In Artikel 4 führt die Datenschutzverordnung die „Einwilligung der betroffenen Person“ ein als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Mit anderen Worten legitimiert die betroffene Person durch ihre Einwilligung zur Verarbeitung personenbezogener Daten praktisch diese Verarbeitung.
So sehr diese Auslegung für die Verantwortlichen von personenbezogenen Daten verlockend klingt, ist die Verwendung der Einwilligung als Rechtsgrundlage für die Verarbeitung nicht der beste und sicherlich nicht der einfachste Weg die Einhaltung der DSGVO zu gewährleisten. Dieser Artikel enthüllt einige der Mythen in Bezug auf die Zustimmung und versucht, bestimmte verwandte FAQ zu beantworten.
1) Einwilligung – Wirbel um etwas, das bereits bestand?
Die erste Frage lautet: Handelt es sich dabei eigentlich um eine rechtliche Neuheit? Kurze Antwort: Nein, aber es ist komplizierter.
Die Einwilligung war bereits in der DSGVO-Vorgängerin, der EU-Richtlinie 95/46/EG, einem aktuellen rechtlichen Datenschutzrahmen für die EU-Mitgliedstaaten enthalten (um mehr über den Vergleich zwischen der EU-Richtlinie 95/46/EG und der DSGVO zu erfahren, lesen Sie bitte den Artikel: EU GDPR vs. European data protection directive). Dieser Rahmen wurde als solcher umfassend verwendet, wenn auch mit viel größerer Freiheit als ursprünglich beabsichtigt. Infolge der Verwendung und des Missbrauchs kooptiert die DSGVO das Konzept der Zustimmung, schreibt jedoch strengere Anforderungen vor.
2) DSGVO-Einwilligungsanforderungen
Die zweite Frage lautet: Wie verwalten wir die Einwilligung in einer DSGVO-konformen Weise?
Lassen Sie uns die Begriffe klären: Einwilligung ist ein Ergebnis, das aus einem Mechanismus hervorgeht, der danach strebt, dieses zu erlangen.
Dieses Ergebnis muss eine zeitliche Beschränkung aufweisen, die nicht unbegrenzt gültig sein kann und, wenn es einmal vorliegt, einen positiven Hinweis auf die Vereinbarung zwischen der betroffenen Person und dem für die Verarbeitung personenbezogener Daten Verantwortlichen enthält. Obwohl die Zustimmung in Bezug auf ihre maximale Dauer eingeschränkt werden muss, ist es gesetzlich nicht erforderlich, ihre minimale Gültigkeitsdauer zu bestimmen, d.h. sie definiert nicht und kann auch keine obligatorische Gültigkeitsdauer definieren.
Der Einwilligungsmechanismus muss die folgenden Anforderungen und Einschränkungen erfüllen:
- Um die Datenverarbeitung durchführen zu können, muss zuvor eine Einwilligung eingeholt werden. Nach Ablauf muss die Einwilligung erneut eingeholt werden. Der Datenverantwortliche kann keine Mindestdauer für die Verarbeitung festlegen und sie den betroffenen Personen aufdrängen, diese können ihre Zustimmung zu einem beliebigen Zeitpunkt widerrufen.
- Die verwendete Methode muss sicherstellen, dass die betroffene Person über die Verarbeitung gut informiert war (d.h. in einer eindeutigen und klaren Sprache). Sie muss auch eingeholt werden, bevor die Person der genauen Art der Verarbeitung zustimmt (Detailgenauigkeit ist hier sehr streng), die in der Einverständniserklärung erwähnt wird. Sie erfordert auch eine bestätigende Handlung (d.h. vorausgesetzte oder passive Zustimmung sind nicht konform).
- Der Mechanismus hängt auch vom Kontext ab. Da es eine weitere Bestimmung gibt, die besagt, dass die Einwilligung freiwillig gegeben werden muss, wird sie nicht als gültig erachtet, wenn die betroffene Person keine wirkliche und freie Wahl hatte oder die Einwilligung nicht ohne Nachteile zu erlangen, zurückgezogen oder verweigert werden kann (was in bestimmten Situationen der Fall sein könnte, wie beispielsweise bezüglich Beschäftigung oder Beziehungen zwischen Bürgern und Staat).
Darüber hinaus muss der Datenverantwortliche, obwohl die DSGVO keine Mittel für die Verwaltung der Einwilligung bestimmt, nachweisen können, dass die Einwilligung aufgrund aller mit ihr verbundenen Informationen erteilt wurde. Hier sind einige Beispiele für Prüfungsmöglichkeiten: Unterschriften auf Papierformularen, Kontrollkästchen, „Hier klicken“ -Schaltflächen, Übermittlungsprotokolle, Bildschirmausdrucke, digital signierte Dokumente, Anrufaufzeichnungen usw.
