Switzerland: Zur Freiwilligkeit Und Zur Ausdrücklichkeit Der Einwilligung Im Datenschutzrecht

Die Einwilligung spielt im Datenschutzrecht als Rechtfertigungsgrund eine wichtige Rolle (Art. 13 Abs. 1 DSG). Einwilligungen, die meist über AGB eingeholt werden, sind dabei nur wirksam, wenn sie informiert, freiwillig und – soweit es um eine Bearbeitung besonders schützenswerter Daten oder von Persönlichkeitsprofilen geht – ausdrücklich erfolgen (Art. 4 Abs. 5 DSG). Dabei sind die Anforderungen insbesondere an die Freiwilligkeit und Ausdrücklichkeit nicht ganz klar, und der Schlussbericht des EDÖB i.S. PostFinance hat die Unklarheiten erheblich verstärkt. Der Beitrag versucht deshalb, zur Klärung beizutragen.

1. Einleitung

[Rz 1] Das private schweizerische Datenschutzrecht beruht auf dem Grundsatz der «Erlaubnis mit Verbotsvorbehalt». Private dürfen Personendaten danach ohne besondere Grundlage bearbeiten, soweit die Bearbeitung im Einklang mit den datenschutzrechtlichen Grundsätzen erfolgt – anders als nach Europäischem Datenschutzrecht¹ und anders auch als im öffentlichen Datenschutzrecht, das dem Legalitätsprinzip untersteht und Bearbeitungen daher nur bei gesetzlicher Grundlage erlaubt.² Private Datenbearbeitungen können deshalb auch ohne Einwilligung der betroffenen Person erfolgen.

[Rz 2] Die Einwilligung spielt aber als Rechtfertigungsgrund eine wichtige Rolle, z.B. bei einer Weitergabe besonders schützenswerter Personendaten oder von Persönlichkeitsprofilen an Dritte³ (Art. 12 Abs. 2 lit. c Bundesgesetz über den Datenschutz; DSG), bei einer Datenbekanntgabe, mit der eine schwerwiegende Persönlichkeitsverletzung verbunden ist (was bei einer Bekanntgabe in einen Staat ohne angemessenes Schutzniveau vermutet wird; Art. 6 Abs. 1 und Abs. 2 lit. f DSG⁴) und besonders bei einer Bearbeitung von Daten zu Zwecken, die bei der Beschaffung nicht erkennbar waren und dadurch den Zweckbindungs- und den Erkennbarkeitsgrundsatz verletzen (Art. 4 Abs. 4 und 3 DSG). Letzteres geschieht häufig, z.B. durch die Auswertung von Personendaten, die im Rahmen einer Dienstleistung ohne entsprechende Hinweise beschafft wurden, für Analyse- oder Marketingzwecke.⁵ Die Einwilligung kommt in solchen Fällen häufig als einziger Rechtfertigungsgrund in Frage.

[Rz 3] Eine Einwilligung ist auch unter datenschutzrechtlichen Gesichtspunkten nur dann wirksam, wenn sie freiwillig und nach angemessener Information erfolgt ist (Art. 4 Abs. 5 DSG). Gesetzliche Formerfordernisse bestehen dabei nicht. Von letzterem Grundsatz weicht Art. 4 Abs. 5 DSG ab, wenn sich die Einwilligung auf die Bearbeitung besonders schützenswerter Personendaten oder von Persönlichkeitsprofilen i.S.v. Art. 3 lit. c und d DSG (im Folgenden gemeinsam «besondere Personendaten») bezieht: Hier muss die Einwilligung «ausdrücklich» erfolgen.⁶ Die Bedeutung des Ausdrücklichkeiterfordernisses ist jedoch strittig (dazu Rz. 25 ff.). Offen ist insbesondere die Frage, ob eine ausdrückliche Einwilligung auch konkludent erklärt werden kann. Aber auch der Begriff der Freiwilligkeit ist nicht ganz klar.

[Rz 4] Diese Unklarheiten haben sich durch den kürzlich veröffentlichten Schlussbericht des EDÖB i.S. PostFinance⁷ verstärkt, weshalb zunächst auf diesen Schlussbericht einzugehen ist. In der Folge sind die Anforderungen an die Freiwilligkeit und die Ausdrücklichkeit einer Einwilligung zu untersuchen.

