Einwilligung: Überlebenstipps für den DSGVO-Dschungel
Wir müssen uns alle zu dieser Sünde bekennen: Manchmal tricksen wir die anderen für ihre Einwilligung mit einem verschwommenen Kontext aus. Es passiert uns in unserem Familienumfeld oder auf der Arbeit. Es ist nicht mal des Weiteren schlimm. Wir wollen lediglich mit der geringsten Anstrengung oder beim geringsten Widerstand das Gewünschte erreichen.
Diese Einstellung kann jedoch zu einer Falle werden, sobald Organisationen von Personen die Einwilligung zur Verarbeitung ihrer persönlichen Informationen einholen müssen. Die neue europäische Gesetzgebung gibt dem Einzelnen die komplette Kontrolle über seine Daten zurück. Die formelle Einwilligung ist eine zweischneidige Angelegenheit.
Rechtliche Gründe für die Verarbeitung personenbezogener Daten
Was kann daran falsch sein, werden Sie sich womöglich fragen, bei jeder Gelegenheit die Einwilligung einzuholen? So werden wir doch auf jeden Fall die Anforderungen erfüllen, nicht wahr? Die Einwilligung scheint eine supersimple Erteilt-und-Vergessen-Lösung zu sein. Unternehmen, die die Einwilligung einholen, sollten sich dadurch jedoch nicht täuschen lassen. Die Idee ist keineswegs einfach und auch nicht weniger tückisch. Tatsächlich lastet danach mehr auf Ihren Schultern.
Nun, gibt es denn noch andere Möglichkeiten? Natürlich gibt es sie. Der richtige Ansatz ist immer die Reflexion darüber, welcher Grundsatz Ihre beste Option ist.
Die DSGVO führt folgende sechs Grundsätze für die rechtmäßige Verarbeitung personenbezogener Daten auf:
- Wahrung der berechtigten Interessen;
- Öffentliches Interesse;
- Lebenswichtige Interessen;
- Erfüllung einer rechtlichen Verpflichtung;
- Erfüllung eines Vertrags;
- Einwilligung.
Organisationen müssen sich auf mindestens einen der oben genannten Grundsätze stützen, um die Datenverarbeitung legitimieren zu können. Die Einwilligung sollte die letzte Wahl sein, wenn andere Instrumente verfügbar sind. Eine Einwilligungserklärung übt zusätzlichen Druck auf Organisationen aus. Im Gegensatz dazu erhalten betroffene Personen dadurch eine Reihe entscheidender Rechte.
Gültigkeit der Einwilligung
Früher bekannte Methoden für eine implizite Einwilligung funktionieren nicht mehr. Vorab angekreuzte Kästchen, ein zwischen den Zeilen verborgener Text oder Inaktivität des Benutzers führen zu keiner gültigen Einwilligung. Nun müssen die Menschen die Möglichkeit haben, ihren freien Willen so zum Ausdruck zu bringen, dass kein Zweifel daran bestehen kann.
Die Idee der frei erteilten Einwilligung ist tiefgründiger als es auf den ersten Blick zu sein scheint. ‘Frei’ suggeriert eine ursprüngliche, unbeeinflusste Entscheidung. Stellen Sie sich vor, dass der für die Verarbeitung Verantwortliche eine Behörde oder ein Arbeitgeber sei, die eine gewisse Macht haben, die Entscheidung eines Individuums zu beeinflussen. Diese Situation spricht für das Ungleichgewicht der Macht.
Eine weitere häufige Inkonsistenz gründet sich in der Bedingtheit. Unternehmen binden ihre Angebote an die Einwilligung zur Verarbeitung personenbezogener Daten. Dies geschieht häufig automatisch mit Hilfe von Online-Formularen. Das Abquetschen der Einwilligung als Voraussetzung für den Erhalt der Leistung oder die Vertragserfüllung ist heutzutage ein häufiger Fall. Beachten Sie, dass dieser Trick die Einwilligung ungültig macht, weil sie rechtlich dann als nicht wirklich frei gilt.
Denken Sie daran, dass die Kontrolle über personenbezogene Daten vollständig in den Händen der Betroffenen liegt. Vergewissern Sie sich, dass Sie keinen direkten oder indirekten Druck auf die Personen ausüben. Verstecken Sie im Vertragstext nichts „zwischen den Zeilen“. Bieten Sie den betroffenen Personen eine echte Auswahl. Sonst können die Folgen verheerend sein, wenn sich die Betroffenen für eine Klage entscheiden. Diese Tendenz wird weiter steigen, solange die Menschen sich ihrer Rechte bewusster werden.
Das nächste Attribut einer gültigen Einwilligung ist ihre Spezifik. Der Zweck der Datenverarbeitung muss festgelegt und eingeschränkt sein. Sie können sich dabei eine Person vorstellen, die durch einen schlecht definierten Zweck in die Irre geführt wird und dem vagen Verwendungszweck möglicherweise nicht zugestimmt hätte.
Darüber hinaus müssen die betroffenen Personen vor der Erteilung einer Einwilligung ordnungsgemäß informiert werden. Es ist Ihre Verpflichtung, keine Wahloption. Die für die Verarbeitung Verantwortlichen müssen alle gesetzlich vorgeschriebenen Informationen, einschließlich der Rechte der betroffenen Person, zur Verfügung stellen.
Einwilligung ist keine Universallösung
Ohne eine angemessene Begründung können Sie nicht auf die Einwilligungsoption zurückgreifen. In der Verordnung sind mehrere Zwecke für das Anfordern einer Einwilligung festgelegt. Wenn Sie einem davon folgen, müssen Sie bereit sein, weitere Erklärungen dazu abzugeben.
Ein weiteres entscheidendes Merkmal einer Einwilligung ist ihre Eindeutigkeit. Das bedeutet, dass sie nicht impliziert oder aus irgendwelchen Rahmenbestimmungen abgeleitet werden kann. Die Einwilligung muss bei vollkommener Gewissheit erfolgen, dass die betroffene Person die rechtlichen Konsequenzen der Handlung vollständig versteht.
Das wichtigste Merkmal einer Einwilligung ist allerdings die Bereitschaft von Organisationen, auf deren Widerruf zu reagieren. Sie müssen die Verarbeitung personenbezogener Daten einstellen, sobald die betroffene Person diesen Wunsch äußert. Wenn die betroffene Person die Einwilligung widerruft, können die Verantwortlichen den Grundsatz dafür auch nicht ändern.
Als Grundsatz für die Verarbeitung personenbezogener Daten benötigen wir aber nicht immer eine Einwilligung. Es gibt fünf weitere Optionen. Die Einwilligung erweist sich wahrscheinlich nicht als die einfachste oder angemessenste Methode. Überlegen Sie sich immer eine Alternative.
In der Praxis ist die Verwaltung personenbezogener Daten eine schwierige Aufgabe für jedes Unternehmen. Es ist an der Zeit, über automatisierte Lösungen nachzudenken.
Kostenfreies Konto
Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten
Effective and easy-to-use IT security management system based on the latest standards and regulations — from planning and establishing the security concept to certification.