Darüber hinaus umfasst die DSGVO das Einverständnis der Eltern/Erziehungsberechtigten für Kinder. Der Mechanismus zur Einholung der Einwilligung muss hier zwei Bedingungen enthalten: eine ausreichend zuverlässige Überprüfung des Alters des Kindes zum Zeitpunkt der Erhebung (besonders schwierig im Zusammenhang mit Online-Diensten) und die Verwendung einer klaren und einfachen Sprache (Visualisierung wird empfohlen), die für das Kind leicht verständlich ist. Die Altersgrenze für die Einholung der Einwilligung eines Elternteils oder Erziehungsberechtigten wird von der jeweiligen Aufsichtsbehörde der EU-Mitgliedstaaten festgelegt, sofern dieses Alter zwischen 13 und 18 Jahren liegt.
3) Bestimmung der Notwendigkeit
Unsere dritte Frage lautet: In welchen Szenarien ist eine Zustimmung wirklich notwendig, d.h. wann müssen Datenverantwortliche sie anwenden? Und warum muss diese Frage gestellt werden?
Es ist anzumerken, dass der Einwilligungsmechanismus eine von mehreren Rechtsgrundlagen für die Verarbeitung gemäß DSGVO darstellt (um mehr über die 6 Rechtsgrundlagen zu erfahren, lesen Sie bitte diesen Artikel: Ist die Einwilligung notwendig? Sechs rechtliche Grundlagen für die Datenverarbeitung gemäß DSGVO).
Trotz des öffentlichen Wirbels ist die Zustimmung, die am häufigsten zitierte und unbeliebteste Rechtsgrundlage für die Verarbeitung. Wie wir bereits erörtert haben, erfordert es den größten Aufwand, sie zu erhalten und zu verwalten, während sie das größte Manko mit sich bringt, denn sie kann jederzeit widerrufen werden. Dies führt automatisch zur Einstellung der Weiterverarbeitung und erfordert möglicherweise auch die Erfüllung des Rechtes auf Löschung personenbezogener Daten innerhalb der vorgeschriebenen Frist von 30 Tagen.
Den Datenverantwortlichen wird empfohlen, alle anderen Rechtsgrundlagen zu analysieren und ihre Verarbeitung personenbezogener Daten entsprechend zu begründen. Wenn diese Möglichkeiten erschöpft sind, bleibt die Einwilligung als letzter Ausweg.
4) Was machen wir mit bestehenden Einwilligungen?
Wie oben erwähnt, besteht die Einwilligung als Mechanismus/Ergebnis seit mehr als 20 Jahren. Dies war ein Ergebnis der EU-Richtlinie 95/46/EG und viele Organisationen nutzen sie seit Jahren. Es kann davon ausgegangen werden, dass in ihren aktiven oder Archiv-Systemen ein gewisser Prozentsatz an Einwilligungsnachweisen vorhanden ist, anhand denen die fortwährende Verarbeitung personenbezogener Daten stattfindet.
Die vierte Frage ist sehr wichtig. Müssen Datenverantwortliche eine „neue“ DSGVO-konforme Zustimmung für jede lebende Person einholen, deren personenbezogene Daten sie derzeit verarbeiten? Nun, die DSGVO „hilft“ hier. Im Erwägungsgrund 171 heißt es: „Wenn die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG beruht, ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung gemäß DSGVO erteilt, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“
Beachten Sie jedoch, dass eine zu weit gefasste Definition der Datenverarbeitung, wie sie in diesen Mechanismen der „Vermächtniseinwilligung“ dargestellt wird, in Verbindung mit einer Nicht-Benachrichtigung der betroffenen Personen gemäß den DSGVO-Bedingungen, eine Nichteinhaltung darstellen könnte. Dies gilt insbesondere dann, wenn personenbezogene Daten verwendet werden und die Einwilligung ursprünglich für einen anderen Zweck erteilt wurde.
Phrasen zum Mitnehmen
Kurz gesagt kann der Ansatz zur Einwilligung betroffener Personen in zwei Sätzen zusammengefasst werden:
- Verwenden Sie die Einwilligung nur wenn dies notwendig ist und handhaben Sie sie mit Vorsicht.
- Gehen Sie nicht davon aus, dass man mit Ihren Geschäftsbedürfnissen einverstanden ist.
Laden Sie diesen kostenlosen Projektplan für die EU DSGVO-Umsetzung herunter, um herauszufinden, zu welchem Zeitpunkt Sie am besten beginnen Einwilligungen zu erheben.