2. Der Schlussbericht des EDÖB i.S. PostFinance

2.1. Ausgangslage

[Rz 5] Am 28. Juli 2015 hat der EDÖB den auf den 1. Juni 2015 datierten Schlussbericht i.S. PostFinance veröffentlicht.⁸ Der EDÖB hat darin zwei Funktionen von PostFinance untersucht, «E-Cockpit» und «Bicicletta». E-Cockpit ordnet die Transaktionen von PostFinance-Kunden Kategorien zu, um Kunden eine bessere Übersicht über ihr Ausgabeverhalten zu ermöglichen. Die entsprechenden Angaben werden nur den Kunden selbst zur Verfügung gestellt. Bicicletta geht weiter und berechnet aufgrund der E-Cockpit-Daten Affinitäten, d.h. die Wahrscheinlichkeit, dass ein Kunde bestimmte Leistungen bezieht. Auf dieser Grundlage wird dem Kunden im E-Finance- Portal zielgerichtete Werbung Dritter angezeigt. Den betreffenden Dritten werden dabei aber keine Personendaten zur Verfügung gestellt.⁹

[Rz 6] Diese Vorgänge sind dem EDÖB zufolge rechtfertigungsbedürftig, weil sowohl die Kategorisierung im Rahmen von E-Cockpit als auch die Auswertung im Rahmen von Bicicletta unverhältnismässig seien¹⁰ und weil Bicicletta den Zweckbindungsgrundsatz¹¹ und den Grundsatz der Datenrichtigkeit¹² verletze. Der EDÖB beurteilt sodann die in Bicicletta bearbeiteten Personendaten als Persönlichkeitsprofile.¹³ In der Folge prüft der EDÖB, ob eine wirksame Einwilligung vorliegt, insbesondere mit Bezug auf ihre Freiwilligkeit und Ausdrücklichkeit.

2.2. Zur Freiwilligkeit und Ausdrücklichkeit im Schlussbericht

[Rz 7] Der EDÖB äussert sich im Schlussbericht nur am Rande zur Freiwilligkeit einer Einwilligung: «Eine Einwilligung muss freiwillig erfolgen, das heisst Ausdruck des freien Willens der betroffenen Person sein. Ungültig ist die durch Täuschung, Drohung oder Zwang zustande gekommene Einwilligung. Der betroffenen Person muss eine – mit nicht unzumutbaren Nachteilen behaftete – Handlungsalternative zur Verfügung stehen (vgl. BVGer A-3907/2008 E. 4.2)».¹⁴ Wann eine Handlungsalternative zumutbar ist (und was überhaupt eine Alternative ist), wird im Schlussbericht nicht ganz klar. Er verneint die Freiwilligkeit aber mit Bezug auf das E-Cockpit, weil diese Funktion (anders als Bicicletta, wo ein Opt-out möglich war) zwingend mit der Führung bestimmter Konten verbunden war, gemäss den AGB von PostFinance.¹⁵ Dass auch andere Anbieter Konten führen, hat dabei keine Rolle gespielt. Offenbar ist also nur gerade das konkrete Angebot ohne die betreffende Datenbearbeitung eine «Alternative». Das liefe im Ergebnis auf einen datenschutzrechtlichen Kontrahierungszwang hinaus.

[Rz 8] Auch eine Definition der Ausdrücklichkeit i.S.v. Art. 4 Abs. 5 DSG findet sich nicht im Schlussbericht. Der EDÖB hält aber fest, eine Einwilligung sei ausdrücklich, «wenn die Zustimmung der betroffenen Person sich ausdrücklich auf die Bearbeitung dieser Daten bezieht».¹⁶ Dies erfordert dem EDÖB zufolge, dass die Kunden bereits die Möglichkeit haben, einzelnen Datenbearbeitungen zuzustimmen oder diese abzulehnen. Es wäre demnach nicht ausreichend, dem Kunden die Zustimmung zu AGB nur gewissermassen «en bloc» zu ermöglichen, verbunden mit einer späteren Opt-out-Möglichkeit, denn hier ergebe sich die Einwilligung nur implizit.¹⁷ In früheren Publikationen hat der EDÖB das Ausdrücklichkeitserfordernis demgegenüber als ein formelles Erfordernis betrachtet und im Ergebnis einen Opt-in-Vorgang verlangt.¹⁸ Er hat soweit ersichtlich aber nie vertreten, die ausdrückliche Einwilligung müsse sich jeweils gerade auf die betreffende Datenbearbeitung und nichts anderes beziehen. Damit stellt sich die Frage, wie spezifisch eine Einwilligung sein muss, um noch als ausdrücklich gelten zu können. Anders formuliert: Kann eine Einwilligung in eine umfassende Datenschutzerklärung oder in AGB überhaupt ausdrücklich sein, und wie granular muss die Einwilligungserklärung sein, um noch als ausdrücklich gelten zu können?

