification in Education and Business, S. 24; Matallaoui / Hanner / Zarnekow, Introduction to Gamification: Foundation and Underlying Theories, in: Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann, Gamification, S. 11. 949  Nevid, Essentials of Psychology: Concepts and Applications, S. 280; in die­ sem Sinne auch Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 97; Matallaoui / Hanner / Zarnekow, Introduction to Gamification: Foundation and Underlying Theories, in: Stieglitz / Lattemann / Robra-Bissantz / Zarnekow / Brockmann, Gamification, S. 12. 950  Vgl. dazu Nevid, Essentials of Psychology: Concepts and Applications, S.  280 ff. 951  Grundlegend hierzu im Kontext Computer- und Videospiele Ryan / Rigby / Przybylski, Motivation and Emotion, 344 ff. sowie Rigby / Ryan, Glued to Games. Umfas­ send hierzu im Kontext digitaler Spiele sowie Gamification Motyka, Digitales, spiel­ basiertes Lernen im Politikunterricht, S. 69 ff.; Sailer, Die Wirkung von Gamification



Kap. 4: Die materiellen Einwilligungsvoraussetzungen299

diesen umfasst ist das dem Mensch innewohnende Bestreben nach Kom­ petenz, Autonomie sowie sozialer Eingebundenheit.952 Während sich das Kompetenzbedürfnis durch die Steigerung aber auch durch die Präsentation der eigenen Fähigkeiten, also insbesondere durch die Interaktion mit der Umwelt befriedigen lässt, drückt sich das Bedürfnis nach Autonomie maß­ geblich durch den Drang nach Selbstbestimmung, Freiheit und Ausleben der eigenen Werte aus.953 Das Bedürfnis nach sozialer Eingebundenheit hingegen zeigt sich durch den Wunsch nach Verbundenheit mit Dritten, nach Zuwen­ dung, nach Fürsorge oder auch Geborgenheit.954 Dabei besteht weitergehend Einigkeit, dass es sowohl auf Grundlage in­ trinsisch motivierter Handlungsweisen als auch basierend auf extrinsischen Motivationslagen zur Bedürfnisbefriedigung kommen kann.955 Intrinsisch motivierte Verhaltensweisen entspringen dabei der jeweiligen Person. Das jeweilige Verhalten wird nicht durch die Außenwelt bedingt, sondern erfolgt um seiner selbst willen.956 Entscheidend ist hierbei, dass bereits die Hand­ lung an sich zur Bedürfnisbefriedigung führt, wobei das Resultat, das Ergeb­ nis der Handlung oder auch die Reaktion der Umwelt des Handelnden nach­ rangig sein kann.957 Beispielsweise kann dann von intrinsischer Motivation gesprochen werden, wenn ein Schüler ein Buch zu Zwecken der eigenen Wissens- also Kompetenzmehrung liest, ohne dass es einen entsprechenden Auftrag seitens der Lehrkraft gab.958 auf Motivation und Leistung, S. 100 ff.; Knautz, Gamification in der Hochschuldidak­ tik, S.  180 ff. 952  Nevid, Essentials of Psychology: Concepts and Applications, S. 284; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 107 ff.; Fleisch, Gamification4Good, S. 50. 953  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 108; Fleisch, Gamification4Good, S. 50. 954  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 108; Fleisch, Gamification4Good, S. 50. 955  Vgl. dazu im Kontext Gamification statt vieler Fleisch, Gamification4Good, S. 50; Kim / Song / Lockee / Burton, Gamification in Learning and Education, S. 39; Knautz, Gamification in der Hochschuldidaktik, S. 148; Richter / Raban / Rafaeli, Studying Gamification: The Effect of Rewards and Incentives on Motivation, in: Reiners / Wood, Gamification in Education and Business, S. 24; Kapp, The Gamifica­ tion of Learning and Instruction, S. 52; Zichermann / Cunningham, Gamification by design, S. 26. 956  Fleisch, Gamification4Good, S. 50; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 103; Kapp, The Gamification of Learning and Instruc­ tion, S. 52; Zichermann / Cunningham, Gamification by design, S. 26. 957  Fleisch, Gamification4Good, S. 50; Kapp, The Gamification of Learning and Instruction, S. 52. 958  Fleisch, Gamification4Good, S. 51; Kapp, The Gamification of Learning and Instruction, S. 52.

300

Dritter Teil: Die Einwilligung

Im Gegensatz dazu ist von extrinsischer Motivation zu sprechen, wenn das jeweilige Verhalten nur dann an den Tag gelegt wird, um entweder eine Be­ lohnung zu erhalten oder eine mögliche Bestrafung zu vermeiden.959 Zen­ traler Aspekt extrinsischer Motivation ist demnach nicht die Handlung an sich, sondern vielmehr die Bedürfnisbefriedigung durch die Interaktion re­ spektive die Reaktion der Umwelt des Handelnden.960 Hinsichtlich des zuvor aufgeführten Beispiels, kann eine extrinsische Motivationslage angenommen werden, wenn der Schüler das Buch nicht aus Freude am Lernen, sondern aufgrund einer bevorstehenden Klassenarbeit liest.961 Die Handlung ist das Mittel zum Zweck.962 Insgesamt lässt sich damit für die Zwecke dieser Arbeit festhalten, dass Motivation aus dem Streben nach Bedürfnisbefriedigung folgt. Wenngleich unterschiedliche Faktoren motivierend auf den Betroffenen wirken können, kommen insbesondere im Kontext Gamification psychologische Faktoren wie das Streben nach Anerkennung, die Eingliederung innerhalb der Gesell­ schaft sowie der Erwerb und die Darstellung der eigenen Kompetenz in ­Betracht. Bedürfnisbefriedigung kann dabei unmittelbar auf Grundlage der Handlung (intrinsisch) oder aber mittelbar durch das Ergebnis der Handlung (extrinsisch) erfolgen. b) Die motivierende Wirkung gamifizierter Anwendungen Auf Grundlage des soeben dargestellten Motivationsbegriffs sollen nun­ mehr wesentliche Erkenntnisse hinsichtlich der motivierenden Wirkung des Gamifications dargestellt werden. Dabei kann festgestellt werden, dass zahl­ reiche Aspekte gamifizierter Anwendungen einen erheblichen Einfluss auf die Motivation des Spielers haben.963 Ein zentral intrinsisch motivierender Faktor gamifizierter Anwendung ist der Anspruch, dass das Spielen den Nutzern Spaß bereiten soll.964 In diesem 959  Fleisch, Gamification4Good, S. 51; Kapp, The Gamification of Learning and Instruction, S. 52. 960  Fleisch, Gamification4Good, S. 51; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 103; Kapp, The Gamification of Learning and Instruc­ tion, S. 52; Zichermann / Cunningham, Gamification by design, S. 26. 961  Kapp, The Gamification of Learning and Instruction, S. 53. 962  So zusammenfassend Nevid, Essentials of Psychology: Concepts and Applica­ tions, S. 284. 963  Richter / Raban / Rafaeli, Studying Gamification: The Effect of Rewards and Incentives on Motivation, in: Reiners / Wood, Gamification in Education and Busi­ ness, S. 24. 964  da Rocha Seixas / Gomes / Filho, Computers in Human Behavior 58, 48 (51); Ryan / Rigby / Przybylski, Motivation and Emotion 2006, 344 (349); Sailer, Die Wir­



Kap. 4: Die materiellen Einwilligungsvoraussetzungen301

Sinne kann der Spaßfaktor einer Gamification-Anwendung „[…] der Tropfen sein, der das Motivationsfass positiv zum Überlaufen bringt.“965 Mit Blick darauf, dass der Begriff Spaß allerdings einer weiten Auslegung zugänglich ist und in Abhängigkeit von der jeweiligen Tätigkeit unterschiedlichste For­ men annehmen kann, weisen Rigby / Ryan allerdings zutreffend darauf hin, dass nicht allein die spaßbringende Komponente spielerischer Umgebungen intrinsisch motivierend wirkt.966 Vielmehr können Computer- und Video­ spiele im Allgemeinen sowie gamifizierte Anwendungen im Speziellen dazu beitragen, die zuvor benannten psychologischen Grundbedürfnisse des Spie­ lers nach Kompetenz, Autonomie sowie sozialer Einbindung zu befriedigen und dadurch über den Faktor Spaß hinaus ein erhöhtes Maß an intrinsischer Motivation erzeugen.967 Zusätzlich begünstigend hinsichtlich der Bedürfnis­ befriedigung wirkt sich dabei aus, dass spielerische Anwendungen regelmä­ ßig geringe Einstiegsvoraussetzungen aufweisen, also leicht zugänglich sind („immediacy – Unmittelbarkeit“), auf einem festen und strukturierten Regel­ werk basieren („consistency – Beständigkeit“) und dem Spieler zeitnahe und regelmäßig Feedback geben („density – Dichte respektive Frequenz“).968 Soweit darauf abgestellt wird, dass das Bedürfnis nach Kompetenzerwerb beziehungsweise Kompetenzerleben intrinsisch motivierend wirkt, bietet Ga­ mification sowohl die Möglichkeit, die eigene Kompetenz auf den Prüfstand zu stellen als auch die eigenen Kompetenzen zu erweitern.969 Insbesondere die bereits dargestellten Spiel-Design-Elemente, wie Bestenlisten, Punktesys­ teme, oder auch Achievements dienen dabei gleichermaßen als Nachweis so­ wie als digitale Manifestation real existierender Kompetenz(-erwei­terung).970 Besondere Relevanz entfaltet dabei das durch Mihály Csíkszentmihályi971 ge­ kung von Gamification auf Motivation und Leistung, S. 97; Fleisch, Gamifica­ tion4Good, S. 54; Jöckel, Computerspiele – Nutzung, Wirkung und Bedeutung, S. 70. 965  So plastisch Fleisch, Gamification4Good, S. 54. 966  Rigby / Ryan, Glued to Games, S. 8; dem folgend Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 111; so i. E. auch Fleisch, Gamifica­ tion4Good, S. 50; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 71. 967  Ryan / Rigby / Przybylski, Motivation and Emotion 2006, 344 (350); Rigby / Ryan, Glued to Games, S. 10; dem folgend Sailer, Die Wirkung von Gamification auf ­Motivation und Leistung, S. 112; so i. E. auch Fleisch, Gamification4Good, S. 50; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 72. 968  Vgl. dazu m. w. N. Rigby / Ryan, Glued to Games, S. 11 ff.; Sailer, Die Wir­ kung von Gamification auf Motivation und Leistung, S. 112 ff. 969  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 115; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 73. 970  Vgl. dazu m. w. N. Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 116 sowie Sailer / Hense / Mandl / Klevers, IxD&A 2013, 28 ff. 971  Jedenfalls englischsprachig ausgesprochen: „Me high. Chick sent me high!“

302

Dritter Teil: Die Einwilligung

prägte Konzept des Flows.972 Csíkszentmihályi zur Folge tritt der motivations­ steigernde Flow-Effekt regelmäßig auf, wenn die Fähigkeiten der Person den Anforderungen der jeweiligen Situation unmittelbar entsprechen und die je­ weilige Aktivität klare Zielsetzungen definiert sowie unmittelbares Feedback erteilt.973 Unter diesen Voraussetzungen, also insbesondere dem idealen Ver­ hältnis zwischen Über- und Unterforderung, kommt es zur Fokussierung auf die Aktivität, welche nicht nur ein hohes Maß an intrinsischer Motivation er­ zeugt, sondern zugleich dafür sorgt, dass der jeweilige Nutzer eine zeitnahe Wiederholung der Aktivität anstrebt.974 Die Generierung eines solchen FlowEffekts kann, anders als beispielsweise durch das Lesen eines Buches, insbe­ sondere durch den gezielten Einsatz von Computer- und Videospielen ver­ stärkt werden.975 Mit Blick auf Gamification konnte dabei zwischenzeitlich gezeigt werden, dass die dynamische Verwendung entsprechender Gamedesign-Elemente je­ denfalls zur Förderung des motivierenden Flows beitragen kann, da diese als stetig herausfordernd aber nicht überfordernd wahrgenommen werden, klare Zielsetzungen innerhalb der Anwendung implementieren sowie eindeutiges, regelmäßiges und unmittelbares Feedback erteilen.976 Im Kontext der Motivationsförderung ist der Idee der spielerischen Selbst­ bestimmung durch Gamification ein weiterer, nicht zu unterschätzender Ef­ fekt beizumessen. Mithin kann die freiwillige Nutzung gamifizierter Anwen­ dungen dazu beitragen, dass individuelle Autonomiebedürfnis zu stärken und damit ebenfalls zur Motivationsförderung beitragen.977 Relevant für eine autonomiefördernde Ausgestaltung kann dabei insbesondere sowohl die Ge­ währleistung unterschiedlicher Handlungsmöglichkeiten des Nutzers inner­ halb der gamifizierten Anwendung als auch die Ausgestaltung und Fortent­ wicklung eines selbstgewählten Avatars auf Grundlage eines entsprechenden 972  Vgl. hierzu jüngst Csíkszentmihályi, Flow – Das Geheimnis des Glücks sowie im Kontext Gamification statt vieler Kim / Song / Lockee / Burton, Gamification in Learning and Education, S. 7; Motyka, Digitales, spielbasiertes Lernen im Politikun­ terricht, S. 73; Jane McGonigal, Gamify your Life, S. 65; Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 115; Zichermann / Cunningham, Gami­ fication by Design, S. 16. 973  Csíkszentmihályi, The flow experience and its significance for human psychol­ ogy, in: Csíkszentmihályi / Csíkszentmihályi, Optimal experience, S. 32. 974  Csíkszentmihályi, The flow experience and its significance for human psychol­ ogy, in: Csíkszentmihályi / Csíkszentmihályi, Optimal experience, S. 34. 975  Vgl. dazu statt vieler Jane McGonigal, Gamify your Life, S. 65 ff. 976  Vgl. dazu m. w. N. Hamari / Koivisto, Computers in Human Behavior 2014, 133 ff. 977  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 119; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 75.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen303

Handlungsstrangs sein.978 Das Bedürfnis nach Autonomie kann tatsächlich aber nur in jenen Fällen befriedigt werden, in denen die freiwillige Nutzung gewährleistet wird. Insofern ist darauf zu achten, dass der Nutzer die Anwen­ dung nicht als digitale Fußfessel empfindet, wobei sowohl kompetitive Ele­ mente als auch die jeweiligen Anwendungsszenarien keinesfalls Zwang oder Druck auf Seiten der Nutzer erzeugen dürfen.979 Zuletzt können gamifizierte Anwendungen aber auch positive Auswirkun­ gen auf das Bedürfnis nach sozialer Eingebundenheit entfalten und somit auch aus diesem Grund zur Steigerung intrinsischer Motivation beitragen. Bedürfnisbefriedigend kann sich dabei sowohl die Interaktion mit weiteren Teilnehmern, beispielsweise im Rahmen klassischer Mehrspieler-Erfahrun­ gen, als auch die Auseinandersetzung mit sogenannten Nichtspieler-Charak­ teren („NPCs“) auswirken.980 Wenngleich sich die Interaktion mit Letzteren rein virtuell, also im Sinne einer nicht zwischenmenschlichen Kommunika­ tion ausgestaltet, kann auch diese einen Anteil daran haben, auf Seiten des Spielers ein Gefühl sozialer Eingebundenheit zu erzeugen.981 Beispielsweise werden NPCs dazu genutzt, den Spieler zu loben oder diesen durch korres­ pondierende Narrative der Anwendung zu führen, wobei zugleich das Gefühl des „Gebrauchtwerdens“ vermittelt wird.“982 Dass die Interaktion mit re­ellen Mitspielern, sei es nun kooperativ oder kompetitiv, enorme Auswirkung auf das Bedürfnis nach sozialer Eingebundenheit hat, lässt sich nicht zuletzt durch den ungebrochenen Erfolg sogenannter Massive Multiplayer Online Role-Playing Games („MMORPG“) demonstrieren. Aber auch gamifizierte Anwendungen können von diesem Effekt profitieren, indem beispielsweise Elemente wie Bestenlisten zu Austausch und Wettbewerb unter den Spielern einbezogen werden.983

978  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 120; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 75. 979  Deterding, eudaimonic Design, or: Six invitatios to rethink gamification, in: Fuchs / Fizek / Ruffino / Schrape, Rethinking Gamification, S. 308 warnt insofern da­ vor, dass Gamification, insbesondere im Kontext eines Beschäftigtenverhältnisses, zur „elektronischen Peitsche“ des Managements ausufern kann; zu der Problematik im Kontext des schulischen Einsatzes gamifizierter Anwendungen Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 76. 980  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 123; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 77. 981  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 123; Motyka, Digitales, spielbasiertes Lernen im Politikunterricht, S. 77. 982  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 123. 983  Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 124.

304

Dritter Teil: Die Einwilligung

c) Zwischenergebnis Freilich kann und soll die vorliegende Arbeit nur einen vergleichsweise kleinen Teil des Zusammenspiels zwischen Gamification und Motivation beleuchten. Deutlich wird allerdings, dass es nicht nur die Intention des Ga­ mifications ist, Motivation zu erzeugen, sondern dass gamifizierte Anwen­ dungen tatsächlich einen signifikanten Beitrag dazu leisten können, den Spieler zu solchen Handlungen zu bewegen, die anderenfalls kaum in Be­ tracht gezogen werden. Sicherlich spielt dabei der Faktor Spaß eine zentrale Rolle, ein Spiel oder eben auch eine gamifizierte Anwendung welche keine Freude bereitet, wird keinen Erfolg haben. Gamification wirkt darüber hinaus aber auch auf elementare psychologische Grundbedürfnisse des Spielers ein und erzeugt damit auch aus dieser Perspektive ein hohes Maß an intrinsischer Motivation. In diesem Sinne dienen Punkte, Abzeichen, Bestenlisten, Quests und andere Spieldesign-Elemente nicht nur der konkreten Gamifizierung unterschiedlichster Anwendungsbereiche, sondern zugleich der Befriedigung des Strebens nach Kompetenz, Autonomie sowie sozialer Einbettung. Zu­ sammengefasst wirkt Gamification also motivationsfördernd, weil es Spaß bereitet Spiele zu spielen, aber auch, weil es zur Verwirklichung innerer Bedürfnisse beitragen kann. 3. Anwendbarkeit auf das System der datenschutzrechtlichen Einwilligung Im Folgenden ist zu untersuchen, ob und gegebenenfalls wie gamifizierte Anwendungen auch im Kontext der Einwilligungserklärung herangezogen werden können, um den Informationsgehalt des Einwilligungsprozesses auf­ zuwerten. Zu diesem Zweck ist zunächst zu klären, ob sich das Datenschutz­ recht im Allgemeinen für eine Gamifizierung eignet (dazu unter a)). Daran anschließend sollen die vorweg gewonnenen zentralen Erkenntnisse des ­Gamifications auf den Vorgang der Einwilligung übertragen werden (dazu unter b)). a) Grundsätzliche Eignung des Datenschutzrechts zur Gamifizierung Wenngleich ein zunehmendes Interesse der Rechtswissenschaft an dem Phänomen Gamification festgestellt werden kann, mangelt es bislang noch an einer weiterführenden Auseinandersetzung hinsichtlich der konkreten Ein­ satzmöglichkeiten gamifizierter Anwendungen innerhalb des Rechts.984 Im Kontext des Datenschutzes wies Heckmann allerdings bereits frühzeitig da­ 984  Heckmann / Paschke,

in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 20.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen305

rauf hin, dass bei der Ausgestaltung datenschutzrechtlicher Informationsbe­ standteile insbesondere spielerische Mittel ein probates Werkzeug darstellen könnten.985 Dabei lässt sich aus formeller Sicht festhalten, dass grundsätzlich keine Bedenken gegen den Einsatz gamifizierter Elemente innerhalb der Einwilli­ gungserklärung bestehen. Soweit bislang Skepsis mit Blick auf die formellen Anforderungen an den Einwilligungsprozess bestanden, konnte bereits ge­ zeigt werden, dass jedenfalls diese nicht mehr entgegenstehen.986 Vielmehr ist die grundsätzlich formfreie Einwilligungserklärung insbesondere im digi­ talen Kontext mit elektronischen Mitteln aufzuwerten.987 Auch der denkbar weite Anwendungsbereich des Gamifications, also schlicht jeder spielefremde Sachverhalt, spricht grundsätzlich dafür, gamifizierte Mittel innerhalb des Einwilligungsprozesses einzuarbeiten. Aus materieller Sicht stellt sich hingegen die Frage, ob der Bereich des Datenschutzes mit anderen, „klassischen“ Einsatzbereichen des Gami­fications vergleichbar und damit zur Gamifizierung geeignet ist. Ein entsprechender Referenzrahmen ist hierbei der Bildungsbereich, in dessen Kontext Gami­ fication bereits erfolgreich zur Wissensvermittlung herangezogen wird.988 Soweit gamifizierte Anwendungen innerhalb des Bildungswesens eingesetzt werden, um die Lernmotivation zu steigern, lässt sich eine vergleichbare Ausgangslage auch innerhalb des Datenschutzrechts konstatieren. Wenn­ gleich der datenschutzrechtlich Betroffene, wie auch der Schüler, regelmäßig ein grundsätzliches Interesse hinsichtlich der jeweiligen Materie an den Tag legt, ist die Intention sich mit gegebenenfalls langwierigen und wenig unter­ haltsamen (Datenschutz-)Informationsbestandteilen auseinanderzusetzen ver­ gleichsweise gering.989 In diesem Sinne kann Gamification auch innerhalb des Datenschutzrechts dazu beitragen, grundsätzlich vorhandenes Kompe­ tenzsteigerungsinteresse aufzugreifen, anhand spielerischer Motivationsmittel konsequent zu forcieren und dadurch den Wissensgewinn auf Seiten der Be­ troffenen zu erhöhen.

985  So Heckmann im Rahmen der Tagung des DGRI-Bereits am 30.04.2016, zi­ tiert nach Lachenmann, CR 2016, R68–69; dem folgend Zander-Hayat / Reisch / Steffen, VuR 2016, 403 (409). Vgl. dazu zudem grundlegend Heckmann, Ein Kinderspiel: Anleihen für juristische Einwilligungskonzepte aus Spielideen – Vortrag im Rahmen der Gamify-Conference am 23.02.2016. Online abrufbar unter: https: /  / www.youtube. com / watch?v=ENvOnWqdhGU&t=113s, zuletzt abgerufen am 02.01.2019. 986  Vgl. zur Formfreiheit der Einwilligungserklärung unter besonderer Berück­ sichtigung elektronischer Mittel Dritter Teil Kap. 3 B. II. 987  So i. E. auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 40. 988  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 4 B. VI. 1. b). 989  Vgl. dazu bereits die Ausführungen unter Dritter Teil Kap. 4. B. II.

306

Dritter Teil: Die Einwilligung

Eine weitere Übereinstimmung zwischen Bildungssektor und Datenschutz­ recht lässt sich hinsichtlich der Komplexität der zu vermittelnden Informa­ tionen feststellen. Hierbei konnte, jedenfalls bezogen auf das (Hochschul-) Bildungswesen, belegt werden, dass sich selbst hochkomplexe Themenfelder wie das der Mathematik grundsätzlich für die Gamifizierung eignen.990 Inso­ fern lässt sich zumindest die allgemeine Eignung gamifizierter Mittel auch für komplexe, schwer verständliche Sachverhalte festhalten. Mithin zeigt sich, dass der bereits angesprochene Schulterschluss zwischen Datenschutz und Bildung991 nicht nur eine Frage des „Ob“ sondern zugleich auch eine Frage des „Wie“ ist: So sehr der Datenschutz einerseits (auch) eine allge­ meine Bildungsaufgabe darstellt, so sehr kann das Ziel datenschutzrechtlicher Bildung im konkreten Anwendungsfall durch Maßnahmen erreicht werden, welche sich im Kontext der Bildung bereits bewährt haben. Mit Blick auf die Informationsbestandteile der Einwilligung spricht damit grundsätzlich vieles dafür, entsprechende Instrumente wie das des Gamifications zur Aufwertung des Einwilligungsprozesses heranzuziehen. b) Gamifizierte Elemente einer Einwilligungserklärung Soweit festgestellt werden konnte, dass Gamification nicht nur erhebliches Motivationspotential entfalten kann und sich zudem auch innerhalb des Da­ tenschutzrechts einsetzen lässt, gilt es nunmehr grundlegend zu untersuchen, welche Elemente des Gamifications besondere Relevanz für den Einsatz im Rahmen der Einwilligungserklärung aufweisen könnten. Einschränkend ist dabei darauf hinzuweisen, dass die Entwicklung und Ausgestaltung einer Gamification-Anwendung regelmäßig von zahlreichen Faktoren abhängig ist. Insbesondere kommt es auf die Zusammenarbeit mit Gamedesignern, Pro­ grammierern, Künstlern sowie Tontechnikern an,992 so dass der nachfolgende Abschnitt lediglich Aspekte aufzeigen kann, welche bei einer gamifizierten Einwilligungserklärung erfolgversprechend sein könnten. aa) Das Ziel der gamifizierten Einwilligungserklärung Vorweg ist die konkrete Zielsetzung, der Nutzen der gamifizierten Einwil­ ligungserklärung konkret zu definieren, um dem lösungsorientierten Ansatz 990  Vgl. hierzu Kruse / Plicht / Spannagel / Wehrle / Spannagel, Creatures of the Night: Konzeption und Evaluation einer Gamification-Plattform im Rahmen einer Mathematikvorlesung. Abrufbar unter: http: /  / ceur-ws.org / Vol-1227 / paper51.pdf, zu­ letzt abgerufen am 12.10.2018. 991  Vgl. dazu bereits die Ausführungen unter Kap. 4 B. II. 992  Vgl. dazu Kim / Song / Lockee / Burton, Gamification in Learning and Educa­ tion, S.  91 ff.; Kapp, The Gamification of Learning and Instruction, S. 202 ff.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen307

des Gamifications gerecht zu werden. Unbenommen bleibt dabei, dass die Gamifizierung des Einwilligungsprozesses selbst den Grundsätzen des Da­ tenschutzrechts genügen muss.993 Wohlverstanden soll Gamification dazu beitragen, den Betroffenen zur Auseinandersetzung mit den Informationsbe­ standteilen zu motivieren und dadurch den Informationsgehalt der Erklärung aufzuwerten. Im Widerspruch dazu stünde es exemplarisch, wenn anhand der gamifizierten Erklärung zur inflationären Preisgabe personenbezogener Da­ ten angeregt werden würde.994 So ist beispielsweise die Vergabe von Punkten für die Hergabe zusätzlicher, nicht erforderlicher personenbezogener Daten kaum mit dem Grundsatz der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c ­DSGVO vereinbar und daher bei der Ausgestaltung der Erklärung zu unter­ lassen. Insgesamt soll die gamifizierte Einwilligungserklärung den Betroffe­ nen und dessen datenschutzrechtliches Selbstbestimmungsrecht im Fokus haben, nicht aber die spielerische Ummantelung nicht erforderlicher Verar­ beitungsprozesse. In Abhängigkeit zu dem jeweils vorgesehenen Anwendungsbereich sind darüber hinaus zusätzliche Aspekte bei der Zielsetzung der gamifizierten Einwilligungserklärung zu beachten. So ist beispielsweise bei der Definition der Zielsetzung im Bereich des Beschäftigtendatenschutzes eine nochmals erhöhte Datenschutzsensibilität gefordert. Mithin darf es auf Grundlage der Erklärung, respektive der daraus folgenden Verarbeitungsprozesse nicht zur „spielerischen Überwachung“ des Arbeitnehmers kommen.995 Das diesbe­ züglich inhärente Missbrauchsrisiko lässt sich nicht ohne weiteres von der Hand weisen, sollte aber letztlich nicht in Frage stellen, ob Gamification eine mögliche Rolle bei der digitalen Ausgestaltung der Einwilligung einnehmen kann. Vielmehr verdeutlicht sich dadurch, dass es einer sorgfältigen Konzep­ tion und Ausgestaltung der Erklärung im Einzelfall bedarf.996 bb) S  pezifische Spieldesign-Elemente im Anwendungsbereich der Einwilligung Abschließend sollen nunmehr ausgewählte Gamification-Elemente auf de­ ren Eignung für den Einsatz im Rahmen der gamifizierten Einwilligungserklä­ rung untersucht werden. Während sich Funktionen wie die der Wahlfreiheit, der Punkte oder der Abzeichen relativ einfach integrieren lassen (dazu unter auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 20. allgemein warnend Weichert, NZA 2017, 565 (566); dem folgend Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 20. 995  Vgl. hierzu kritisch Kremer / Schminder, HR Performance 6 / 2017, 53; Wächter, in: Wächter, Datenschutz im Unternehmen, Teil A Rn. 229. 996  So i. E. auch Kremer / Schminder, HR Performance 6 / 2017, 53. 993  So

994  Davor

308

Dritter Teil: Die Einwilligung

(1)), gestaltet sich die Einbeziehung weiterer klassischer Elemente wie das der Mehrspielererfahrung (Leaderboards etc.) oder das der Level als problemati­ scher. Ein möglicher Lösungsansatz soll unter (2) angesprochen werden. (1) Leicht integrierbare Spielelemente Vorweg sollen Elemente untersucht werden, welche sich ohne erheblichen Aufwand innerhalb der gamifizierten Einwilligungserklärung platzieren las­ sen. Dabei gilt es neben dem Element der Wahlfreiheit insbesondere die Punkte- als auch die Vergabe bestimmter Abzeichen zu untersuchen. (a) D  as „doppelte Selbstbestimmungsrecht“ – Freiheit zur Wahl gamifizierter Einwilligungserklärungen Wie bereits dargelegt wurde, wird der intrinsisch motivierende Faktor ga­ mifizierter Anwendungen maßgeblich durch deren freiwilligen Charakter bestimmt. Für die konkrete Ausgestaltung der Einwilligungserklärung hat das zur Folge, dass die diesbezügliche Gamifizierung der Informationsbestand­ teile, vergleichbar mit dem Einsatz etwaiger Bildsymbole, lediglich ergän­ zend / optional zur Verfügung zu stellen ist. Eine gegenteilige, möglicherweise sogar als aufgezwungen empfundene gamifizierte Aufbereitung schwächt nicht nur das Autonomiebedürfnis der Betroffenen, es kann sogar zur Aver­ sionsbildung gegenüber der Erklärung führen und sich damit insgesamt kon­ traproduktiv auswirken.997 Ob Gamification im Kontext der Einwilligungser­ klärung erfolgreich zur Informiertheit beitragen kann, ist in letzter Konse­ quenz eine Frage der selbstbestimmten Entscheidung des Betroffenen. Mithin ist diesem die Wahlfreiheit zu gewähren, ob die gamifizierte Einwilligungs­ erklärung zum Tragen kommt oder nicht. Konkret hat das zur Folge, dass es für den Betroffenen auch möglich sein muss, seine Erklärung abseits spiele­ rischer Elemente abzugeben. (b) D  er Einsatz eines Punktesystems im Kontext der Einwilligungserklärung Mit Blick darauf, dass das Punktesystem ein grundlegendes Design-Ele­ ment gamifizierter Anwendungen ist, soll untersucht werden, wie sich eine entsprechende Integration im Rahmen der Einwilligungserklärung ausgestal­ ten könnte. 997  Vgl. dazu im Kontext schulischer Anwendungen Motyka, Digitales, spielba­ siertes Lernen im Politikunterricht, S. 75.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen309

Einen vielversprechenden Ansatzpunkt entfaltet dabei die Tatsache, dass es regelmäßig zu einer textlichen Trennung zwischen datenschutzrechtlicher Einwilligungserklärung und den weiterführenden Informationsbestandteilen kommt. Letztere werden oftmals durch die Bereitstellung eines Links („Wei­ terführende Informationen zur Datenverarbeitung können Sie hier einsehen“) zur Verfügung gestellt. Diese Form der Informationsbereitstellung lässt sich zwar mit den interpretationsoffenen Vorgaben der DSGVO vereinbaren und wurde teils auch von den Aufsichtsbehörden empfohlen998, führt aber letzt­ lich regelmäßig dazu, dass das Einverständnis ohne Aufrufen des Links ab­ gegeben wird999. Aber selbst für den Fall, dass es zum Abruf der Informa­ tionsbestandteile kommt, werden diese in den seltensten Fällen in der Gänze gelesen.1000 Möglicherweise könnte hierbei bereits die Integration eines simplen Punktesystems dazu beitragen, dass sich die Betroffenen weiterfüh­ rend mit den zur Verfügung gestellten Informationen auseinandersetzen. Hierbei ist es denkbar, dass initiativ durch das Aufrufen respektive das An­ klicken des Links zu den Informationen Punkte vergeben werden. Die da­ rauffolgenden Informationsbestandteile sollten, entsprechend den Ausführun­ gen unter Kapitel 3 des vorliegenden Teils, granular dargestellt werden, wo­ bei für das Anklicken eines jeden Informationsreiters weitere Punkte verge­ ben werden. Für den Fall, dass der Betroffene sämtliche Informationsreiter geöffnet hat, könnte ein weiterer Bonus vergeben werden. Um den Betroffenen zu verdeutlichen, dass die Einwilligung nicht nur Mittel zum Zweck ist, sondern zugleich weitrechende Konsequenzen haben kann, über die es sich zu informieren gilt, bietet es sich an, das Punktesystem als „Datenkarma“ zu bezeichnen. Eine entsprechende visuelle Aufbereitung, beispielsweise durch grafisch ansprechende Popups, könnte weiterhin dazu beitragen, dass sich der Betroffene mit den Informationsbestandteilen aus­ einandersetzt. Anhand der nachfolgenden Tabelle, welche sich an dem bei Zichermann / Cunningham zu findenden Tutorial zur Ausgestaltung einer gamifizier­ 998  Vgl. dazu die Empfehlung der textlichen Trennung zwischen Einwilligung und Informationsbestandteilen durch den Düsseldorfer Kreis im Rahmen der Orien­ tierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen, S. 4. Abrufbar unter: https: /  / www.lda.bayern.de / media / oh_einwilligung.pdf, zuletzt abge­ rufen am 12.10.2018. 999  Vgl. dazu jüngst Hurtz, Süddeutsche Zeitung v. 03.09.2018, „Der Teufel steckt in den Standardeinstellungen“. Abrufbar unter https: /  / www.sueddeutsche.de / digital /  tage-dsgvo-der-teufel-steckt-in-den-standardeinstellungen-1.4113940?utm_source= D64+Ticker&utm_campaign=78ccaf4ed7-EMAIL_CAMPAIGN_4_22_2018_ COPY_01&utm_medium=email&utm_term=0_aa5ef144ff-78ccaf4ed7-64701501, zu­ letzt abgerufen am 12.10.2018. 1000  Vgl. dazu bereits die Ausführungen unter Dritter Teil Kap. 4 B. II.

310

Dritter Teil: Die Einwilligung

Datenkarma

Handlung

Zweck der Handlung

10 Datenkarma

Aufruf der weiteren Informa­ tionen im Rahmen der Einwilligungserklärung

Der Betroffene soll an die weiterführenden Informatio­ nen herangeführt werden.

10 Datenkarma

Weiterführende Auseinander­ setzung mit den einzelnen Informationsbestandteilen durch Aufruf der einzelnen Reiter innerhalb der granular ausgestalteten Erklärung

Der Betroffene soll zu einer vertieften Auseinandersetzung mit den Informationsbestand­ teilen angeregt werden.

