Ist die Einwilligung in den Verzicht auf Datenschutz möglich?

Mehrere Beschwerden wurden bei uns eingereicht laut denen verschiedene Arztpraxen Arbeitsunfähigkeitsbescheinigungen bzw. Rezepte zur Abholung durch deren Patient:innen an der Außenseite der Praxistüre angebracht hatten bzw. auf dem Tisch vor der Praxistür auslegten. Teilweise wurde dies auch um weitere Patientenunterlagen zur Abholung wie Überweisungen oder Krankenkarten zum Einlesen erweitert.

Die Bayerische Datenschutzaufsichtsbehörde für den nichtöffentlichen Bereich, das BayLDA, aus dessen Tätigkeitsbericht 2022 (Seite 62; hier) diese Zeilen stammen, erkennt hierin einen Verstoß gegen die Artt. 24 und 32 DSGVO. Diese bestimmen, dass datenverarbeitende Stellen geeignete technische und organisatorische Maßnahmen zum Schutz der von ihnen verarbeiteten personenbezogenen Daten zu ergreifen haben.

Die konkreten Umstände der eingereichten Beschwerdefälle sind nicht überliefert. Assoziationen mit dem sonntäglichen Besuch einer Bäckerei drängen sich auf, wo neben dem Verkaufstresen zahlreiche Brötchentüten zur Abholung bereitliegen und – hoffentlich – von ihren Adressaten abgeholt werden. Nur liegen hier die Patent*innendaten nicht einmal neben oder am Tresen respektive Empfang, sondern außerhalb der Praxis. Die berichteten Fälle zeugen von einem unverständlich laxen Umgang mit dem Datenschutz. Man wird – auch ohne die genauen Umstände der Einzelfälle zu kennen – der kritischen Einschätzung der Aufsichtsbehörde zustimmen müssen. Es kann (regelmäßig) nicht rechtmäßig sein, personenbezogene Daten und hier sogar besonders schutzwürdige Gesundheitsdaten in einer Weise zu deponieren, dass unbefugte Dritte davon – sehr leicht – Kenntnis erlangen können.

Diese Verfahrensweise ist selbst dann problematisch, wenn Verantwortliche sich in der Sicherheit wähnen, die betroffene Person hätte diesem Handeln zugestimmt, sie sei sogar in ihrem Sinne. Über die beschriebenen Arztpraxisfälle hinausgehend werden hier zwei Themen angesprochen, die praxisrelevant in Bezug auf den Datenschutz sind: Die Chancen und Grenzen der Einwilligung an sich und die Frage, ob betroffene Personen per Einwilligung in eine unsichere Verarbeitung bzw. – wie im Beispiel der bayerischen Arztpraxen – in den Verzicht auf vorgeschriebene TOM einwilligen können.

Die Einwilligung – Königsrechtsgrundlage oder Notnagel?

In der Datenschutzpraxis ist immer wieder zu beobachten, dass Verantwortliche personenbezogene Daten mit Rückgriff auf eine Einwilligung verarbeiten (wollen). Das ist grundsätzlich möglich. Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO legitimiert die Verarbeitung einfacher und jene nach Art. 9 Abs. 2 lit. a DSGVO die Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO. Man könnte also meinen, mithilfe der Einwilligung praktisch jede Verarbeitung legitimieren zu können, sie sei die erste Wahl. Leider ist dies so nicht ganz richtig.

Denn zum einen ist jede Verarbeitung personenbezogener Daten an einen legitimen Zweck zu knüpfen. Das gilt in besonderer Weise auch für die Einwilligung. Nach Art. 6 Abs. 1 lit. a DSGVO muss die betroffene Person die Einwilligung zur Verarbeitung der sie betreffenden Daten „für einen oder mehrere bestimmte Zwecke“ gegeben haben. Zweckfreie oder zweckändernde Verarbeitungen sind damit nicht möglich.

Was genau ist eine Einwilligung?

Die Einwilligung wird in Art. 4 Nr. 11 DSGVO definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung […] einverstanden ist.“ Daraus folgt: Willigt die betroffene Person nicht freiwillig ein, oder ist sie nicht informiert, bezieht sich die Einwilligung auf keinen bestimmten Fall, oder ist die Bekundung missverständlich, dann liegt schon per Definition keine Einwilligung vor.