To continue reading this article, please click here

Footnotes

^{1 Vgl. Art. 7 der Richtlinie 95/46/EG («Datenschutzrichtlinie»).}

^{2 Art. 17 Abs. 1 DSG oder etwa § 8 des Zürcher Gesetzes über die Information und den Datenschutz.}

^{3 D.h. an Personen ausserhalb eines Auftragsverhältnisses i.S.v. Art. 10a DSG, die keine Mitinhaber sind.}

^{4 Vgl. dazu jüngst das Urteil des EuGH vom EuGH, Urteil vom 6. Oktober 2015, Rs. C‑362/14 ( http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first∂=1), die Stellungnahme der Artikel-29-Arbeitsgruppe vom 16. Oktober 2015 ( http: //ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm) und die beiden Stellungnahmen des EDÖB vom 7. Oktober und vom 22. Oktober 2015 ( http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html) (Alle Websites zuletzt besucht am 10. November 2015).}

^{5 Vgl. dazu etwa Astrid Epiney, Big Data und Datenschutzrecht: Gibt es einen gesetzgeberischen Handlungsbedarf?, Jusletter IT 21. Mai 2015, Rz. 25 ff. Die Analyse von Personendaten zu rein unternehmensinternen Zwecken dürfte dagegen oft vom ursprünglichen Zweck gedeckt sein.}

^{6 Das DSG verlangt «Ausdrücklichkeit» nicht nur bei Art. 4 Abs. 5 DSG, sondern auch in Art. 6 Abs. 2 lit. f, Art. 12 Abs. 2 lit. b, Art. 12 Abs. 3, Art. 17 Abs. 2 lit. c und Art. 19 Abs. 1 lit. c (jeweils für den Widerspruch gegen eine Bearbeitung).}

^{7 EDÖB, Schlussbericht vom 1. Juni 2015 betreffend Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) [...] im Zusammenhang mit E-Cockpit und Bicicletta von PostFinance [...] (zit. als «Schlussbericht PostFinance»).}

^{8 Vgl. http://is.gd/Gp7ph7.}

^{9 Schlussbericht PostFinance, 16 f.}

^{10 Schlussbericht PostFinance, 16 f.}

^{11 Schlussbericht PostFinance, 19.}

^{12 Schlussbericht PostFinance, 20.}

^{13 Schlussbericht PostFinance, 11.}

^{14 Schlussbericht, 23. Das Rechtsprechungszitat ist nicht ganz richtig; gemeint ist das Urteil A-3908/2008 (BVGE 2009/44 – KSS Schaffhausen; dazu Rz. 16).}

^{15 Schlussbericht PostFinance, 24.}

^{16 Schlussbericht PostFinance, 24.}

^{17 Schlussbericht PostFinance, 24 f.}

^{18 EDÖB, Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem vom 16. Juli 2008, Anhang vom 10. März 2010, Ziff. a.1 (die Einwilligung ist ausdrücklich, wenn «die «betroffene Person» das gelieferte Dokument eigenhändig oder elektronisch unterschrieben hat»); Tätigkeitsbericht 2003/2004, 43 («Von der ausdrücklichen Einwilligung unterscheidet sich die konkludente dadurch, dass sie sich aus den gesamten Umständen erkennbar und offenkundig ergibt»); Tätigkeitsbericht 2009/2010, 34 («mündlich oder schriftlich»).}

Previously published in Jusletter 16. November 2015

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.