30 Datenkarma

Aufruf sämtlicher Unterteilun­ Der Betroffene erhält eine Belohnung für die umfassende gen innerhalb des granularen Auseinandersetzung mit den Informationsbestandteils Informationsbestandteilen der Einwilligungserklärung.

ten Anwendung anlehnt,1001 soll eine mögliche Ausgestaltung des vorge­ schlagenen Datenkarma-Systems illustriert werden. (c) Der Einsatz spezieller Achievements / Abzeichen im Kontext der Einwilligungserklärung Ergänzend zu dem Punktesystem bietet es sich an, für den Vollzug festge­ legter Handlungen im Kontext der Einwilligungserklärung Achievements / Ab­ zeichen zu vergeben. Auch die Anreicherung des Einwilligungsprozesses durch Abzeichen dient dabei maßgeblich dazu, den Betroffenen ein unmittel­ bares Feedback bezüglich seiner Handlungen zu erteilen. Darüber hinaus kann das Einwilligungs-Achievement aber auch dazu beitragen, das Bedürf­ nis nach Kompetenz(‑erweiterung) zu befriedigen, indem der Wissenserwerb des Betroffenen digital manifestiert wird. Bei der Ausgestaltung und Anreicherung der Einwilligungserklärung mit­ tels Abzeichen gilt es allerdings verschiedene Aspekte zu beachten. Zunächst empfehlen Zichermann / Cunningham eine Orientierung an dem, von GameDesignern oftmals herangezogenen, Bushnell Theorem („Easy to learn hard to master“)1002: Während zu Beginn der Anwendung, beziehungsweise im vorliegenden Fall der Erklärung, sehr schnell Abzeichen vergeben werden sollten, sollte sich das Erreichen der darauf folgenden Achievements zuneh­ Zichermann / Cunningham, Gamification by Design, S. 113 ff. dazu Crocket, „Easy to learn, Difficult to Master“: Accessible Front-Ends to Challenging Science Assignments, in: Connolly / Boyle, Proceedings of The 10th European Conference on Game Based Learning, S. 144 ff. 1001  Vgl. 1002  Vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen311

mend schwieriger gestalten.1003 Ein entsprechendes Design erzeugt nicht nur auf erster Stufe eine Form des schnellen (Kompetenz-)Feedbacks, es trägt durch die dynamische Anpassung an die Fähigkeiten des Betroffenen zu­ gleich dem bereits dargestellten Flow-Effekt Rechnung.1004 Allein der Anreiz, verschiedene Abzeichen erreichen zu können, kann auf Seiten der Betroffenen dafür sorgen, dass sich diese mit der Erklärung in einer Form beschäftigen, die anderenfalls kaum denkbar wäre.1005 Um diesen Effekt erzielen zu können, muss den Betroffenen allerdings die Möglichkeit des Erreichens bestimmter Achievements hinreichend verdeut­ licht werden. Jedenfalls sollte die Erklärung mittels eines entsprechenden Hinweises auf die Abzeichen ergänzt werden. Eine diesbezügliche Möglich­ keit könnte ein einleitender Satz im nachfolgenden Sinne darstellen: „Befasse Dich mit der Einwilligungserklärung, sammle Datenkarma und Abzeichen und informiere Dich dadurch, wie wir Deine personenbezogenen Daten verarbeiten.“. Wahlweise können im Rahmen dessen mögliche Abzeichen, die es zu erreichen gilt, aufgezählt werden (beispielsweise durch ein weiteres Popup-Fenster samt entsprechenden Verweis darauf) oder verdeckt bleiben, um die Erklärung um zusätzliche explorative Elemente zu ergänzen.1006 Da­ rüber hinaus ist es denkbar, am Ende des jeweiligen Informationsblocks Kontrollfragen zu integrieren, deren Beantwortung mittels eines weiteren Abzeichens und / oder Punkten belohnt wird. Anhand der nachfolgenden Tabelle, welche sich an dem bei Zichermann /  Cunningham zu findenden Tutorial zur Ausgestaltung einer gamifizierten Anwendung anlehnt,1007 soll eine mögliche Ausgestaltung des vorgeschlage­ nen Abzeichensystems illustriert werden: Abzeichen

Handlung

„Privacy Curiosity?!“

Aufruf der weiterführenden Informationen.

„Privacy Explorer“

Vertiefte Auseinandersetzung mit bereitgestellten Informationen durch das Anklicken unterschiedlicher Reiter. (Fortsetzung nächste Seite)

1003  Zichermann / Cunningham,

Gamification by Design, S. 115. diesem Sinne auch Crocket, „Easy to learn, Difficult to Master“: Accessible Front-Ends to Challenging Science Assignments, in: Connolly / Boyle, Proceedings of The 10th European Conference on Game Based Learning, S. 145. 1005  Vgl. Zichermann / Cunningham, Gamification by Design, S. 116. 1006  Vgl. dazu auch Sailer, Die Wirkung von Gamification auf Motivation und Leistung, S. 33. 1007  Vgl. Zichermann / Cunningham, Gamification by Design, S. 115 ff. 1004  In

312

Dritter Teil: Die Einwilligung

(Fortsetzung Tabelle) Abzeichen

Handlung

„Privacy Quizmaster“

Beantwortung einzelner Kontrollfragen

„Privacy Expert“

Aufruf aller Informationsbestandteile sowie Beantwor­ tung aller Kontrollfragen

(2) Weiterführende Elemente Soweit der Einwilligungsprozess durch weiterführende Elemente wie bei­ spielweise Leaderboards, Levels oder Avatare angereichert werden soll, ist zu beachten, dass der Vorgang der Einwilligung regelmäßig mit Abgabe der jeweiligen Erklärung endet. Es stellt sich daher die Frage, ob und wie sich auch solche „weiterführenden“ Design-Elemente eignen, um den Erklärungs­ prozess anzureichern. Freilich ist dies letztlich eine Frage des Einzelfalls, wobei jedenfalls bei komplexeren Anwendungsszenarien wie beispielsweise innerhalb eines sozialen Netzwerks an ein umfassend gamifiziertes Einwilli­ gungsmanagement gedacht werden kann. Hierbei könnte auf den Einsatz des bereits vorgestellten Privacy-Information-Management-Systems – PIMS zu­ rückgegriffen werden,1008 welches zusätzlich durch gamifizierte (Mehrspie­ ler-)Elemente angereichert werden könnte. Insofern könnte die Integration eines zentralen, ergänzend gamifizierten „Privacy-Dashboards“ nicht nur der Organisation der eigenen Datenströme dienlich sein und damit ein erhebli­ ches Maß an Transparenz erzeugen, sondern zugleich die Motivation sich mit den zugrundeliegenden Verarbeitungsvorgängen zu befassen erheblich stei­ gern. Soweit dabei bereits vertreten wird, dass etwaige PIMS insbesondere auf Piktogramme und Symbole zur Informationsvermittlung setzen sollten, spricht im Ergebnis nichts dagegen den Gedanken dahingehend fortzuführen, dass auch spezielle weiterführende Spiel-Design-Elemente in die „Daten­ schutz-Konsole“ eingebettet werden. Auf Grundlage eines Privacy-Dashboards ist die Integration eines Leader­ boards beziehungsweise die Ausgestaltung mehrerer Datenschutz-Level, bei­ spielsweise auf Grundlage des erreichten Datenkarmas, durchaus realisierbar. Derartige Gamification-Elemente könnten dazu genutzt werden, den Betrof­ fenen zur weiteren intensiven Beschäftigung mit den datenschutzrechtlichen Bestandteilen der jeweiligen Anwendung(en) anzuregen. Von besonderer Relevanz sind dabei die nachgelagerten datenschutzrechtlichen Informations­ pflichten gem. den Art. 12 ff. DSGVO, die Geltendmachung etwaiger Betrof­ fenenrechte gem. den Art. 15 ff. DSGVO und auch die nachträgliche Abände­ 1008  Vgl.

dazu ausführlich unter Dritter Teil Kap. 3 B. II. 3. b).



Kap. 4: Die materiellen Einwilligungsvoraussetzungen313

rung der Einwilligungserklärung durch Widerruf oder Erweiterung. Soweit der Betroffene ein Interesse daran hat, sich mit weiteren Betroffenen zu messen, kann die Integration eines Datenschutz-Highscores für zusätzliche Motivation sorgen. Hierbei ist allerdings gesondert darauf zu achten, dass die Interaktion mit anderen Betroffenen ausschließlich unter Berücksichtigung des Betroffenenwillens erfolgt. 4. Zwischenergebnis Zusammenfassend lässt sich festhalten, dass die Integration gamifizierter Aspekte ein durchaus erfolgversprechendes Gestaltungselement digitaler Ein­ willigungserklärungen ist. Mit Blick auf die eingangs aufgeworfene These, dass spielerische Elemente zur Informationsvermittlung beitragen können, kommt dabei insbesondere dem motivierenden Aspekt des Gamifications eine zentrale Rolle zu. Punkte, Abzeichen, Level oder Leaderboards können nicht nur in der Arbeitswelt, dem Gesundheitswesen oder dem Bildungsbe­ reich dazu beitragen, dass sich die jeweiligen Nutzer mit unliebsamen Akti­ vitäten beschäftigen. Vielmehr spricht vieles dafür, dass auch der daten­ schutzrechtliche Betroffene anhand von Spiel-Design-Elementen dazu moti­ viert werden kann, sich mit Informationsbestandteilen der jeweiligen Erklä­ rung auseinanderzusetzen und dadurch ein Mehr an Information(-sverständnis) erzeugt werden kann. In diesem Sinne sollte ein novelliertes Datenschutzrecht, welches die zu­ nehmende Digitalisierung der Gesellschaft im Blick hat, selbst Teile der Di­ gitalisierung aufgreifen, um dessen Anforderungen entsprechen zu können. Gamification ist dabei lediglich ein Aspekt, welcher aber unter Berücksichti­ gung bereits vorhandener Erkenntnisse anderer Disziplinen sicherlich dazu beitragen kann, die gewünschte Selbstbestimmung der Betroffenen zu stär­ ken. Freilich ist damit nicht der Aufruf verbunden, digitale Einwilligungser­ klärungen umfassend und in jedem Fall zu gamifizieren. Es kommt auf den konkreten Fall an, wobei die bereits dargelegte adressatengerechte Aufberei­ tung der Einwilligungserklärung von signifikanter Bedeutung ist. So aufwer­ tend die spielerische Einwilligungserklärung im Kontext bestimmter Dienste der Informationsgesellschaft sein kann, so wenig mag sie sich beispielsweise in kapitalmarktorientierten Anwendungsszenarien eignen. Die vorliegende Arbeit versteht sich dabei als Impuls, entsprechende Ansätze bei der Ausge­ staltung der jeweiligen Verarbeitungssituation jedenfalls mitzudenken.

314

Dritter Teil: Die Einwilligung

VII. Zwischenfazit „Die Einwilligung sollte in informierter Weise erfolgen.“ So prägnant der Verordnungsgeber das Gebot der Informiertheit in Erwägungsgrund 32 Satz 1 der DSGVO normiert, so problematisch gestaltet sich die Umsetzung der informierten Einwilligung in der Praxis. Dass dem Informationsgebot inhä­ rente Spannungsverhältnis erstreckt sich dabei nicht nur zwischen Unter- und Überinformation, sondern auch auf die grundlegende Frage, wie letztlich er­ forderliche Informationen zu vermitteln sind. Dem Betroffenen sind nicht nur umfassend Informationen zu übermitteln, ohne diesen zu überfordern. Dem Betroffenen sind nicht nur die Konsequen­ zen seiner Erklärung vor Augen zu führen, ohne geschäftsgefährdende Infor­ mationen zu offenbaren. Dem Betroffenen ist eine reiflich überlegte Abwä­ gungsentscheidung zu ermöglichen, bestenfalls ohne dass sich dieser einer zeitintensiven Auseinandersetzung mit der Erklärung stellen muss. Vorder­ gründig ist dem Gebot der Informiertheit also ein Anforderungskatalog zu entnehmen, welchem durch die Bereitstellungen klassischer, textbasierter Informationsbestandteile oftmals nicht entsprochen werden kann. Tieferge­ hend entspringt dem Gebot der Informiertheit in der Folge das „ungeschrie­ bene Tatbestandsmerkmal“, der Aufruf an die Verantwortlichen, neue Wege zur ermitteln, wie das datenschutzrechtlich versprochene Idealbild des infor­ mierten Betroffenen umgesetzt werden kann. In diesem Sinne sind aber durchaus interessengerechte, allem voran digi­ tale Optionen zur Informationsvermittlung denkbar. Mittel wie das „pseudo­ nymisierte Geschäftsgeheimnis“, die Informationsreduktion durch korrespon­ dierende Vertrauensmaßnahmen oder der Einsatz sinnvoll ausgestalteter Da­ tenschutz-Emoticons verstehen sich dabei als Impulse einer innovativen Einwilligungserklärung. Selbiges gilt für die Integration gamifizierter Ele­ mente, welche beispielhaft für die Idee der Information durch Motivation einstehen. Insgesamt wird deutlich, dass der Datenschutz im Allgemeinen, beziehungsweise Informationsvermittlung im Speziellen, nicht nur trotz oder wegen der umfassenden Digitalisierung, sondern gerade durch die Digitali­ sierung umzusetzen ist.

C. Das Gebot der Freiwilligkeit unter besonderer Berücksichtigung der Vorgaben des Art. 7 Abs. 4 DSGVO Der abschließende materielle Eckpfeiler der rechtskonformen Einwilli­ gungserklärung ist das Gebot der Freiwilligkeit. Mithin handelt es sich gem. Art. 4 Nr. 11 DSGVO nur dann um eine Einwilligung im Sinne der Verord­ nung, wenn diese freiwillig abgeben wurde. Wenngleich auch das Gebot der



Kap. 4: Die materiellen Einwilligungsvoraussetzungen315

Freiwilligkeit zu Recht Gegenstand umfangreicher juristischer Diskurse ist,1009 werden mit Blick auf den Schwerpunkt der Arbeit lediglich zentrale Aspekte dargestellt. Zu diesem Zweck sind zunächst die Grundlagen des Freiwilligkeitsgebots aufzuzeigen (dazu unter I.), um daran anschließend im Speziellen auf das sogenannte Koppelungsverbot des Art. 7 Abs. 4 DSGVO näher einzugehen (dazu unter II.). I. Grundlagen des Gebots der Freiwilligkeit Auch das Tatbestandsmerkmal der Freiwilligkeit hat keine Legaldefinition innerhalb der DSGVO erfahren. Allerdings ergeben sich insbesondere aus Art. 7 Abs. 4 DSGVO sowie aus den korrespondierenden Erwägungsgründen zentrale Merkmale des Freiwilligkeitsgebots.1010 Maßgebliche Elemente der freiwilligen Einwilligungserklärung sind dabei die Ausgestaltung im Sinne einer echten Wahlfreiheit (dazu unter 1.) sowie die Einbeziehung der Macht­ verhältnisse im konkreten Fall (dazu unter 2.) 1. Freiwilligkeit als Freiheit, „Nein“ zu sagen Grundlegend kann von Freiwilligkeit nur dann gesprochen werden, wenn den Betroffenen tatsächlich die Möglichkeit eingeräumt wird, die Abgabe der Erklärung folgenlos abzulehnen. Mit anderen Worten: Der Grundsatz der Freiwilligkeit findet jedenfalls dort seine Grenze, wo der Betroffene einem Zwang zur Abgabe unterliegt.1011 Für diesen Befund spricht insbesondere Erwägungsgrund 42 Satz 5 DSGVO:1012 Von der Freiwilligkeit der Einwilligung sollte nur dann ausge­ gangen werden, wenn der Betroffene eine echte Wahl hat und somit in der 1009  Vgl. dazu statt vieler Funke, Dogmatik und Voraussetzung der datenschutz­ rechtlichen Einwilligung im Zivilrecht, S. 266  ff.; Hermstrüwer, Informationelle Selbstgefährdung, S.  83 ff.; Radlanski, Das Konzept der Einwilligung in der daten­ schutzrechtlichen Realität, S. 12 ff., 125 ff. 1010  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 49. 1011  So beispielsweise Otto / Rüdlin, ZD 2017, 519 (521); Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 12; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 50; Däubler, in: Däubler / Wedde / Wei­ chert / Sommer, DSGVO / BDSG, Art. 7 DSGVO Rn. 33. 1012  So auch Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 39; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 49; Stemmer, in: Wolff /  Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 38; Schulz, in: Gola, DSGVO, Art. 7 Rn. 21; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 Rn. 18; Schwartmann /  Klein, in: Schwartmann / Jaspers / Thüsing / Kugelmann, DSGVO, Art. 7 Rn. 44.

316

Dritter Teil: Die Einwilligung

Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne hier­ durch Nachteile zu erleiden.1013 Mit Blick auf die Schutzfunktion des Freiwilligkeitsgebots ist der Begriff des Nachteils umfassend zu verstehen.1014 Regelmäßig ist ein Nachteil mit der Folge der Unfreiwilligkeit der Erklärung bereits dann anzunehmen, wenn dem Betroffenen eine irgendwie geartete Sanktion bei Nichtabgabe der Er­ klärung droht. In diesem Sinne unterfallen damit nicht nur willensbeugende oder willensbrechende Verhaltensweisen beziehungsweise die entsprechende Androhung dem Begriff des Nachteils.1015 Es kann ausreichend sein, wenn sich der Betroffene zur Abgabe der Erklärung lediglich gedrängt fühlt.1016 Auch das in Aussicht Stellen weiterer Zusatzkosten für den Fall der Verwei­ gerung der Einwilligung kann bereits dazu führen, dass die Wahlfreiheit des Betroffenen dergestalt eingeschränkt wird, dass nicht mehr von einer freiwil­ ligen und selbstbestimmten Entscheidung gesprochen werden kann.1017 Ein­ schränkend ist allerdings festzuhalten, dass allein die Verknüpfung zwischen Leistung und Einwilligung nicht zwingend als Nachteil gewertet werden muss und damit zur Verneinung der Freiwilligkeit führen muss.1018 Abseits dessen ist es ebenfalls schwer mit der Forderung einer freien Ent­ scheidung vereinbar, wenn der Verantwortliche einen Verarbeitungsvorgang vordergründig auf die Abgabe einer Einwilligung stützt, im Falle der Verwei­ gerung allerdings auf gesetzliche Erlaubnistatbestände zurückgreift.1019 Von einer echten Wahlmöglichkeit kann in diesem Fall nicht gesprochen werden, 1013  Vgl.

Erwägungsgrund 42 Satz 5 DSGVO. i. E. auch Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 42, welche allerdings allgemein den Begriff der Freiwilligkeit extensiv auslegen möchten. 1015  Darauf beispielsweise hinweisend Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 13; Heckmann / Paschke, in: Ehmann / Sel­ mayr, DSGVO, Art. 7 Rn. 50; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 39; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 27. 1016  So auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guide­ lines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 5. 1017  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 6; kritisch hierzu Schulz, in: Gola, DSGVO, Art. 7 Rn. 26. 1018  Buchner, DuD 2010, 39 (41). Weiterführend dazu unter Unterpunkt II. 1019  So überzeugend Tinnefeld / Conrad, ZD 2018, 391 (393); in diesem Sinne auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 27; Buchner / Kühling, in: Kühling /  Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 18; einschränkend Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 20, welche den Rückgriff auf gesetzliche Erlaubnistatbestände dann für zulässig erachten, wenn der Betroffene bei Abgabe der Erklärung auf diese Möglichkeit hingewiesen wird. 1014  So



Kap. 4: Die materiellen Einwilligungsvoraussetzungen317

vielmehr täuscht der Verantwortliche damit ein de facto nicht vorhandenes Selbstbestimmungsrecht vor.1020 Die Freiheit, „Nein“ zu sagen kann aber auch durch das Versprechen übergebührlicher Anreize für die Abgabe der Einwilligung beeinträchtigt werden.1021 Ob beispielsweise tatsächlich von einer freiwilligen Erklärung ausgegangen werden kann, wenn die Abgabe die Chance eines zusätzlichen Monatseinkommens beinhaltet, darf zu Recht be­ zweifelt werden.1022 Insgesamt und unter besonderer Berücksichtigung des Grundrechtsgehalts der Einwilligung kann also nur dann von einer selbstbestimmten, freiwilligen Erklärung ausgegangen werden, wenn die Entscheidung über das „Ob“ und das „Wie“ der Datendisposition allein in der Hand des Betroffenen liegt.1023 2. Freiwilligkeit im Kontext evidenter Machtasymmetrien Die Freiwilligkeit der Einwilligungserklärung ist aber nicht nur bei Vorlie­ gen möglicher Sanktionen, Täuschungen oder im Kontext etwaiger Anreiz­ systeme kritisch zu sehen. Vielmehr stellt Erwägungsgrund 43 Satz 1 klar, dass auch die „Machtkonstellation“ im konkreten Fall eine Form des fakti­ schen Zwangs erzeugen kann und damit zur Unfreiwilligkeit der Erklärung führen kann. Mithin kann auch eine im Verhältnis zu dem Verantwortlichen geschwächte Machtposition des Betroffenen zur Einschränkung seiner Ent­ scheidungsfreiheit führen.1024 Unter Berücksichtigung dessen sollen Einwilli­ gungserklärungen regelmäßig dann keine gültige Rechtsgrundlage liefern, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht.1025 Bedenkt man allerdings, dass es eine erschöpfende Freiheit vor sozialen, beruflichen oder gesellschaftlichen Zwängen nicht gibt, ist der Aspekt der Freiwilligkeit keinesfalls steter Stolperstein rechtskonformer Einwilligungs­ erklärung.1026 Vielmehr bedarf es einer entsprechend kritischen Auseinander­ 1020  So i. E. auch Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 18. 1021  Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 40; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 14; Däubler, in: Däubler / Wedde / Weichert / Sommer, DSGVO / BDSG, Art. 7 DSGVO Rn. 43. 1022  So Däubler, in: Däubler / Wedde / Weichert / Sommer, DSGVO / BDSG, Art. 7 DSGVO Rn. 43. Diesbezüglich tendenziell kritisch Ingold, in: Sydow, DSGVO, Art. 7 Rn. 28. 1023  Ingold, in: Sydow, DSGVO, Art. 7 Rn. 29. 1024  Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Reali­ tät, S. 14. 1025  Vgl. Erwägungsgrund 43 Satz 1 DSGVO. 1026  Rüpke / von Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 42.

318

Dritter Teil: Die Einwilligung

setzung mit dem Aspekt der Freiwilligkeit im jeweiligen Fall.1027 Im Kontext neuralgischer Konstellationen empfehlen Heckmann / Paschke daher ein zweistufiges Prüfverfahren, wobei zunächst abstrakt eine möglicherweise bestehende Machtasymmetrie aufzuzeigen ist, um sodann im konkreten Fall die Wahlmöglichkeit des Betroffenen zu prüfen.1028 a) Grundsätzlich bedenkliche Machtgefälle Signifikante strukturelle Machtdivergenzen, welche grundsätzlich das Vor­ liegen einer freiwilligen Einwilligungserklärung in Frage stellen können, finden sich dabei insbesondere innerhalb der Beziehung Bürger-Staat, inner­ halb des Beschäftigungskontexts oder auch innerhalb des Gesundheitswe­ sens.1029 aa) Der Aspekt der Freiwilligkeit im Verhältnis Bürger-Staat Wenngleich das Verhältnis Bürger-Staat maßgeblich durch eine Über- und Unterordnung geprägt ist und die DSGVO das Verhältnis zwischen Behörde und Betroffenen gesondert als Beispiel eines klaren Ungleichgewichts benennt,1030 ist die Heranziehung der Einwilligung für öffentliche Stellen nicht grundsätzlich ausgeschlossen1031. Allein die Tatsache, dass eine Be­ hörde als Einwilligungsrezipient fungiert, fingiert also nicht die Unfreiwillig­ keit der Erklärung, es ist vielmehr danach zu differenzieren, ob die Behörde ausschließlich hoheitlich oder in einem Verhältnis der Gleichrangigkeit agiert.1032 Beispielsweise ist es denkbar, dass das grundsätzlich bestehende, freiwilligkeitsfeindliche Subordinationsverhältnis im Zusammenhang mit dem Abschluss eines öffentlich-rechtlichen Vertrages in den Hintergrund tritt.1033

1027  Rüpke / von

Lewinski / Eckhardt, Datenschutzrecht, § 13 Rn. 42. in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 51 ff.; ähnlich Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 44; ­Ingold, in: Sydow, DSGVO, Art. 7 Rn. 28. 1029  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 52; Vgl. auch Ingold, in: Sydow, DSGVO, Art. 7 Rn. 27. 1030  Vgl. Erwägungsgrund 43 Satz 1 DSGVO. 1031  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 19; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 53; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 11. 1032  So auch Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 19. 1033  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 19. 1028  Heckmann / Paschke,



Kap. 4: Die materiellen Einwilligungsvoraussetzungen319

Darüber hinaus kann der Rückgriff auf die Einwilligung aber auch dann in Betracht kommen, wenn die öffentliche Stelle ausschließlich zu Gunsten des Bürgers handelt. Dabei ist beispielsweise die einwilligungsbasierte Zusam­ menführung unterschiedlicher Datensätze des Bürgers bei unterschiedlichen Behörden denkbar, um somit antragsbedingte Zeit- und Verfahrenskosten zu senken.1034 Stehen der öffentlichen Stelle allerdings (Zwangs-)Mittel zur Verfügung, welche die Verarbeitung notfalls auch ohne entsprechende Ein­ willigung legitimieren können, kann von einer Entscheidungsfreiheit des Betroffenen nicht mehr ausgegangen werden.1035 In der Regel empfiehlt es sich daher im Verhältnis Bürger-Staat auf gesetzliche Erlaubnistatbestände wie etwa Art. 6 Abs. 1 Satz 1 lit. c oder lit. e DSGVO zurückzugreifen.1036 bb) Der Aspekt der Freiwilligkeit innerhalb des Beschäftigungsverhältnisses Ein vergleichbares strukturelles Ungleichgewicht findet sich zudem inner­ halb bestehender oder einzugehender Beschäftigtenverhältnisse.1037 In aller Regel werden Beschäftigte bei der Abgabe der Einwilligungserklärung von der evidenten strukturellen als auch finanziellen Machtasymmetrie beein­ flusst.1038 Im Zweifel werden viele Beschäftigte ein „gläsernes Arbeitsver­ hältnis“ einer möglicherweise drohenden Arbeitslosigkeit bei Verweigerung der Erklärung vorziehen.1039 Von einer freiwilligen Erklärung kann in diesem Fall keine Rede mehr sein.

1034  Vgl. dazu die Beispiele bei Artikel-29-Datenschutzgruppe, Stellung­ nahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 7. 1035  Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 51; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 53. 1036  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 7; so auch Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 19; Schulz, in: Gola, DSGVO, Art. 7 Rn. 5. Auch der Bayerische Landesbeauftragte für den Datenschutz geht davon aus, dass die Einwilligung im öffentlichen Bereich weiterhin eine „untergeordnete Rolle“ einnehmen wird, vgl. BayLfD, Die Einwilligung nach der Datenschutz-Grundverord­ nung (DSGVO), S. 8. Abrufbar unter: https: /  / www.datenschutz-bayern.de / daten­ schutzreform2018 / einwilligung.pdf, zuletzt abgerufen am 15.10.2018. 1037  Ausführlich dazu Funke, Dogmatik und Voraussetzungen der datenschutz­ rechtlichen Einwilligung im Zivilrecht, S. 249 ff.; Radlanski, Das Konzept der Einwil­ ligung in der datenschutzrechtlichen Realität, S. 22 ff., 124 ff., 223. 1038  Vgl. dazu Radlanski, Das Konzept der Einwilligung in der datenschutzrecht­ lichen Realität, S. 125 ff. 1039  Vgl. dazu das Beispiel bei Artikel-29-Datenschutzgruppe, Stellungnahme  17 /  2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 8.

320

Dritter Teil: Die Einwilligung

Aber auch unter Berücksichtigung dieser Konstellation gilt insbesondere unter Einbeziehung des Erwägungsgrundes 155 Satz 1 DSGVO, dass ein genereller Ausschluss der Einwilligung im Beschäftigtenverhältnis nicht vor­ gesehen ist.1040 Vielmehr sieht der Verordnungsgeber die Möglichkeit zur Spezifizierung der Vorgaben zur Einwilligungserklärung im Beschäftigungs­ kontext ausdrücklich vor.1041 Der deutsche Gesetzgeber hat, wie bereits dar­ gestellt, von der Möglichkeit der Einwilligungsausgestaltung im Kontext des Beschäftigungsverhältnisses durch die Vorgaben des § 26 Abs. 2 Satz 1 BDSG Gebrauch gemacht und dabei gesondert auf den Aspekt der Freiwilligkeit geachtet.1042 cc) Der Aspekt der Freiwilligkeit innerhalb des Gesundheitswesens Grundsätzlich zeichnet sich der Aspekt der Freiwilligkeit auch im Kontext des Gesundheitswesens als problematisch aus.1043 Freiwilligkeitshemmende Bereichsspezifika sind dabei nicht nur strukturell, sondern gleichermaßen auch informationell bedingt. Während sich die strukturelle Ungleichheit oft­ mals daraus ergibt, dass der Patient beispielsweise auf die Versorgung durch einen bestimmten (Fach-)Arzt angewiesen ist,1044 ist zudem der Umstand miteinzubeziehen, dass „[…] naturgemäß von einem Machtungleichgewicht kraft Wissenshoheit des Arztes […]“1045 auszugehen ist. Darüber hinaus ist zu berücksichtigen, dass das handlungsbestimmende Moment des Patienten im Wunsch nach Genesung zu sehen ist, wobei der Schutz personenbezoge­ ner Daten oftmals von nachrangiger Bedeutung ist.1046 Zweifelsohne ver­ schärft sich die Problematik nochmals im Falle eines akuten Behandlungsbe­ darfs.1047

1040  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 52; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 27. 1041  Vgl. Erwägungsgrund 155 Satz 1 DSGVO. 1042  Vgl. dazu die Ausführungen unter Dritter Teil Kap. 1 B. II. 1043  Vgl. dazu Otto / Rüdlin, ZD 2017, 519 (521 ff.); Buchner, Der NEUE Daten­ schutz im Gesundheitswesen, S. 56 ff.; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 34 ff.; Heckmann, in: Heckmann, jurisPK In­ ternetrecht, Kap. 9. 1. Überarbeitung Rn. 275. 1044  Vgl. dazu Buchner, Der NEUE Datenschutz im Gesundheitswesen, S. 56. 1045  So Dochow, GesR 2016, 401 (404). 1046  Otto / Rüdlin, ZD 2017, 519 (522); Menzel, MedR 2006, 702 (705); Kühling, in: Wolff / Brink, BeckOK Datenschutzrecht, § 4a BDSG a. F. Rn. 63, der darauf ver­ weist, dass jedenfalls bei der forschungsbezogenen (Weiter-)Verarbeitung personen­ bezogener Daten eine „zeitliche Entzerrung“ dazu beitragen kann, den Fokus des Patienten auf die datenschutzrechtliche Einwilligungserklärung zu lenken. 1047  Buchner, Der NEUE Datenschutz im Gesundheitswesen, S. 56.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen321

Obschon die Problematik des strukturbedingten Machtgefälles sicherlich nicht datenschutzrechtlich gelöst werden kann, kann jedenfalls die transpa­ rente, verständliche und informierte Einwilligungserklärung dazu beitragen, bestehende Wissensasymmetrien zu beseitigen.1048 Freilich darf dies nicht dazu führen, dass die grundrechtlich intendierte Selbstbestimmung zur „Mit­ wirkungs-Obliegenheit“ des Patienten verkommt.1049 Gerade in physisch und psychisch belastenden (Behandlungs-)Situationen, in denen der Heil­erfolg an oberster Stelle steht, wird möglicherweise der medizinischen Risikoaufklä­ rung Beachtung geschenkt, nicht aber einer ausführlichen, langatmigen Da­ tenschutzerklärung.1050 Daraus zu folgern, dass die Einwilligung im Kontext medizinischer oder forschungsbedingter Anwendungsszenarien wenig prakti­ kabel ist, wäre allerdings verfehlt. Vielmehr sollten die bereits aufgezeigten Möglichkeiten zur Ausgestaltung der Informationsbestandteile auch innerhalb des Gesundheitswesens herangezogen werden. Nicht nur, dass damit Wissens­ asymmetrien abgebaut werden, das Selbstbestimmungsrecht des Patienten gestärkt wird und der Patient auch datenschutzrechtlich in den Fokus der Behandlung rückt. Unter Umständen kann die interaktive Einwilligungser­ klärung auch für Zerstreuung in Zeiten höchster Anspannung sorgen und somit dazu beitragen, die Behandlung angenehmer zu gestalten. Letztlich ist das damit verbundene Ziel nicht, eine noch umfassendere Informationsdichte auf Seiten des Betroffenen zu erzeugen, sondern tatsächlich erforderliche Informationen für den Betroffenen auch in unangenehmen Situationen „zu­ gänglich“ zu machen. Entscheidender Aspekt ist also auch innerhalb des Gesundheitswesens nicht eine Quantitäts- sondern eine Qualitätszunahme der Informationserteilung.1051 Abseits dessen sprechen aber auch pragmatische Aspekte für eine restrik­ tive Bestimmung des Ungleichgewichts innerhalb des Arzt-Patienten-Verhält­ nisses. Würde die legitimierende Wirkung der datenschutzrechtlichen Einwil­ ligungserklärung innerhalb des Gesundheitswesens aberkannt werden, müss­ ten in der Folge eine Vielzahl weiterer gesetzlicher Erlaubnistatbestände ge­ schaffen werden.1052 Zu Recht weist Duchow darauf hin, dass dadurch die „[…] Hypertrophie bereichsspezifischer Normen im Gesundheitsdatenschutz­

1048  So auch Otto / Rüdlin, ZD 2017, 519 (522); kritisch Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 9. 1. Überarbeitung Rn. 277. 1049  Davor warnend Menzel, MedR 2006, 702 (705). 1050  Menzel, MedR 2006, 702 (705). 1051  Insofern ist Heckmann zuzustimmen, der darauf hinweist, dass das Machtun­ gleichgewicht innerhalb des Gesundheitswesens nicht pauschal durch die quantitative Erhöhung der Informationsdichte ausgeglichen werden kann, vgl. Heckmann, in: Heckmann, jurisPK Internetrecht, Kap. 9. 1. Überarbeitung Rn. 277. 1052  Dochow, GesR 2016, 401 (404).

