Der Europäische Gerichtshof hatte zu klären, ob die Einwilligungserklärung durch ein standardmäßig vorausgewähltes Kästchen zulässig ist oder einen DSGVO-Verstoß darstellt.
Ein rumänischer Telekommunikationsanbieter wurde von der zuständigen Nationalen Behörde zur Überwachung der Verarbeitung personenbezogener Daten mit einer Geldbuße belegt. Grund der Geldbuße: Der Telekommunikationsanbieter habe Kopien der Ausweisdokumente seiner Kunden ohne deren ausdrückliche Einwilligung aufbewahrt.
Der Anbieter hatte Verträge mit Kunden geschlossen, die eine datenschutzrechtliche Einwilligung erforderte. Konkret ging es um die Sammlung und Aufbewahrung einer Kopie des Ausweisdokuments der Kunden. Das diese Klausel betreffende Kästchen war standardmäßig angekreuzt.
Der Telekommunikationsanbieter wehrte sich gerichtlich gegen die Geldbuße. Das Landgericht Bukarest (Rumänien) bat sodann den EuGH, klarzustellen, unter welchen Voraussetzungen die Einwilligung von Kunden in die Verarbeitung personenbezogener Daten als DSGVO-konform angesehen werden kann.
Vorausgewähltes Kästchen ist ein Verstoß gegen die DSGVO
Der EuGH (Urt. v. 11.11.2020, Az. C-61/19) stellte fest, dass im vorliegenden Fall keine rechtmäßige Datenverarbeitung bei vorab gesetztem Kreuz vorlag. Der EuGH machte deutlich, dass eine Einwilligung der betreffenden Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen müsse.
Eine solche Erklärung müsse in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden und in einer klaren und einfachen Sprache formuliert sein. Dies gelte insbesondere wenn es sich um eine Einwilligungserklärung handele, die von dem für die Verarbeitung personenbezogener Daten Verantwortlichen vorformuliert ist.
Es scheitere an einer gültigen Einwilligung, wenn die betroffene Person z. B. untätig bleibe oder bereits mit einem angekreuzten Kästchen konfrontiert werde. Als Verantwortlicher hätte der Telekommunikationsanbieter die Rechtmäßigkeit der Verarbeitung dieser Daten nachweisen müssen. Er hätte also das Vorliegen einer gültigen Einwilligung seiner Kunden nachweisen müssen – was ihm jedoch nicht gelang.
Denn der bloße Umstand, dass das streitgegenständliche Kästchen angekreuzt war, sei nicht geeignet, eine positive Einwilligungserklärung der Kunden nachzuweisen.
Fazit
Eine Einwilligung im Sinne der DSGVO muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen. Eine Einwilligungserklärung in Form eines bereits standardmäßig angekreuzten Kästchens erfüllt diese Grundsätze nicht.
Artikel als PDF speichern