Darüber hinaus stellt Art. 7 DSGVO weitere Anforderungen an die Rechtmäßigkeit einer Einwilligung. So muss eine Einwilligung, die durch eine schriftliche Erklärung eingeholt wird, die noch andere Sachverhalte betrifft, so erfolgen, dass die Einwilligung von den anderen Sachverhalten klar zu unterscheiden ist. Auch muss muss die betroffene Person vor Abgabe ihrer Einwilligung zwingend auf das Recht hingewiesen werden, ihre einmal erteilte Einwilligung jederzeit, ohne Angabe von Gründen, widerrufen zu dürfen. Der Widerruf muss ebenso einfach zu bewerkstelligen sein, wie die Erteilung der Einwilligung selbst. Kurzum: An die rechtmäßige Einwilligung sind mehrere strenge Anforderungen gestellt. Wird schon eine davon nicht erfüllt, ist die Einwilligung nicht rechtswirksam – die vorgenommene Verarbeitung personenbezogener Daten rechtswidrig.

In der Praxis ist oft fraglich, ob eine Einwilligung freiwillig erteilt worden ist. Man muss hier nicht gleich an die berüchtigte Pistole auf der Brust denken. Schon Nudging-Methoden (siehe unseren Beitrag zu den Cookie-Bannern hier), fehlerhafte mündliche Aufforderungen („Sie müssen hier noch unterschreiben …“) oder ein vorliegendes Abhängigkeitsverhältnis zwischen dem Verantwortlichen und der betroffenen Personen (beispielsweise Arbeitgeber vs. Arbeitnehmer) können Zweifel an der Freiwilligkeit begründen.

Zweifel an der Rechtswirksamkeit einer erteilten Einwilligung können über dies auch im Kontext der Informiertheit auftreten. Wusste die betroffene Person wirklich, auf was sie sich einlässt? Wurde der Verarbeitungszweck hinreichend konkretisiert?.

Nicht zuletzt ist die Einwilligung keine starke Rechtsgrundlage deshalb, weil sie am Tropf der Widerruflichkeit hängt. Widerruft die betroffene Person, dürfen ihre Daten nicht weiterverarbeitet werden und müssen sind – datenschutzkonform – gelöscht und mögliche Datenempfänger über den Widerruf informiert werden.

Datenschützerinnen und Datenschützer sind sich einig: Die Einwilligung als Rechtsgrundlage sollte erst dann zum Zuge kommen, wenn die Verarbeitung personenbezogener Daten auf keine andere gesetzliche Rechtsgrundlage gestützt werden kann. Sie ist ein Notnagel. Die gute Nachricht: Viel häufiger als ihnen bewusst ist, stehen datenverarbeitenden Stellen tatsächlich andere und oftmals besser geeignete Rechtsgrundlagen zur Verfügung.

Können betroffene Personen per Einwilligung auf das Recht auf Schutz ihrer personenbezogenen Daten verzichten?

Die Einwilligung ist auch jenseits der hohen an sie gestellten Anforderungen kein Allheilmittel. Ihre Reichweite ist grundsätzlich begrenzt. So kann mit ihr nicht jede Vorschrift außer Kraft setzt werden. Der Schutz personenbezogener Daten ist ein Grundrecht und steht damit auf einer Stufe mit der Meinungsfreiheit, der Versammlungsfreiheit, dem Recht auf Unverletzlichkeit der Wohnung oder dem Recht der freien Religionsausübung. Ob und wann auf diese Grundrechte verzichtet werden kann, ist umstritten. Das mag mit Blick auf das individuelle Selbstbestimmungsrecht zunächst verwundern. Doch sind es gerade diese Grundrechte, die die Freiheit gewährleisten, dies es braucht, um selbstbestimmt leben zu können.

Bei den im Tätigkeitsbericht des BayLDA berichteten Praktiken stellt sich die Frage, ob Patient*innen in den Verzicht auf erforderliche, geeignete technische und organisatorische Maßnahmen einwilligen konnten. Diese grundsätzliche und durchaus praxisrelevante Frage wurde bereits vor einigen Jahren diskutiert – häufig im Zusammenhang mit dem Versand unverschlüsselter E-Mails. Auch an dieser Stelle wurde die Problematik bereits thematisiert.

Können betroffene Personen in den Verzicht auf TOM einwilligen?

Im November 2021 verabschiedete die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) einen Beschluss, der eine einheitliche Betrachtungsweise gewährleisten und Rechtssicherheit bringen soll:

Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen“, heißt es dort, „beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen. […] Ein Verzicht […] auf Basis einer Einwilligung […] ist nicht zulässig“.