322

Dritter Teil: Die Einwilligung

recht […]“ weiter zunehmen würde.1053 Die damit verbundene Komplexitäts­ zunahme des ohnehin bereits kaum überschaubaren Gesundheitsdatenschut­ zes würde eine praktikable, rechtssichere Verarbeitung etwaiger Patienten­ daten in vielen Fällen erheblich erschweren.1054 Unbenommen bleibt dabei allerdings, dass eine kritische Prüfung der Freiwilligkeit im Einzelfall vorzu­ nehmen ist.1055 b) Relevante Faktoren im Einzelfall Soweit festgestellt wird, dass es zur Abgabe einer Einwilligungserklärung innerhalb eines grundsätzlich bedenklichen Machtverhältnisses kommen soll, gilt es „[…] alle Umstände in dem speziellen Fall […]“1056 angemessen zu berücksichtigen. Es ist zu prüfen, ob die grundsätzlich bestehende Machtdis­ parität auf die konkrete Einwilligungssituation durchschlägt.1057 Einen ersten Anhaltspunkt kann dabei die konkrete Ausgestaltung der a­bzugebenden Einwilligungserklärung bieten. Die Erklärung gilt als nicht ­freiwillig erteilt, „[…] wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligungserklärung erteilt werden kann, obwohl dies im Einzelfall angebracht ist […]“1058. Weist die Erklärung also pauschalierende beziehungsweise nicht erforderliche Verar­ beitungsvorgänge aus, spricht vieles für eine missbräuchliche Nutzung des Legitimationsinstruments mit der Folge, dass die Freiwilligkeit im konkreten Fall nicht angenommen werden kann.1059 Im Umkehrschluss kann aber eine differenzierte und ausgewogene Erklärung, welche nicht nur eine Entschei­ dung nach dem Prinzip „Take it or leave it“ ermöglicht, dazu beitragen, Freiwilligkeit trotz Machtdisparität zu gewährleisten.1060 Weiterhin ist die objektive Ausgangslage des Betroffenen in den Blick zu nehmen.1061 Entscheidend ist dabei insbesondere, ob der Betroffene tatsäch­ lich auf die jeweilige Leistung angewiesen ist oder ob vertretbare Hand­ 1053  Dochow,

GesR 2016, 401 (404). i. E. auch Buchner, Der NEUE Datenschutz im Gesundheitswesen, S. 28. 1055  So auch Dochow, GesR 2016, 401 (404). 1056  Erwägungsgrund 43 Satz 1 DSGVO. 1057  Vgl. Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 50. 1058  Erwägungsgrund 43 Satz 2 DSGVO. 1059  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 53; Buchner /  Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 45. 1060  Vgl. Schantz / Wolff, Das neue Datenschutzrecht, Rn. 517. 1061  Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 18. 1054  So



Kap. 4: Die materiellen Einwilligungsvoraussetzungen323

lungsvarianten in Frage kommen.1062 Für den Fall, dass der Betroffene in zumutbarer Weise eine alternative Leistung ohne Abgabe einer entsprechen­ den Einwilligungserklärung in Anspruch nehmen kann, soll dieser gerade nicht mehr vom Schutzzweck des Freiwilligkeitsgebotes umfasst sein.1063 Das Freiwilligkeitserfordernis schützt vor ungewollten Erklärungen im Kon­ text der Leistung, nicht aber vor der eigenen Trägheit.1064 Die völlige Über­ einstimmung der jeweiligen Leistungsangebote ist dabei nicht erforderlich, es ist ausreichend, dass die Alternative jedenfalls dem Grunde nach ver­ gleichbar ist.1065 Die Unzumutbarkeit der Leistungsalternative kann sich allerdings aus dem sogenannten „Lock-in-Effekt“ ergeben.1066 Regelmäßig sind die Betroffenen faktisch derart an einzelne Anbieter gebunden („locked“), dass Wechselbar­ rieren wie etwa potentielle Wechselkosten vor einem Austausch des Dienst­ leister abschrecken.1067 Insbesondere im Kontext sozialer Netzwerke kann die Bindung des Betroffenen, beispielsweise aufgrund bestehender Kontakte innerhalb des Netzwerks oder aufgrund zeitaufwändiger Setupkosten bei der Erstellung eines neuen Profils dazu führen, dass selbst gleichwertige Alterna­ tiven nicht in Betracht gezogen werden.1068 So ist beispielsweise die Zustim­ mung zur Abänderung datenschutzrechtlicher Nutzungsbedingungen im Kontext sozialer Netzwerke kritisch zu sehen, wenn die fortgesetzte Nutzung des Netzwerks von der entsprechenden Einwilligung abhängig gemacht wird.1069

1062  Schantz / Wolff, Das neue Datenschutzrecht, Rn. 507; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 52; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 7 DSGVO Rn. 18. 1063  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 52. 1064  Vgl. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 52. 1065  Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 53. 1066  Schantz / Wolff, Das neue Datenschutzrecht, Rn. 508; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 53. 1067  Vgl. dazu m. w. N. Skobel, PinG 2018, 160; Conrad, in: Auer-Reinsdorff / Con­ rad, Handbuch IT- und Datenschutzrecht, § 39 Rn. 444. 1068  Skobel, PinG 2018, 160; Schantz / Wolff, Das neue Datenschutzrecht, Rn. 508; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 53. 1069  Schantz / Wolff, Das neue Datenschutzrecht, Rn. 508.

324

Dritter Teil: Die Einwilligung

3. Zwischenergebnis Zusammenfassend lässt sich festhalten, dass das Gebot der Freiwilligkeit der Absicherung der Entscheidungsfreiheit im konkreten Fall dient. Die kon­ krete Ausgestaltung des Einwilligungsprozesses muss dem Betroffenen die Möglichkeit eröffnen, die grundrechtliche Datendisposition abzulehnen, ohne das diesem Nachteile daraus erwachsen. Soweit die Einwilligung im Rahmen tradierter Machtasymmetrien erteilt werden soll, stehen die Freiwilligkeitsan­ forderungen dem Grunde nach nicht entgegen. Es bedarf allerdings einer gesonderten Prüfung, wobei die Umstände des Einzelfalls von entscheiden­ der Bedeutung sind. II. Das Koppelungsverbot des Art. 7 Abs. 4 DSGVO Abseits bereits benannter Aspekte kommt es bei der Beurteilung der Frei­ willigkeit im konkreten Fall insbesondere auf die Vorgaben des Art. 7 Abs. 4 DSGVO an. Diese legen fest, dass sich das Kriterium der Freiwilligkeit unter anderem daran messen lassen muss, ob die Erfüllung eines Vertrages von einer datenschutzrechtlich nicht erforderlichen Einwilligungserklärung ab­ hängig gemacht wird. Dabei fungiert der Absatz weniger als Ausschluss­ tatbestand,1070 sondern vielmehr als „Subsumtionsanleitung“ bei der Prüfung des Freiwilligkeitskriteriums1071. Wenngleich weitestgehend anerkannt ist, dass daraus jedenfalls ein grundsätzliches Koppelungsverbot folgt,1072 ver­ kommt die Frage nach dem Anwendungsbereich (dazu unter 1.) sowie insbe­ sondere die Frage nach Umfang und Ausmaß des Verbots (dazu unter 2.) zum datenschutzrechtlichen Zankapfel. 1. Der Anwendungsbereich des Art. 7 Abs. 4 DSGVO Ob die Vorgaben des Art. 7 Abs. 4 DSGVO im konkreten Fall überhaupt zu berücksichtigen sind, hängt maßgeblich davon ab, wie das Merkmal der Vertragserfüllung als auch das der Erforderlichkeit zu verstehen sind. Wäh­ rend das Kriterium der Vertragserfüllung insbesondere die Frage aufwirft, ob lediglich die Verpflichtungsebene von der Normierung des Art. 7 Abs. 4 1070  Schätzle,

PinG 2017, 203 (205). in: Gola, DSGVO, Art. 7 Rn. 25. So i. E. auch Artikel-29-Datenschutz­ gruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 /  679, WP 259 rev.01, S. 9. 1072  Vgl. dazu m. w. N. Engeler, ZD 2018, 55 ff.; Golland, MMR 2018, 130 ff.; Schätzle, PinG 2017, 203 ff.; Krohm / Müller-Peltzer, ZD 2017, 551 ff.; Funke, Dog­ matik und Voraussetzung der datenschutzrechtlichen Einwilligung im Zivilrecht, S.  267 ff.; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 94 ff. 1071  Schulz,



Kap. 4: Die materiellen Einwilligungsvoraussetzungen325

DSGVO erfasst sein soll (dazu unter a)), stellt sich bei dem Merkmal der Erforderlichkeit allen voran die Frage nach der Abgrenzung zu der Legitima­ tionsgrundlage des Art. 6 Abs. 1 Satz 1 lit. b DSGVO (dazu unter b)). a) Das Kriterium der Vertragserfüllung Ausdrücklich bezieht sich der Wortlaut des Art. 7 Abs. 4 DSGVO lediglich auf die Vertragserfüllung unter Einbeziehung der Erbringung etwaiger Dienstleistungen. Jedenfalls ist es daher nicht mit den Vorgaben des Art. 7 Abs. 4 DSGVO vereinbar, der vertraglich vereinbarten Leistungspflicht erst nach Abgabe einer (weiteren) Einwilligungserklärung nachzukommen.1073 Ob darüber hinaus aber auch Koppelungssituationen im Rahmen des zugrun­ deliegenden Verpflichtungsgeschäfts umfasst sein sollen, kann dem unmittel­ baren Wortlaut nicht entnommen werden.1074 Auch der korrespondierende Erwägungsgrund 43 Satz 2 DSGVO hat lediglich die Vertragserfüllung be­ ziehungsweise die Erbringung einer Dienstleistung im Blick, sodass vertreten werden könnte, dass tatsächlich nur die Erfüllungsebene für das Koppelungs­ verbot des Art. 7 Abs. 4 DSGVO von Relevanz ist.1075 Mit Blick auf Sinn und Zweck des Koppelungsverbotes, also dem Schutz des Betroffenen bei der freien Willensbildung innerhalb des Einwilligungsprozesses,1076 spricht aber vieles dafür den Anwendungsbereich der Norm zu erweitern. Anderen­ falls wäre dem erheblich grundrechtsrelevanten Koppelungsverbot die prak­ tische Relevanz annähernd entzogen, da es regelmäßig bei Abschluss nicht aber bei Erfüllung des Vertrages zu freiwilligkeitshemmenden Koppelungs­ situationen kommt.1077 In diesem Sinne spricht sich auch die Artikel-29-Da­ tenschutzgruppe dafür aus, dass Art. 7 Abs. 4 DSGVO nicht nur Situationen im Blick hat, in denen die Erbringung der Leistung mit der Abgabe einer Einwilligung „verknüpft“ wird, sondern auch Situationen, in denen die Ein­ willigung mit der Eingehung etwaiger Verpflichtungen „gebündelt“ wird.1078

1073  Schätzle,

PinG 2017, 203 (206). Schätzle, PinG 2017, 203 (206); Ingold, in: Sydow, DSGVO, Art. 7 Rn. 31; Schulz, in: Gola, DSGVO, Art. 7 Rn. 24; Plath, in: Plath, DSGVO /  BDSG, Art. 7 DSGVO Rn. 18. 1075  Schätzle, PinG 2017, 203 (206). 1076  Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 94. 1077  Darauf mitunter abstellend Schätzle, PinG 2017, 203 (207); Schulz, in: Gola, DSGVO, Art. 7 Rn. 24. So i. E. auch Ingold, in: Sydow, DSGVO, Art. 7 Rn. 31; Plath, in: Plath, DSGVO / BDSG, Art. 7 DSGVO Rn. 18. 1078  Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 9. 1074  Dafürhaltend

326

Dritter Teil: Die Einwilligung

Letztlich spricht aber auch der Aspekt der europarechtlich autonomen Aus­ legung des Verordnungstextes dafür,1079 dass das Kausalgeschäft, wenn auch nach deutschem Verständnis strikt von der Vertragserfüllung zu trennen, in einem weiten Sinne vom Anwendungsbereich der Norm umfasst ist. Berück­ sichtigt man dabei, dass sich das Trennungs- und Abstraktionsprinzip inner­ halb Europas lediglich in der deutschen und der estländischen Rechtsordnung widerfindet,1080 liegt es aus europäischer Perspektive nahe, dass das Tatbe­ standsmerkmal der Vertragserfüllung jedenfalls auch das zugrundeliegende Kausalgeschäft umfassen soll.1081 Soweit Schulz davon spricht, dass bei der Ausformulierung des Art. 7 Abs. 4 DSGVO ein gewisses „handwerkliches Missgeschick“ an den Tag gelegt wurde,1082 ist es jedenfalls nicht abwegig, dass die deutschen Besonderheiten im Kontext des Vertrags- und Sachen­ rechts bei der Ausgestaltung des Koppelungsverbotes keine Berücksichtigung fanden. b) Abgrenzung zu den Vorgaben des Art. 6 Abs. 1 Satz 1 lit. b DSGVO Neben der Frage, innerhalb welcher vertraglichen Vereinbarungen das Koppelungsverbot des Art. 7 Abs. 4 DSGVO herangezogen werden kann, kommt es zudem darauf an, unter welchen Umständen die Einwilligung ­generell im Vertragskontext herangezogen werden kann. Problematisch ist dabei insbesondere das Verhältnis zur Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. b DSGVO, welche regelmäßig dann zur Anwendung gelangt, wenn die Verarbeitung zur Vertragserfüllung erforderlich ist. Wenngleich der Begriff der Erforderlichkeit in der Tendenz restriktiv auszulegen ist,1083 würde ein gleichlaufendes Verständnis des Tatbestandsmerkmals im Kontext der Rechtsgrundlagen dazu führen, dass der Einwilligung und damit dem Koppelungsverbot des Art. 7 Abs. 4 DSGVO im Vertragskontext letztlich kein Anwendungsbereich mehr verbleiben würde: Erforderliche Verarbei­ tungsvorgänge wären bereits über Art. 6 Abs. 1 Satz 1 lit. b DSGVO legiti­ miert, die schlechterdings nicht erforderliche Verarbeitung gestützt auf die 1079  Zu

den Auslegungsgrundsätzen umfassend unter Zweiter Teil Kap. 1. dazu Schürheck, Sachenrecht im Europäischen Gemeinschaftsrecht. Be­ standsaufnahme, Legislativkompetenzen, Entwicklungsperspektiven, JMCE Award Series 2011, S. 43 ff. 1081  So i.  E. auch Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 98. 1082  Schulz, in: Gola, DSGVO, Art. 7 Rn. 24. 1083  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 9; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 DSGVO Rn. 41. 1080  Vgl.



Kap. 4: Die materiellen Einwilligungsvoraussetzungen327

Einwilligung würde regelmäßig an den Vorgaben des Art. 7 Abs. 4 DSGVO scheitern.1084 Vor diesem Hintergrund ist es überzeugend, dass das Überschreiten der Erforderlichkeitsgrenze zwar die Anwendbarkeit des Art. 6 Abs. 1 Satz 1 lit. b DSGVO ausschließt, im Kontext des Einwilligungsprozesses aber nicht zwingend zur Unfreiwilligkeit und damit zur Rechtswidrigkeit der Einwilli­ gungserklärung führt.1085 Fehlt es an einer „[…] [direkten] und [objektiven] Verbindung zwischen der Verarbeitung der Daten und dem Zweck für die Erfüllung des Vertrages […]“1086 kommt es gesondert auf die Vorgaben des Art. 7 Abs. 4 DSGVO im Kontext der Freiwilligkeitsprüfung an. Mit anderen Worten: Auf das Instrument der Einwilligung kommt es inner­ halb etwaiger Vertragsbeziehungen dann an, wenn ein Verarbeitungsprozess intendiert ist, der die Grenze des vertraglich Erforderlichen überschreitet. Die damit verbundene Anwendbarkeit der Vorgaben des Koppelungsverbotes führt dabei zwar zur Begrenzung der Einwilligungsmöglichkeiten nicht aber zum Ausschluss der Einwilligung in entsprechenden Konstellationen.1087 2. Umfang und Ausmaß Soweit festgestellt werden konnte, dass das Koppelungsverbot des Art. 7 Abs. 4 DSGVO stets dann zu beachten ist, wenn nicht erforderliche Verarbei­ tungsprozesse innerhalb einer Vertragsbeziehung auf Grundlage einer Einwil­ ligung legitimiert werden sollen, ist abschließend zu untersuchen, unter wel­ chen Voraussetzungen eine entsprechende Konditionalität zur Unfreiwillig­ keit und damit zur Unwirksamkeit der Erklärung führt. Auffällig ist dabei die Diskrepanz zwischen dem verfügenden und dem erläuternden Teil der DSGVO.1088 Art. 7 Abs. 4 DSGVO statuiert, dass bei der Beurteilung der Freiwilligkeit die Verknüpfung zwischen Einwilligung und nicht erforderlicher Verarbeitung in größtmöglichem Umfang zu berück­ sichtigen ist. Wenngleich der Norm damit eine fallbezogene, erhöhte Prü­ fungsobliegenheit zu entnehmen ist, verbleibt jedenfalls (begrenzt) Raum für dazu Engeler, ZD 2018, 55 (59). in der Tendenz auch Artikel-29-Datenschutzgruppe, Stellungnahme  17 /  2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 8; Engeler, ZD 2018, 55 (57); Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 DSGVO Rn. 46. 1086  So die Artikel-29-Datenschutzgruppe, Stellungnahme 17 / 2017 EN Guide­lines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 9 zum Merkmal der Er­ forderlichkeit im Kontext des Art. 7 Abs. 4 DSGVO. 1087  Engeler, ZD 2018, 55 (59). 1088  Schantz / Wolff, Das neue Datenschutzrecht, Rn. 516. 1084  Vgl. 1085  So

328

Dritter Teil: Die Einwilligung

zulässige Koppelungssituationen. Erwägungsgrund 43 Satz 2 hingegen legt in Koppelungs-Konstellationen eine gesetzliche Fiktion der Unfreiwilligkeit nahe,1089 da der Erwägungsgrund davon spricht, dass die Einwilligung bei entsprechenden Verknüpfungen als unfreiwillig gilt.1090 Berücksichtigt man allerdings, „dass die Begründungserwägungen eines Rechtsaktes der Ge­ meinschaft rechtlich nicht verbindlich [sind] und […] nicht zur Rechtferti­ gung einer Abweichung von den Bestimmungen des betreffenden Rechtsaktes angeführt werden [können]“1091, ist letztlich der Wortlaut des Art. 7 Abs. 4 DSGVO bei der Frage des Umfangs des Koppelungsverbotes maßgebliche Instanz.1092 Der insofern eindeutige Wortlaut spricht aber, wie bereits festge­ stellt, deutlich gegen die Annahme, dass jedwede Koppelungssituation zwin­ gend zur Unfreiwilligkeit der Erklärung führt: Der Koppelungssituation ist „lediglich“ in größtmöglichem Umfang Rechnung zu tragen.1093 Dem zu­ stimmend verweist auch die Artikel-29-Datenschutzgruppe darauf, dass der Wortlaut des Art. 7 Abs. 4 DSGVO nicht absolut ausgelegt werden kann, al­ lerdings nur begrenzt Fälle vorstellbar sind, in denen die Koppelung nicht zur Unfreiwilligkeit der Einwilligung führt.1094 Letztlich ist die Beurteilung, ob die Freiwilligkeit aufgrund bestehender Koppelungssituation entfällt, in engen Zusammenhang mit bereits benannten Faktoren im Kontext etwaiger Machtasymmetrien zu sehen. Es bedarf einer Einzelfallentscheidung, wobei der Aspekt der Koppelung sicherlich stets kritisch in die Bewertung der Frei­ willigkeit einfließen muss.1095

Schantz / Wolff, Das neue Datenschutzrecht, Rn. 516. ein entsprechend absolutes Verständnis des Koppelungsverbotes spricht sich m. w. N. Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Ein­ willigung im Zivilrecht, S. 268 ff. aus. 1091  EuGH, Urt. v. 19.11.1998 – C-162 / 97 – BeckRS 2004, 74578 Rn. 54; EuGH, Urt. v. 24.11.2005  – C-136 / 04  – BeckRS 2005, 70929 Rn. 32; EuGH, Urt. v. 02.04.2009 – C-134 / 08 – BeckRS 2009, 70379 Rn. 16; ausführlich dazu unter Erster Teil Kap. 2 B. III. 1. 1092  So auch Schantz / Wolff, Das neue Datenschutzrecht, Rn. 516; Plath, in: Plath, DSGVO / BDSG, Art. 7 DSGVO Rn. 19; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 99. 1093  Für eine entsprechend „relative“ Auslegung des Koppelungsverbotes: Engeler, ZD 2018, 55 (59); Krohm / Müller-Peltzer, ZD 2017, 551 (552); Schätzle, PinG 2017, 203 (205); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 95; Schulz, in: Gola, DSGVO, Art. 7 Rn. 26; Plath, in: Plath, DSGVO / BDSG, Art. 7 DSGVO Rn. 19. 1094  Artikel-29-Datenschutzgruppe, Stellungnahme  17 / 2017 EN Guidelines on Consent under Regulation 2016 / 679, WP 259 rev.01, S. 10. 1095  Vgl. Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 98. 1089  So

1090  Für



Kap. 4: Die materiellen Einwilligungsvoraussetzungen329

III. Zwischenergebnis Freilich sind die vorliegenden Erwägungen zu der weiteren „Maxime“1096 der Einwilligungserklärung vor dem Hintergrund des informationellen Schwerpunkts der Arbeit zu sehen. Dennoch wurde deutlich, dass der Aspekt des freien Willens bei der Abgabe der Erklärung von signifikanter Bedeutung für die Frage der Rechtmäßigkeit des Einwilligungsprozesses ist. Abseits deutlicher Fälle, wie etwa Drohung oder Zwang bedarf es in gesonderten Vertrags- und oder Personenkonstellationen einer kritischen Auseinanderset­ zung mit dem Merkmal der Freiwilligkeit. Dabei ist allerdings festzuhalten, dass daraus keineswegs der praktische Abgesang der Einwilligung folgen muss. Vielmehr bleibt die Überzeugung, dass auf Grundlage der Einwilli­ gung nicht nur ein potentielles rechtliches Erlaubnistatbestandsgestrüpp um­ gangen werden kann, sondern auch dem Selbstbestimmungsrecht der Betrof­ fenen bestmöglich Rechnung getragen werden kann. Um diesen hohen An­ spruch gerecht werden zu können, ist aber insbesondere im Kontext der Freiwilligkeit darauf zu achten, dass Informationen, welche eine maßgebliche Grundlage der freien Willensbildung darstellen, qualitativ hochwertig zur Verfügung gestellt werden. Nur auf dem soliden Fundament einer solchen Informationsbereitstellung kann die freie Entscheidung getroffen werden, ob der Verarbeitung zugestimmt werden soll oder nicht. Ist der Betroffene aller­ dings umfassend darüber in Kenntnis gesetzt, wie dessen Daten verarbeitet werden, welche Konsequenzen eine Verweigerung der Erklärung zur Folge hat und warum eine Verarbeitung möglicherweise zum originären Vertrags­ zweck nicht erforderlich ist, spricht vieles für die Annahme einer bewussten und freiwilligen Entscheidung zugunsten des Verarbeitungsvorgangs.

D. Zwischenfazit Ohne Frage stellt die Trias Bestimmtheit – Informiertheit – Freiwilligkeit den Verantwortlichen bei der Ausgestaltung des konkreten Einwilligungspro­ zesses vor signifikante Herausforderungen. Während der Verantwortliche hinsichtlich der formellen Ausgestaltung umfassende Freiheiten genießt, set­ zen die materiellen Anforderungen beachtliche Voraussetzungen, welche hinreichend zu berücksichtigen sind. Abseits schriftlicher Erklärungen, wel­ che zweifelsohne in wenig komplexen Fällen ihre fortgesetzte Berechtigung finden, bietet es sich an, die formellen Freiheiten des Prozesses mit den materiellen Anforderungen der Erklärung zu verschmelzen. Es hat sich deut­ lich gezeigt, dass insbesondere innovative, digitale Möglichkeiten dazu bei­ tragen können die Einwilligung rechtskonform auszugestalten. Nicht nur, 1096  So

Buchner, DuD 2010, 39 (41).

330

Dritter Teil: Die Einwilligung

dass eine solche Vorgehensweise dabei mitwirkt, die Bestimmtheit der Erklä­ rung zu spezifizieren, allen voran kann der qualitative Informationsgehalt sowie der Wille zur Auseinandersetzung mit demselben deutlich erhöht wer­ den. Dass auf Grundlage eines solchen Informationsfundaments aber auch bestehende Wissens- und damit verbundene Machtasymmetrien abgebaut werden können, ist vorliegende feste Überzeugung.

Vierter Teil

Schlussbetrachtung Die vorliegenden Ausführungen haben gezeigt, dass die novellierten recht­ lichen Grundlagen der datenschutzrechtlichen Einwilligung das Potential aufweisen, dem Konzept der informationellen Selbstbestimmung im Kontext der Digitalisierung zur Geltung zu verhelfen. Mithin können bei der Einord­ nung und Interpretation der reformierten Rechtsgrundlagen nicht nur innova­ tive Ansätze mitgedacht werden, eine rechtskonforme Ausgestaltung ist an­ derenfalls im digitalen Kontext kaum mehr vorstellbar. Im Rahmen der Schlussbetrachtung sollen nunmehr die zentralen Erkenntnisse des vorliegen­ den Forschungsprojektes zusammengefasst dargestellt werden (dazu unter Kapitel 1).1 Die daran anschließende Schlussbemerkung bildet den Ab­ schluss der Arbeit (Kapitel 2). Kapitel 1

Zusammenfassende Thesen Die Erkenntnisse der vorliegenden Forschungsarbeit und damit die maß­ geblichen Anforderungen an den rechtskonformen Einwilligungsprozess im Kontext der ubiquitären Digitalisierung lassen sich mittels der folgenden Thesen zusammenfassen: 1. Wenngleich das Konzept der informationellen Selbstbestimmung grundlegend in der deutschen Datenschutzdogmatik verwurzelt ist, kommt es mit Geltung der DSGVO zu einer Neuorientierung des grundrechtlichen Datenschutz-Fundaments. Ausgangspunkt der vorliegenden Arbeit ist der denkbar weitgefasste Schutzbereich der informationellen Selbstbestimmung, welcher nach deut­ schem Verständnis insbesondere der Entfaltung der individuellen Persön­ lichkeit im Kontext zunehmender Verdatung dient.2 Schutzbereichsbegren­ zend ist in der Konsequenz maßgeblich die Frage danach, ob personenbezo­ gene beziehungsweise -beziehbare Daten im Fokus der potentiellen Verar­ 1  Vgl. dazu auch die Zwischenergebnisse und Zusammenfassungen der jeweili­ gen Kapitel. 2  Vgl. dazu Erster Teil Kap. 1. A. I.

332

Vierter Teil: Schlussbetrachtung

beitung stehen.3 Durch das Zusammenwirken mit dem Schwestergrundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechni­ scher Systeme, fand sich bereits bislang ein umfassendes grundrechtliches Fundament der zunehmend digitalisierten und datenbasierten Persönlich­ keitsentfaltung. Der Blick nach Europa zwingt allerdings nicht nur aus der Perspektive des einfachen Rechts dazu, datenschutzrechtliche Grundlagen neu zu interpretie­ ren. Wenngleich auch die Datenschutz-Richtlinie das Ziel der Vollharmoni­ sierung des Datenschutzrechts im Blick hatte, konnte jedenfalls die legisla­ tive Umsetzung als auch die datenschutzrechtliche Praxis der Richtlinien­ intention nicht entsprechen. Konsequenterweise beruht die Neuordnung des Datenschutzrechts auf Grundlage der DSGVO nunmehr auf dem Instrument der Verordnung.4 Die Bezeichnung „Grundverordnung“ lässt dabei weder den Rückschluss umfassender Ermächtigungen der Mitgliedstaaten zum Er­ lass eigener datenschutzrechtlicher Bestimmungen zu noch stellt diese den verbindlichen Verordnungscharakter der DSGVO in Frage.5 Vielmehr ver­ bleibt es bei der unmittelbaren Geltung der Verordnung, lediglich bei der Frage der unmittelbaren Anwendbarkeit im Einzelfall können weitergehende Konkretisierungsmaßnahmen durch die Mitgliedstaaten erforderlich sein. In diesem Sinne ist es richtig, dass bestimmte Bereiche einer zwingenden mit­ gliedstaatlichen Umsetzung bedürfen (Stichwort „hinkende Verordnung“), das Ermessen des Gesetzgebers wird allerdings durch die restriktiven Vorga­ ben der Grundverordnung erschöpfend festgelegt. Den Mitgliedstaaten wird keine umfassende autonome Rechtssetzungsbefugnis eingeräumt, sondern vielmehr ein Spielraum, der sich stets an den Vorgaben der Verordnung mes­ sen lassen muss. 2. Sowohl bei der Auslegung der DSGVO als auch bei der Auslegung und Anwendung nationaler Umsetzungsgesetze kommt es auf eine autonome, europarechtlich geprägte Auslegung an. Das insofern maßgebliche Grundrechtsregime entspringt den Vorgaben der Charta der Grundrechte der Europäischen Union. Die Auslegung und Anwendung der DSGVO ist vollumfänglich am Prüf­ stein des europäischen Primärrechts zu messen. Wenngleich der Methodenka­ non des EuGH im weitesten Sinne mit bekannten und bewährten Ausle­ gungsgrundsätzen des nationalen Rechts übereinstimmt,6 ist die Frage der grundrechtlichen Deutungshoheit zwischen Karlsruhe und Luxemburg insbe­ 3  Vgl.

dazu Erster Teil Kap. 1. A. II. zur Rechtssetzung durch die Europäische Union Erster Teil Kap. 2 A. 5  Vgl. dazu Erster Teil Kap. 2 B. I. sowie II. 6  Vgl. dazu Zweiter Teil Kap. 1. A.-B. 4  Vgl.



Kap. 1: Zusammenfassende Thesen333

sondere bei nationalen Umsetzungsgesetzen umstritten.7 Dabei kommt die vorliegende Forschungsarbeit zu der Überzeugung, dass neben den Vorgaben der DSGVO auch die nationalen Spezifizierungen des europäischen Daten­ schutzrechtes einheitlich anhand der Charta beurteilt werden sollten. Abseits systematischer Erwägungen spricht insbesondere der Telos der DSGVO da­ für, dass es nicht nur zu einer einfachrechtlichen, sondern auch zu einer grundrechtlichen Vereinheitlichung des Datenschutzrechts innerhalb Europas kommen sollte. Letztlich würde es aber auch zu einer unnatürlichen Spaltung einheitlich zu bewertender Maßnahmen kommen, wenn je nach Rechtsgrund­ lage (DSGVO / nationale Spezifizierung) ein unterschiedliches Grundrechts­ regime herangezogen werden würde. 3. Eine unmittelbare Inkorporierung des Konzepts der informationellen Selbstbestimmung kann den Vorgaben der Charta nicht entnommen werden. Der Schutzgehalt der Art. 7 und 8 der Charta entspricht allerdings im Wesentlichen dem des Grundgesetzes. Im Sinne eines klassischen Abwehrrechts stellt auch die Charta das perso­ nenbezogene Datum, unabhängig von dessen Einordnung als sensibel oder nicht, unter den besonderen grundrechtlichen Schutz des Art. 8 Abs. 1 der Charta. Mithin gibt es auch nach den Vorgaben der Charta kein „belangloses personenbezogenes Datum“.8 Die konkrete Ausgestaltung des Datenschutz­ grundrechts in Art. 8 der Charta weist aber eine wesentliche Unterscheidung zum Schutz des Grundgesetzes gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 auf: die unmittelbare Anbindung des Datenschutzgrundrechts an ein übergeordne­ tes Rechtsgut. Seinem Wesen nach erstreckt sich Art. 8 der Charta lediglich auf das „Wie“ der Datenverarbeitung, nicht aber darauf, warum diese Daten, wenn auch personenbezogen, grundsätzlich schützenswert sind. Wenngleich sich weder die Charta noch der EuGH dezidiert auf das Grundrecht informa­ tioneller Selbstbestimmung berufen, versteht sich aber auch der europäische Datenschutz nicht als bloßer Selbstzweck. Sowohl auf nationaler, als auch auf supranationaler Ebene ist der Schutz der Persönlichkeitsentwicklung des betroffenen Datensubjekts gleichsam als Nukleus datenschutzrechtlicher Be­ stimmungen anzusehen. In Einklang mit der Rechtsprechung des EuGH kann dieser notwendige, übergeordnete Bezugspunkt in den Vorgaben des Art. 7 der Charta gefunden werden.9 Dabei kann festgehalten werden, dass das Privatleben, beziehungsweise das darin inkorporierte und aufgezeigte Ver­ ständnis von Privatheit zwar keine allgemeine Handlungsfreiheit im Sinne des Grundgesetzes postuliert,10 allerdings dem Grunde nach vergleichbar die 7  Vgl.

dazu Zweiter Teil Kap. 1 C. dazu Zweiter Teil Kap. 2 A. 9  Vgl. dazu im Allgemeinen Zweiter Teil Kap. 2 B. 10  Vgl. dazu insbesondere Zweiter Teil Kap. 2 B. II. 1. a). 8  Vgl.

334

Vierter Teil: Schlussbetrachtung

Persönlichkeitsentwicklung und -entfaltung schützt und damit als tauglicher Bezugspunkt des Datenschutzes herangezogen werden kann. Informationelle Selbstbestimmung im Kontext der Charta bedeutet daher nach vorliegender Überzeugung, die Vorgaben des Art. 7 Var. 1, Var. 4. der Charta i. V. m. Art. 8 der Charta zu beachten und zu schützen. Ein zentrales Umsetzungs­instrument und damit grundrechtlicher Schutzgarant ist die Etablierung selbstbestimmter Einwilligungsmechanismen. 4. Das maßgebliche Rechtsregime der datenschutzrechtlichen Einwilligung entspringt der DSGVO. Die Voraussetzungen der Einwilligungserklärung ergeben sich maßgeblich aus den Vorgaben der DSGVO. Mit Geltung der DSGVO kam es hinsichtlich des sachlichen Anwendungsbereichs des Datenschutzrechts zu keinen signifi­ kanten Verschiebungen.11 Positive Auswirkungen hingegen verspricht die Normierung des Marktortprinzips im Bereich der räumlichen Anwendbar­ keit.12 Soweit das Verhältnis zwischen dem Entwurf der e-Privacy-VO und der DSGVO noch nicht abschließend geklärt ist, kann die exakte Abgrenzung jedenfalls im Kontext der Einwilligungserklärung offen bleiben, da auch innerhalb des vorgesehenen Anwendungsbereichs der e-Privacy-VO die ­ persönlichen, formellen und materiellen Einwilligungsvoraussetzungen der ­ ­DSGVO zur Anwendung gelangen.13 Lediglich ergänzend steht es den Mit­ gliedstaaten frei im Kontext des Beschäftigtendatenschutzes sowie im Kon­ text der besonderen Kategorien personenbezogener Daten die Voraussetzun­ gen der Einwilligungserklärung zu spezifizieren. Während der Bundesgesetz­ geber den letzteren Fall ausdrücklich nicht konkretisiert hat, wurden für die Einwilligung im Arbeitsverhältnis restriktivere Vorgaben normiert. Beiden Teilbereichen ist jedoch gemein, dass die Rechtfertigung mittels der Einwil­ ligung bislang eine untergeordnete Rolle eingenommen hat.14 5. Die Einwilligung ist auch nach den Vorgaben der Grundverordnung eine höchstpersönliche Erklärung. Einwilligungsberechtigt ist daher nur der unmittelbar Betroffene. Eine allgemeine Regelung der Einwilligungsfähigkeit kann der DSGVO nicht entnommen werden. Lediglich für den Fall, dass die Verarbeitung zum Zwecke eines Dienstes der Informationsgesellschaft erfolgt, können die Vorgaben des Art. 8 DSGVO zum Schutz von Kindern zur Anwendung gelangen. Aus der Grundrechtsverbürgung der Einwilligungserklärung folgt, dass die Einwilligungserklärung auch nach den Vorgaben der DSGVO eine höchstper­ 11  Vgl.

dazu dazu 13  Vgl. dazu 14  Vgl. dazu 12  Vgl.

Dritter Teil Kap. 1 A. II. Dritter Teil Kap. 1 A. III. Dritter Teil Kap. 1 A. I. Dritter Teil Kap. 1 B.



