Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Roman Müller-Böhm, Stephan Thomae, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/13374 – Freiwilligkeit der Einwilligung in Datenverarbeitung V o r b e m e r k u n g d e r F r a g e s t e l l e r Sobald personenbezogene Daten erhoben und weiterverarbeitet werden, besteht die Pflicht, die Betroffenen darüber aufzuklären, in welcher Form diese Verarbeitung geschieht, welche Daten erhoben werden, an wen Daten weitergegeben und in welcher Form sie gespeichert werden. Dies ist dem jeweiligen Betroffenen in der sogenannten Datenschutzerklärung vorzulegen. In den meisten Fällen ist die Einwilligung des Betroffenen die Voraussetzung für eine rechtmäßige Datenverarbeitung, welche allerdings jederzeit widerrufen werden kann. Bei einem Vertragsschluss ist eine Verarbeitung rechtmäßig, soweit sie zur Erfüllung des Vertrages erforderlich ist. Die Konsequenz ist jedoch, dass Unternehmen in den meisten Fällen keinen Vertragsschluss mit individueller Datenverarbeitung ermöglichen. Daneben ist eine weitere Nutzung von Produkten ohne Einwilligung in eine veränderte Verarbeitungslage nicht möglich . Es ist nach Ansicht der Fragesteller deshalb fraglich, inwieweit die Möglichkeit , die Einwilligung in die Verarbeitung bereits bei Vertragsschluss abzulehnen , praktische Relevanz entfaltet. Einer Statistik für den Zeitraum 2009 bis 2018 zufolge hat ein einzelner Hersteller im Bereich Computerbetriebssysteme einen Marktanteil von 95 Prozent (https://de.statista.com/statistik/daten/studie/158102/umfrage/marktanteilevon -betriebssystemen-in-deutschland-seit-2009/). Nach Angaben des Unternehmens nutzen täglich über 300 Mio. Menschen das Betriebssystem. Probleme könnten dadurch entstehen, dass nach Auffassung der Fragesteller die Entscheidungsgewalt der Bürger über die Einwilligung in die Datenverarbeitung bei solchen Produkten nur theoretisch besteht, von denen eine Teilhabe am Alltag oder die berufliche Karriere abhängt. Der Gebrauch von Smartphones ist beispielsweise Voraussetzung für viele zwischenmenschliche Interaktionen nach Auffassung der Fragesteller. Fraglich ist nach Auffassung der Fragesteller , ob eine für den Gebrauch zwangsweise alternativlos benötigte Software eine Beeinträchtigung für das Sozialleben darstellt oder die Neuanschaffung eines anderen Smartphones mit Kosten bis in den hohen dreistelligen Bereich verbunden ist. Auch Arbeitnehmer sind außerdem oft auf die Nutzung von Software angewiesen, welche personenbezogene Daten speichert. Von daher erscheinen aus Sicht der Fragesteller die theoretisch gegebenen Rechte der Betroffenen über die Datenverarbeitung de facto nur begrenzt durchsetzbar. Deutscher Bundestag Drucksache 19/13741 19. Wahlperiode 04.10.2019 Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 1. Oktober 2019 übermittelt. Die Drucksache enthält – in kleinerer Schrifttype – den Fragetext.  1. Inwiefern ermöglicht nach Ansicht der Bundesregierung die aktuelle Ausgestaltung des Datenschutzrechts, insbesondere über die Einwilligung in die Datenverarbeitung und deren Widerruf, dem Bürger nicht bloß de jure, sondern auch de facto eine freie Entscheidung über den Umgang mit seinen Daten? Die datenschutzrechtliche Einwilligung in eine Datenverarbeitung ist eine von mehreren Möglichkeiten, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu begründen (siehe Artikel 6 Absatz 1 Satz 1 Buchstabe a der Verordnung [EU] 2016/679 [Datenschutz-Grundverordnung; kurz: DSGVO]). Mit der DSGVO wurden die Voraussetzungen für eine Einwilligung im Sinne einer Stärkung der Nutzersouveränität strenger gefasst. Gemäß Artikel 4 Nummer 11 DSGVO ist „Einwilligung” der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Wegen der weiteren Bedingungen für die Einwilligung wird auf Artikel 7 DSGVO und auf die Erwägungsgründe 32, 42 und 43 verwiesen. Wesentliches Merkmal der datenschutzrechtlichen Einwilligung ist – neben dem Erfordernis einer informierten Einwilligung – das Erfordernis einer freiwilligen Einwilligung, das insbesondere nach Artikel 7 Absatz 4 DSGVO und Erwägungsgrund 43 auch regelt, dass die Erfüllung eines Vertrages nicht von der Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig sein darf, obwohl diese für die Erfüllung des Vertrags nicht erforderlich ist (sog. Kopplungsverbot). Nach Erwägungsgrund 