Aber dann weiter:

Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.

Hieran anknüpfend führt das BayLDA im Tätigkeitsbericht weiter aus:

Hierfür ist erforderlich, dass die betreffenden Patient:innen von der Praxis über das entstehende Risiko informiert wurden, dass z. B. unbefugte Dritte darauf Zugriff nehmen können, bevor die Unterlagen vor der Praxistüre angebracht bzw. ausgelegt wurden. Insbesondere wenn das Vorgehen telefonisch besprochen wurde, ist nicht per se davon auszugehen, dass die Patient:innen die Örtlichkeiten entsprechend kennen und sie über das entstehende Risiko bereits informiert sind.

Damit erkennt das BayLDA in Übereintsimmung mit dem Beschluss der DSK vom November 2021 grundsätzlich die Möglichkeit an, dass im Einzelfall Verantwortliche bestimmte vorzuhaltende technische und organisatorische Maßnahmen nicht anwenden müssen, wenn die betroffene Person dies von sich aus wünscht und diesen Wunsch auch ausdrücklich zum Ausdruck bringt. Erforderlich sei zudem, dass die betroffene Person über die Risiken aufgeklärt sein muss und – wichtig – der Vorgang dokumentiert wird.

Wie die Ausführungen des BayLDA aber auch deutlich machen, verbleibt die Pflicht beim Verantwortlichen, die Einhaltung der aufgestellten Anforderungen, beispielsweise die Informiertheit der betroffenen Person, nachzuweisen.

Dass dennoch eine Ausnahmesituation vorliegen kann, in der eine betroffene Person den Verzicht auf eigentlich gebotene Schutzmaßnahmen verlangen kann, zeigt ein Fall aus Hamburg. Ein blinder Leistungsbezieher verlangte vom Jobcenter die unverschlüsselte Übermittlung ihn betreffender personenbezogener Daten. Die Behörde lehnte mit Verweis auf datenschutzrechtlichen Bestimmungen ab. Die betroffene Person argumentierte, sie sei aufgrund ihrer Erblindung darauf angewiesen, die Daten unverschlüsselt zu erhalten, sie sich die Inhalte mittels einer speziellen Software vorlesen lassen müsse. Sie klagte vor dem Sozialgericht und bekam mit Verweis auf das Hamburgische Behindertengleichstellungsgesetz und das Bundesbehindertengleichstellungsgesetz Recht (siehe hier: https://www.landesrecht-hamburg.de/bsha/document/JURE230052888).

Unser Rat an Verantwortliche

  • Verzichten Sie nach Möglichkeit auf die Einholung einer Einwilligung. Sie ist eine mit Risiko behaftete Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Prüfen Sie immer erst, ob Ihnen andere Rechtsgrundlagen zur Verfügung stehen.
  • Sofern Sie eine Verarbeitung auf eine Einwilligung stützen müssen, beachten Sie bitte, dass Sie eine rechtswirksame Einwilligung benötigen. Diese wird nicht automatisch mit einem bloßen Zweizeiler zu erteilt, sondern setzt die Erfüllung einer Reihe von Anforderungen voraus. Die wichtigsten sind: Freiwilligkeit, Informiertheit, Bestimmtheit.
  • Insbesondere ist die Einwilligung kein Superinstrument, mit dem gesetzliche Verpflichtungen umgangen werden können. Ihre Reichweite ist begrenzt.
  • Grundsätzlich können betroffene Personen – nach derzeit wohl eher vorherrschender Meinung – nicht darin einwilligen, dass Verantwortliche ihren Verpflichtungen nach Art. 24 und 32 DSGVO nicht nachkommen (müssen).
  • Die Aufsichtsbehörden (und einige Gerichte) erkennen jedoch an, dass in bestimmten, besonders gelagerten Einzelfällen Ausnahmen möglich sind. Voraussetzung ist jedoch, dass die betroffene Person dies von sich aus ausdrücklich wünscht und über die Risken aufgeklärt wurde.
  • Da für Verantwortliche Restrisiken hinsichtlich der im Hinblick auf die Erfüllung der Anforderungen verbleiben, sollten sie zurückhaltend vorgehen, stets die Vorgaben der Artt. 24 und 32 DSGVO stets beachten und gegebenenfalls zunächst nach alternativen Lösungen suchen.

_____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.