Kap. 1: Zusammenfassende Thesen335

sönliche Erklärung ist. In der Folge ist letztlich nur der unmittelbar Betrof­ fene zur Abgabe berechtigt.15 Davon abzugrenzen ist die Frage der Einwilligungsfähigkeit. Diesbezüg­ lich können der DSGVO keine allgemeinen, konkretisierenden Vorgaben entnommen werden, sodass überzeugenderweise auf die Einsichtsfähigkeit des Betroffenen abzustellen ist.16 Sofern der Anwendungsbereich des Art. 8 Abs. 1 DSGVO eröffnet ist,17 wird die Einwilligungsfähigkeit des Betroffe­ nen, der das 16. Lebensjahr bereits vollendet hat, vermutet. Wenngleich mit Blick auf das grundsätzliche Kriterium der individuellen Einsichtsfähigkeit einheitliche Altersgrenzen durchaus kritisch gesehen werden können, spre­ chen insbesondere Praktikabilitätserwägungen im Kontext digitaler Medien gegen eine kaum handhabbare Einzelfallprüfung. Für den Fall, dass der Be­ troffene das 16. Lebensjahr noch nicht vollendet hat, greift der Schutzzweck des Art. 8 DSGVO im Kontext etwaiger Dienste der Informationsgesellschaft umfassend ein. Mithin bedarf es bis zum Erreichen der Altersgrenze einer zeitlich jedenfalls gleichgelagerten Mitwirkungshandlung des gesetzlichen Vertreters. Der Grundrechtsschutz des betroffenen Kindes bildet dabei aller­ dings sowohl Ausgangs- als auch Endpunkt der Mitwirkungsbefugnis der Träger elterlicher Verantwortung. 6. Die grundsätzlich unbefristete Einwilligung ist zeitlich vor Beginn der Verarbeitung abzugeben. Das Instrument der Einwilligung kann nicht rückwirkend herangezogen werden. Es bedarf einer rechtskonformen Erklärung vor Beginn der Verarbei­ tung. Eine regelmäßige „Auffrischung“ der Erklärung ist dabei auf Grund­ lage des geltenden Datenschutzrechts nicht regulativ angezeigt. Mit Blick auf den Grundrechtsschutz empfiehlt sich eine solche Vorgehensweise aber aus „best-practise-Perspektive“.18 7. Die Erklärung unterliegt dem Grundsatz der Formfreiheit. Die formelle Ausgestaltung der Einwilligungserklärung zeichnet sich maßgeblich dafür verantwortlich, ob grundlegend von einer bewussten Datendisposi­ tion gesprochen werden kann. Am Beispiel der „Opt-Out-Einwilligung“ konnte unter Einbeziehung ver­ haltensökonomischer Aspekte aufgezeigt werden, dass sich die formelle Ausgestaltung des Einwilligungsmechanismus maßgeblich dafür verantwort­ lich zeichnet, ob überhaupt von einer bewussten Einwilligung gesprochen 15  Vgl.

dazu dazu 17  Vgl. dazu 18  Vgl. dazu 16  Vgl.

Dritter Dritter Dritter Dritter

Teil Kap. 2 A. Teil Kap. 2 B. I. Teil Kap. 2 B. II. 2.–3. Teil Kap. 3 A.

336

Vierter Teil: Schlussbetrachtung

werden kann.19 Wie sich gezeigt hat, unterliegen die Betroffenen bei der tatsächlichen Entscheidungsfindung als auch bei der letztlichen Abgabe der Erklärung zahlreichen Einflussfaktoren, welche gerade auch bei der formel­ len Ausgestaltung der Erklärung zu berücksichtigen sind. Anderenfalls wäre das Versprechen informationeller Selbstbestimmung im vollen Bewusstsein, dass diese aufgrund der vorgenommenen Ausgestaltung regelmäßig nicht oder nur bedingt wahrgenommen wird, im Widerspruch zur Intention des Instruments der Einwilligung. 8. Die novellierten Bestimmungen zur datenschutzrechtlichen Einwilligungserklärung tragen insbesondere dazu bei, dass vermehrt auf innovative, elektronische Mittel zur Einholung der Erklärung zurückgegriffen werden kann. Zentrale Bedeutung ist dabei dem Gebot der formellen Transparenz beizumessen, welches allgemein bei der Ausgestaltung etwaiger Einwilligungserklärungen zu beachten ist. Die interpretationsoffenen formellen Gestaltungsmöglichkeiten des Erklä­ rungsprozesses durch die DSGVO schaffen zugleich die rechtliche Grundlage für eine effektive, digitalisierte Entscheidungsmöglichkeit durch die Betrof­ fenen.20 In diesem Sinne lassen sich die Vorgaben der DSGVO sogar als Ermutigung dahingehend verstehen, innovativ gegen die zunehmend festzu­ stellende Einwilligungsermüdung der Betroffenen vorzugehen. Die vorge­ stellte Ausgestaltung mittels eines Privacy Information Management Systems ist dabei nur ein denkbarer Weg von vielen.21 Gesondert sind dabei die Transparenzvorgaben des Art. 7 Abs. 2 DSGVO zu beachten.22 Keinesfalls darf die schöne neue (digitale) Welt der „DriveBy-Einwilligung“ Vorschub leisten. Wenngleich die diesbezügliche Gefahr insbesondere im Falle weiterer einbezogener Sachverhalte droht, sind die formellen Transparenzvorgaben des Art. 7 Abs. 2 DSGVO in allen Fällen vorformulierter Einwilligungserklärungen anzuwenden.23 Transparenz ist nicht nur eine Frage der verdeckten oder offenen Einwilligungserklärung, sondern vielmehr auch eine Frage der allgemeinen Zugänglichkeit und Ver­ ständlichkeit für die Betroffenen.24 Zusammengefasst konnte gezeigt wer­ den, dass die Anforderungen der formellen Transparenz den Verantwortlichen einen klaren Auftrag erteilen: Der Informationsgehalt der Einwilligungserklä­ rung muss den Weg zu dem Betroffenen suchen, nicht aber der Betroffene den Weg zu den erforderlichen Informationen. 19  Vgl. 20  Vgl. 21  Vgl. 22  Vgl. 23  Vgl. 24  Vgl.

dazu dazu dazu dazu dazu dazu

Dritter Dritter Dritter Dritter Dritter Dritter

Teil Kap. 3 Teil Kap. 3 Teil Kap. 3 Teil Kap. 3 Teil Kap. 3 Teil Kap. 3

B. B. B. B. B. B.

I. 1. II. II. 3. b). III. III. 2. III. 3. sowie Dritter Teil Kap. 3 B. III. 4.



Kap. 1: Zusammenfassende Thesen337

9. Wenngleich der Grundsatz der formfreien Erklärung zur Erleichterung der Ausgestaltung des Erklärungsaktes beiträgt, relativiert der Verordnungsgeber dieses Ergebnis durch das Erfordernis umfassender Nachweispflichten. Mit der Einführung der Nachweispflichten in Art. 7 Abs. 1 DSGVO25 sowie in Art. 8 Abs. 2  DSGVO26 schafft der Verordnungsgeber einen Aus­ gleichsmechanismus zur grundsätzlich formfreien Einwilligungserklärung. Der Verantwortliche ist auch im Kontext der DSGVO gehalten, für die hin­ reichende Nachweisbarkeit der Einwilligungserklärung zu sorgen. Über die primäre Beweislastregelung hinaus bewirkt die Nachweispflicht sowohl für den Verantwortlichen als auch für die Betroffenen zugleich ein Mehr an Transparenz, indem auch diesbezüglich neue, innovative Methoden zur rechtssicheren Einholung der Erklärung gefordert werden. Die damit verbun­ denen Herausforderungen sollten weniger als Risiko, sondern vielmehr als Chance begriffen werden, das bislang bestehende normative Korsett der Einwilligungserklärung zu durchbrechen. 10. Das Gebot der Bestimmtheit, zu verstehen im Sinne materieller Transparenz, verknüpft formelle und materielle Einwilligungsvoraussetzungen. Transparenz ist, wie dem Erfordernis der Bestimmtheit deutlich zu entneh­ men ist, nicht nur eine Frage der formellen Ausgestaltung der Einwilligungs­ erklärung. Vielmehr ist Transparenz auch eine Frage des materiellen Inhalts, wobei das enge Zusammenspiel mit dem Grundsatz der Zweckbindung von gesteigerter Relevanz ist.27 Transparenz kann nicht nur durch eine adressa­ tengerechte Ausgestaltung der Einwilligungserklärung erzeugt werden, son­ dern auch durch die Bindung des Verarbeitungsvorgangs an konkret festge­ legte Verarbeitungszwecke. Damit stellt das materielle Gebot der Bestimmt­ heit die zentrale Schnittstelle zwischen formellen und materiellen Einwilli­ gungsanforderungen dar. 11. Dem Gebot der Informiertheit kommt eine, wenn nicht die zentrale Rolle bei der Ausgestaltung der Einwilligungserklärung zu. Die ebenfalls interpretationsoffene Regelung des Informationsgebots durch die DSGVO bietet dabei nicht nur die Chance zur Integration innovativer Methoden, sondern korrespondierend dazu auch die einzelfallbezogene Pflicht. Primär konnte gezeigt werden, dass sich das dem Informationsgebot inhä­ rente Spannungsverhältnis nicht nur zwischen Unter- und Überinformation erstreckt,28 sondern auch auf die grundlegende Frage, wie letztlich erfor­ 25  Vgl.

dazu dazu 27  Vgl. dazu 28  Vgl. dazu 26  Vgl.

Dritter Dritter Dritter Dritter

Teil Kap. 3 C. Teil Kap. 3 C. Teil Kap. 4 A. Teil Kap. 4 B.

I. II. I. I.-II.

338

Vierter Teil: Schlussbetrachtung

derliche, also konstitutive Informationselemente29 zu vermitteln sind. Dem Betroffenen sind nicht nur umfassend Informationen zu übermitteln, ohne diesen zu überfordern, diesem sind letztlich die Konsequenzen seiner Erklä­ rung hinreichend deutlich vor Augen zu führen. In diesem Sinne ist dem Betroffenen eine reiflich überlegte Abwägungsentscheidung zu ermöglichen, bestenfalls ohne dass sich dieser einer zeitintensiven Auseinandersetzung mit der Erklärung stellen muss. Informiertheit ist daher keine Frage der bloßen Informationsbereitstellung, vielmehr ist der Verantwortliche gehalten, die maßgeblichen Informationen hinreichend aufzubereiten. Neben der Möglichkeit dazu datenschutzdidaktische Aspekte im Rahmen der Einwilligung einzubeziehen, ist allem voran die Informationsüberflutung des betroffenen Adressatenkreises zu vermeiden.30 Die Vermeidung der In­ formationsüberflutung verfolgt dabei eine duale Zielsetzung: Mit Blick auf den Betroffenen ist davon auszugehen, dass das Mehr an Informationen le­ diglich bis zu dem persönlichen Informationsgrenzpunkt einen effektiven Mehrwert erzeugt. Darüber hinaus ist zu berücksichtigen, dass die Bereitstel­ lung umfangreicher, unübersichtlicher Textdokumente bei weiten Teilen der Betroffenen dazu führt, dass diese bereits aus Opportunitätsgründen nicht mehr zur Kenntnis genommen werden. In diesem Sinne ist dem Gebot der Informiertheit also ein Anforderungskatalog zu entnehmen, welchem durch die Präsentation klassischer, textbasierter Informationsbestandteile oftmals nicht (mehr) entsprochen werden kann. Tiefergehend entspringt dem Gebot der Informiertheit in der Folge das „ungeschriebene Tatbestandsmerkmal“, der Aufruf an die Verantwortlichen, neue Wege zur ermitteln, wie das daten­ schutzrechtlich versprochene Idealbild des informierten Betroffenen umge­ setzt werden kann. 12. Der Einwilligungsprozess darf nicht zum Offenbarungseid der Verantwortlichen verkommen. Hinreichend berechtigte (Geheimhaltungs-)Inte­ ressen der Verantwortlichen sind daher bei der Ausgestaltung der informierten Einwilligung gebührend zu berücksichtigen. Nicht nur die Interessen, Grundrechte und Grundfreiheiten der Betroffenen können sich informationsbegrenzend auswirken. Vielmehr konnte gezeigt werden, dass die verfassungsrechtlich fundierten und sekundärrechtlich kon­ kretisierten Rechte und Interessen der Verantwortlichen auch innerhalb der Informationspflichten hinreichend zu berücksichtigen sind.31 Es bedarf ei­ nes angemessenen und einzelfallorientierten Interessensausgleichs, wobei 29  Zum

Begriff vergleiche Dritter Teil Kap. 4 B. I. dazu Dritter Teil Kap. 4 B. II. 1. 31  Vgl. dazu Dritter Teil Kap. 4 B. III. 30  Vgl.



Kap. 1: Zusammenfassende Thesen339

auch innerhalb der europarechtlich geprägten Vorgaben des Datenschutz­ rechts das Instrument der praktischen Konkordanz einen praktikablen Fix­ punkt darstellt.32 Verhältnismäßigkeit bedeutet dabei nicht, dass die Interes­ sen der Betroffenen in der Gänze zurücktreten müssen, sobald Interessen und Rechte des Verantwortlichen tangiert sein könnten. Der Verantwortliche ist allerdings dazu gehalten, im Sinne eines angemessenen Grundrechtsaus­ gleichs Informationen derart auszugestalten, dass beispielsweise weder die Geheimnisoffenbarung noch die Unterinformation droht. Die „Pseudonymi­ sierung des Geschäftsgeheimnisses“ könnte dabei ein probates Mittel darstel­ len.33 13. Auch im Kontext der informierten Einwilligungserklärung verbleiben unkontrollierbare sowie oftmals nicht vorhersehbare Restrisiken, welche durch vertrauensfördernde Maßnahmen zumindest abgefedert werden können. Es konnte gezeigt werden, dass das Instrument des Vertrauens innerhalb der datenschutzrechtlichen Informationspflichten herangezogen werden kann.34 Die absolute Kontrolle beziehungsweise die Nachprüfung durch den Einzelnen, ist im Rahmen der digitalisierten Gesellschaft schlechterdings kaum mehr möglich. Es obliegt daher dem datenschutzrechtlich Verantwort­ lichen die mit der Komplexitätszunahme korrespondierenden Kontrolldefizite auszugleichen. Es gilt eine positive Erwartungshaltung auf Seiten der Betrof­ fenen zu erzeugen, wobei jedenfalls eine subjektive Reduktion der Komple­ xität anhand eines Vertrauensfundaments kreiert werden kann. Die konkrete Umsetzung und Ausgestaltung steht dabei allerdings vor dem Problem der Vertrauenserzeugung. Die Skepsis gegenüber potentiellen Vertrauensnehmern ist insbesondere im datenschutzrechtlichen Kontext weitverbreitet und tief verwurzelt. Vertrauen muss erarbeitet werden, wobei nicht nur der Transpa­ renzgedanke von Relevanz ist. Vielmehr konnte gezeigt werden, dass allen voran der Fokus auf Datensicherheitsmaßnahmen dazu beitragen kann, das Vertrauen der Betroffenen in die jeweiligen Verarbeitungsvorgänge zurückzu­ gewinnen. Vielversprechend ist dabei der vorgestellte und rechtlich novel­ lierte Ansatz der Datenschutzzertifizierung.35 14. Wenngleich Piktogramme datenschutzrechtliche Informationstexte nicht substituieren können, sollten diese auch bei der Ausgestaltung der informierten Einwilligungserklärung herangezogen werden.

32  Vgl.

dazu dazu 34  Vgl. dazu 35  Vgl. dazu 33  Vgl.

Dritter Dritter Dritter Dritter

Teil Kap. 4 Teil Kap. 4 Teil Kap. 4 Teil Kap. 4

B. B. B. B.

III. 3. III. 3. b) ee). IV. IV. 2.

340

Vierter Teil: Schlussbetrachtung

In diesem Sinne konnte gezeigt werden, dass interessengerechte, allem voran digitale Optionen zur Informationsvermittlung denkbar und auch, frei­ lich einzelfallabhängig, umsetzbar sind. So kann die ergänzende Heranzie­ hung etwaiger Datenschutz-Piktogramme dazu beitragen, dass die Betroffe­ nen das Gefahrenpotential des in fragestehenden Verarbeitungsvorgangs auf einen Blick erkennen.36 Auch im Kontext der Einwilligungserklärung bieten dabei die Vorgaben des Art. 12 Abs. 7 sowie Abs. 8 DSGVO einen normati­ ven Ankerpunkt, der durch die Zusammenarbeit zwischen europäischen und nationalen Institutionen möglichst zeitnahe genutzt und ausgefüllt werden sollte.37 Es gilt entsprechende Verfahren und Vorgaben zu entwickeln, wel­ che den Verantwortlichen ein rechtssicheres Werkzeug zur Ausgestaltung der Bildsymbole im konkreten Fall an die Hand geben. Stellvertretend für zahl­ reiche denkbare Ansätze soll die fortentwickelte Idee des DatenschutzEmoticons lediglich einen Impuls setzen, wie im Rahmen der Ausgestaltung vorgegangen werden könnte. 15. Spielerisch selbstbestimmt – motiviert informiert. Das Datenschutzrecht im Allgemeinen sowie die Einwilligungserklärung im Speziellen bietet einen geeigneten Kontext zur Einbeziehung gamifizierter Elemente. Es lässt sich festhalten, dass die Integration gamifizierter Aspekte ein durchaus erfolgsverprechendes Gestaltungselement digitaler Einwilligungser­ klärungen ist. Dabei kommt insbesondere dem motivierenden Aspekt des Gamifications eine zentrale Rolle zu.38 Punkte, Abzeichen, Level oder Leaderboards können nicht nur in der Arbeitswelt, dem Gesundheitswesen oder dem Bildungsbereich dazu beitragen, dass sich die jeweiligen Nutzer mit unliebsamen Aktivitäten beschäftigen.39 Vielmehr spricht vieles dafür, dass auch der datenschutzrechtliche Betroffene anhand von Spiel-DesignElementen dazu motiviert werden kann, sich mit Informationsbestandteilen der jeweiligen Erklärung auseinanderzusetzen und dadurch ein Mehr an Information(-sverständnis) erzeugt werden kann.40 In diesem Sinne sollte ein novelliertes Datenschutzrecht, welches die zunehmende Digitalisierung der Gesellschaft im Blick hat, selbst Teile der Digitalisierung aufgreifen, um dessen Anforderungen entsprechen zu können. Gamification ist dabei ledig­ lich ein Aspekt, welcher aber unter Berücksichtigung bereits vorhandener Erkenntnisse anderer Disziplinen sicherlich dazu beitragen kann, die ge­ wünschte Selbstbestimmung der Betroffenen zu stärken. Freilich ist damit 36  Vgl.

dazu Dritter Teil Kap. 4 B. V. dazu Dritter Teil Kap. 4 B. V. 1. 38  Vgl. dazu insbesondere Dritter Teil Kap. 4 B. VI. 2. 39  Vgl. zu den derzeitigen Anwendungsbereichen Dritter Teil Kap. 4 B. VI. 1. b. 40  Vgl. zur Anwendbarkeit gamifizierter Elemente innerhalb des Datenschutz­ rechts insbesondere Dritter Teil Kap. 4 B. VI. 3. 37  Vgl.



Kap. 1: Zusammenfassende Thesen341

nicht der Aufruf verbunden, digitale Einwilligungserklärungen umfassend und in jedem Fall zu gamifizieren. Es kommt auf den konkreten Fall an, wobei die bereits dargelegte adressatengerechte Aufbereitung der Einwilli­ gungserklärung von signifikanter Bedeutung ist. Zusammenfassend konnte also festgestellt werden, dass die aufgezeigten Mittel wie das „pseudonymisierte Geschäftsgeheimnis“, die Informationsre­ duktion durch korrespondierende Vertrauensmaßnahmen, der Einsatz sinnvoll ausgestalteter Datenschutz-Emoticons oder eben auch die spielerische Aus­ gestaltung des Prozesses als Impulse einer innovativen, selbstbestimmten, digitalisierten Einwilligungserklärung verstanden werden sollten. Insgesamt sollte und konnte gezeigt werden, dass die Vorgaben des Datenschutzes im Allgemeinen beziehungsweise die des Einwilligungsprozesses im Speziellen nicht nur trotz der umfassenden Digitalisierung, sondern gerade durch die Digitalisierung umsetzbar ist. 16. Situativ bedingt kann auch dem Aspekt der Freiwilligkeit eine entscheidende Rolle bei der Beurteilung der Rechtmäßigkeit der Einwilligung zukommen. Wenngleich sich bestehende (Macht-)Asymmetrien nicht durch die Vorgaben des Datenschutzes nivellieren lassen, besteht die Chance jedenfalls Wissensdifferenzen durch qualitativ hochwertige Informationen auszugleichen. Im Rahmen der Ausarbeitungen zum Gebot der Freiwilligkeit wurde deut­ lich, dass auch der Aspekt des freien Willens bei der Abgabe der Erklärung von signifikanter Bedeutung für die Frage der Rechtmäßigkeit des Einwilli­ gungsprozesses ist.41 Abseits deutlicher Fälle, wie etwa Drohung oder Zwang, bedarf es in gesonderten Vertrags- und / oder Personenkonstellationen einer kritischen Auseinandersetzung mit dem Merkmal der Freiwilligkeit.42 Dabei ist allerdings festzuhalten, dass daraus keineswegs der praktische Ab­ gesang der Einwilligung folgen muss. Vielmehr bleibt die Überzeugung, dass auf Grundlage der Einwilligung nicht nur ein potentielles rechtliches Erlaub­ nistatbestandsgestrüpp umgangen werden kann, sondern auch dem Selbstbe­ stimmungsrecht der Betroffenen bestmöglich gerecht werden kann. Um die­ sen hohen Anspruch allerdings genügen zu können, ist insbesondere im Kontext der Freiwilligkeit darauf zu achten, dass Informationen, welche eine maßgebliche Grundlage der freien Willensbildung darstellen, qualitativ hoch­ wertig zur Verfügung gestellt werden.43 Nur auf dem soliden Fundament einer solchen Informationsbereitstellung kann die freie Entscheidung getrof­ fen werden, ob der Verarbeitung zugestimmt werden soll oder nicht. Ist der 41  Vgl.

dazu Dritter Teil Kap. 4 C. I. dazu Dritter Teil Kap. 4 C. I. 2. 43  Vgl. dazu insbesondere Dritter Teil Kap. 4 C. I. 2. a) cc). 42  Vgl.

342

Vierter Teil: Schlussbetrachtung

Betroffene allerdings umfassend darüber in Kenntnis gesetzt, wie seine Daten verarbeitet werden, welche Konsequenzen eine Verweigerung der Erklärung zur Folge hat und warum eine Verarbeitung möglicherweise zum originären Vertragszweck nicht erforderlich ist, spricht vieles für die Annahme einer bewussten und freiwilligen Entscheidung zugunsten des Verarbeitungsvor­ gangs. Kapitel 2

Schlussbemerkung Auf Grundlage der vorweg dargestellten Untersuchungsergebnisse lässt sich festhalten, dass dem eingangs aufgeworfenen Spannungsverhältnis zwi­ schen Digitalisierung und selbstbestimmter Datendisposition durchaus durch die digitale Modifikation der Einwilligung begegnet werden kann. Freilich muss hierbei konstatiert werden, dass die potentiell spielerische Selbstbestimmung des Betroffenen keinesfalls spielerisch leicht in der Um­ setzung ist. Vielmehr wird der Verantwortliche im Rahmen der praktischen Ausgestaltung und Umsetzung vor gehörige Herausforderungen gestellt. Mit Blick darauf, dass die Einwilligung die Möglichkeit zur Datenverarbeitung abseits des restriktiven gesetzlichen Verarbeitungskanons schafft und damit als Grundlage potenter Geschäftsmodelle herangezogen werden kann, ist der strenge Anforderungskatalog auf Seiten der Verantwortlichen durchaus ge­ rechtfertigt. Die vorliegende Arbeit versteht sich in diesem Sinne als juristi­ scher Impuls, als Aufforderung zu Kreativität und Offenheit bei der Konzep­ tionierung entsprechender Einwilligungsprozesse auf Grundlage des novel­ lierten Datenschutzrechts. Einschränkend muss allerdings eingeräumt werden, dass auch die innova­ tionsfreundliche, digitalkonforme und adressatengerechte Einwilligungser­ klärung kein absoluter Garant umfassender Selbstbestimmung ist. Dem Grundsatz „ultra posse nemo obligatur“ folgend, kann dem Verantwortlichen eine solche Garantie aber auch nicht abgerungen werden. Vielmehr obliegt es den Verantwortlichen eine angemessene, einzelfallbezogene Näherung an das Ideal des selbstbestimmten Betroffenen anzustreben. Nicht mehr aber auch nicht weniger.

Literaturverzeichnis Acquisti, Alessandro: Nudging Privacy: The Behavioral Economics of Personal Infor­ mation. In: IEEE Security and Privacy 2009, S. 82–85. Acquisti, Alessandro / Adjerid, Idris / Balebako, Rebecca / Brandimarte, Laura / Cranor, Lorrie Faith / Komanduri, Saranga / Leon, Pedro Giovanni / Schaub, Florian / Sleeper, Manya / Wang, Yang / Wilson, Shomir: Nudges for privacy and security: Un­ derstanding assisting users’ choices online. In: ACM Computing Surveys 2017, Article 44. Acquisti, Alessandro / Brandimarte, Laura / Loewenstein, George: Privacy and human behavior in the age of information. In: Science 2015, S. 509–514. Acquisti, Alessandro / Grossklags, Jens: Privacy and rationality in individual decision making. In: IEEE Security and Privacy 2005, S. 26–33. Acquisti, Alessandro / Grossklags, Jens: What Can Behavioral Economics Teach Us About Privacy?. In: Acquisti, Alessandro / Gritzalis, Stefanos / Lambrinoudakus, Costas / De Capitani di Vimercati, Sabrina (Hrsg.), Digital Privacy. New York 2008, S. 363–367. Acquisti, Alessandro / John, Leslie / Lowenstein, George: What is Privacy Worth? In: The Journal of Legal Studies 2013, S. 249–274. Adjerid, Idris / Acquisti, Alessandro / Loewenstein, George: Choice Architecture, Fram­ ing, and Cascaded Privacy Choices. Abrufbar unter: http: /  / dx.doi.org / 10.2139 /  ssrn.2765111 (Stand: 01.10.2018). Albers, Marion: Grundrechtsschutz der Privatheit. In: Deutsches Verwaltungsblatt (DVBl.) 2010, S. 1061–1069. Albers, Marion: Informationelle Selbstbestimmung. Baden-Baden 2005. Albers, Marion: Informationelle Selbstbestimmung als vielschichtiges Bündel von Rechtsbindungen und Rechtspositionen. In: Friedewald, Michael / Lamla, Jörn /  Roßnagel, Alexander (Hrsg.), Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden 2017, S. 11–36. Albrecht, Jan Philipp: Das neue EU-Datenschutzrecht – von der Richtlinie zur Ver­ ordnung. Überblick und Hintergründe zum finalen Text für die DatenschutzGrundverordnung der EU nach der Einigung im Trilog. In: Computer und Recht (CR) 2016, S. 88–98. Albrecht, Jan Philipp: Die EU-Datenschutzgrundverordnung rettet die informationelle Selbstbestimmung! Ein Zwischenruf für einen einheitlichen Datenschutz durch die EU. In: Zeitschrift für Datenschutz (ZD) 2013, S. 587–591. Albrecht, Jan Philipp: EU-Parlament: ePrivacy-VO und DSGVO angleichen. In: Newsdienst ZD-Aktuell 2017, S. 05692.

344 Literaturverzeichnis Albrecht, Jan Philipp / Jansen, Nils: Datenschutz und Meinungsfreiheit nach der Da­ tenschutzgrundverordnung. Warum die EU-Mitgliedstaaten bei Ausfüllen von DSGVO-Öffnungsklauseln an europäische Grundrechte gebunden sind – am Bei­ spiel von Art. 85 DSGVO. In: Computer und Recht (CR) 2016, S. 500–509. Albrecht, Philipp / Jotzo, Florian: Das neue Datenschutzrecht der EU. Baden-Baden 2017. Albrecht, Philipp / Wybitul, Tim: Brauchen wir neben der DSGVO noch ein neues BDSG?. In: Zeitschrift für Datenschutz (ZD) 2016, S. 457–458. Ambrock, Jens / Karg, Moritz: Ausnahmetatbestände der DSGVO als Rettungsanker des internationalen Datenverkehrs? Analyse der Neuerungen zur Angemessenheit des Datenschutzniveaus. In: Zeitschrift für Datenschutz (ZD) 2017, 154–161. Amt für Veröffentlichungen der Europäischen Union: Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken. 2015, abrufbar unter: https: /  / eur-lex.europa.eu / content / techleg / DE-leitfaden-fuer-die-abfassungvon-rechtstexten.pdf (Stand: 02.10.2018). Anderie, Lutz: Gamification, Digitalisierung und Industrie 4.0. Wiesbaden 2018. AOK: FAQ des Gesundheitsnetzwerks. Abrufbar unter: http: /  / www.digitales-gesund heitsnetzwerk.de /  (Stand: 02.10.2018). AOK: Presseinformationen zum Start des AOK-Gesundheitsnetzwerks am 10. Okto­ ber 2017. Abrufbar unter: http: /  / aok-bv.de / imperia / md / aokbv / presse / pressemit teilungen / archiv / 2017 / 03_pressemeldung_gesundheitsnetzwerk_2017web.pdf (Stand: 02.10.2018). ARD-DeutschlandTREND: Haben Sie [Internetnutzer] sehr große Sorge, große Sorge, geringe Sorge oder keine Sorge vor einem Missbrauch Ihrer persönlichen Daten im Internet? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 1758 / um frage / aussagen-zum-thema-datenschutz-in-deutschland /  (Stand: 02.10.2018). ARD und ZDF: Entwicklung der durchschnittlichen täglichen Nutzungsdauer des In­ ternets in Deutschland in den Jahren 2000 bis 2017 (in Minuten). Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 1388 / umfrage / taegliche-nutzungdes-internets-in-minuten /  (Stand: 02.10.2018). Ariès, Philippe / Duby, Georges (Hrsg.): Geschichte des privaten Lebens. 2. Aufl. Frankfurt am Main 1993. Armbrüster, Christian: Automatisiertes Fahren – Paradigmenwechsel im Straßenver­ kehrsrecht. In: Zeitschrift für Rechtspolitik (ZRP) 2017, S. 83–86. Arnold, René / Hillebrand, Annette / Waldburger, Martin: Informed Consent in Theorie und Praxis. Warum Lesen, Verstehen und Handeln auseinanderfallen. In: Daten­ schutz und Datensicherheit (DuD) 2015, S. 730–734. Artikel-29-Datenschutzgruppe: WP 136. Stellungnahme 4 / 2007 zum Begriff „perso­ nenbezogene Daten“. Artikel-29-Datenschutzgruppe: WP 147. Arbeitspapier 1 / 2008 zum Schutz der perso­ nenbezogenen Daten von Kindern.

Literaturverzeichnis345 Artikel-29-Datenschutzgruppe: WP 160. Stellungnahme 02 / 2009 zum Schutz der per­ sonenbezogenen Daten von Kindern. Artikel-29-Datenschutzgruppe: WP 187. Stellungnahme 15 / 2011 zur Definition von Einwilligung. Artikel-29-Datenschutzgruppe: WP 203. Stellungnahme 00569 / 13 EN Opinion 03 / 2013 on purpose limitation. Artikel-29-Datenschutzgruppe: WP 217. Stellungnahme 6 / 2014 zum Begriff des be­ rechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95 / 46 / EG. Artikel-29-Datenschutzgruppe: WP 242 rev. 01. Stellungnahme 16 / 2017 EN Guide­ lines on the right to data portability 2016 / 679. Artikel-29-Datenschutzgruppe, WP 249. Stellungnahme 2 / 2017 EN on data proces­ sing at work. Artikel-29-Datenschutzgruppe: WP 259 rev. 01. Stellungnahme 17 / 2017 EN Guide­ lines on Consent under Regulation 2016 / 679. Artikel-29-Datenschutzgruppe: WP 260 rev. 01. Stellungnahme 17 / 2017 EN Guide­ lines on transparency under Regulation 2016 / 679. Auer-Reinsdorff, Astrid / Conrad, Isabell: Handbuch IT- und Datenschutzrecht. 2. Aufl. München 2016. Bächle, Thomas Christian: Das Smartphone, ein Wächter. In: Beyvers, Eva / Helm, Paula / Hennig, Martin / Keckeis, Carmen / Kreknin, Innokentij / Püschel, Florian (Hrsg.), Räume und Kulturen des Privaten. Wiesbaden 2016, S. 137–164. Backe, Hans Joachim: Strukturen und Funktionen des Erzählens im Computerspiel. Würzburg 2008. Bäcker, Matthias: Das Grundgesetz als Implementationsgarant der Unionsgrundrech­ te. In: Europarecht (EuR) 2015, S. 389–414. Balke, Rüdiger: Automatisiertes Fahren. Begriffsbestimmungen und haftungsrechtli­ che Fragestellungen im Zusammenhang mit dem automatisierten Fahren. In: Blät­ ter Straßenverkehrsrecht (SVR) 2018, S. 5–7. Bamberger, Georg / Roth, Herbert / Hau, Wolfgang / Poseck, Roman (Hrsg.): Beck’scher Onlinekommentar BGB. 47. Edit. München 2018 (zitiert: Bearbeiter, in: Bamber­ ger / Roth / Hau / Poseck, BeckOK BGB“). Baranowski, Anne / Glaßl, Ramón: Anforderungen an den Geheimnisschutz nach der EU-Richtlinie. In: Betriebsberater (BB) 2016, S. 2563–2569. Barnes, Susan: A Privacy paradox: Social networking in the United States. In: First Monday 2006, abrufbar unter: http: /  / firstmonday.org / article / view / 1394 / 1312 (Stand: 01.10.2018). Bauer, Silvia: Die Einwilligung bei Kindern und Jugendlichen. In: Datenschutzpraxis 12 / 2017, S. 16. Baumann, Max-Otto (Hrsg.): Privatsphäre als neues digitales Menschenrecht?. DIVSI 2015, abrufbar unter: https: /  / www.divsi.de / wp-content / uploads / 2015 / 07 / Diskus

346 Literaturverzeichnis sionsbeitrag-%C2%AD-Privatsph%C3%A4re-als-Menschenrecht_final.pdf (Stand: 28.09.2018). Bayerisches Landesamt für Datenschutzaufsicht: XV – Bedingungen für die Einwilli­ gung eines Kindes. 2017, abrufbar unter: https: /  / www.lda.bayern.de / media / bay lda_ds-gvo_15_childs_consent.pdf (Stand: 01.10.2018). Beaucamp, Guy / Beaucamp, Jakob: In dubio pro libertate. Überlegungen zu Kopf­ tuch- und Burkaverbotsdebatte. In: Die Öffentliche Verwaltung (DÖV) 2015, S. 174–183. Beck, Hanno: Behavioral Economics. Eine Einführung. Baden-Baden 2014. Becker, Angelika / Klein, Wolfgang: Recht verstehen Wie Laien, Juristen und Ver­ sicherungsagenten die „Riester-Rente“ interpretieren. Berlin 2008. Becker, Carlos / Seubert, Sandra: Privatheit, kommunikative Freiheit und Demokratie: In: Datenschutz und Datensicherheit (DuD) 2016, S. 73–78. Becker, Maximilian: Ein Recht auf datenerhebungsfreie Produkte. In: Juristenzeitung (JZ) 2017, S. 170–181. Bellmann, Steven / Johnson, Eric / Lohse, Gerald: On Site: to Opt-in or Opt-Out? In: Communication of the ACM 2001, S. 25–27. Benkert, Daniel: Beschäftigtendatenschutz in der DSGVO-Welt. In: NJW-Spezial 2018, S. 562–563. Berendt, Bettina / Günther, Oliver / Spiekermann, Sarah: Privacy in E-Commerce: Sta­ ted Preferences vs. Actual Behavior. In: Communication of the ACM 2005, S. 101–106. Berg, Bibi van den / Hof, Simone van der: What happens to my data? A novel ap­ proach to informing users of data processing practices. In: first monday 2012, online abrufbar unter: http: /  / firstmonday.org / ojs / index.php / fm / article / view /  4010 / 3274doi:10.5210 / fm.v17i7.4010 (Stand: 02.10.2018). Bergt, Matthias: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts. Über­ blick über den Theoriestreit und Lösungsvorschlag. In: Zeitschrift für Datenschutz (ZD) 2015, S. 365–371. Beyerbach, Hannes: Die geheime Unternehmensinformation. Tübingen 2012. Beyvers, Eva: Privatheit in der Waagschale. Berlin 2018. Beyvers, Eva: Stellungnahme der Artikel-29-Datenschutzgruppe zur datenschutzrecht­ lichen Interessenabwägung. Alter Hut oder neuer Besen?. In: Privacy in Germany (PinG) 2015, S. 60–64. Beyvers, Eva / Herbrich, Tilman: Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook. Der neue Ansatz des EuGH und die Rechtsfolgen. In: Zeitschrift für Datenschutz (ZD) 2014, S. 558–562. Bieresborn, Dirk: Sozialdatenschutz nach Inkrafttreten der EU-Datenschutzgrundver­ ordnung – Verarbeiten von Sozialdaten, Reichweite von Einwilligungen, grenz­ überschreitende Datenübermittlung und Auftragsverarbeitung. In: Neue Zeitschrift für Sozialrecht (NZS) 2017, S. 926–933.