43 gehört zur Freiwilligkeit auch die Möglichkeit einer differenzierten Erteilung einer Einwilligung , dass also zu verschiedenen Datenverarbeitungsvorgängen jeweils gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist. Pauschaleinwilligungen für alle mit einem Dienst verbundenen Datenverarbeitungen , die bisher von einigen Unternehmen im Internet praktiziert wurden, sind danach nicht mehr möglich. Nach Artikel 7 Absatz 1 DSGVO muss der für die Datenverarbeitung Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht. Aus Sicht der Bundesregierung besteht derzeit kein Bedarf für eine Änderung der Rechtsgrundlagen der datenschutzrechtlichen Einwilligung. Der datenschutzrechtliche Rechtsrahmen der DSGVO gewährleistet den Betroffenen weitgehende Entscheidungsmöglichkeiten über die Verarbeitung sie betreffender personenbezogener Daten. Ob im konkreten Einzelfall eine erteilte datenschutzrechtliche Einwilligung informiert und freiwillig erfolgt und somit den rechtlichen Anforderungen entspricht und daher eine Datenverarbeitung im Sinne von Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO rechtfertigen kann, obliegt der Beurteilung der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern. Drucksache 19/13741 – 2 – Deutscher Bundestag – 19. Wahlperiode  2. Liegt aus Sicht der Bundesregierung eine Aushöhlung der Entscheidungsgewalt des Bürgers darüber vor, wie mit seinen Daten durch Unternehmen umgegangen wird, wenn er vor die Alternativen gestellt wird, entweder in die Verarbeitung seiner personenbezogenen Daten einzuwilligen oder das Produkt nicht nutzen zu können? a) Wie beurteilt die Bundesregierung das Risiko einer Aushöhlung der Entscheidungsgewalt im Hinblick auf Produkte, welche von einem überwiegenden Teil der Bürger als Verbraucher oder Arbeitnehmer genutzt werden und auf deren Nutzung nicht ohne eine erhebliche Einschränkung des privaten oder beruflichen Alltags verzichtet werden kann (beispielsweise Android- bzw. IOS-Smartphones oder Windowsbzw . Mac-Betriebssysteme)? b) Sieht die Bundesregierung hierbei eine Diskrepanz zwischen einer nicht bloß de jure, sondern auch de facto gegebenen Entscheidungsgewalt des Bürgers über den Umgang mit seinen Daten gegenüber Unternehmen mit hohem Marktanteil und solchen mit einem geringeren Marktanteil, und wenn ja, inwiefern?  3. Wie beurteilt die Bundesregierung das Risiko einer Aushöhlung der Entscheidungsgewalt des Bürgers bei Produkten, mit deren Anschaffung regelmäßige Softwareupdates einhergehen, welche eine Einwilligung in die neue oder veränderte Verarbeitung von Daten verlangen und bei deren Ablehnung eine weitere Verwendung des Produktes nicht mehr (uneingeschränkt ) möglich ist oder ohne die langfristig die Funktionalität und Sicherheit des Gerätes nicht gewährleistet werden kann? Die Fragen 2 bis 2b und 3 werden gemeinsam beantwortet. Aus Sicht der Bundesregierung sind die in der Antwort zu Frage 1 beschriebenen Rechtsgrundlagen und Bedingungen zur Gewährleistung der Freiwilligkeit einer datenschutzrechtlichen Einwilligung ausreichend. Hier sind besonders relevant die in der Antwort zu Frage 1 beschriebenen Pflichten, dass eine differenzierte Einwilligungsmöglichkeit gegeben sein muss und die Nutzung eines Dienstes nicht von der Einwilligung in eine nicht erforderliche Datenverarbeitung abhängig gemacht werden darf. Dies gilt auch – und gerade – für Unternehmen mit einem hohen Marktanteil. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen. Die Beurteilung, ob im konkreten Einzelfall eine erteilte datenschutzrechtliche Einwilligung freiwillig und informiert ist und diese den rechtlichen Anforderungen – einschließlich des sogenannten Koppelungsverbots nach Artikel 7 Absatz 4 DSGVO – gerecht wird und somit eine Datenverarbeitung im Sinne von Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO rechtfertigen kann, obliegt den unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern.  4. Welche Probleme sieht die Bundesregierung in dem Fall, dass eine Einwilligung in eine Datenverarbeitung verlangt wird, deren Umfang zum Zeitpunkt des Kaufes noch nicht absehbar war? Die Informationen, die einem Verbraucher vor dem Abschluss eines Kaufvertrages zu erteilen sind, richten sich u. a. nach den zivilrechtlichen Verbraucherschutzvorschriften . Danach ist der Unternehmer, soweit sich diese Informationen nicht bereits aus den Umständen ergeben, verpflichtet, den Verbraucher vor Abgabe von dessen Vertragserklärung Informationen in klarer und verständlicher Weise zu den wesentlichen Eigenschaften der Ware in dem für die Ware angemessenen Umfang zur Verfügung zu stellen. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/13741 Wenn der Verkäufer eine datenschutzrechtliche Einwilligung des Käufers für die Verarbeitung personenbezogener Daten, die nicht für die Vertragserfüllung erforderlich ist, einholen will, so hat der Verkäufer dem Käufer vor Vertragsschluss alle Informationen bereitzustellen, die dieser für die Erteilung einer informierten Einwilligung nach den Vorschriften der DSGVO benötigt, so zum Beispiel wenn die Nutzung eines Endgeräts oder Dienstes die Speicherung von Daten in der Cloud erforderlich macht (zum Beispiel wenn Gesundheitsdaten nicht in der SmartWatch lokal, sondern nur in der Cloud gespeichert werden können).Hinsichtlich der Voraussetzungen einer datenschutzrechtlichen Einwilligung im Übrigen wird auf die Antwort zu Frage 1 verwiesen.  5. Welche Maßnahmen führt die Bundesregierung aktuell durch, um sicherzustellen , dass auch bei Ablehnung der Einwilligung in eine erweiterte Datenverarbeitung oder einem nachträglichen Widerruf der rechtmäßigen Nutzung von Daten die Funktionalität und Sicherheit eines Gerätes in vergleichbarem Maße wie bei einer Zustimmung gewährleistet werden muss? Die Fragestellung berührt das bereits in der Antwort zu Frage 1 angesprochene Kopplungsverbot der DSGVO. Nach Artikel 7 Absatz 4 DSGVO muss bei der Beurteilung, ob eine datenschutzrechtliche Einwilligung freiwillig erteilt wurde , dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Die Beurteilung, ob im konkreten Einzelfall eine erteilte datenschutzrechtliche Einwilligung freiwillig und informiert ist und diese den rechtlichen Anforderungen – einschließlich des sogenannten Koppelungsverbots nach Artikel 7 Absatz 4 DSGVO – gerecht wird, ob die betreffende Einwilligung also geeignet ist, eine Datenverarbeitung im Sinne von Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO zu rechtfertigen, obliegt den unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern.  6. Verfolgt die Bundesregierung konkrete Maßnahmen, um sicherzustellen, dass das Schließen von Sicherheitslücken durch Updates unabhängig von einer Zustimmung zu einer (veränderten) Datenverarbeitung gewährleistet wird, und wenn ja, welche? Das Bundesministerium des Innern, für Bau und Heimat plant derzeit, das sogenannte IT-Sicherheitskennzeichen für Verbraucherprodukte im Rahmen des IT-Sicherheitsgesetzes 2.0 einzuführen. Das IT-Sicherheitskennzeichen soll erstmals die Sicherheit von Produkten im Verbrauchersegment für Bürgerinnen und Bürger sichtbar und nachvollziehbar machen. Die Nutzung wird seitens der Wirtschaft auf freiwilliger Basis erfolgen. Es soll aus zwei Komponenten bestehen : Zum einen aus einer prägnanten Aussage des Herstellers zur Einhaltung bestimmter Sicherheitsanforderungen, zum anderen soll das Bundesamt für Sicherheit in der Informationstechnik als vertrauenswürdiger Informationsgeber zusätzliche aktuelle Informationen zur Sicherheit oder aktuellen Schwachstellen bereitstellen. Generell kann das IT-Sicherheitskennzeichen damit zukünftig auch genutzt werden, um die Modalitäten von Sicherheitsupdates im Rahmen der Vorgaben des Kennzeichens genauer festzulegen. Im Übrigen wird auf die Antwort zu Frage 5 verwiesen. Drucksache 19/13741 – 4 – Deutscher Bundestag – 19. Wahlperiode  7. Wie beurteilt die Bundesregierung das Risiko einer Aushöhlung der Entscheidungsgewalt in den Fällen der Fragen 2 und 3 hinsichtlich einer zwingenden beruflichen Nutzung eines solchen datenverarbeitenden Produktes als Arbeitnehmer? a) Wie plant die Bundesregierung, dem Problem zu begegnen, dass ein Arbeitnehmer aufgrund einer zwingenden Nutzung datenverarbeitender Produkte diese Verarbeitung nicht verweigern kann, ohne seinen Verpflichtungen aus dem Arbeitsverhältnis nicht nachzukommen? b) Bedarf es nach Ansicht der Bundesregierung hierbei einer für Arbeitnehmerinnen und Arbeitnehmer gesondert ausgestalteten Regulierung, beispielsweise durch die Einführung eigener Vorschriften zum Beschäftigtendatenschutz nach Artikel 88 der Datenschutz-Grundverordnung (DSGVO)? Die Fragen 7 bis 7b werden gemeinsam beantwortet. Die in der Antwort zu Frage 1 beschriebenen Rechtsgrundlagen werden im Beschäftigtenkontext ergänzt durch Artikel 88 DSGVO und § 26 des Bundesdatenschutzgesetzes (BDSG). Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind gemäß § 26 Absatz 2 Satz 1 BDSG für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen . Freiwilligkeit kann nach § 26 Absatz 2 Satz 2 BDSG insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf im Beschäftigtenverhältnis gemäß § 26 Absatz 2 Satz 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person zudem über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 DSGVO in Textform aufzuklären. Der Koalitionsvertrag zwischen CDU, CSU und SPD sieht vor, die Öffnungsklausel in Artikel 88 der EU-Datenschutz-Grundverordnung nutzen zu wollen und die Schaffung eines eigenständigen Gesetzes zum Beschäftigtendatenschutz , das die Persönlichkeitsrechte der Beschäftigten am Arbeitsplatz schützt und Rechtssicherheit für den Arbeitgeber schafft, zu prüfen. Im Übrigen wird auf die Antworten zu Frage 15 der Kleinen Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN auf Bundestagsdrucksache 19/8485, zu Frage 6 der Kleinen Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/2653 sowie zu Frage 2 der Kleinen Anfrage der Fraktion der AfD auf Bundestagsdrucksache 19/12552 verwiesen.  8. Hält die Bundesregierung Konzepte von Unternehmen, die keine Alternative zur Nutzbarkeit ihrer Produkte bezüglich der gegebenenfalls neu zu erteilenden Einwilligung in die Datenverarbeitung zulassen, für vereinbar mit den Grundsätzen des Datenschutzes in Deutschland? Wenn ja, mit welchen Argumenten werden diese Konzepte nach Kenntnis der Bundesregierung begründet? Unternehmen, die personenbezogene Daten verarbeiten, haben unabhängig davon , ob sie hierfür Konzepte entwickeln, die Regelungen des Datenschutzrechts zu beachten. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen. Die Prüfung der Einhaltung des Datenschutzrechts durch datenverarbeitende Unternehmen in Einzelfällen obliegt den unabhängigen Datenschutzaufsichtsbehörden. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/13741  9. In welchem Umfang sollten nach Ansicht der Bundesregierung im Falle einer eingeschränkten Nutzbarkeit eines Produktes infolge einer nicht erteilten Einwilligung in eine neue Datenverarbeitungslage, Kunden von Unternehmen Verbraucherrechte zustehen, insbesondere wegen eines möglichen Mangels der Kaufsache? Nach dem Bürgerlichen Gesetzbuch (BGB) hat der Verkäufer dem Käufer die Kaufsache frei von Sach- und Rechtsmängeln zu verschaffen (§ 433 Absatz 1 Satz 2 BGB). Maßgeblicher Zeitpunkt dafür ist der Gefahrübergang (§ 434 Absatz 1 Satz 1 BGB), also in der Regel die Übergabe der Kaufsache. Mit der Umsetzung der Richtlinie (EU) 2019/771 zum Warenkauf wird sich dies für Produkte mit digitalen Inhalten ändern. Der Verkäufer wird dann auch verantwortlich dafür sein, das Produkt für einen angemessenen Zeitraum durch Updates in einem vertragsgemäßen Zustand zu erhalten. Einer möglichen neuen Datenverarbeitungslage müsste der Verkäufer dann entweder durch einen Änderungsvorbehalt im Vertrag Rechnung tragen oder es kommen bei Nichterteilung der Einwilligung die Regelungen über die Unmöglichkeit zur Anwendung. Bedarf für eine Änderung dieser Rechtslage über die Vorschriften der Richtlinie zum Warenkauf hinaus wird derzeit nicht gesehen. 10. Welche Pläne verfolgt die Bundesregierung, um einen Interessenausgleich zwischen den Betroffenen und den datenverarbeitenden Unternehmen voranzutreiben? Wie ist der aktuelle Stand der Umsetzung? Soweit betroffene Personen ihre datenschutzrechtlichen Rechte in Unternehmen geltend machen wollen, sind der betriebliche Datenschutzbeauftragte sowie die zuständige unabhängige Datenschutzaufsichtsbehörde die zuständigen Ansprechstellen. Der erforderliche Interessenausgleich spiegelt sich in den gesetzlichen Regelungen wider, insbesondere im Datenschutzrecht, im Wettbewerbsrecht und bei den zivilrechtlichen Verbraucherschutzregelungen. Weitere Maßnahmen, um einen darüberhinausgehender Interessenausgleich zu treffen, sind gegenwärtig seitens der Bundesregierung nicht geplant. Drucksache 19/13741 – 6 – Deutscher Bundestag – 19. Wahlperiode Gesamtherstellung: H. Heenemann GmbH & Co. KG, Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333