Literaturverzeichnis347 Bisges, Marcel: Ökonomische Analyse des Rechts. In: Zeitschrift für Urheber- und Medienrecht (ZUM) 2014, S. 930–938. Bitkom: Digitale Souveränität – Positionsbestimmung und erste Handlungsempfeh­ lung für Deutschland und Europa. In: Datenschutz und Datensicherheit (DuD) 2018, S. 294–300. Bitkom: Jung und vernetzt – Kinder und Jugendliche in der digitalen Gesellschaft. 2014, abrufbar unter: https: /  / www.bitkom.org / Bitkom / Publikationen / Jung-undvernetzt-Kinder-und-Jugendliche-in-der-digitalen-Gesellschaft.html (Stand: 01.10. 2018). Bitkom: Netzgesellschaft. Eine repräsentative Untersuchung zur Mediennutzung und dem Informationsverhalten der Gesellschaft in Deutschland. 2011, abrufbar unter: https: /  / www.bitkom.org / noindex / Publikationen / 2011 / Studie / Studie-Netzgesell schaft / BITKOM-Publikation-Netzgesellschaft.pdf (Stand: 02.10.2018). Bitkom: Nutzen Sie sogenannte Emojis, wenn Sie Nachrichten in Messenger wie WhatsApp oder Facebook-Messenger verschicken? 2018, Abrufbar unter: https: /  /  de.statista.com / statistik / daten / studie / 865343 / umfrage / umfrage-zur-nutzung-vonemojis-in-messenger-nachrichten-in-deutschland /  (Stand: 02.10.2018). Bitkom: Stellungnahme zum Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. 2017, abrufbar unter: https: /  / www.bitkom.org / Bitkom / Publikationen / BitkomStellungnahme-zur-Datenportabilitaet.html (Stand: 02.10.2018). Bock, Kirsten / Engeler, Malte: Die verfassungsrechtliche Wesensgehaltsgarantie als absolute Schranke im Datenschutzrecht. In: Deutsches Verwaltungsblatt (DVBl) 2016, S. 593–599. Bodungen, Benjamin von / Hoffmann, Martin: Autonomes Fahren – Haftungsverschie­ bungen entlang der Supply Chain? (2. Teil). In: Neue Zeitschrift für Verkehrsrecht (NZV) 2016, S. 503–509. Boehme-Neßler, Volker: Big Data und Demokratie – Warum Demokratie ohne Daten­ schutz nicht funktioniert. In: Deutsches Verwaltungsblatt (DVBl.) 2015, S. 1282– 1287. Boehme-Neßler, Volker: BilderRecht: Die Macht der Bilder und die Ohnmacht des Rechts. Wie die Dominanz der Bilder im Alltag das Recht verändert. Heidel­ berg / Dordrecht / London / New York 2010. Boehme-Neßler, Volker: Das Ende der Anonymität. In: Datenschutz und Datensicher­ heit (DuD) 2016, S. 419–423. Boehme-Neßler, Volker: Vertrauen im Internet – Die Rolle des Rechts. In: Multimedia und Recht (MMR) 2009, S. 439–444. Bogdandy, Armin von: Jenseits der Rechtsgemeinschaft – Begriffsarbeit in der euro­ päischen Sinn- und Rechtsstaatlichkeitskrise. In: Europarecht (EuR) 2017, S. 487– 512. Bolsinger, Harald: Wo bleibt die digitale Dividende für Europas Konsumenten? In: Datenschutz und Datensicherheit (DuD) 2016, S. 382–385. Bonneau, Joseph / Preibusch, Sören: The Privacy Jungle: On the Market for Data Pro­ tection in Social Networks. In: Moore, Tyler / Pym, David / Ioannides, Christos

348 Literaturverzeichnis (Hrsg.), Economics of Information Security and Privacy. Heidelberg / New York 2010, S. 121–167. Borges, Georg: Rechtliche Rahmenbedingungen für autonome Systeme. In: Neue Ju­ ristische Wochenschrift (NJW) 2018, S. 977–982. Brand, Peter-Andreas: Grenzen zivilprozessualer Wahrheiten und Gerechtigkeit. Dis­ closure- and Discovery-Elemente im deutschen Zivilverfahrensrecht. In: Neue Juristische Wochenschrift (NJW) 2017, S. 3558–3563. Brandeis, Louis: What Puplicity Can Do. In: Harper’s Weekly 1913. Abrufbar unter: http: /  / louisville.edu / law / library / special-collections / the-louis-d.-brandeis-collec­ tion / other-peoples-money-chapter-v (Stand: 02.10.2018). Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken. Zivilrechtlicher Austausch von IT-Leistungen gegen personenbezogene Daten. In: Multimedia und Recht (MMR) 2012, S. 635–641. Bräutigam, Peter / Rücker, Daniel (Hrsg.): E-Commerce. Rechtshandbuch. München 2017 (zitiert: Bearbeiter, in: Bräutigam / Rücker, E-Commerce“). Brink, Stefan / Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts. In: Zeitschrift für Datenschutz (ZD) 2015, S. 205–212. Brink, Stefan / Heinrich, Amadeus Wolff: Anmerkung zu EuGH, Urt. v. 9.11.2010 – C 92 / 09 und 93 / 09. In: Juristenzeitung (JZ) 2011, S. 201–206. Britz, Gabriele: Grundrechtsschutz durch das Bundesverfassungsgericht und den Eu­ ropäischen Gerichtshof. In: Europäische Grundrechtezeitschrift (EuGRZ) 2015, S. 275–281. Brühann, Ulf: Mindeststandards oder Vollharmonisierung des Datenschutzrechts in der EG. Zugleich ein Beitrag zur Systematik von Richtlinien zur Rechtsanglei­ chung im Binnenmarkt in der Rechtsprechung des Europäischen Gerichtshofs. In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2009, S. 639–644. Brunschwig, Colette: Rechtsvisualisierung – Skizze eines nahezu unbekannten Fel­ des. In: Multimedia und Recht (MMR) 2009, S. IX–XII. Buchner, Benedikt (Hrsg.): Der NEUE Datenschutz im Gesundheitswesen. Remagen 2018. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht – vom Rechtfertigungs­ grund zum Kommerzialisierungsinstrument. In: Datenschutz und Datensicherheit (DuD) 2010, S. 39–43. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DSGVO. In: Datenschutz und Datensicherheit (DuD) 2016, S. 155–161. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht. Tübingen 2006. Buchner, Benedikt / Kühling, Jürgen: Die Einwilligung in der Datenschutzordnung 2018. In: Datenschutz und Datensicherheit (DuD) 2017, S. 544–548. Buchner, Benedikt / Rothmann, Robert: Der typische Facebook-Nutzer zwischen Recht und Realität. Zugleich eine Anmerkung zu LG Berlin v. 16.01.2018. In: Datenschutz und Datensicherheit (DuD) 2018, S. 342–346.

Literaturverzeichnis349 Bull, Hans Peter: Fehlentwicklungen im Datenschutz am Beispiel der Videoüberwa­ chung. In: Juristenzeitung (JZ) 2017, S. 797–806. Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium – Edition 2018. Abrufbar unter: https: /  / www.bsi.bund.de / SharedDocs / Downloads /  DE / BSI / Grundschutz / Kompendium / IT_Grundschutz_Kompendium_Edition 2018.pdf?__blob=publicationFile&v=7 (Stand: 02.10.2018). Bundesministerium für Verkehr und digitale Infrastruktur: Ethik-Kommission Auto­ matisiertes und Vernetztes Fahren. Bericht Juni 2017. Abrufbar unter: https: /  / www. bmvi.de / SharedDocs / DE / Publikationen / DG / bericht-der-ethik-kommission. pdf?__blob=publicationFile (Stand: 02.10.2018). Bundesministerium für Wirtschaft und Energie: Kompetenzen für eine digitale Souve­ ränität – Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie. 2017, abrufbar unter: https: /  / www.bmwi.de / Redaktion / DE / Publikationen / Studien /  kompetenzen-fuer-eine-digitale-souveraenitaet.html (Stand: 02.10.2018). Burandt, Wolfgang / Rojahn, Dieter (Hrsg.): Erbrecht. 2. Aufl. München 2014 (zitiert: „Bearbeiter, in: Burandt / Rojahn, Erbrecht“). Burgkardt, Felix: Grundrechtlicher Datenschutz zwischen Grundgesetz und Europa­ recht. Hamburg 2013. Burmann, Michael / Heß, Rainer / Hühnermann, Katrin / Jahnke, Jürgen: Straßenver­ kehrsrecht. 25. Aufl. München 2018 (zitiert: „Bearbeiter, in: Burmann / Heß / Hüh­ nermann / Jahnke, Straßenverkehrsrecht“). Byers, Philipp / Wenzel, Kathrin: Videoüberwachung am Arbeitsplatz nach dem neuen Datenschutzrecht. In: Betriebsberater (BB) 2017, S. 2036–2040. Calliess, Christian: Die grundrechtliche Schutzpflicht im mehrpoligen Verfassungs­ rechtsverhältnis. In: Juristenzeitung (JZ) 2006, S. 321–330. Calliess, Christian: Gerichtliche Kontrolldichte und institutionelle Begründungspflicht im Europarecht – ein Kompensationsverhältnis. In: Hendler, Reinhard / Ibler, Mar­ tin / Soria, José Martínez (Hrsg.), „Für Sicherheit, für Europa“  – Festschrift für Volkmar Götz zum 70. Geburtstag. Göttingen 2005. Calliess, Christian: Grundlagen, Grenzen und Perspektiven europäischen Richter­ rechts. In: Neue Juristische Wochenschrift (NJW) 2005, S. 929–933. Calliess, Christian / Ruffert, Matthias (Hrsg.): EUV / AEUV. Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta. 5. Aufl. 2016 München (zitiert: „Bearbeiter, in: Calliess / Ruffert, EUV / AEUV“). Callois, Roger: Man, Play and Games. Urbana 2001. Centre for the Study of European Contract Law: Study on consumers’ attitude to­ wards Terms and Conditions (T&Cs) Final Report. 2016, abrufbar unter: https: /  /  papers.ssrn.com / sol3 / papers.cfm?abstract_id=2847546 (Stand: 02.10.2018). Chatziathanasiou, Konstantin / Leszczynska, Monika: Experimentelle Ökonomik im Recht. In: Rechtswissenschaft (RW) 2017, S. 314–338. Classcraft Studios Inc.: Überblick. Abrufbar unter: https: /  / www.classcraft.com / de /  overview /  (Stand: 08.10.2018).

350 Literaturverzeichnis Cohen, Julie: What Privacy is for. In: Harvard Law Review 2013, S. 1904–1933. Colneric, Ninon: Auslegung des Gemeinschaftsrechts und gemeinschaftsrechtskonfor­ me Auslegung. In: Zeitschrift für Europäisches Privatrecht (ZEuP) 2005, S. 225– 233. Crocket, Larry: „Easy to learn, Difficult to Master“: Accessible Front-Ends to Chal­ lenging Science Assignments. In: Connolly, Thomas / Boyle, Liz: Proceedings of The 10th European Conference on Game Based Learning. Reading 2016, S. 144– 151. Csíkszentmihályi, Mihaly: Flow – Das Geheimnis des Glücks. 2. Aufl. Stuttgart 2017. Csíkszentmihályi, Mihaly: The flow experience and its significance for human psy­ chology. In: Csíkszentmihályi, Mihaly / Csíkszentmihályi, Isabella: Optimal expe­ rience. Psychological studies of flow in consciousness. Cambridge 1988, S. 15–35. Da Rocha Seixas, Luma / Gomes, Alex Sandro / Filho, Ivanildo José de Melo: Effec­ tiveness of gamification in the engagement of students. In: Computers in Human Behavior 2016, S. 48–63. DAK-Gesundheit: In welchem Alter hat Ihr Kind angefangen, das Internet selbststän­ dig zu nutzen? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie /  491021 / umfrage / beginn-der-internetnutzung-von-kinder-in-deutschland /  (Stand: 01.10.2018). Damman, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung. Erwar­ teter Fortschritt, Schwächen und überraschende Innovationen. In: Zeitschrift für Datenschutz (ZD) 2016, S. 307–314. Danwerth, Christopher: Analogie und teleologische Reduktion – Zum Verhältnis zweier scheinbar ungleicher Schwestern. In: Zeitschrift für die gesamte Privat­ rechtswissenschaft (ZfPW) 2017, S. 230–249. Däubler, Wolfgang / Wedde, Peter / Weichert, Thilo (Hrsg.): Bundesdatenschutzgesetz. Kompaktkommentar. 5. Aufl., Frankfurt am Main 2016 (zitiert: „Bearbeiter, in: Däubler / Klebe / Wedde / Weichert, Bundesdatenschutzgesetz“). Däubler, Wolfgang / Wedde, Peter / Weichert, Thilo / Sommer, Imke (Hrsg.): EU-Daten­ schutz-Grundverordnung und BDSG-neu. Frankfurt am Main 2018 (zitiert: „Bear­ beiter, in: Däubler / Wedde / Weichert / Sommer, DSGVO / BDSG“). Dauses, Manfred (Hrsg.): Handbuch des EU-Wirtschaftsrechts. 40. Ergänzungsliefe­ rung München 2016 (zitiert: „Bearbeiter, in: Dauses, EU-Wirtschaftsrecht“). Dederer, Hans-Georg: Die Grenzen des Vorrangs des Unionsrechts – Zur Vereinheit­ lichung von Grundrechts-, Ultra-vires- und Identitätskontrolle. In: Juristenzeitung (JZ) 2014, S. 313–322. Dederichs, Mariele: Die Methodik des Gerichtshofes der Europäischen Gemeinschaft. In: Europarecht (EuR) 2004, S. 345–359. Denga, Michael: Gemengelage privaten Datenrechts. In: Neue Juristische Wochen­ schrift (NJW) 2018, S. 1371–1376. Deterding, Sebastian: Eudaimonic Design, or: Six invitations to rethink gamification. In: Fuchs, Mathias / Fizek, Sonia / Ruffino, Paolo / Schrape, Niklas (Hrsg.), Rethin­ king Gamification. Lüneburg 2014, S. 305–331.

Literaturverzeichnis351 Deterding, Sebastian / Dixon, Dan / Khaled, Rilla / Nacke, Lennart: From Game Design Elements to Gamefulness: Defining „Gamification“. In: Lugmayr, Artur / Franssila, Helja / Safran, Christian, Hammouda, Imed (Hrsg.), Proceedings of the 15th Inter­ national Academic MindTrek Conference. New York 2011, S. 9–15. Dethloff, Nina: Familienrecht. 32., neu überarbeitete Auflage, München 2018. Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI): Vertrauen in Kommunikation im digitalen Zeitalter. 2017, abrufbar unter: https: /  / www.divsi. de / wp-content / uploads / 2017 / 12 / DIVSI-Vertrauen2018.pdf (Stand: 02.10.2018). Dochow, Carsten: Gesundheitsdatenschutz gemäß der EU-Datenschutzgrundverord­ nung. In: Gesundheitsrecht (GesR) 2016, S. 401–409. Döhmann, Indra Spiecker gen. / Eisenbarth, Markus: Kommt das „Volkszählungsur­ teil“ nun durch den EuGH? Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon. In: Juristenzeitung (JZ) 2011, S. 169–177. Dörner, Ralf / Göbel, Stefan / Effelsberg, Wolfgang / Wiemeyer, Josef (Hrsg.): Serious Games. Foundations, Concepts and Practice. Cham 2016. Dreier, Horst (Hrsg.): Grundgesetz: Kommentar, Band 1. 3. Aufl. Tübingen 2013 (zitiert: „Bearbeiter, in: Dreier, Grundgesetz Kommentar Band 1“). Duchow, Carsten: Gesundheitsdatenschutz gemäß der EU-Datenschutzgrundverord­ nung. In: Gesundheitsrecht (GesR) 2016, S. 401–409. Duden: Der Duden Band 12: Zitate und Aussprüche (Der Duden in 12 Bänden). 4. Aufl. Berlin 2017. Duden Online: Stichwort Bewusstsein Abrufbar unter: https: /  / www.duden.de / recht schreibung / Bewusstsein (Stand: 01.10.2018). Düsseldorfer Kreis: Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklä­ rung in Formularen. 2016. Abrufbar unter: https: /  / www.lda.bayern.de / media / oh_ einwilligung.pdf (Stand: 08.10.2018). Düsterhaus, Dominik: Zwischen Rechts- und Vertrauensschutz: Die zeitlichen Wir­ kungen von Auslegungsurteilen des EuGH nach Art. 267 AEUV. In: Europarecht (EuR) 2017, S. 30–56. Eckhardt, Jens: EU-DatenschutzVO – Ein Schreckgespenst oder Fortschritt?. In: Computer und Recht (CR) 2012, S. 195–203. Eckhardt, Jens / Kramer, Rudi / Britta, Alexandra Mester: Auswirkungen der geplanten EU-DSGVO auf den deutschen Datenschutz. In: Datenschutz und Datensicherheit (DuD) 2013, S. 623–629. Edwards, Lilian / Abel, Wiebke: The Use of Privacy Icons and Standard Contract Terms for Generating Consumer Trust and Confidence in Digital Services. In: CREATe Working Paper 2014 / 15, online abrufbar unter: https: /  / www.create. ac.uk / publications / the-use-of-privacy-icons-and-standard-contract-terms-for-gen erating-consumer-trust-and-confidence-in-digital-services /  (Stand: 02.10.2018). Eggers, Dave: Der Circle. 2. Aufl. Köln 2015.

352 Literaturverzeichnis Ehmann, Eugen / Selmayr, Martin (Hrsg.): DSGVO. Datenschutz-Grundverordnung. 2. Aufl. München 2018 (zitiert: „Bearbeiter, in: Ehmann / Selmayr, DSGVO“). Eichenhofer, Johannes: „e-Privacy“ im europäischen Grundrechtsschutz: Das „Schrems-Urteil“ des EuGH. In: Europarecht (EuR) 2016, S. 76–89. Eichenhofer, Johannes: Privatheit im Internet als Vertrauensschutz. Eine Neukon­ struktion der Europäischen Grundrechte auf Privatleben und Datenschutz. In: Der Staat 55 2016, S. 41–67. Eichenhofer, Johannes: Privatheitsgefährdung durch Private. Zur grundrechtsdogmati­ schen Einordnung von Internetdienstanbietern. In: Datenschutz und Datensicher­ heit (DuD) 2016, S. 84–88. Eichhorn, Bert / Schuhmann, Ralph: Der Inhalt ist alles, die Form nur Ästhetik? – Leichtverständliche Sprache und Visualisierung für Projektverträge. In: Zeitschrift für deutsches und internationales Bau- und Vergaberecht (ZfBR) 2014, S. 211– 216. Eidenmüller, Horst: Der homo oeconomicus und das Schuldrecht: Herausforderungen durch Behavioral Law and Economics. In: Juristenzeitung (JZ) 2005, S. 216–224. Eidenmüller, Horst: Liberaler Paternalismus. In: Juristenzeitung (JZ) 2011, S. 814– 821. Engeler, Malte: Das überschätzte Koppelungsverbot. Die Bedeutung des Art. 7 Abs. 4 DSGVO in Vertragsverhältnissen. In: Zeitschrift für Datenschutz (ZD) 2018, S. 55–62. Engeler, Malte / Felber, Wolfram: Entwurf der ePrivacy-VO aus Perspektive der auf­ sichtsbehördlichen Praxis. Reguliert der Entwurf an der technischen Realität vor­ bei?. In: Zeitschrift für Datenschutz (ZD) 2017, S. 251–257. Enquete-Kommission „Internet und digitale Gesellschaft“: Schlussbericht. In: Bun­ destagsdrucksache 17 / 8999 2013. Epiney, Astrid: Außenbeziehungen von EU und Mitgliedstaaten: Kompetenzvertei­ lung. Zusammenwirken und wechselseitige Pflichten am Beispiel des Datenschut­ zes. In: Zeitschrift für ausländisches, öffentliches Recht und Völkerrecht (ZaöRV) 2014, S. 465–503. Epping, Volker / Hillgruber, Christian (Hrsg.): Beck’scher Onlinekommentar Grund­ gesetz. 38. Edit. München 2018 (zitiert: „Bearbeiter, in: Epping / Hillgruber, BeckOK GG“). Erbguth, Wilfried: Und der Gesetzgeber schuldet wirklich nichts als das Gesetz?. In: Juristenzeitung (JZ) 2008, S. 1038–1042. Ernst, Cornelia / Krämer, Lorenz: Die Reform des europäischen Datenschutzrechts im Parlament. In: Datenschutznachrichten (DANA) 2012, S. 14. Ernst, Stefan: Die Einwilligung des Minderjährigen in der DSGVO. In: Datenschutz­ nachrichten (DANA) 2017, S. 14–16. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung. Anmerkung zur Definition nach Art. 4 Nr. 11 DSGVO. In: Zeitschrift für Datenschutz (ZD) 2017, S. 110–114.

Literaturverzeichnis353 Eßer, Martin / Kramer, Philipp / von Lewinski, Kai (Hrsg.): Auernhammer  – DSGVO /  BDSG. 6. Aufl. Köln 2018 (zitiert: „Bearbeiter, in: Eßer / Kramer / von Lewinski, Auernhammer – DSGVO / BDSG“). Europäische Kommission: Eine neue Rahmenstrategie vom 22.11.2005 für Mehrspra­ chigkeit, KOM(2005) 596 endg. Europäische Kommission: Grünbuch über Mobile-Health-Dienste („mHealth“), KOM(2014) 219 endg., S. 3. Europäische Kommission: Klar und deutlich schreiben. 2016. Abrufbar unter: https: /  /  publications.europa.eu / en / publication-detail / - / publication / 725b7eb0-d92e-11e58fea-01aa75ed71a1 / language-de (Stand: 02.10.2018). Europäische Kommission: Mitteilung vom 04.11.2010 – Gesamtkonzept für den Da­ tenschutz in der Europäischen Union, KOM(2010) 609 endg. Europäische Kommission: Online-Plattformen im digitalen Binnenmarkt. Chancen und Herausforderungen für Europa, KOM(2016) 288 endg. Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parla­ ments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung perso­ nenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverord­ nung), KOM(2012) 11 endg. Europäische Kommission: Zusammenfassung der Folgenabschätzung – Begleitunter­ lage zu der Datenschutz-Grundverordnung, SEK (2012) 73 endg. Europäischer Ausschuss der Regionen: Stellungnahme des Ausschusses der Regio­ nen: „Datenschutzpaket“, ABl. C 391 / 127. Europäischer Datenschutzbeauftragter: Empfehlungen des EDSB zu bestimmten As­ pekten der vorgeschlagenen Verordnung über Privatsphäre und elektronische Kommunikation vom 5.  Oktober 2017. Abrufbar unter: https: /  / edps.europa.eu /  sites / edp / files / publication / 17-10-05_recommendations_on_ep_amendments_ de.pdf (Stand: 01.10.2018). Europäischer Datenschutzbeauftragter: Stellungnahme 9 / 2016  – Stellungnahme des EDSB zu Systemen für das Personal Information Management (PIM). Abrufbar unter: https: /  / edps.europa.eu / sites / edp / files / publication / 16-10-20_pims_opini on_de.pdf (Stand: 01.10.2018). Europäischer Datenschutzbeauftragter: Zusammenfassung der Stellungnahme des EDSB vom 7. März 2012 zum Datenschutzreformpaket, ABl. C 192, 7. Europäisches Amt für Veröffentlichungen: Interinstitutionelle Regeln für Veröffent­ lichungen der Europäischen Union. Abrufbar unter: http: /  / publications.europa. eu / code / de / de-120200.htm (Stand: 28.09.2018). Europäisches Parlament: Datenschutz in der Europäischen Union. Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Daten­ schutz in der Europäischen Union (2011 / 2025 (INI)). Abrufbar unter: http: /  / www. europarl.europa.eu / sides / getDoc.do?pubRef=- /  / EP /  / NONSGML+TA+P7-TA2011-0323+0+DOC+PDF+V0 /  / DE (Stand: 28.09.2018).

354 Literaturverzeichnis Europäisches Parlament: Entwurf einer Stellungnahme des Rechtsausschusses für den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002 / 58 / EG (Verordnung über Privatsphäre und elektronische Kommunikation) (COM(2017)0010  – C8-0009 /  2017 – 2017 / 0003(COD)). Europäisches Parlament: Entwurf eines Berichts vom 16.01.2013 über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz na­ türlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (COM(2012)0011  – C7-0025 /  2012 – 2012 / 0011 (COD)). Abrufbar unter: http: /  / www.europarl.europa.eu / sides /  getDoc.do?pubRef=- %2F %2FEP %2F %2FNONSGML %2BCOMPARL %2BPE501.927 %2B04 %2BDOC %2BPDF %2BV0 %2F %2FDE (Stand:28.09.2018). Europäisches Parlament: Legislative Entschließung des Europäischen Parlaments v. 12.03.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezo­ gener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025 / 2012 – 2012 / 0011(COD)), ABl. C 378 v. 09.11.2017. Abrufbar unter: https: /  / eur-lex.europa.eu / legal-content / DE / TXT / PDF / ?uri=CEL EX:52014AP0212&from=EN (Stand: 02.10.2018). Falk, Felix: Games! In: Multimedia und Recht (MMR) 2018, S. 493–494. FAZ Online: Beitrag v. 25.04.2018 „Zweiter Anlauf für die ‚Digitalcharta‘ “. Abrufbar unter: http: /  / www.faz.net / aktuell / feuilleton / medien / neue-version-der-digitalchar ta-in-berlin-praesentiert-15559683.html (Stand: 02.10.2018). Feik, Sebastian / Lewinski, Kai von: Der Markt für Datenschutz-Zertifizierungen. Eine Übersicht. In: Zeitschrift für Datenschutz (ZD) 2014, S. 59–62. Fischer, Helge / Heinz, Matthias / Schlenker, Lars / Münster, Sander / Follert, Fabiane /  Köhler, Thomas: Die Gamifizierung der Hochschullehre – Potenziale und Heraus­ forderungen. In: Strahringer, Susanne / Leyh, Christian (Hrsg.), Gamification und Serious Games. Wiesbaden 2017, S. 113–125. Fleisch, Hans: Gamification4Good. Berlin 2018. Forgó, Nikolaus / Helfrich, Marcus / Schneider, Jochen: Betrieblicher Datenschutz. Rechtshandbuch. 2. Aufl. München 2017 (zitiert: „Bearbeiter, in: Forgó / Helfrich /  Schneider, Betrieblicher Datenschutz“). Forrest, Ethan / Schallaböck, Jan: Privicons: An Approach to Communicating Privacy Preferences Between Users. 2010, Abrufbar unter: http: /  / www.privicons. org / files / priviconspaper_v2.pdf (Stand: 02.10.2018). Fox, Dirk: Digitale Souveränität. In: Datenschutz und Datensicherheit (DuD) 2018, S. 271. Franzius, Claudio: Grundrechtsschutz in Europa. Zwischen Selbstbehauptung und Selbstbeschränkung der Rechtsordnung und ihrer Gerichte. In: Zeitschrift für aus­ ländisches öffentliches Recht und Völkerrecht (ZaöRV) 2015, S. 383–412.

Literaturverzeichnis355 Frenz, Walter: Europäische Bildungspolitik. In: Die Öffentliche Verwaltung (DÖV) 2011, S. 249–259. Freund, Bernhard: EuGH: Vollharmonisierende Wirkung der Datenschutzrichtlinie. In: Computer und Recht (CR) 2012, S. 29–33. Funke, Michael: Dogmatik und Voraussetzung der datenschutzrechtlichen Einwilli­ gung im Zivilrecht. Baden-Baden 2017. Gaycken, Sandro: Informationelle Selbstbestimmung und narrativistische Rezeption. Zur Konstruktion informationellen Vertrauens. In: Datenschutz und Datensicher­ heit (DuD 2011), S. 346–350. Geiger, Andreas: Die Einwilligung in die Verarbeitung von persönlichen Daten als Ausübung des Rechts auf informationelle Selbstbestimmung. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 1984, S. 35–38. Geiger, Willi: Gegenwartsprobleme der Verfassungsgerichtsbarkeit aus deutscher Sicht. In: Berberich, Thomas / Holl, Wolfgang / Maaß, Kurt-Jürgen (Hrsg.), Neue Entwicklungen im Öffentlichen Recht. Stuttgart 1979. Geminn, Christian / Laubach, Anne / Fujiwara, Shizuo: Schutz anonymisierter Daten im japanischen Datenschutzrecht. Kommentierung der neu eingeführten Kategorie der „Anonymously Processed Information“. In: Zeitschrift für Datenschutz 2018, S. 413–420. Geminn, Christian / Roßnagel, Alexander: „Privatheit“ und „Privatsphäre“ aus der Per­ spektive des Rechts – ein Überblick. In: Juristenzeitung (JZ) 2015, S. 703–708. Gersdorf, Hubertus / Paal, Boris (Hrsg.): Beck’scher Online-Kommentar Informa­ tions- und Medienrecht. 21. Ed. München 2018 (zitiert: „Bearbeiter, in: Gersdorf /  Paal, BeckOK Informations- und Medienrecht“). Gesellschaft für deutsche Sprache: Wie häufig nutzen Sie beim Schreiben digitaler Textnachrichten sogenannte Emoticons, also Kombinationen aus Satzzeichen, Buchstaben und Sonderzeichen? 2018, abrufbar unter: https: /  / de.statista.com / sta tistik / daten / studie / 819454 / umfrage / nutzungshaeufigkeit-von-emoticons-indeutschland /  (Stand: 02.10.2018). Gesellschaft für Public Relations Agenturen (GPRA): Welchen der folgenden Inter­ netunternehmen vertrauen Sie in Bezug auf die Einhaltung des Datenschutzes? Ab­ rufbar unter: https: /  / de.statista.com / statistik / daten / studie / 790373 / umfrage / ver trauen-in-den-datenschutz-von-internetunternehmen-in-deutschland /  (Stand: 01.10. 2018). Geuss, Raymond: Privatheit. Eine Genealogie. Frankfurt am Main 2013. GfK: Deutsche behalten persönliche Daten lieber für sich. Abrufbar unter: http: /  / www. gfk.com / de / insights / press-release / deutsche-behalten-persoenliche-daten-lieberfuer-sich /  (Stand: 01.10.2018). Gierschmann, Sibylle: Gestaltungsmöglichkeiten bei Verwendung von personenbezo­ genen Daten in der Werbung. Auslegung des Art. 6 Abs. 1 lit. f DSGVO und Lö­ sungsvorschläge. In: Multimedia und Recht (MMR) 2018, S. 7–12.

356 Literaturverzeichnis Gierschmann, Sibylle / Schlender, Katharina / Stentzel, Rainer / Veil, Winfried (Hrsg.): Kommentar Datenschutz-Grundverordnung. Köln 2018 (zitiert: „Bearbeiter, in: Gierschmann / Schlender / Stentzel / Veil (Hrsg.), Kommentar Datenschutz-Grund­ verordnung“). Giesen, Thomas: Für ein verfassungsgemäßes Datenschutzrecht in Europa. Wann be­ ginnt die EU, sich auf ihre freiheitlichen Prinzipien zu besinnen?. In: Computer und Recht (CR) 2014, S. 550–556. Gimmler, Roland: Medienkompetenz und Datenschutzkompetenz in der Schule. In: Datenschutz und Datensicherheit (DuD) 2012, S. 110–116. Glaeser, Walter Schmitt / Häberle, Peter (Hrsg.): Günter Dürig. Gesammelte Schriften (1952–1983) in Verbindung mit Hartmut Maurer. Berlin 1984. Go-Globe: Things that happen on internet every 60 Seconds. 2017, abrufbar unter: https: /  / www.go-globe.com / blog / things-that-happen-every-60-seconds /  (Stand: 02.10.2018). Gola, Peter: Beschäftigtendatenschutz und EU-Datenschutz-Grundverordnung. In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2012, S. 332–336. Gola, Peter (Hrsg.): Datenschutz-Grundverordnung. VO (EU) 2016 / 679. 2. Aufl. München 2018 (zitiert: „Bearbeiter, in: Gola, DSGVO“). Gola, Peter: Der „neue“ Beschäftigtendatenschutz nach § 26 BDSG n. F. In: Betriebs­ berater (BB) 2017, S. 1462–1472. Gola, Peter: Neues Recht – neue Fragen: Einige aktuelle Interpretationsfragen zur DSGVO. Zur Relevanz von in der Rechtsnorm sich nicht wiederfindenden Erwä­ gungsgründen. In: Kommunikation und Recht (K&R) 2017, S. 145–149. Gola, Peter / Lepperhoff, Niels: Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung. Aufnahme und Umfang der Ausnahmeregelung der DS­ GVO. In: Zeitschrift für Datenschutz (ZD) 2016, S. 9–12. Gola, Peter / Schomerus, Rudolf (Hrsg.): BDSG. 12. Aufl. München 2015 (zitiert: „Bearbeiter, in: Gola / Schomerus, Bundesdatenschutzgesetz“). Gola, Peter / Schulz, Sebastian: DSGVO – Neue Vorgaben für den Datenschutz bei Kindern? Überlegungen zur einwilligungsbasierten Verarbeitung von personenbe­ zogenen Daten Minderjähriger. In: Zeitschrift für Datenschutz (ZD) 2013, S. 475– 481. Golland, Alexander: Das Koppelungsverbot in der Datenschutz-Grundverordnung. Anwendungsbereich, ökonomische Auswirkungen auf Web 2.0-Dienste und Lö­ sungsvorschläge. In: Multimedia und Recht (MMR) 2018, S. 130–135. Gonscherowski, Susan / Hansen, Marit / Rost, Martin: Resilienz – eine neue Anforde­ rung aus der Datenschutz-Grundverordnung. In: Datenschutz und Datensicherheit (DuD) 2018, S. 442–446. Grabenwarter, Christoph: Die Vorratsdatenspeicherung aus der Perspektive der EMRK, der Grundrechte-Charta und des Verfassungsrechts. In: Stuckenberg, Carl Friedrich / Gärditz, Klaus Ferdinand (Hrsg.), Strafe und Prozess im freiheitlichen

Literaturverzeichnis357 Rechtsstaat. Festschrift für Hans-Ullrich Paeffgen zum 70. Geburtstag am 2. Juli 2015. Berlin 2015, S. 779–851. Grabenwarter, Christoph / Pabel, Katharina (Hrsg.) in: Europäische Menschenrechts­ konvention. 6. Aufl. München 2016 (zitiert: „Bearbeiter, in: Grabenwarter / Pabel, Europäische Menschenrechtskonvention“). Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hrsg.): Das Recht der Euro­ päischen Union. 64. Ergänzungslieferung München 2018 (zitiert: „Bearbeiter, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union“). Greger, Reinhard: Haftungsfragen beim automatisierten Fahren. Zum Arbeitskreis II des Verkehrsgerichtstags 2018. In: Neue Zeitschrift für Verkehrsrecht (NZV) 2018, S. 1–5. Greve, Holger: Das neue Bundesdatenschutzgesetz. In: Neue Zeitschrift für Verwal­ tungsrecht (NVwZ) 2017, S. 737–744. Grimm, Dieter: Der Datenschutz vor einer Neuorientierung. In: Juristenzeitung (JZ) 2013, S. 585–592. Grimm, Petra / Zöllner, Oliver (Hrsg.): Schöne neue Kommunikationswelt oder Ende der Privatheit? Stuttgart 2012. Grimm, Rüdiger / Bräunlich, Katharina: Vertrauen und Privatheit. Anwendung des Referenzmodells für Vertrauen auf die Prinzipien des Datenschutzes. In: Daten­ schutz und Datensicherheit (DuD) 2015, S. 289–294. Grimm, Rüdiger / Meier, Michaela / Rothmund, Tobias: Vertrauen. In: Datenschutz und Datensicherheit (DuD) 2015, S. 283–288. Groeben, Hans von der / Schwarze, Jürgen / Hatje, Armin (Hrsg.): Europäisches Uni­ onsrecht. 7. Aufl. Baden-Baden 2015. Grundmann, Stephan: Die Auslegung des Gemeinschaftsrechts durch den Europäi­ schen Gerichtshof. Konstanz 1997. Gsell, Beate / Krüger, Wolfgang / Lorenz, Stephan / Reymann, Christoph (GesamtHrsg.): Beck’scher Onlinegrosskommentar BGB. München 2018 (zitiert: Bearbeiter, in: Gsell / Krüger / Lorenz / Reymann (GesamtHrsg.), BeckOK Großkommentar BGB“). Gundel, Jörg: Vorratsdatenspeicherung und Binnenmarktkompetenz: Die ungebroche­ ne Anziehungskraft des Art. 95 EGV. In: Europarecht (EuR) 2009, S. 536–548. Gusy, Christoph / Eichenhofer, Johannes / Schulte, Laura: E-Privacy: von der Digitali­ sierung der Kommunikation zur Digitalisierung der Privatsphäre. In: Jahrbuch des öffentlichen Rechts der Gegenwart 64 2016, S. 385–409. Gusy, Christoph / Worms, Christoph: Verfassung und Datenschutz. Das Private und das Öffentliche in der Rechtsordnung. In: Datenschutz und Datensicherheit (DuD) 2012, S. 92–99. Haag, Kurt (Hrsg.): Geigel – Der Haftpflichtprozess. 27. Aufl. München 2015 (zi­ tiert: „Bearbeiter, in: Geigel, Haftpflichtprozess“). Häberle, Peter: Grundrechtsgeltung und Grundrechtsinterpretation im Verfassungs­ staat. Zugleich zur Rechtsvergleichung als „fünfter“ Auslegungsmethode. In: Ju­ ristenzeitung (JZ) 1989, S. 916–919.

358 Literaturverzeichnis Habermas, Jürgen: Strukturwandel der Öffentlichkeit. 14. Aufl. Frankfurt am Main 2015. Hagendorff, Thilo: Das Ende der Informationskontrolle. Zur Nutzung digitaler Me­ dien jenseits von Privatheit und Datenschutz. Bielefeld 2017. Hamann, Hanjo / Hermstrüwer, Yoan: Biometrie und Behavioral Economics. Verhal­ tensökonomische Perspektiven auf das Datenschutzrecht. In: Kritische Justiz (KJ) 2013, S. 184–197. Hamari, Juho / Koivisto, Jonna: Measuring flow in gamification: Dispositional Flow Scale-2. In: Computers in Human Behavior 2014, S. 133–143. Hamari, Juho / Koivisto, Jonna / Sarsa, Harri: Does Gamification Work? – A Literature Review of Empirical Studies on Gamification. In: Sprague, Ralph: Proceedings of the 47th Hawaii International Conference on System Sciences, Washington 2014, S. 3025–3034. Han, Byung-Chul: Transparenzgesellschaft. Berlin 2012. Hanloser, Stefan: opt-in im Datenschutzrecht und Wettbewerbsrecht. Konvergenz­ überlegungen zum Einwilligungsbegriff bei der E-Mail-Werbung. In: Computer und Recht (CR) 2008, S. 713–718. Hansen, Marit / Weichert, Thilo: Das Recht Privatheit – The Right to Privacy. In: Da­ tenschutz und Datensicherheit (DuD) 2012, S. 755–766. Haratsch, Andreas / Koenig, Christian / Pechstein, Matthias: Europarecht. 11. Aufl. Tü­ bingen 2018. Härting, Niko: Datenschutzreform in Europa: Einigung im EU-Parlament. Kritische Anmerkungen. In: Computer und Recht (CR) 2013, S. 715–721. Härting, Niko: Datenschutzreform in Europa: Einigung im EU-Parlament. In: Com­ puter und Recht (CR) 2013, S. 715–721. Härting, Niko: Internetrecht. 6. Aufl. Köln 2017. Härting, Niko: Starke Behörden, schwaches Recht – der neue EU-Datenschutzent­ wurf. In: Betriebsberater (BB) 2012, S. 459–466. Hauck, Ronny: Geheimnisschutz im Zivilprozess – was bringt die neue EU-Richtlinie für das deutsche Recht. In: Neue Juristische Wochenschrift (NJW) 2016, S. 2218– 2223. Hebeler, Timo: Ist der Gesetzgeber verfassungsrechtlich verpflichtet, Gesetze zu be­ gründen?. In: Die Öffentliche Verwaltung (DÖV) 2010, S. 754–762. Heckmann, Dirk: Ein Kinderspiel: Anleihen für juristische Einwilligungskonzepte aus Spielideen – Vortrag im Rahmen der Gamify-Conference am 23.02.2016, abrufbar unter: https: /  / www.youtube.com / watch?v=ENvOnWqdhGU&t=113s (Stand: 02.01.2019). Heckmann, Dirk (Hrsg.): Juris-PraxisKommentar Internetrecht. 5. Aufl. Saarbrücken 2017 (zitiert: „Bearbeiter, in: Heckmann, jurisPK – Internetrecht“). Heckmann, Dirk: Öffentliche Privatheit – Der Schutz der Schwächeren im Internet. In: Kommunikation und Recht (K&R) 2010, S. 770–777.

Literaturverzeichnis359 Heckmann, Dirk: Persönlichkeitsschutz im Internet. Anonymität der IT-Nutzung und permanente Datenverknüpfung als Herausforderung für Ehrschutz und Profil­ schutz. In: Neue Juristische Wochenschrift (NJW) 2012, S. 2631–2635. Heckmann, Dirk: Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit – Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“. In: Rüßmann, Helmut (Hrsg.), Festschrift für Gerhard Käfer. Saarbrücken 2009, S. 129–164. Heckmann, Dirk: Vertrauen in virtuellen Räumen? Rechtssichere Internetnutzung zwischen Fake und Faszinosum. In: Kommunikation und Recht (K&R) 2010, S. 1–7. Heißl, Gregor: Können juristische Personen in ihrem Grundrecht auf Datenschutz verletzt sein? Persönlicher Schutzbereich von Art. 8 GRC. In: Europarecht (EuR) 2017, S. 561–570. Heller, Christian: Post-Privacy: Prima leben ohne Privatsphäre. München 2011. Henninger, Thomas: Europäisches Privatrecht und Methode. Heidelberg 2009. Hentschel, Anja: Verbraucherinformationen zu Lebensmitteln – die neue Lebensmit­ telinformationsverordnung. In: Verbraucher und Recht (VuR) 2015, S. 55–59. Herbrich, Tilman: Der Vorschlag für eine ePrivacy-Verordnung-EU (Teil1): Anwen­ dungsbereich und Verhältnis zur DSGVO und zum nationalen Recht. In: jurisPRITR 18 / 2017 Anm. 2. Herbst, Tobias: Rechtliche und ethische Probleme des Umgangs mit Proben und Da­ ten bei großen Biobanken. In: Datenschutz und Datensicherheit (DuD) 2016, S. 371–375. Herbst, Tobias: Was sind personenbezogene Daten?. In: Neue Zeitschrift für Verwal­ tungsrecht (NVwZ) 2016, S. 902–906. Hermstrüwer, Yoan: Anreize und Nudging zur Patientencompliance – Staatliche Ent­ scheidungen über Heilung und Ressorucenverteiling. In: Gesundheitsrecht (GesR) 2018, S. 21–27. Hermstrüwer, Yoan: Contracting Around Privacy: The (Behavioral) Law and Eco­ nomics of Consent and Big Data. In: Journal of Intellectual Property, Information Technology and E-Commerce Law (jipitec) 2017, S. 9–26. Hermstrüwer, Yoan: Informationelle Selbstgefährdung. Tübingen 2016. Herresthal, Carsten: Grundrechtecharta und Privatrecht. Die Bedeutung der Charta der Grundrechte für das europäische und das nationale Privatrecht. In: Zeitschrift für das Europäische Privatrecht (ZEuP) 2014, S. 238–280. Hesse, Konrad: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland. 19. Aufl. Heidelberg 1993. Heussen, Benno: Analogie ist unlogisch. Über die Funktion der Gefühle im Verfahren der Rechtsgewinnung. In: Neue Juristische Wochenschrift (NJW) 2016, S. 1500– 1504. Heussen, Benno: Unvermeidbare Softwarefehler. Neue Entlastungsmöglichkeiten für Hersteller. In: Computer und Recht (CR) 2004, S. 1–10.

360 Literaturverzeichnis Hilgert, Felix / Sümmermann, Philipp: Jugendschutz in der virtuellen Realität. In: Computer und Recht (CR) 2016, S. 104–109. Hoeren, Thomas / Münker, Reiner: Die EU-Richtlinie für den Schutz von Geschäfts­ geheimnissen und ihre Umsetzung – unter besonderer Berücksichtigung der Pro­ duzentenhaftung. In: Wettbewerb in Recht und Praxis (WRP) 2018, S. 150–155. Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd (Hrsg.): Handbuch MultimediaRecht. Rechtsfragen des elektronischen Geschäftsverkehrs. 46. Ergänzungsliefe­ rung München 2018 (zitiert: „Bearbeiter, in: Hoeren / Sieber / Holznagel, Multime­ dia-Recht“). Hoffmann, Birgit: Einwilligung der betroffenen Person als Legitimationsgrundlage eines datenverarbeitenden Vorgangs im Sozialrecht nach dem Inkrafttreten der DSGVO. In: Neue Zeitschrift für Sozialrecht (NZS) 2017, S. 807–812. Hofmann, Johanna: Zertifizierung nach der DSGVO. In: Newsdienst ZD-Aktuell 2016, S. 05324. Hofmann, Johanna / Paul, Johannes: DSGVO: Anleitung zur autonomen Auslegung des Personenbezugs. Begriffserklärung der entscheidenden Frage des sachlichen Anwendungsbereichs. In: Zeitschrift für Datenschutz (ZD) 2017, S. 221–226. Hohmann-Dennhardt, Christine: Freiräume – Zum Schutz der Privatheit. In: Neue Juristische Wochenschrift (NJW) 2006, S. 545–549. Höltge, Julia: Minderjährigendatenschutz in digitalen Informationsdiensten. In: Der IT-Rechts-Berater (ITRB) 2016, S. 167. Holtz, Leif-Erik / Nocun, Katharina / Hansen, Marit: Towards Displaying Privacy In­ formation with Icons. In: Fischer-Hübner, Simone / Duquenoy, Penny / Hansen, Marit / Leenes, Ronald / Zhang, Ge: Privacy and Identity Management for Life. Berlin / Heidelberg 2010, S. 338–348. Honer, Mathias: Die Geltung der EU-Grundrechte für die Mitgliedstaaten nach Art. 51 Abs. 1 Satz 1 GRCh. In: Juristische Schulung (JuS) 2017, S. 409–413. Hoofnagle, Chris Jay / Urban, Jennifer: Alan Westin’s Privacy Homo Economicus. In: Wake Forest Law Review, 2014, S. 261–317. Höpfner, Clemens: Die systemkonforme Auslegung. Tübingen 2008. Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf vom 25.1.2012. In: Zeitschrift für Datenschutz (ZD) 2012, S. 99–106. Horstmann, David / Tolks, Daniel / Dadaczynski, Kevin / Paulus, Peter: Förderung des Wohlbefindens durch „Gamification“. In: Prävention und Gesundheitsförderung 2018, S. 1–7. Huatari, Kai / Hamari, Juho: Defining Gamification – A Service Marketing Perspec­ tive. In: Proceedings of the 16th International Academic MindTrek Conference 2012, S. 17–22. Abrufbar unter: https: /  / dl.acm.org / citation.cfm?doid=2393132. 2393137 (Stand: 04.10.2018). Huber, Andreas: Der digitale Binnenmarkt – eine Bestandsaufnahme. In: Multimedia und Recht (MMR) 2017, S. 141–142.

Literaturverzeichnis361 Huster, Stefan: Endlich: Abschichtung statt Abwägung. Neues zum Verhältnis von schulischem Erziehungsauftrag und elterlichem Erziehungsrecht. In: Die Öffentli­ che Verwaltung (DÖV) 2014, S. 860–866. Hustinx, Peter: EU Data Protection Law: The Review of Directive 95 / 46 / EC and the Proposed General Data Protection Regulation. Abrufbar unter: http: /  / www.state watch.org / news / 2014 / sep / eu-2014-09-edps-data-protection-article.pdf (Stand 28.09.2018). Hwang, Shu-Pering: Anwendungsvorrang statt Geltungsvorrang? Normlogische und institutionelle Überlegungen zum Vorrang des Unionsrechts. In: Europarecht (EuR) 2016, S. 355–373. Hwang, Shu-Pering: Die EMRK im Lichte der Rechtsprechung des BVerfG: Die Ent­ wicklung eines Grundrechtspluralismus zur Überwindung des Gegensatzes von Monoismus und Dualismus. In: Europarecht (EuR) 2017, S. 512–531. Imping, Andreas: Neue Zeitrechnung im (Beschäftigten-)Datenschutz. In: Computer und Recht (CR) 2017, S. 378–388. Ingold, Albert: Desinformationsrecht: Verfassungsrechtliche Vorgaben für staatliche Desinformationstätigkeit. Berlin 2011. Initiative D21: D21 Digital Index 2017 / 2018. Jährliches Lagebild zur Digitalen Ge­ sellschaft. Abrufbar unter https: /  / initiatived21.de / app / uploads / 2018 / 01 / d21-di gital-index_2017_2018.pdf (Stand: 01.10.2018). Internationale Konferenz der Beauftragten für den Datenschutz und für die Privat­ sphäre: Entschließung über die Annahme eines internationalen Kompetenzrahmens für die Datenschutzerziehung. 2016, abrufbar unter: https: /  / www.bfdi.bund. de / SharedDocs / Publikationen / Entschliessungssammlung / IntDSK / 38.Annahme_ internationalerKompetenzrahmen_f %C3 %BCr %20Datenschutzerziehung_Marra kesh.html (Stand: 02.10.2018). Isensee, Josef / Kirchhof, Paul (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland. Bundesstaat. Bd. 6: Bundesstaat. 2. Aufl. Heidelberg 2001 (zitiert: „Bearbeiter, in: Isensee / Kirchhof, Handbuch des Staatsrecht VI). Isensee, Josef / Kirchhof, Paul (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland. Bundesstaat. Bd. 7: Freiheitsrechte. 3. Aufl. Heidelberg 2009 (zitiert: „Bearbeiter, in: Isensee / Kirchhof, Handbuch des Staatsrecht VII). Isensee, Josef / Kirchhof, Paul (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland. Bundesstaat. Bd. 9: Allgemeine Grundrechtslehre. 3. Aufl. Heidel­ berg 2011 (zitiert: „Bearbeiter, in: Isensee / Kirchhof, Handbuch des Staats­ recht IX). Isensee, Josef / Kirchhof, Paul (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland. Bundesstaat. Bd. 12: Normativität und Schutz der Verfassung. 3. Aufl. Heidelberg 2014 (zitiert: „Bearbeiter, in: Isensee / Kirchhof, Handbuch des Staatsrecht XII). Jacob, Axel / Teuteberg, Franck: Game-Based Learning, Serious Games, Business Games und Gamification – Lernförderliche Anwendungsszenarien, gewonnene

362 Literaturverzeichnis Erkenntnisse und Handlungsempfehlungen. In: Strahringer, Susanne / Leyh, Chris­ tian (Hrsg.), Gamification und Serious Games. Wiesbaden 2017, S. 97–112. Jacob, Axel / Teuteberg, Frank: Gamification: Konzepte und Anwendungsfelder – eine quantitative Metaanalyse. In: Eibl, Maximilian / Gaedke, Martin (Hrsg.), INFOR­ MATIK. Bonn 2017, S. 393–404. Jaeger, Thomas: Zum Vorschlag einer permanenten Investitionsgerichtsbarkeit. In: Europarecht (EuR) 2016, S. 203–226. Jäger-Becke, Dagmar: Körperliche Fitness steigert Lebensqualität. In: MMW – Fort­ schritte der Medizin 2016, S. 82. Jandt, Silke: Spezifischer Datenschutz für Telemedien und die DSGVO. In: Zeit­ schrift für Datenschutz (ZD) 2018, S. 405–408. Jandt, Silke: Vertrauen im Mobile Commerce. Baden-Baden 2008. Jandt, Silke / Roßnagel, Alexander: Social Networks für Kinder und Jugendliche. Be­ steht ein ausreichender Datenschutz?. In: Multimedia und Recht (MMR) 2011, S. 637–642. Jarass, Hans (Hrsg.): Charta der Grundrechte der Europäischen Union. 3. Aufl. 2016 München (zitiert: „Bearbeiter, in: Jarass, Charta der Grundrechte der EU“). Jarass, Hans: Die Bedeutung der Unionsgrundrechte unter Privaten. In: Zeitschrift für Europäisches Privatrecht (ZEuP) 2017, S. 310–334. Jarass, Hans: Zum Verhältnis von Grundrechtecharta und sonstigem Recht. In: Euro­ parecht (EuR) 2013, S. 29–44. Jellinek, Georg (hrsg. und eingeleitet v. Jens Kersten): System der subjektiven öffent­ lichen Rechte. 2. Aufl. 2011 Tübingen. Jentzsch, Nicola: Gutachten. „Die persönliche Datenökonomie: Plattformen, Daten­ tresore und persönliche Clouds“ – Ökonomische Rahmenbedingungen innovativer Lösungen zu Datenschutz-Einwilligungen. Berlin 2017. Joachim, Katharina: Besonders schutzbedürftige Personengruppen. Einordnung grup­ penspezifischer Schutzbedürftigkeit in der DSGVO. In: Zeitschrift für Datenschutz (ZD) 2017, S. 414–418. Jöckel, Sven: Computerspiele. Nutzung, Wirkung und Bedeutung. Wiesbaden 2018. Johnson, Daniel / Deterding, Christoph / Kuhn, Kerri-Ann / Staneva, Aleksandra / Stoyanov, Stoyan / Hides, Leanne: Gamification for health and wellbeing: A systematic review of the literature. In: Internet Interventions 2016, S. 89–106. Johnson, Eric / Bellmann, Steven / Lohse, Gerald: Defaults, Framing and Privacy. In: Marketing Letters 2002, S. 5–15. Johnson, Eric / Goldstein, Daniel: Do Defaults Save Lives?. In: Science 2003, S. 1338–1339. Jolls, Christine / Sunstein, Cass / Thaler, Richard: A Behavioral Approach to Law and Economics. In: Stanford Law Review 1998, S. 1471–1550. Jung, Aeryung: Grundrechtsschutz auf europäischer Ebene. Hamburg 2016.

Literaturverzeichnis363 Jung, Alexander: Datenschutz-(Compliance)Management-Systeme – Nachweis und Rechenschaftspflichten nach der DSGVO. Praktikable Ansätze für die Erfüllung ordnungsgemäßer Datenverarbeitung. In: Zeitschrift für Datenschutz (ZD) 2018, S. 208–213. Kaeding, Najda / Schwenke, Laura: Medizinische Behandlung Minderjähriger – Anfor­ derungen an die Einwilligung. In: Medizinrecht (MedR) 2016, S. 935–940. Kahl, Wolfgang / Waldhoff, Christian / Walter, Christian (Hrsg.): Bonner Kommentar zum Grundgesetz. 192. Aktualisierung 2018 Heidelberg (zitiert: „Bearbeiter, in: Kahl / Waldhoff / Walter, Bonner Kommentar zum Grundgesetz“). Kahler, Thomas: Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung. Oder: Die überfällige Reform der deutschen und europäischen Datenschutzaufsicht. In: Recht der Datenverarbeitung (RDV) 2013, S. 69–73. Kalbfus, Björn: Die EU-Geschäftsgeheimnis-Richtlinie. Welcher Umsetzungsbedarf besteht in Deutschland?. In: Gewerblicher Rechtsschutz und Urheberrecht (GRUR) 2016, S. 1009–1017. Kalenborn, Tristan: Die praktische Konkordanz in der Fallbearbeitung. In: Juristische Arbeitsblätter (JA) 2016, S. 6–12. Kamasheva, A. V. / Valeev, E. R. / Yagudin, R. Kh. / Maksimova, K. R.: Usage of Gami­ fication Theory for Increase Motivation of Employees. In: Mediterranean Journal of Social Science 2015, S. 77–80. Kamps, Michael / Schneider, Florian: Transparenz als Herausforderung: Die Informa­ tions- und Meldepflichten der DSGVO aus Unternehmenssicht. In: Kommunika­ tion und Recht (K&R) 2017, Heft 07–08 Beilage, S. 24–29. Kapp, Karl: The Gamification of Learning and Instruction: Game-based Methods and Strategies for Training and Education. San Francisco 2012 Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited?. In: Daten­ schutz und Datensicherheit (DuD) 2015, S. 520–526. Karper, Irene: Datenschutzsiegel und Zertifizierungen nach der Datenschutz-Grund­ verordnung. In: Privacy in Germany (PinG) 2016, S. 201–204. Kay, Matthew / Terry, Michael: Textured Agreements: Re-envisioning Electronic Con­ sent. In: SOUPS 2010. Abrufbar unter: https: /  / dl.acm.org / citation.cfm?id=1837127 (Stand: 01.10.2018). Kazemi, Robert: Der Datenschutzbeauftragte in der Rechtsanwaltskanzlei. In: Neue Juristische Wochenschrift (NJW) 2018, S. 443–445. Keppeler, Lutz Martin: Was bleibt vom TMG-Datenschutz nach der DSGVO? Lö­ sung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz. In: Multimedia und Recht (MMR) 2015, S. 779–783. Kettner, Sara / Thorun, Christian / Vetter, Max: Wege zur besseren Informiertheit. Ver­ haltenswissenschaftliche Ergebnisse zur Wirksamkeit des One-Pager-Ansatzes und weiterer Lösungsansätze im Datenschutz. 2018, abrufbar unter: https: /  / www.con policy.de / data / user_upload / Studien / Bericht_ConPolicy_2018_02_Wege_zur_ besseren_Informiertheit.pdf (Stand: 02.10.2018).

364 Literaturverzeichnis Kieck, Annika / Pohl, Dirk: Zum Anwendungsbereich des europäischen Datenschutz­ rechts. In. Datenschutz und Datensicherheit (DuD) 2017, S. 567–571. Kim, Sangkyun / Song, Kibong / Lockee, Barbara / Burton, John: Gamification in Learn­ ing and Education. Enjoy Like Gaming. Cham 2018. Kingreen, Thorsten: Die Grundrechte des Grundgesetzes im europäischen Grund­ rechtsföderalismus. In: Juristenzeitung (JZ) 2013, S. 801–811. Kirchgässner, Gebhard: Homo Oeconomicus. 3. Aufl. Tübingen 2008. Kirchhof, Ferdinand: Grundrechtsschutz durch europäische und nationale Gerichte. In: Neue Juristische Wochenschrift (NJW) 2011, S. 3681–3686. Kirchhof, Ferdinand: Nationale Grundrechte und Unionsgrundrechte. In: Neue Zeit­ schrift für Verwaltungsrecht (NVwZ) 2014, S. 1537–1541. Klar, Manuel: Räumliche Anwendbarkeit des (europäischen) Datenschutzrechts. Ein Vergleich am Beispiel von Satelliten-, Luft- und Panoramaaufnahmen. In: Zeit­ schrift für Datenschutz (ZD) 2013, S. 109–115. Kleinebrink, Wolfgang: Die Einwilligung im Beschäftigungsverhältnis nach neuem Datenschutzrecht. In: Der Betrieb (DB) 2018, S. 1729–1735. Klement, Jan Henrik: Öffentliches Interesse an Privatheit. In: Juristenzeitung (JZ) 2017, S. 161–170. Kloepfer, Michael / Greve, Holger: Das Informationsfreiheitsgesetz und der Schutz von Betriebs- und Geschäftsgeheimnissen. In: Neue Zeitschrift für Verwaltungs­ recht (NVwZ) 2011, S. 577–584. Klöhn, Lars: Eine neue Insiderfalle für Finanzanalysten? Zweck, Bedeutung und Aus­ legung von Erwägungsgrund Nr. 28 MAR. In: Zeitschrift für Wirtschafts- und Bankrecht (WM) 2016, S. 1665–1673. Klopfer, Eric / Osterweil, Scot / Salen, Katie: Moving learning games forward. Obsta­ cles, Opportunities & openness. Massachusetts Institute of Technology 2009. Abrufbar unter: https: /  / education.mit.edu / wp-content / uploads / 2015 / 01 / Moving LearningGamesForward_EdArcade.pdf (Stand: 08.10.2018). Knauf, Matthias: Auslegung oder Anwendung des Europarechts?. In: Die Öffentliche Verwaltung (DÖV) 2013, S. 375–380. Knautz, Kathrin: Gamification in der Hochschuldidaktik. Düsseldorf 2015. Knyrim, Rainer (Hrsg.): Datenschutz-Grundverordnung. Das neue Datenschutzrecht in Österreich und der EU. Wien 2016. Koerner, Marita: Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung. Frankfurt am Main 2017. Kohler, Christian / Knapp, Andreas: Nationales Recht in der Praxis des EuGH. In: Zeitschrift für Europäisches Privatrecht (ZEuP) 2002, S. 701–726. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Datenschutz als Bildungsaufgabe, 82. Konferenz am 28. / 29. September 2011 in München. Abruf­ bar unter: https: /  / www.datenschutz-bayern.de / print / dsbk-ent / DSK_82-Bildung. html (Stand: 02.10.2018).

Literaturverzeichnis365 Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 11. Juni 2012 zur Datenschutz-Grundverordnung KOM (2012) 11 endg. vom 25.01.2012. Abrufbar unter: https: /  / datenschutz.hessen.de / sites / datenschutz.hes sen.de / files / content-downloads / Stellungnahme %20DSK %20zur %20DSGVO. pdf (Stand: 28.09.2018). Koós, Clemens: Das Vorhaben eines einheitlichen Datenschutzes in Europa. Aktueller Stand des europäischen Gesetzgebungsverfahrens. In: Zeitschrift für Datenschutz (ZD) 2014, S. 9–15. Koós, Clemens: Die europäische Geschäftsgeheimnis-Richtlinie – ein gelungener Ent­ wurf? Schutz von Know-How und Geschäftsinformationen – Änderungen im deutschen Wettbewerbsrecht. In: Multimedia und Recht (MMR) 2016, S. 224–228. Kopp, Ferdinand / Ramsauer, Ulrich (Hrsg.): Verwaltungsverfahrensgesetz. 18. Aufl. München 2017 (zitiert: „Bearbeiter, in: Kopp / Ramsauer, Verwaltungsverfahrens­ gesetz“). Körner, Marita: Die Datenschutz-Grundverordnung und nationale Regelungsmöglich­ keiten für Beschäftigtendatenschutz. In: Neue Zeitschrift für Arbeitsrecht (NZA) 2016, S. 1383–1386. Kort, Michael: Der Beschäftigtendatenschutz gem. § 26 BDSG-neu. Ist die Ausfül­ lung der Öffnungsklausel des Art. 88 DSGVO geglückt?. In: Zeitschrift für Daten­ schutz (ZD) 2017, S. 319–323. Kotini, Isabella / Tzelepi Sofia: A Gamification-Based Framework for Developing Learning Activities of Computational Thinking. In: Reiners, Torsten / Wood, Lin­ coln: Gamification in Education and Business. Cham 2015, S. 219–252. Kramer, Rudi / Spaeing, Frank: „Datenschutz geht zur Schule“ – was Hänschen nicht lernt … In: Datenschutz und Datensicherheit (DuD) 2014, S. 370–374. Krebber, Sebastian: Die Unionsrechts- und Kompetenzakzessorietät des unionsrecht­ lichen Grundrechtsschutzes im Bereich des Arbeitsrechts: Grundsatz und Ausnah­ men. In: Europäische Zeitschrift für Arbeitsrecht (EuZA) 2016, S. 3–21. Kremer, Sascha / Schminder, Jana: Gamification – Innovation vs. Beschäftigtendaten­ schutz. In: HR Performance 2017, S. 52–53. Kress, Sonja / Nagel, Daniel: The GDPR and Its Magic Spells Protecting Little Princes and Princesses. Special regulations for the protections of children within the GDPR. In: Computer Law Review International (CRi) 2017, S. 6–9. Kroeber-Riel, Werner / Weinberg, Peter / Gröppel-Klein, Andrea: Konsumentenverhal­ ten. 9. Aufl. München 2011. Krohm, Niclas: Abschied vom Schriftformgebot der Einwilligung. Lösungsvorschläge und künftige Anforderungen. In: Zeitschrift für Datenschutz (ZD) 2016, S. 368– 373. Krohm, Niclas / Müller-Peltzer, Philipp: Auswirkungen des Koppelungsverbots auf die Praxistauglichkeit der Einwilligung. Das Aus für das Modell „Service gegen Da­ ten“? In: Zeitschrift für Datenschutz (ZD) 2017, S. 551–556.

366 Literaturverzeichnis Krönke, Christoph: Datenpaternalismus. Staatliche Intervention im Online-Datenver­ kehr zwischen Privaten, dargestellt am Beispiel der Datenschutz-Grundverord­ nung. In: Der Staat (2016), S. 319–351. Krüger, Philipp: Datensouveränität und Digitalisierung. Probleme und rechtliche Lö­ sungsansätze. In: Zeitschrift für Rechtspolitik (ZRP) 2016, S. 190–192. Kruse, Vincent / Plicht, Christine / Spannagel, Janna / Wehrle, Markus / Spannagel, Christian: Creatures of the Night: Konzeption und Evaluation einer GamificationPlattform im Rahmen einer Mathematikvorlesung. Abrufbar unter: http: /  / ceur-ws. org / Vol-1227 / paper51.pdf (Stand: 08.10.2018). Kubicek, Herbert: Vertrauen durch Sicherheit – Vertrauen in Sicherheit. Annäherung an ein schwieriges Verhältnis. In: Klumpp, Dieter / Kubicek, Herbert / Roßnagel, Alexander / Schulz, Wolfgang (Hrsg.), Informationelles Vertrauen für die Informa­ tionsgesellschaft. Berlin / Heidelberg 2008, S. 17–36. Kugelmann, Dieter: Datenfinanzierte Internetangebote. In: Datenschutz und Daten­ sicherheit (DuD) 2016, S. 566–570. Kuhlen, Rainer: Vertrauen in elektronischen Räumen. In: Klumpp, Dieter / Kubicek, Herbert / Roßnagel, Alexander / Schulz, Wolfgang (Hrsg.), Informationelles Ver­ trauen für die Informationsgesellschaft. Berlin / Heidelberg 2008, S. 37–52. Kühling, Jürgen / Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung / BDSG. 2. Aufl. München 2018 (zitiert: „Bearbeiter, in: Kühling / Buchner, DSGVO /  BDSG“). Kühling, Jürgen / Klar, Manuel / Sackmann, Florian: Datenschutzrecht. 4. Aufl. 2018 Heidelberg. Kühling, Jürgen / Klar, Manuel: Speicherung von IP-Adressen beim Besuch einer In­ ternetseite. In: Zeitschrift für Datenschutz (ZD) 2017, S. 24–29. Kühling, Jürgen / Martini, Mario: Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht? In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2016, S. 448–454. Kühling, Jürgen / Martini, Mario / Heberlein, Johanna / Kühl, Benjamin / Nink, David /  Weinzierl, Quirin / Wenzel, Michael: Die DSGVO und das nationale Recht. Erste Überlegungen zum innerstaatlichen Regelungsbedarf. Münster 2016. Kühling, Jürgen / Sivridis, Anastasios / Seidel, Christian, Datenschutzrecht, 3. Aufl. 2015 Heidelberg. Kühne, Hans-Heiner: Der Beweiswert von Zeugenaussagen. In: Neue Zeitschrift für Strafrecht (NStZ) 1985, S. 252–254. Kultusministerkonferenz: Bildung in der digitalen Welt – Strategie der Kultusminis­ terkonferenz. 2016, abrufbar unter: https: /  / www.kmk.org / fileadmin / Dateien /  pdf / PresseUndAktuelles / 2016 / Bildung_digitale_Welt_Webversion.pdf (Stand: 02.10.2018). Kutscha, Martin / Thomé, Sarah (Hrsg.): Grundrechtsschutz im Internet? Baden-Baden 2013.

Literaturverzeichnis367 Lachenmann, Matthias: Tagung des DGRI-Beirats am 30.4.2016. In: Computer und Recht (CR) 2016, R68–69. Ladeur, Karl-Heinz: Das Recht auf informationelle Selbstbestimmung: Eine juristi­ sche Fehlkonstruktion? In: Die Öffentliche Verwaltung (DÖV) 2009, S. 45–55. Landesanstalt für Medien Nordrhein-Westfalen: Inwieweit stimmen Sie den folgen­ den Aussagen zum Thema Datenschutz und Sicherheit im Internet zu? Abrufbar unter: https: /  / de.statista.com / statistik / daten / studie / 804622 / umfrage / aussagenzu-datenschutz-und-sicherheit-im-internet-in-deutschland /  (Stand: 01.10.2018). Landesanstalt für Medien Nordrhein-Westfalen: Werbung und Kommerz im (mobilen) Internet. Ein Ratgeber für Eltern und andere Interessierte. 2017, abrufbar unter: https: /  / www.klicksafe.de / service / materialien / broschueren-ratgeber / werbungund-kommerz-im-mobilen-internet /  (Stand: 01.10.2018). Landesbeauftragte für den Datenschutz Niedersachsen: Pressemitteilung Safer Inter­ net Day 2018 v. 05.02.2018. Abrufbar unter: https: /  / www.lfd.niedersachsen. de / startseite / allgemein / presseinformationen / safer_internet_day_2018 / safer-inter net-day-2018-161899 (Stand: 02.10.2018). Landesmedienzentrum Baden-Württemberg: Kultusministerin zeigt sich offen in ­Sachen Gamification. MediaCulture-Online Blog v. 07.05.2018. Abrufbar unter: ­https: /  / www.lmz-bw.de / medienbildung / aktuelles / mediaculture-blog / blogeinzel ansicht / 2018 / kultusministerin-zeigt-sich-offen-in-sachen-gamification.html (Stand 05.10.2018). Latzel, Clemens: Die Anwendungsbereiche des Unionsrechts. In: Europäische Zeit­ schrift für Wirtschaftsrecht (EuZW) 2015, S. 658–664. Laue, Philip: Öffnungsklauseln in der DSGVO – Öffnung wohin? Geltungsbereich einzelstaatlicher (Sonder-)Regelungen. In: Zeitschrift für Datenschutz (ZD) 2016, S. 463–467. Laufs, Adolf / Katzenmeier, Christian / Lipp, Volker (Hrsg.): Arztrecht. 7. Aufl. Mün­ chen 2015 (zitiert: „Bearbeiter, in: Laufs / Katzenhammer / Lipp, Arztrecht“). Leisner, Walter Georg: Die subjektiv-historische Auslegung des Gemeinschaftsrechts. Der „Wille des Gesetzgebers“ in der Judikatur des EuGH. In: Europarecht (EuR) 2007, S. 689–707. Lenaerts, Koen: In Vielfalt geeint / Grundrechte als Basis des europäischen Integra­ tionsprozesses. In: Europäische Grundrechtezeitschrift (EuGRZ) 2015, S. 353– 361. Lepping, Joachim / Palzkill, Matthias: Die Chance der digitalen Souveränität. In: Witt­ pahl, Volker (Hrsg.), Digitalisierung. Berlin / Heidelberg 2016, S. 17–25. Lessig, Lawrence: Privacy and Attention Span. In: Georgetown Law Journal 2001, S. 2063–2072. Lewinski, Kai von: Die Matrix des Datenschutzes. Tübingen 2014. Lewinski, Kai von: Europäisierung des Datenschutzrechts. In: Datenschutz und Da­ tensicherheit (DuD) 2012, S. 564–570.

368 Literaturverzeichnis Lewinski, Kai von: Zwischen rationaler Apathie und rationaler Hysterie. In: Privacy in Germany (PinG) 2013, S. 12–17. Lewinski, Kai von / Herrmann, Christoph: Vorrang des europäischen Datenschutz­ rechts gegenüber Verbraucherschutz- und AGB-Recht. In: Privacy in Germany (PinG) 2017, S. 165–172. Lewinski, Kai von / Pohl, Dirk: Auskunfteien nach der europäischen Datenschutzre­ form. Brüche und Kontinuitäten der Rechtslage. In: Zeitschrift für Datenschutz (ZD) 2018, S. 17–23. Lindner, Eric: Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut? Hamburg 2013. Lindner, Michael: Privatheit im Informationszeitalter. Ethische Grundlagen von Pri­ vatheit und Anwendungsfragen in der Informationstechnologie. Würzburg 2014. Abrufbar unter: http: /  / hdl.handle.net / 10900 / 47114 (Stand: 01.10.2018). Loroff, Claudia / Lindow, Ina / Schubert, Michael: Bildung als Voraussetzung digitaler Souveränität. In: Wittpahl, Volker (Hrsg.), Digitale Souveränität. Berlin / Heidel­ berg 2017, S. 151–175. Ludwig, Thomas Claus: Zum Verhältnis zwischen Grundrechtecharta und allgemeinen Grundsätzen – die Binnenstruktur des Art. 6 EUV n. F. In: Europarecht (EuR) 2011, S. 715–734. Ludwigs, Markus: Kooperativer Grundrechtsschutz zwischen EuGH, BVerfG und EGMR. In: Europäische Grundrechtezeitschrift (EuGRZ) 2014, S. 274–285. Luhmann, Niklas: Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität. 5. Aufl. Konstanz / München 2014. Lundblad, Nicklas / Masiello, Betsy: Opt-In-Dystopias. In: scripted 2010, S. 156–165. Mackaay, Ejan: Law and Economics for Civil Law Systems. Cheltenham 2013. Mahlmann, Matthias: Gleichstellung gleichgeschlechtlicher Lebenspartnerschaften bei Hinterbliebenenversorgung. In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2008, S. 314–319. Maier, Natalie / Schaller, Fabian: ePrivacy-VO – alle Risiken der elektronischen Kommunikation gebannt? Entwurf ohne datenschutzrechtliche Regelungen für P2P-Kommunikationsdienste. In: Zeitschrift für Datenschutz (ZD) 2017, S. 373 – 377. Maisch, Michael: Informationelle Selbstbestimmung in sozialen Netzwerken – Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook. Berlin 2015. Mangold, Hermann von / Klein, Friedrich / Stark, Christian (Hrsg.): Kommentar zum Grundgesetz Band I. 6. Aufl. 2010 (zitiert: „Bearbeiter, in: Mangoldt / Klein / Stark, Kommentar zum Grundgesetz Band I“). Mankowski, Peter / Müller, Michael / Schmidt, Jessica (Hrsg.): EuInsVO 2015. Mün­ chen 2016 (zitiert: „Bearbeiter, in: Mankowski / Müller / J. Schmidt, EuInsVO 2015“).

Literaturverzeichnis369 Manske, Julia / Knobloch, Tobias: Datenpolitik jenseits von Datenschutz. 2017, abruf­ bar unter: https: /  / www.stiftung-nv.de / sites / default / files / datenpolitik.pdf (Stand: 02.10.2018). Mantz, Reto / Spittka, Jan: Anmerkung zu einer Entscheidung des EuGH, Urteil vom 19.10.2016 (C-582 / 14) – Zu der Frage, wann und unter welchen Voraussetzungen dynamische IP-Adressen von Online-Diensten gespeichert werden dürfen. In: Neue Juristische Wochenschrift (NJW) 2016, S. 3582–3583. Marczewski, Andrzej: Gamification – A Simple Introduction. Amazon Digital Ser­ vices LLC 2013. Marston, Hannah / Hall, Amanda: Gamification: Applications for Health Promotion and Health Information Technology Engagement. In: Novák, Daniel / Tulu, Bengi­ su / Brendryen, Havar (Hrsg.): Handbook of Research on Holistic Perspectives in Gamification for Clinical Practice. Harrisburg 2016, S. 78–104. Martini, Mario: Transformation der Verwaltung durch Digitalisierung. In: Die Öffent­ liche Verwaltung (DÖV) 2017, S. 443–455. Martini, Mario / Nink, David: Wenn Maschinen entscheiden … Persönlichkeitsschutz in vollautomatisierten Verwaltungsverfahren. In: Neue Zeitschrift für Verwal­ tungsrecht (NVwZ) 2017, S. 681–682. Martini, Mario / Weinzierl, Quirin: Nationales Verfassungsrecht als Prüfungsmaßstab des EuGH? Der Vollzug nationalen Rechts durch die EZB und seine ungelösten Folgeprobleme. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2017, S. 177– 183. Masing, Johannes: Ein Abschied von den Grundrechten. In: Süddeutsche Zeitung v. 09.01.2012. Abrufbar unter: https: /  / www.datenschutzbeauftragter-online.de / wpcontent / uploads / 2012 / 01 / 20120109_SZ_Masing_Datenschutz.pdf (Stand: 28.09. 2018). Masing, Johannes: Einheit und Vielfalt des Europäischen Grundrechtsschutzes. In: Juristenzeitung (JZ) 2015, S. 477–487. Masing, Johannes: Herausforderungen des Datenschutzes. In: Neue Juristische Wo­ chenschrift (NJW) 2012, S. 2305–2311. Masser, Kai / Mory, Linda: The Gamification of Citizens’ Participation in Policyma­ king. Cham 2018. Matallaoui, Amir / Hanner, Nicolai / Zarnekow, Rüdiger: Introduction to Gamification: Foundation and Underlying Theories. In: Stieglitz, Stefan / Lattemann, Christoph /  Robra-Bissantz, Susanne / Zarnekow, Rüdiger / Brockmann, Tobias (Hrsg.), Gamifi­ cation. Cham 2017, S. 3–18. Matzner, Tobias / Richter, Philipp: Die Zukunft der informationellen Selbstbestim­ mung. In: Friedewald, Michael / Lamla, Jörn / Roßnagel, Alexander (Hrsg.), Infor­ mationelle Selbstbestimmung im digitalen Wandel. Wiesbaden 2017, S. 319–324. Maunz, Theodor / Dürig, Günter / Herzog, Roman / Scholz, Rupert / Herdegen, Matthi­ as / Klein, Hans (Hrsg.): Grundgesetz Kommentar. 79 Ergl. München 2016 (zitiert: „Bearbeiter, in: Maunz / Dürig, Grundgesetz-Kommentar“).

370 Literaturverzeichnis Mayer-Ladewig, Jens / Nettesheim, Martin / Raumer, Stefan von (Hrsg.): EMRK. Euro­ päische Menschenrechtskonvention. 4. Aufl. 2017 Baden-Baden / Wien (zitiert: Bearbeiter, in: Mayer-Ladewig / Nettesheim / von Raumer, Europäische Menschen­ rechtskonvention“). McDonald, Aleecia / Cranor, Lorrie: The Cost of Reading Privacy Policies. In: I / S: A Journal of Law and Policy for the Information Society 2008, S. 543–568. McGonigal, Jane: Gamify your Life. Freiburg 2016. Mehde, Veit / Ramsauer, Ulrich / Seckelmann, Margrit (Hrsg.): Staat, Verwaltung, In­ formation. Festschrift für Hans Peter Bull zum 75. Geburtstag. Berlin 2011. Meissner, Sebastian: Aktiv voran: Neue Möglichkeiten der Zertifizierung für Unter­ nehmen und Verwaltung durch die DSGVO – Vortrag im Rahmen der ULD Som­ merakademie 2017. Abrufbar unter: https: /  / www.datenschutzzentrum.de / up loads / sommerakademie / 2017 / SAK17_IB09b_Meissner_Zertifizierung.pdf (Stand: 02.10.2018). Meissner, Sebastian: Datenschutzgütesiegel als vertrauensbildende Maßnahme am Beispiel des europäischen EuroPriSe-Zeichens. In: Bogendorfer, René (Hrsg.), Datenschutzgespräche 2011 – Datenschutz im Unternehmen. Wien 2011, S. 95– 125. Menschenrechtsrat der Vereinten Nationen: Bericht des Hohen Kommissars der Ver­ einten Nationen für Menschenrechte über das Recht auf Privatsphäre im digitalen Zeitalter vom 30. Juni 2014. A / HRC / 27 / 37, Nr. 19. Menzel, Hans-Joachim: Datenschutzrechtliche Einwilligung in der medizinischen For­ schung. Selbstbestimmung oder Überforderung der Patienten?. In: Medizinrecht (MedR) 2006, S. 702–707. Merten, Detlef: „Gute“ Gesetzgebung als Verfassungspflicht oder Verfahrenslast?. In: Die Öffentliche Verwaltung (DÖV) 2015, S. 349–360. Merten, Detlef / Papier, Hans-Jürgen (Hrsg): Handbuch der Grundrechte in Deutsch­ land und Europa Band  VI / 2: Europäische Grundrechte II  – Universelle Men­ schenrechte. München 2010 (zitiert: „Bearbeiter, in: Merten / Papier, Handbuch der Grundrechte Band VI / 2“). Merten, Detlef / Papier, Hans-Jürgen (Hrsg.): Handbuch der Grundrechte in Deutsch­ land und Europa Band VI / 1: Europäische Grundrechte I. München 2010 (zitiert: „Bearbeiter, in: Merten / Papier, Handbuch der Grundrechte Band VI / 1“). Merten, Detlef / Papier, Hans-Jürgen: Handbuch der Grundrechte in Deutschland und Europa Band IV: Grundrechte in Deutschland – Einzelgrundrechte I. München 2011 (zitiert: „Bearbeiter, in: Merten / Papier, Handbuch der Grundrechte Band IV“). Mester, Britta: Aufklärung. In: Datenschutz und Datensicherheit (DuD) 2014, S. 412. Metz, Jochen: Zusatzzeichen nach § 39 III StVO. In: Neue Zeitschrift für Verkehrs­ recht (NZV) 2018, S. 60–66. Meyer, Jürgen (Hrsg.): Charta der Grundrechte der Europäischen Union. 4. Aufl. Ba­ den-Baden 2014 (zitiert: „Bearbeiter, in: Meyer, Charta der Grundrechte der Euro­ päischen Union“).

Literaturverzeichnis371 Michl, Walther: Das Verhältnis zwischen Art. 7 und Art. 8 GRCh – zur Bestimmung der Grundlagen des Datenschutzgrundrechts im EU-Recht. In: Datenschutz und Datensicherheit (DuD) 2017, S. 349–353. Microsoft Education: Classcraft. Abrufbar unter: https: /  / www.microsoft.com / dede / education / partners / showpartnersdetails.aspx?id=2033311&i=false&t=0&p=1 &ps=24 (Stand: 08.10.2018). Miller, George: The Magical Number Seven, Plus or Minus Two – Some Limits on Our Capacity for Processing Information. In: Psychological Review 1955, S. 343– 352. Mohr, Jochen: Sicherung der Vertragsfreiheit durch Wettbewerbs- und Regulierungs­ recht. Tübingen 2015. Möhrke-Sobolewski, Christine / Klas, Benedikt: Zur Gestaltung des Minderjährigen­ datenschutzes in digitalen Informationsdiensten. In: Kommunikation und Recht (K&R) 2016, S. 373–378. Moneral, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DSGVO. Chancen nicht nur für das europäische Verständnis des Zweckbindungsgrundsat­ zes. In: Zeitschrift für Datenschutz (ZD) 2016, S. 507–512. Moos, Flemming / Rothkegel, Tobias: Anmerkung zu EuGH, Urt. v. 19.10.2016 – C-582 / 14. In: Multimedia und Recht (MMR) 2016, S. 842–847. Morgenroth, Markus: Sie kennen dich! Sie haben dich! Sie steuern dich!. München 2016. Motyka, Marc: Digitales, spielbasiertes Lernen im Politikunterricht. Wiesbaden 2018. Naisbitt, John: Megatrends: ten new directions transforming our lives. New York 1982. Nebel, Maxi: Schutz der Persönlichkeit – Privatheit oder Selbstbestimmung? Verfas­ sungsrechtliche Zielsetzungen im deutschen und europäischen Recht. In: Zeit­ schrift für Datenschutz (ZD) 2015, S. 517–522. Nehm, Kay: Autonomes Fahren – Bremsen Ethik und Recht den Fortschritt aus?. In: Juristenzeitung (JZ) 2018, S. 398–402. Nelson, Mark: Soviet and American Precursors to the Gamification of Work. In: Lug­ mayr, Artur (Hrsg.), Proceedings of the 16th International Academic MindTrek Conference. New York 2012, S. 23–26. Nettesheim, Martin: Normenhierarchie im EU-Recht. In: Europarecht (EuR) 2006, S. 737–772. Nevid, Jeffrey: Essentials of Psychology: Concepts and Applications. 5. Aufl. New York 2017. Niklas, Thomas / Faas, Thomas: Der Datenschutzbeauftragte nach der DatenschutzGrundverordnung. In: Neue Zeitschrift für Arbeitsrecht (NZA) 2017, S. 1091– 1097. Nissenbaum, Helen: Privacy in Context. Technology, Policy and the Integrity of So­ cial Life. Stanford 2009.

372 Literaturverzeichnis Nolte, Georg / Wimmers, Jörg: Wer stört? Gedanken zur Haftung von Intermediären im Internet – von praktischer Konkordanz, richtigen Anreizen und offenen Fragen. In: Gewerbliche Rechtsschutz und Urheberrecht (GRUR) 2014, S. 16–27. Ohly, Ansgar: „Volenti non fit iniura“ – Die Einwilligung im Privatrecht. Tübingen 2002. Ohly, Ansgar / Sosnitza, Olaf (Hrsg.): Gesetz gegen den unlauteren Wettbewerb. 7. Aufl. München 2016 (zitiert: „Bearbeiter, in: Ohly / Sosnitza, UWG.“). Oppermann, Thomas / Classen, Claus Dieter / Nettesheim, Martini: Europarecht. 7. Aufl. München 2016. Organisation für Economic Co-Operation and Development (OECD): Recommenda­ tion of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows Of Personal Data. 1980, online abrufbar unter: http: /  / www. oecd.org / sti / ieconomy / 49710223.pdf (Stand: 02.10.2018). Otto, Dirk / Rüdlin, Mark: Standardisierung von Patienteneinwilligungen im Kranken­ haus. Vorschlag zum einfacheren und effizienteren Umgang mit Einwilligungser­ klärungen zur Datenverarbeitung. In Zeitschrift für Datenschutz (ZD) 2017, S. 519–524. Paal, Boris / Pauly, Daniel (Hrsg.): Datenschutz-Grundverordnung / Bundesdaten­ schutzgesetz. 2. Aufl. München 2018 (zitiert: „Bearbeiter, in: Paal / Pauly, ­DSGVO / BDSG“). Paefgen, Franziska: Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Ein­ griffen in die Persönlichkeitsrechte im Internet. Baden-Baden 2016. Pahlen-Brandt, Ingrid: Datenschutz braucht scharfe Instrumente. Beitrag zur Diskus­ sion um „personenbezogene Daten“. In: Datenschutz und Datensicherheit (DuD) 2008, S. 34–40. Papadakis, Stamatios / Kalogiannakis, Michail: Using Gamification for Supporting an Introductory Programming Course. The Case of ClassCraft in a Secondary Educa­ tion Classroom. In: Brooks, Anthony / Brooks, Eva / Vidakis, Nikolas (Hrsg.), Inter­ activity, Game Creation, Design, Learning, and Innovation. Cham 2018, S. 366– 375. Paredes, Troy: Blinded by the Light: Information Overload and Its Consequences for Securities Regulation. In: Washington University Law Review 2003, S. 417–485. Parsek Information Technologies: Produktinformationsseite Vitaly. Abrufbar unter http: /  / vitaly-portal.com /  (Stand:02.10.2018). Paschke, Anne: Digitale Gerichtsöffentlichkeit. Informationstechnische Maßnahmen, rechtliche Grenzen und gesellschaftliche Aspekte der Öffentlichkeitsgewähr in der Justiz. Berlin 2018. Peifer, Karl-Nikolaus: Persönlichkeitsschutz und Internet – Anforderungen und Gren­ zen einer Regulierung. In: Juristenzeitung 2012, S. 851–859. Peitz, Martin / Schweitzer, Heike: Ein neuer europäischer Ordnungsrahmen für Daten­ märkte. In: Neue Juristische Wochenschrift (NJW) 2018, S. 275–280.

Literaturverzeichnis373 Pelling, Nick: The (short) prehistory of „gamification“… 2011, abrufbar unter: ­https: /  / nanodome.wordpress.com / 2011 / 08 / 09 / the-short-prehistory-of-gamifica tion /  (Stand: 02.10.2018). Peters, Dylan: [Infographic] Classcraft Point System. Abrufbar unter: https: /  / www. dylanpetersedu.com / single-post / 2017 / 09 / 02 / Infographic-Classcraft-Point-Sys tem?144736480=2137004763 (Stand: 08.10.2018). Petri, Thomas: 23. Tätigkeitsbericht des Bayerischen Datenschutzbeauftragten. Ab­ rufbar unter: https: /  / www.datenschutz-bayern.de / tbs / tb23.html (Stand: 28.09. 2018). Petri, Thomas: Datenschutzrechtliche Einwilligung im Massengeschäftsverkehr. In: Recht der Datenverarbeitung (RDV) 2007, S. 153–158. Petri, Thomas: Die Einwilligung nach der Datenschutz-Grundverordnung. Daten­ schutzreform 2018, abrufbar unter: https: /  / www.datenschutz-bayern.de / daten schutzreform2018 / einwilligung.pdf (Stand: 01.10.2018). Petri, Thomas: Faire und transparente Verarbeitung, Informationsrechte und Rahmen­ bedingungen für ihre Beschränkung – zur Auslegung der Art. 12 ff. und 23 DS­ GVO. In: Datenschutz und Datensicherheit (DuD) 2018, S. 347–350. Pfaff, Isabella / Lenge, Andreas: Spielerisch Verhalten ändern. In: Matusiewicz, Da­ vid / Kaiser, Linda (Hrsg.), Digitales Betriebliches Gesundheitsmanagement. Wies­ baden 2018, S. 235–242. Pfeiffer, Thomas: Entwicklungen und aktuelle Fragestellungen des AGB-Recht. In: Neue Juristische Wochenschrift (NJW) 2017, S. 913–918. Pijpers, Guus: Information Overload – A System for Better Managing Everyday Data. New Jersey 2010. Piltz, Carlo: Die Datenschutz-Grundverordnung. Teil 1: Anwendungsbereich, Defini­ tionen und Grundlagen der Datenverarbeitung. In: Kommunikation und Recht (K&R) 2016, S. 557–567. Plath, Kai-Uwe (Hrsg.): DSGVO / BDSG. Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG. 3. Aufl. 2018 Köln (zitiert: Bear­ beiter, in: Plath, BDSG / DSGVO“). Plugmann, Philipp: Was kann die Gesundheitswirtschaft von Gamification lernen?. In: Matusiewicz, David / Muhrer-Schwaiger, Marco: Neuvermessung der Gesund­ heitswirtschaft. Wiesbaden 2017, S. 307–320. Pohle, Jan: EU-Datenschutz: Entwurf einer ePrivacy-VO. In: Newsdienst ZD-Aktuell 2017, S. 05452. Pollmann, Maren / Kipker, Dennis-Kenji: Informierte Einwilligung in der OnlineWelt. In: Datenschutz und Datensicherheit (DuD) 2016, S. 378–381. Potacs, Michael: Wertkonforme Auslegung des Unionsrechts?. In: Europarecht (EuR) 2016, S. 164–176. Pötters, Stephan: Grundrechte und Beschäftigtendatenschutz. Baden-Baden 2013. Prantl, Heribert: Weltweiter Datenschutz und zukünftiger Schutz der Grundrechte. In: Datenschutz und Datensicherheit (DuD) 2016, S. 347–353.

374 Literaturverzeichnis PricewaterhouseCoopers International: Total Retail 2017 – Sechs Trends, die den Handel nachhaltig verändern. Abrufbar unter: https: /  / www.pwc.de / de / handelund-konsumguter / studie-total-retail-2017.pdf (Stand: 02.10.2018). Raab, Johannes: Die Harmonisierung des einfachgesetzlichen Datenschutzes. Müns­ ter 2015. Raczkowski, Felix / Schrape, Niklas: Gamification. In: Beil, Benjamin / Hensel, Tho­ mas / Rauscher, Andreas (Hrsg.): Game Studies. Wiesbaden 2018, S. 313–330. Radlanski, Philip: Das Konzept der Einwilligung in der datenschutzrechtlichen Reali­ tät. Tübingen 2016. Rammos, Thanos: Die datenschutzrechtliche Zulässigkeit von Broad Consent für For­ schungszwecke nach der DSGVO. In: Taeger, Jürgen (Hrsg.), DSRI Tagungsband Herbstakademie 2017, S. 359–371. Rao, Ashwini / Schaub, Florian / Norman, Sadeh / Acquisti, Alessandro / Ruogu, Kang: Expecting the Unexpected: Understanding Mismatched Privacy Expectations On­ line. In: USENIX Associaton, SOUPS 2016: Twelfth Symposium on Usable Pri­ vacy and Security, S. 77–96. Rauda, Christian: Gemeinsamkeiten von US Children Online Privacy Protection Act (COPPA) und DSGVO. Zustimmungserfordernis der Eltern zur Verarbeitung von Daten Minderjähriger. In: Multimedia und Recht (MMR) 2017, S. 15–19. Rauda, Christian: Recht der Computerspiele. München 2013. Rauscher, Thomas / Krüger, Wolfgang (Hrsg.): Münchener Kommentar zur Zivilpro­ zessordnung mit Gerichtsverfahrensgesetz und Nebengesetzen – Band 1. 5. Aufl. München 2016 (zitiert: „Bearbeiter, in: Rauscher / Krüger, Münchener Kommentar zur ZPO“). Redeker, Konrad / Karpenstein, Ulrich: Über Nutzen und Notwendigkeit, Gesetze zu begründen. In: Neue Juristische Wochenschrift (NJW) 2001, S. 2825–2831. Reding, Viviane: Sieben Grundbausteine der europäischen Datenschutzreform. In: Zeitschrift für Datenschutz (ZD) 2012, S. 195–198. Reding, Viviane: Statement by Vice-President Reding on the European Parliament’s vote on the Voss report. Abrufbar unter http: /  / europa.eu / rapid / press-release_ MEMO-11-489_en.htm?locale=en (Stand 28.09.2018). Reichert, Ramon: Die Vermessung des Selbst. In: Friedewald Michael / Lamla, Jörn / Roßnagel, Alexander (Hrsg.), Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden 2017, S. 91–108. Reimer, Franz: Juristische Methodenlehre. Baden-Baden 2016. Rengeling, Hans-Werner / Middeke, Andreas / Gellermann, Martin (Hrsg.): Handbuch des Rechtsschutzes in der Europäischen Union. 3. Aufl. München 2014 (zitiert: „Bearbeiter, in: Rengeling / Middeke / Gellermann, Handbuch des Rechtsschutzes in der Europäischen Union“). Richter, Frederik: Aus Sicht der Stiftung Datenschutz – „Der Einwilligungsassistent und die Chancen eines personal data ecosystem“. In: Privacy in Germany (PinG) 2017, S. 122–124.

Literaturverzeichnis375 Richter, Frederik: Aus Sicht der Stiftung Datenschutz – „Ich willige ein“. In: Privacy in Germany (PinG) 2016, S. 185–186. Richter, Frederik: Aus Sicht der Stiftung Datenschutz – Die Einwilligung, immer noch Zukunftsmodell?. In: Privacy in Germany (PinG) 2018, S. 6–7. Richter, Frederik: Aus Sicht der Stiftung Datenschutz – Simplifizierung als Lösung für die „Daten-AGB“?. In: Privacy in Germany (PinG) 2017, S. 65–66. Richter, Frederik: Datenumgangskompetenz. In: Datenschutz und Datensicherheit (DuD) 2014, S. 367–369. Richter, Ganit / Raban, Daphne / Rafaeli, Sheiaf: Studying Gamification: The Effect of Rewards and Incentives on Motivation. in: Reiner, Torsten / Wood, Lincoln: Gami­ fication in Education and Business. Cham 2015. Riechert, Anne: Stellungnahme zu rechtlichen Aspekten eines Einwilligungsassisten­ ten. 2016, abrufbar unter: https: /  / www.stiftungdatenschutz.org / fileadmin / Redak tion / Bilder / Abschluss_Studie_30032017 / stiftungdatenschutz_Stellungnahme_ Rechtliche_Aspekte_eines_Einwilligungsassistenten_Anhang_1_final.pdf (Stand: 01.10.2018). Riesenhuber, Karl (Hrsg.): Europäische Methodenlehre. 3. Aufl. Berlin 2015. Rigby, Scott / Ryan, Richard: Glued to Games. Santa Barbara 2011. Rithalia, Amber / McDaid, Catriona / Suekarran, Sara / Myers, Lindsey / Sowden, Aman­ da: Impact of presumed consent for organ donation on donation rates: a systematic review. In: British Medical Journal (BMJ) 2009, S. 338–346. Robrecht, Bettina: EU-Datenschutzgrundverordnung: Transparenzgewinn oder Infor­ mation-Overkill. Edewecht 2015. Rogosch, Patricia Maria: Die Einwilligung im Datenschutzrecht. Baden-Baden 2013. Röhl, Klaus / Ulbrich, Stefan: Recht anschaulich. Visualisierung in der Juristenausbil­ dung. Köln 2007. Ronellenfitsch, Michael: Fortentwicklung des Datenschutzes. In: Datenschutz und Datensicherheit (DuD) 2012, S. 561–563. Ronellenfitsch, Michael: Kohärenz und Vielfalt. In: Datenschutz und Datensicherheit (DuD) 2016, S. 357–359. Rössler, Beate: Autonomie – Ein Versuch über das gelungene Leben. Frankfurt am Main 2017. Rössler, Beate: Der Wert des Privaten. Frankfurt am Main 2001. Roßnagel, Alexander (Hrsg.): Europäische Datenschutz-Grundverordnung. BadenBaden 2016. Roßnagel, Alexander: Gesetzgebung im Rahmen der Datenschutz-Grundverordnung. In: Datenschutz und Datensicherheit (DuD) 2017, S. 277–281. Roßnagel, Alexander (Hrsg.): Handbuch Datenschutzrecht. München 2003.

376 Literaturverzeichnis Roßnagel, Alexander: Pseudonymisierung personenbezogener Daten. Ein zentrales Instrument im Datenschutz nach der DSGVO. In: Zeitschrift für Datenschutz (ZD) 2018, S. 243–247. Roßnagel, Alexander: Wie zukunftsfähig ist die Datenschutz-Grundverordnung?. In: Datenschutz und Datensicherheit (DuD) 2016, S. 561–565. Roßnagel, Alexander / Nebel, Maxi / Richter, Philipp: Was bleibt vom Europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DSGVO. In: Zeitschrift für Datenschutz (ZD) 2015, S. 455–460. Roßnagel, Alexander / Schnabel, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht. In: Neue Juristische Wochenschrift (NJW) 2008, S. 3534– 3538. Roßnagel, Alexander / Scholz, Philip: Datenschutz durch Anonymität und Pseudony­ mität. Rechtsfolgen der Verwendung anonymer und pseudonymer Daten. In: Mul­ timedia und Recht (MMR) 2000, S. 721–731. Rothmann, Robert: Ungewollte Einwilligung? Die Rechtswirklichkeit der informier­ ten Zustimmung im Fall von Facebook. 2017, abrufbar unter: https: /  / www.forumprivatheit.de / forum-privatheit-de / publikationen-und-downloads / veroeffentlichun gen-des-forums / 2017-11-02-Jahrestagung-2017 / 1.1c_Rothmann_Folien_Vortrag_ Forum_Privatheit_Berlin_Uni_Wien_2017.pdf (Stand: 01.10.2018). Ruffert, Matthias: Das BVerfG als Akteur im Prozess der europäischen Integration. In: Europäische Grundrechte-Zeitschrift (EuGRZ) 2017, S. 241–249. Rühl, Giesela: Statut und Effizienz. Tübingen 2011. Rüpke, Giselher / Lewinski, Kai von / Eckhardt, Jens: Datenschutzrecht. Grundlagen und europarechtliche Neugestaltung. München 2018. Ryan, Richard / Rigby, Scott / Przybylski, Andrew: The Motivational Pull of Video Games: A Self-Determination Theory Approach. In: Motivation and Emotion 2006, S. 344–360. Sachs, Michael (Hrsg.): Grundgesetz: GG. 8. Aufl. München 2018 (zitiert: „Bearbei­ ter, in: Sachs, GG“). Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limberg, Bettina (Hrsg.): Münchener Kommentar zum Bürgerlichen Gesetzbuch. 7. Aufl. München 2015 (zitiert: „Bearbeiter, in: Säcker / Rixecker / Oetker / Limpberg, Münchener Kom­ mentar zum Bürgerlichen Gesetzbuch“). Sailer, Michael: Die Wirkung von Gamification auf Motivation und Leistung. Wies­ baden 2016. Sailer, Michael / Hense, Jan / Mandl, Heinz / Klevers, Markus: Psychological Perspec­ tives on Motivation through Gamification. In: Interaction Design and Architec­ ture(s) Journal (IxD&A) 2013, S. 28–37. Samuelson, William / Zeckhauser, Richard: Status Quo Bias in Decision Making. In: Journal of Risk and Uncertainty 1988, S. 7–59.

Literaturverzeichnis377 Sanchez, Eric / Young, Shawn / Jouneau-Sion, Caroline: Classcraft: From Gamification to Ludicization of Classroom Management. In: Education and Information Tech­ nologies 2017, S. 497–513. Sandfuchs, Barbara: Privatheit wider Willen? Tübingen 2015. Savignac, Emmanuelle: The Gamification of Work. London 2016. Savigny, Friedrich Carl von: System des heutigen römischen Rechts, Bd. 1. Berlin 1840. Schaar, Katrin: Anpassung von Einwilligungserklärungen für wissenschaftliche For­ schungsprojekte. Die informierte Einwilligung nach der DSGVO und den Ethikrichtlinien. In: Zeitschrift für Datenschutz (ZD) 2017, S. 213–220. Schaar, Peter: Das Ende der Privatsphäre. München 2009. Schaar, Peter: Konsultationsbeitrag zur Mitteilung „Gesamtkonzept für den Daten­ schutz in der Europäischen Union“, KOM(2010) 609 endg. Abrufbar unter: https: /  /  www.bfdi.bund.de / SharedDocs / Publikationen / Entschliessungssammlung / Er gaenzendeDokumente / Konsultation_KOM_2010.html;jsessionid=6A3B23D7C1F 6BC821AF073E42BFC6A5D.2_cid319?nn=5217154 (Stand: 28.09.2018). Schaar, Peter: Wie viel Datenschutz braucht ein digitales Gesundheitssystem?. In: Stiftung Datenschutz (Hrsg.), Big Data und E-Health. Leipzig 2017, S. 141–150. Schaar, Peter / Onstein, Jost: Datenschutzrecht in der vernetzten Welt des 21. Jahrhun­ derts. In: Bonner Rechtsjournal (BJR) 2011, S. 126–132. Schaffland, Hans-Jürgen / Holthaus, Gabriele (Hrsg.): Datenschutz-Grundverordnung (DSGVO) / Bundesdatenschutzgesetz (BDSG). Berlin 2018 (zitiert: „Bearbeiter, in: Schaffland / Wiltfang (Hrsg.), DSGVO“). Schallbruch, Martin: IT-Sicherheitsrecht – Schutz digitaler Dienste, Datenschutz und Datensicherheit. Zur Entwicklung des IT-Sicherheitsrechts in der 18. Wahlperiode (Folge 2). In: Computer und Recht (CR) 2017, S. 798–804. Schantz, Peter: Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrech­ nung im Datenschutzrecht. In: Neue Juristische Wochenschrift (NJW) 2016, S. 1841–1847. Schantz, Peter / Wolff, Heinrich Amadeus: Das neue Datenschutzrecht. München 2017. Schätzle, Daniel: Zum Koppelungsverbot der Datenschutz-Grundverordnung. Warum auch die DSGVO kein absolutes Koppelungsverbot kennt. In: Privacy in Germany (PinG) 2017, S. 203–208. Scheurer, Martin: Rechtsgrundlagen wider den Spam. In: AnwZert ITR 5 / 2017 Anm. 3. Schiedermair, Stephanie: Der Schutz des Privaten als internationales Grundrecht. Tübingen 2012. Schiff, Alexander: Sekundär- vor Primärrecht? Zur Anwendbarkeit der Dienstleis­ tungsrichtlinie auf Inlandssachverhalte. In: Europäische Zeitschrift für Wirt­ schaftsrecht (EuZW) 2015, S. 899–904.

378 Literaturverzeichnis Schild, Hans-Hermann / Tinnefeld, Marie-Theres: Datenschutz in der Union – Gelun­ gene oder missglückte Gesetzentwürfe?. In: Datenschutz und Datensicherheit (DuD) 2012, S. 312–317. Schiller, Friedrich: Über die ästhetische Erziehung des Menschen in einer Reihe von Briefen, 15. Brief. 1795, abrufbar unter: http: /  / www2.ibw.uni-heidelberg.de /  ~gerstner / Schiller_Aesthetische_Erziehung.pdf (Stand: 02.10.2018). Schilling, Theodor: Eine neue Rahmenstrategie für die Mehrsprachigkeit: Rechtskul­ turelle Aspekte. In: Zeitschrift für Europäisches Privatrecht (ZEuP) 2007, S. 754– 784. Schliesky, Utz / Hoffmann, Christian / Luch, Anika / Schulz, Sönke / Borchers, Kim Co­ rinna: Schutzpflichten und Drittwirkung im Internet. Baden-Baden 2014. Schmahl, Stefanie: Effektiver Rechtsschutz gegen Überwachungsmaßnahmen auslän­ discher Geheimdienste?. In: Juristenzeitung (JZ) 2014, S. 220–228. Schmidt-Kessel, Martin / Grimm, Anna: Unentgeltlich oder entgeltlich? – Der vertrag­ liche Austausch von digitalen Inhalten gegen personenbezogene Daten. In: Zeit­ schrift für die gesamte Privatrechtswissenschaft (ZfPW) 2017, S. 84–108. Schmitz, Barbara: Der Abschied vom Personenbezug. Warum der Personenbezug nach der DSGVO nicht mehr zeitgemäß ist. In: Zeitschrift für Datenschutz (ZD) 2018, S. 5–8. Schmitz, Peter: E-Privacy-VO – unzureichende Regeln für klassische Dienste. In: Zeitschrift für Rechtspolitik (ZRP) 2017, S. 172–175. Schneider, Jochen: Hat die Privatsphäre noch eine Chance?. In: Zeitschrift für Daten­ schutz (ZD) 2015, S. 245–246. Schneider, Jochen / Härting, Niko: Wird der Datenschutz nun endlich internettaug­ lich? Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht. In: Zeitschrift für Datenschutz (ZD) 2012, S. 199–203. Schollas, Sabine: „Make it count“: Selbstoptimierte Körper zwischen Gamification und Marketing. In: Onlinejournal Kultur & Geschlecht. 2014, S. 1–17. Abrufbar unter: https: /  / kulturundgeschlecht.blogs.ruhr-uni-bochum.de / wp-content / uploads /  2015 / 08 / schollas_make.pdf (Stand: 05.10.2018). Schönberger, Christoph: Normenkontrolle im EG-Föderalismus. Die Logik gegenläu­ figer Hierarchisierungen im Gemeinschaftsrecht. In: Europarecht (EuR) 2003, S. 600–627. Schröder, Georg: Datenschutzrecht für die Praxis. 2. Aufl. München 2016. Schroeder, Werner: Die Auslegung des EU-Rechts. In: Juristische Schulung (JuS) 2004, S. 180–186. Schulz, Thomas: Sicherheit im Straßenverkehr und autonomes Fahren. In: Neue Zeit­ schrift für Verkehrsrecht (NZV) 2017, S. 548–553. Schümann, Arne: Informationspflichten bei Spendenaufrufen mittels akzessorischer Kaufappelle. Baden-Baden 2017. Schürheck, Marianne: Sachenrecht im Europäischen Gemeinschaftsrecht. Bestands­ aufnahme, Legislativkompetenzen, Entwicklungsperspektiven. In: Osnabrück

Literaturverzeichnis379 JMCE Award Series Nr. 3 2011. Abrufbar unter: https: /  / repositorium.ub.uni-os nabrueck.de / bitstream / urn:nbn:de:gbv:700-201110188445 / 2 / Osnabrueck_JMCE_ AwardSeries_03_2011_Schuerheck.pdf (Stand: 08.10.2018). Schütze, Bernd (Hrsg.): SGB X. Sozialverwaltungsverfahren und Sozialdatenschutz. 8. Aufl. 2014 München (zitiert: „Bearbeiter, in: von Wulffen / Schütze, SGB X, 8. Aufl. 2014“). Schwartmann, Rolf / Benedikt, Kristin / Jacquemain, Tobias: Die ePrivacy-VO kommt: Reichweitenmessung und Nutzungsprofile über Cookies zwischen DSGVO und ePrivacy-VO. In: Privacy in Germany (PinG) 2018, S. 150–155. Schwartmann, Rolf / Jaspers, Andreas / Thüsing, Gregor / Kugelmann, Dieter (Hrsg.): DSGVO / BDSG. Heidelberg 2018 („zitiert: Bearbeiter, in: Schwartmann / Jas­ pers / Thüsing / Kugelmann, DSGVO“). Schweizer, Rainer: Die Rechtsprechung des Europäischen Gerichtshofes für Men­ schenrechte zum Persönlichkeits- und Datenschutz. In: Datenschutz und Daten­ sicherheit (DuD 2009), S. 462–468. Schwenke, Matthias: Individualisierung und Datenschutz, 2006. Baden-Baden 2006. Schwichtenberg, Simon: Die „kleine Schwester“ der DSGVO: Die Richtlinie zur Da­ tenverarbeitung bei Polizei und Justiz. In: Datenschutz und Datensicherheit (DuD) 2016, S. 605–609. Selmayr, Martin: Interview zur Datenschutz-Grundverordnung mit Prof. Dr. Martin Selmayr. In: Newsdienst ZD-Aktuell 2016, S. 04206. Selmayr, Martin: Nach PRISM: Endet jetzt die Ambivalenz der deutschen Position zum EU-Datenschutz?. In: Zeitschrift für Datenschutz (ZD) 2013, S. 525. Sennet, Richard: Verfall und Ende des öffentlichen Lebens: Die Tyrannei der Intimi­ tät, 14. Aufl. Frankfurt am Main 2004. Shpakova, Agnessa / Dörfler, Viktor / Macbryde, Jillian: The role(s) of Gamification in Knowledge Management – Conference Paper. EURAM 2016 – 16th Annual Con­ ference of the European Academy of Management, abrufbar unter: https: /  / strath prints.strath.ac.uk / 56368 / 1 / Shpakova_etal_EURAM2016_roles_gamification_ knowledge_management.pdf (Stand: 02.10.2018). Siebert, Melanie: Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums. Tübingen 2011. Siegel, Thorsten: Das Gleichgewicht der Gewalten in der Bundesrepublik Deutsch­ land und in der Europäischen Gemeinschaft. In: Die Öffentliche Verwaltung (DÖV) 2010, S. 1–11. Siemen, Birte: Datenschutz als europäisches Grundrecht. Berlin 2006. Siemon, Dominik / Eckhardt, Linda: Gamification of Teaching in Higher Education. In: Stieglitz, Stefan / Lattemann, Christoph / Robra-Bissantz, Susanne / Zarnekow, Rüdiger / Brockmann, Tobias: Gamification. Cham 2017, S. 153–164. Simitis, Spiros: Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz? In: Neue Ju­ ristische Wochenschau (NJW) 1997, S. 281–287.

380 Literaturverzeichnis Simitis, Spiros: Die informationelle Selbstbestimmung – Grundbedingung einer ver­ fassungskonformen Informationsordnung. In: Neue Juristische Wochenschrift (NJW) 1984, S. 398–405. Simitis, Spiros (Hrsg.): Kommentar zum Bundesdatenschutzgesetz. 8. Aufl. 2014 Ba­ den-Baden. (zitiert: „Bearbeiter, in: Simitis, Bundesdatenschutzgesetz“). Simon, Herbert: A Behavioral Model of Rational Choice. In: The Quarterly Journal of Economics, 1955, S. 99–118. Skobel, Eva: Alle Daten kommen mit. Datenportabilität als Mittel zur Bekämpfung der Meinungsmacht sozialer Netzwerke und Suchmaschinen. In: Privacy in Ger­ many (PinG) 2018, S. 160–166. Sodan, Helge / Ziekow, Jan: Grundkurs Öffentliches Recht. 8. Aufl. München 2018. Solove, Daniel: Privacy Self-Management and the Consent Dilemma. In: Harvard Law Review 2013, S. 1880–1903. Specht, Louisa: Ausschließlichkeitsrecht an Daten – Notwendigkeit, Schutzumfang, Alternativen. In: Computer und Recht (CR) 2016, S. 288–296. Specht, Louisa: Daten als Gegenleistung – Verlangt die Digitalisierung nach einem neuen Vertragstypus?. In: Juristenzeitung (JZ) 2017, S. 763–770. Spelge, Karin: Der Beschäftigtendatenschutz nach Wirksamwerden der DatenschutzGrundverordnung (DSGVO). In: Datenschutz und Datensicherheit (DuD) 2016, S. 775–781. Spindler, Gerald: Gutachten F zum 69. Deutschen Juristentag. Persönlichkeitsschutz im Internet – Anforderungen und Grenzen einer Regulierung. In: Verhandlungen des 69. Deutschen Juristentages Band I. München 2012. Spindler, Gerald: Selbstregulierung und Zertifizierungsverfahren nach der DSGVO. Reichweite und Rechtsfolgen der genehmigten Verhaltensregeln. In: Zeitschrift für Datenschutz (ZD) 2016, S. 407–414. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien. 3. Aufl. 2015 München (zitiert: „Bearbeiter, in: Spindler / Schuster, Recht der elektroni­ schen Medien“). Spranger, Tade: Die datenschutzrechtliche Einwilligung im Gesundheitskontext – zum Umgang mit genetischen, biometrischen und Gesundheitsdaten. In: Medizin­ recht (MedR) 2017, S. 864–866. Stahl, Caroline: Information Overload am Kapitalmarkt. Baden-Baden 2013. Statista: Gütesiegel für Online-Shops: Bekanntheit – Vertrauen – Beachtung. 2017, abrufbar unter: https: /  / de.statista.com / statistik / studie / id / 45126 / dokument / guete siegel-fuer-online-shops-bekanntheit---vertrauen---beachtung /  (Stand: 02.10.2018). Statista: Umfrage zur Einstellung zum Datenschutz in Deutschland 2017. Welchen der folgenden Aussagen stimmen Sie zu? Abrufbar unter: https: /  / de.statista.com /  statistik / daten / studie / 712716 / umfrage / umfrage-zum-datenschutz-in-deutschland /  (Stand: 01.10.2018). Steinbeck, Anja / Lachenmeier, Andreas: Verhaltensökonomik im Gerichtssaal. In: Neue Juristische Wochenschrift (NJW) 2014, S. 2086–2091.

Literaturverzeichnis381 Steinmüller, Wilhelm: Das Volkszählungsurteil des Bundesverfassungsgerichts. In: Datenschutz und Datensicherheit (DuD) 1984, S. 91–96. Steinmüller, Wilhelm / Lutterbeck, Bernd / Mallmann, Christoph / Harbort, Uwe / Kolb, Gerhard / Schneider, Jochen: Grundfragen des Datenschutzes. Gutachten im Auf­ trag des Bundesministeriums des Innern. In: BT-Drs. VI / 3826 1971, Anlage 1. Stelkens, Ulrich: Art. 291 AEUV, das Unionsverwaltungsrecht und die Verwaltungs­ autonomie der Mitgliedstaaten – zugleich Abgrenzung der Anwendungsbereiche von Art. 290 und Art. 291 AEUV. In: Europarecht (EuR) 2012, S. 511–546. Stentzel, Rainer: Das Grundrecht auf …? Auf der Suche nach dem Schutzgut des Datenschutzes in der Europäischen Union. In: Privacy in Germany (PinG) 2015, S. 185–190. Stentzel, Rainer: Der datenschutzrechtliche Präventionsstaat. Rechtsstaatliche Risiken der ordnungsrechtlichen Dogmatik des Datenschutzrechts im privaten Bereich. In: Privacy in Germany (PinG) 2016, S. 45– 49. Stern, Klaus: Das Staatsrecht der Bundesrepublik Deutschland Band IV / 1. München 2006. Stern, Klaus: Die Schutzpflichtenfunktion der Grundrechte: Eine juristische Entde­ ckung. In: Die Öffentliche Verwaltung (DÖV) 2010, S. 241–249. Stieglitz, Stefan: Enterprise Gamification – Vorgehen und Anwendung. In: Strahrin­ ger, Susanne / Leyh, Christian (Hrsg.), Gamification und Serious Games. Wiesba­ den 2017. Stieglitz, Stefan / Lattemann, Christoph / Robra-Bissantz, Susanne / Zarnekow, Rüdiger /  Brockmann, Tobias: Gamification. Cham 2017. Stiftung Datenschutz: Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen. Studie 2017. Abrufbar unter: htt­ ps: /  / stiftungdatenschutz.org / themen / pims-studie /  (Stand: 01.10.2018). Stiftung Datenschutz: Übersicht zu Zertifizierung und Gütesiegeln im Datenschutz. Stand: Februar 2017, abrufbar unter: https: /  / www.stiftungdatenschutz.org / filead min / Redaktion / PDF / Zertifizierungsuebersicht / SDS-Zertifizierungsuebersicht_02 _2017.pdf (Stand: 02.10.2018). Streinz, Rudolf: Europarecht. 10. Aufl. Heidelberg 2016. Streinz, Rudolf (Hrsg.): EUV / AEUV. 2. Aufl. München 2011 (zitiert: „Bearbeiter, in: Streinz, EUV / AEUV“). Streinz, Rudolf / Michl, Walther: Die Drittwirkung des europäischen Datenschutz­ grundrechts (Art. 8 GRCh) im deutschen Privatrecht. In: Europäische Zeitschrift für Wirtschaftsrecht (EuZW) 2011, S. 384–388. Strother, Judith / Ulijn, Jan / Fazal, Zohra: Information Overload: An international Challenge for Professional Engineers and Technical Communicators. Chichester 2012. Strubel, Michael: Anwendungsbereich des Rechts auf Datenübertragbarkeit. Ausle­ gung des Art. 20 DSGVO unter Berücksichtigung der Guidelines der Art. 29-Da­ tenschutzgruppe. In: Zeitschrift für Datenschutz (ZD) 2017, S. 355–361.

382 Literaturverzeichnis Stürner, Rolf (Hrsg.): Jauernig – Bürgerliches Gesetzbuch. 17. Aufl. München 2018 (zitiert: „Bearbeiter, in: Stürner (Hrsg.), Jauernig Bürgerliches Gesetzbuch“). Süddeutsche Zeitung: Beitrag v. 3.9.2018, Der Teufel steckt in den Standardeinstel­ lungen. Abrufbar unter https: /  / www.sueddeutsche.de / digital / tage-dsgvo-der-teu fel-steckt-in-den-standardeinstellungen-1.4113940?utm_source=D64+Ticker& utm_campaign=78ccaf4ed7-EMAIL_CAMPAIGN_4_22_2018_COPY_01&utm_ medium=email&utm_term=0_aa5ef144ff-78ccaf4ed7-64701501 (Stand: 08.10. 2018). Sydow, Gernot (Hrsg.): Europäische Datenschutzgrundverordnung. 2. Aufl. BadenBaden 2018 (zitiert: „Bearbeiter, in: Sydow (Hrsg.), DSGVO“). Taraz, Daniel: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und die Gewährleistung digitaler Privatheit im grundrechtlichen Kontext. Hamburg 2016. Thaler, Richard: Toward a positive theory of consumer choice. In: Journal of Eco­ nomic Behavior and Organization 1980, S. 39–60. Thiel, Christoph / Fiedler, Arno: Chancen europäischer Standards für die Zertifizie­ rung. In: Datenschutz und Datensicherheit (DuD) 2018, S. 434–436. Thüsing, Gregor / Schmidt, Maximilian / Forst, Gerrit: Das Schriftformerfordernis der Einwilligung nach § 4a BDSG im Pendelblick zu Art. 7 DSGVO. In: Recht der Datenverarbeitung (RDV) 2017, S. 116–122. Thym, Daniel: Vereinigt die Grundrechte!. In: Juristenzeitung (JZ) 2015, S. 53–63. Tinnefeld, Marie-Theres / Buchner, Benedikt / Petri, Thomas / Hof, Hans-Joachim: Ein­ führung in das Datenschutzrecht, 6. Aufl. Berlin 2018. Tinnefeld, Marie-Theres / Conrad, Isabell: Die selbstbestimmte Einwilligung im euro­ päischen Recht. Voraussetzungen und Probleme. In: Zeitschrift für Datenschutz (ZD) 2018, S. 391–398. Tonner, Klaus / Brieske, Cornelia: Verbraucherschutz durch gesetzliche Kennzeich­ nungserfordernisse. In: Betriebsberater (BB) 1996, S. 913–920. Towfigh, Emanuel von / Petersen, Niels: Ökonomische Methoden im Recht. 2. Aufl. Tübingen 2016. Trstenjak, Verica / Beysen, Erwin: Das Prinzip der Verhältnismäßigkeit in der Unions­ rechtsordnung. In: Europarecht (EuR) 2012, S. 265–285. Tversky, Amon / Kahneman, Daniel: Rational Choice and the Framing of Decisions. In: The Journal of Business 1986, S. 251–278. Tversky, Amos / Kahneman, Daniel: Judgment under Uncertainty: Heuristics and Bi­ ases. In: Science 1974, S. 1124–1131. Tversky, Amos / Kahneman, Daniel: The framing of decisions and the psychology of choice. In: Science 1981, S. 453–458. Uerpmann-Wittzack, Robert / Jankowska-Gilberg, Magdalena: Die Europäische Men­ schenrechtskonvention als Ordnungsrahmen für das Internet. In: Multimedia und Recht (MMR) 2008, S. 83, 89.

Literaturverzeichnis383 UNICEF: Konventionen über die Rechte des Kindes. Abrufbar unter: https: /  / www. unicef.de / blob / 50770 / b803ba01e7ad59fc9607c893b8800ede / d0007-krk-kinder version-illustrationen-2014-pdf-data.pdf (Stand: 02.10.2018). Unterhaltungssoftware Selbstkontrolle (USK): Kinder und Jugendliche schützen. Al­ terskennzeichnung für Computer- und Videospiele in Deutschland. 2013, abrufbar unter: http: /  / www.usk.de / fileadmin / documents / USK_Broschuere_Dt.pdf (Stand: 02.10.2018). Veil, Winfried: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider. Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2018, S. 686–696. Volnhals, Martina / Hirsch, Martina: Information Overload und Controlling. In: Zeit­ schrift für Controlling & Management (ZfCM) 2008, S. 50–56. Voßkuhle, Andreas: „Integration durch Recht“ – Der Beitrag des Bundesverfassungs­ gerichts. In: Juristenzeitung (JZ) 2016, S. 161–168. Voßkuhle, Andreas / Kaiser, Anna-Bettina: Grundwissen – öffentliches Recht: Der Grundrechtseingriff. In: Juristische Schulung (JuS) 2009, S. 313–315. Voßkuhle, Andreas / Kaiser, Anna-Bettina: Grundwissen – öffentliches Recht: Funk­ tion der Grundrechte. In: Juristische Schulung (JuS) 2011, S. 411–413. Wächter, Michael: Datenschutz im Unternehmen. 5. Aufl. München 2017. Wagner, Edgar: Datenschutz als Bildungsaufgabe. In: Datenschutz und Datensicher­ heit (DuD) 2010, S. 557–561. Wagner, Edgar: Datenschutz als Bildungsauftrag. In: Datenschutz und Datensicher­ heit (DuD) 2012, S. 83–87. Wagner, Edgar: Datenschutz bei Kundenkarten. In: Datenschutz und Datensicherheit (DuD) 2010, S. 30–33. Wagner, Lorin-Johannes: Der Datenschutz in der Europäischen Union, Wien 2015. Wandtke, Artur-Axel: Ökonomischer Wert von persönlichen Daten. Diskussionen des „Warencharakters“ von Daten aus persönlichkeits- und urheberrechtlicher Sicht. In: Multimedia und Recht (MMR) 2017, S. 6–12. Warren, Samuel / Brandeis, Louis: The Right to Privacy. In: Harvard Law Review 1890, S. 193–220. Washington Post: Beitrag vom 10. April 2018. Transcript of Mark Zuckerbergs’s Sen­ ate hearing. Abrufbar unter: https: /  / www.washingtonpost.com / news / the-switch /  wp / 2018 / 04 / 10 / transcript-of-mark-zuckerbergs-senate-hearing / ?utm_term=.4c67 6c5812c6 (Stand: 02.10.2018). Wathieu, Luc / Friedman, Allan: An Empirical Approach to Understanding Privacy Concerns, ESMT Working Paper, No. 09-001, 2009. Abrufbar unter: http: /  / hdl. handle.net / 10419 / 96560 (Stand: 01.10.2018). Weichert, Thilio: Der transparente Verbraucher. In: Klumpp, Dieter / Kubicek, Her­ bert / Roßnagel, Alexander / Schulz, Wolfgang (Hrsg.), Informationelles Vertrauen für die Informationsgesellschaft. Berlin / Heidelberg 2008, S. 317–328.

384 Literaturverzeichnis Weichert, Thilo: Anmerkungen zu Warren / Brandeis  – Das Recht auf Privatheit. In: Datenschutz und Datensicherheit (DuD) 2012, S. 753–754. Weichert, Thilo: Die Verarbeitung von Wearables-Sensordaten bei Beschäftigten. In: Neue Zeitschrift für Arbeitsrecht (NZA) 2017, S. 565–570. Weiler, Frank: Grammatikalische Auslegung des vielsprachigen Unionsrechts. In: Zeitschrift für Europäisches Privatrecht (ZEuP) 2010, S. 861–880. Weiß, Wolfgang: Dezentrale Agenturen in der EU-Rechtsetzung. In: Europarecht (EuR) 2016, S. 631–665. Weller, Michael: Die datenschutzrechtliche Einwilligung Minderjähriger gemäß Art. 8 DSGVO. In: AnwZert ITR 3 / 2017 Anm. 2. Wendehorst, Christiane / Westphalen, Friedrich von: Das Verhältnis zwischen Daten­ schutz-Grundverordnung und AGB-Recht. In: Neue Juristische Wochenschrift (NJW) 2016, S. 3745–3750. Wendel, Mattias: Renaissance der historischen Auslegungsmethode im europäischen Verfassungsrecht? Überlegungen zur Tragweite der historischen Auslegungsme­ thode infolge des jüngsten EU-Reformprozesses. In: Zeitschrift für ausländisches öffentliches Recht und Völkerrecht (ZaöRV 2008), S. 803–827. Werbach, Kevin: (Re)Defining Gamification: A Process Approach. In: Spagnolli, Anna / Chittaro, Luca / Gamberini, Luciano: Persuasive Technology – Persuasive, Motivation, Empowering Videogames. 9th International Conference, PERSUA­ SIVE 2014. Cham / Heidelberg / New York / Dordrecht / London 2014, S. 266v272. Werbach, Kevin / Hunter, Dan: For the Win: How Game Thinking can revolutionize your business. Philadelphia 2012. Westin, Alan: Privacy and freedom. New York 1967. Westphalen, Friedrich von: Digitale Charta – Erweiterung der europäischen Grund­ rechte für das digitale Zeitalter. In: Betriebsberater (BB) 2018, S. 899–907. Westphalen, Friedrich von: Nutzungsbedingungen von Facebook – Kollision mit eu­ ropäischem und deutschem AGB-Recht. In: Verbraucher und Recht (VuR) 2017, S. 323–332. Westphalen, Friedrich von: Verbraucherschutz nach zwei Jahrzehnten Klauselricht­ linie. In: Neue Juristische Wochenschrift (NJW) 2013, S. 961–966. Whitman, James: The Two Western Cultures of Privacy: Dignity versus Liberty. In: Yale Law Journal, 2004, S. 1153–1221. Wieczorek, Mirko: Der räumliche Anwendungsbereich der EU-Datenschutz-Grund­ verordnung. Ein Vergleich von § 1 Abs. 5 BDSG mit Art. 3 DSGVO-E. In: Daten­ schutz und Datensicherheit (DuD) 2013, S. 644–649. Wieland, Joachim: Der EuGH im Spannungsverhältnis zwischen Rechtsanwendung und Rechtsgestaltung. In: Neue Juristische Wochenschrift (NJW) 2009, S. 1841– 1845. Willenbacher, Patrick: Die Gestaltung unternehmerischer Anreizsysteme aus verhal­ tenswissenschaftlicher Perspektive. Baden-Baden 2016.

Literaturverzeichnis385 Willis, Lauren: When Nudges Fail: Slippery Defaults. In: The University of Chicago Law 2012, S. 1155–1229. Wittpahl, Volker (Hrsg.): Digitale Souveränität. Berlin / Heidelberg 2017. Wolff, Heinrich / Brink, Stefan (Hrsg.): Beck’scher Online-Kommentar Datenschutz­ recht. 25. Edit. München 2018. (zitiert: „Bearbeiter, in: Wolff / Brink, BeckOK Datenschutzrecht“). Wölker, Ulrich: Die Normenhierarchie im Unionsrecht in der Praxis. In: Europarecht (EuR) 2007, S. 32–57. Wood, Lincoln / Reiners, Torsten: Gamification. In: Khosrow-Pour, Mehdi: Encyclo­ pedia of Information Science and Technology. 3. Aufl. Hershey 2014, S. 3039– 3047. Online abrufbar unter: https: /  / www.researchgate.net / profile / Lincoln_ Wood / publication / 265337179_Gamification / links / 540956410cf2718acd3d0740 / Gamification.pdf (Stand: 05.10.2018). Wybitul, Tim: Der neue Beschäftigtendatenschutz nach § 26 BDSG und Art. 88 ­DSGVO. In: Neue Zeitschrift für Arbeitsrecht (NZA) 2017, S. 413–419. Wybitul, Tim (Hrsg.): Handbuch EU-Datenschutz-Grundverordnung. Frankfurt am Main 2017 (zitiert: „Bearbeiter, in: Wybitul, Handbuch EU-Datenschutz-Grund­ verordnung“). YouGov: Wie wichtig ist Ihnen generell der Schutz Ihrer persönlichen Daten? Abruf­ bar unter: https: /  / de.statista.com / statistik / daten / studie / 801908 / umfrage / bedeu tung-des-schutzes-persoenlicher-daten-in-deutschland /  (Stand: 01.10.2018). YouGov: Zu welchen Zwecken würden Sie Daten über sich, Ihr Einkaufsverhalten, Ihre Interessen oder Ihre Einkaufsvorlieben preisgeben? Abrufbar unter: https: /  /  de.statista.com / statistik / daten / studie / 790256 / umfrage / preisgabe-von-persoenli chen-daten-zum-einkaufsverhalten-nach-zwecken-in-deutschland /  (Stand: 01.10. 2018). Zander-Hayat, Helga / Reisch, Lucia / Steffen, Christine: Personalisierte Preise – Eine verbraucherpolitische Einordung. In: Verbraucher und Recht (VuR) 2016, S. 403– 409. Zeit-Online: Beitrag vom 9. September 2017 „FDP-Wahlplakate. Regierung bilden oder Start-Up managen? Abrufbar unter: http: /  / www.zeit.de / kultur / 2017-09 / fdpwahlplakate-christian-lindner-digitalisierung-technologie (Stand: 01.10.2018). Zeit-Online: Beitrag vom 4. April 2018 „Datenmissbrauch. Bis zu 87 Millionen Face­ book-Nutzer betroffen“. Abrufbar unter: https: /  / www.zeit.de / digital / internet /  2018-04 / datenmissbrauch-facebook-zuckerberg-cambridge-analytica (Stand: 08.10. 2018). Zichermann, Gabe / Cunningham, Christopher: Gamification by Design. Sebastopol 2011. Ziegenhorn, Gero / Heckel, Katharina von: Datenverarbeitung durch Private nach der europäischen Datenschutzreform. Auswirkungen der Datenschutz-Grundverord­ nung auf die materielle Rechtmäßigkeit der Verarbeitung personenbezogener Da­ ten. In: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 2016, S. 1585–1591.

386 Literaturverzeichnis Zimmermann, Georg von: Die Einwilligung im Internet. Berlin 2014. Zimmermann, Michael: Staatliche Schulpflicht und elterliches Erziehungsprimat. In: Zeitschrift für das gesamte Familienrecht (FamFR) 2013, S. 268–271. Zimmermann, Theodor: Die Vertretung in höchstpersönlichen Angelegenheiten – neu­ ere Entwicklungen im Betreuungsrecht. In: Zeitschrift für das Notariat in BadenWürttemberg (BWNotZ) 1998, S. 101–113. Zuck, Rüdiger: Begründungen – ihre Gründe und Grenzen. In: Neue Juristische Wo­ chenschrift (NJW) 2016, S. 3573–3577.

Sachverzeichnis Absoluter Personenbezug  87 Abwehrrecht gegen den Staat  85 Abwehrrechte  36 Abzeichen  287, 310 Acte claire  74 Adressatenkreis  194, 199, 201 AGB  190 Algorithmus  240 Allgemeine Binnenmarktkompetenz  48 Allgemeine Erklärung der Menschen­ rechte  104 Allgemeine Geschäftsbedingungen  176 Allgemeine Rechtsgrundsätze  44 Allgemeines Persönlichkeitsrecht  28 Alternativitätsthese  78 Analogie  191 Anwendungsvorrang  42 ASNEF  64 Ausdrückliche Einwilligungserklärung  177 Auslegung nach Sinn und Zweck  76 Auslegungsmethoden  72 Auslegungsmonopol  68 Authentifizierungsverfahren  178 Badges  292 Bedürfnisbefriedigung  298 Befristungszeitpunkt  158 Begrenzte Rationalität  169 Begründungspflicht  60 behavioral law and economics  168 Berechtigte Interessen  231, 232 Beruhen  157 Beschäftigtendaten  127 Beschäftigungskontext  318 Bestimmtheitserfordernis  212

Beweislastregelung  202 Bildsymbole  273, 276 Bildungs- und Erziehungsauftrag  225 Bildungsaufgabe  223 Binnenmarkt  50 Binnenmarktkompetenz  49 Blankett-Erklärung  211 Broad Consent  213 Bushnell Theorem  310 Case Law  105 Charta der Digitalen Grundrechte  224 Checkbox  207 Classcraft  295 Data-Protection-Emoticon  280 Dateisystem  123 Datenkarma  309 Datenportabilität  240 Datenschutz-Richtlinie  64, 70 Datenschutzbeauftragter  227 Datenschutzdidaktik  226 Datenschutzerziehung  222 Datenschutzgütesiegel  265 Datenschutzsiegel  261 Datensicherheit  260 Datenverkehrsteilnehmer  257 Default-Effekt  172 Delegierte Rechtsakte  56 Dezisionale Privatheit  100 Dienst der Informationsgesellschaft  142 Digitale Souveränität  222 Digitales Panoptikum  101 Digitalkompetenz  224

388 Sachverzeichnis Direktes Angebot  146 Double-Opt-In-Verfahren  207 Drive-By-Einwilligung  189 Durchführungsrechtsakte  56 e-Health  291 e-Privacy-VO  110, 117 effet utile  76, 143 Eigennutzannahme  162 Eingriff  33 Einschätzungsprärogative  37 Einsichtsfähigkeit  137, 151 Einwilligungsfähigkeit  136 Elektronische Einwilligungserklärung  182 Elektronische Kommunikation  119 EMRK  82, 103 Endeinrichtung  120 endownment effect  173 Entgeltlichkeit  143 Erwägungsgründe  58 Ethik-Kodizes  214 Ethik-Kommission Automatisiertesund­ VernetztesFahren  256 Europäischer Datenschutzausschuss  264 Europäischer Kodex für die elektroni­ sche Kommunikation  121 Extrinsische Motivation  300 Facebook  35, 221 Fachbegriffe  200 Fair-Information-Principles  275 Flow  302 Fluggastdaten  80 Fluggastdaten-RL  155 Framing  174 Freier Datenverkehr  49 Freiwilligkeitsgebot  316 function creep  210 Gamification  283 Gebot der Verständlichkeit  194 Gemischte Dienste  144

Geschäftsgeheimnisschutz  237 Geschäftsgeheimnisse  234 Gesetzgebungsverfahren  52 Gesundheitsnetzwerk  187 Gesundheitswesen  126, 127, 186, 290, 292, 318, 320 Gleichbehandlungsgrundsatz  71 Grammatikalische Auslegung  73 Granularität  186, 212 Grundbedürfnisse  298 Grundfreiheiten  49 Grundrechtsausübungsverzicht  34 Grundrechtsverzicht  34 Grundsatz der Höchstpersönlichkeit  130 Grundsatz der Schriftform  179 Grundsatz der Verhältnismäßigkeit  244 Grundsatz der Zweckbindung  209 Grundverordnung  55 Heuristiken  170 Hinkende Verordnung  46, 62 Historische Auslegung  74 Homo Oeconomicus  161, 162, 168 Hypothetische Einwilligungserklärung  176 Icons  271 Identifizierbare Person  86 Identifizierbarkeit  88 Information Overload  219 Informationelle Privatheit  100 Informationelle Selbstbestimmung  27, 28, 82, 84, 92 Informationshierarchie  183 Informationskontrolle  102 Informationstechnische Systeme  38 Interessenausgleich  244 Internetbrowser  182 Intrinsische Motivation  299 IT-Grundrecht  39 Juristische Person  90

Sachverzeichnis389 Kind  141, 205 Kinder  138, 198 Klare und einfache Sprache  196 Klausel-Richtlinie  190 KMU  54 Know-How-Richtlinie  236 Kommunikationsschutz  109 Konditionalität  327 Konkludente Einwilligungserklärung  175 Konstitutive Informationsbestandteile  216 Kontrollkonsole  184 Koppelungssituationen  328 Kumulationsthese  78 Leaderboard  292, 312 Lindqvist  64 Lock-in-Effekt  323 Lokale Privatheit  100 loss aversion  173 Loyalitätsgebot  69 Ludus  285 Machtkonstellation  317 Machtungleichgewicht kraft Wissens­ hoheit  320 Marktortprinzip  124 Menschenwürde  30 Metadaten  121 Minderjährige  140 Minderjährige Betroffene  137 Mindestinformationsgehalt  217 Mittelbare Drittwirkung der Grundrech­ te  37 mobile health  292 Motivation  298 Mündliche Erklärung  181 Nachweispflicht  202 Nachweispflichten  202 Nike+-App  291 Normenhierarchie  69

Normwiederholungsverbot  46 Öffentlichkeit  98 Offline-Dienste  145 Öffnungsklausel  57 Omission Bias  173 One-Stop-Shop  185 Opt-In-Lösungen  167 Opt-Out-Verfahren  160 Paidia  285 Personal Information Management Systems  184 Personenbeziehbarkeit  84 Personenbezogene Daten  32, 84 Personenbezug  32, 84 Persönlichkeitsentwicklung  32, 99 Pflegschaft  153 Piktogramme  185, 271, 273 PIMS  184, 312 Pop-up-Fenster  183 Präferenzen  162, 163 Präventions- und Beratungsdienste  145 Primärrecht  43 Primärrechtskonforme Auslegung  83 Primärrechtskonforme Interpretation  70 Prinzip der begrenzten Einzelermächti­ gung  45 Prinzip der praktischen Konkordanz  242 Prinzip der Verhältnismäßigkeit  244 Privacy-Dashboard  183, 312 Privacy-Emoticons  280 Privacy Paradox  175 Privatheit  94, 96, 97, 98, 99, 113 Privatleben  93 Privicons  277 Pseudonymisierung  250 Pseudonymisierung der Geschäftsge­ heimnisse  250 Pull-Quotes  183 Punktesystem  287, 308 Quests  288

390 Sachverzeichnis Ranglisten  287 Rangordnung  93 Rationale Einwilligungsentscheidung  161 Rationalitätsannahme  162 Rationalmodell  162, 219 Reasonable expectation of privacy  106 Recht, in Ruhe gelassen zu werden  109 Relativer Personenbezug  87 Restriktionen  162 Savignysche Quart  72 Schlüsselinformationen  220 Schriftform  128, 181, 203 Schriftformgebot  180 Schriftliche Erklärung  179 Sekundärrecht  43, 44 Selbstdatenschutz  223 Serious Games  286 Smartphone  183 Sozialgesetzbücher  126 Sprachfassung  194 Sprachniveau  200 Stand der Technik  206 status negativus  36 status positivus  36 Status-Quo-Effekts  172 Stiftung Datenschutz  185 Subordinationsverhältnis  318 Supranationale Rechtsordnung  41 Swipe  183 Systemvertrauen  254 Tablet  183 Tertiärrecht  43

Träger der elterlichen Verantwortung  153 Transparenz  196, 210 Trennungs- und Abstraktionsprinzip  326 Überrumpelungssituation  180 Überschneidungstheorie  95 Über- und Untermaßverbot  37 UNICEF  198 Unmittelbare Anwendbarkeit  46 Unternehmensfreiheit  236 USK  265 Verarbeitung  91, 123 Verbot mit Erlaubnisvorbehalt  91 Verhaltensökonomie  168 Verordnung  45, 55, 61 Vertrag von Lissabon  44 Vertragserfüllung  325 Vertragskontext  326 Vertrauen  253 Vitaly  187 Vormundschaft  153 Wall of Text  229 Wischgesten  183 Wissensasymmetrien  321 Wissenschaft  213 Wissenschaftliche Forschung  213 Zertifizierung  261 Zertifizierungsverfahren  262 Zeugenaussage  204 Zustimmung  154