Die bahnbrechende Gesetzgebung hat die Art und Weise verändert, wie Unternehmen an den Datenschutz herangehen, und den Verbrauchern wieder die Kontrolle darüber gegeben, wie ihre Daten gespeichert und verarbeitet werden.

Als die Datenschutzgrundverordnung am 25. Mai 2018 in Kraft trat, bedeutete dies die größte Umwälzung der Datenschutzgesetze seit 20 Jahren.

Das Gesetz wurde eingeführt, um unserer zunehmend digitalisierten Welt Rechnung zu tragen und die Rechte des Einzelnen in Bezug auf die Verwendung seiner persönlichen Daten anzuerkennen.

So ziemlich jeder Dienst, den wir nutzen, sei es eine Social-Media-Plattform, ein Einzelhändler oder eine Bank, erfasst, analysiert und speichert unsere persönlichen Daten. Im Rahmen der DSGVO sind die Unternehmen nun verpflichtet, nachzuweisen, dass sie diese Daten rechtmäßig, fair und transparent behandeln.

Die EU definiert „personenbezogene Daten“ als alle Informationen, die zur direkten oder indirekten Identifizierung einer Person (der betroffenen Person) verwendet werden können. Dazu kann alles gehören, von einem Namen, einer E-Mail-Adresse, einer IP-Adresse und Bildern. Dazu gehören auch sensible persönliche Daten wie biometrische Daten oder genetische Daten, die zur Identifizierung einer Person verarbeitet werden könnten.

Die Verarbeitung personenbezogener Daten ist generell verboten, es sei denn, sie ist nach geltendem Recht erlaubt oder die betroffene Person hat in die Verarbeitung eingewilligt. Die Einwilligung ist jedoch nur einer von sechs legitimen Zwecken, die für jede Verarbeitung von personenbezogenen Daten erforderlich sind.

Gültige GDPR-Zustimmung

Gemäß der DSGVO ist eine „rechtmäßige Verarbeitung“ nur möglich, wenn:

  • Die Zustimmung der betroffenen Person liegt vor
  • Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich
  • Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen
  • Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen einer betroffenen Person oder einer anderen Person zu schützen
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen

Was bedeutet Zustimmung?

Was ist eine Einwilligung nach GDPR?

Die Einwilligung ist ein Mittel, um Vertrauen zwischen einem Benutzer und einer Organisation aufzubauen. In der DSGVO heißt es: „Die Einwilligung ist eine aus freien Stücken, für den konkreten Fall, in Kenntnis der Sachlage und auf unmissverständliche Weise erteilte Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung der sie betreffenden Daten zum Ausdruck bringt.

Die Einwilligung wird aus Sicht der DSGVO als ziemlich eng definiert. Wenn ein Nutzer beispielsweise sein Einverständnis gibt, dass seine Daten zum Zweck der Aufdeckung von Cyber-Betrug verwendet werden, und seine Daten später ohne sein Wissen oder seine Entscheidung für Marketingzwecke genutzt werden, dann ist das ein Verstoß gegen die Privatsphäre der betroffenen Person.

Auch Einwilligungsformulare können nicht in lange Dienstleistungsvereinbarungen eingebettet werden. Um Transparenz zu gewährleisten, müssen Einverständniserklärungen separat, spezifisch und ausdrücklich sein.      

Was macht die Zustimmung gültig?

GDPR gültige Zustimmung

Wenn für die Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist, müssen die folgenden Bedingungen erfüllt sein, damit diese Einwilligung gültig ist:

1. Die Zustimmung muss frei gegeben werden

Damit eine Einwilligung frei gegeben werden kann, muss die Person wählen können, ob ihre Daten verarbeitet werden sollen oder nicht. Wenn die Person keine Wahl bei der Verarbeitung dieser Daten hat, dann ist die Einwilligung nicht frei gegeben und wird als ungültig betrachtet. Der Einzelne sollte auch in der Lage sein, seine Zustimmung ohne negative Folgen zu verweigern, und er sollte die Möglichkeit haben, seine Zustimmung jederzeit zu widerrufen. Die Einwilligung sollte nach Möglichkeit von anderen Bedingungen und Konditionen entkoppelt werden.

2. Die Zustimmung muss spezifisch sein

Die Einwilligung sollte sich auf die tatsächlichen Zwecke beziehen, für die die Daten verwendet werden sollen. In der DSGVO heißt es: „Eine gültige Einwilligung kann nur eingeholt werden, wenn der für die Datenverarbeitung Verantwortliche einen spezifischen, ausdrücklichen und rechtmäßigen Zweck für die beabsichtigte Verarbeitungstätigkeit festgelegt hat.“ Wenn die Verarbeitung mehrere Zwecke hat, darf die Einwilligung nur für die Zwecke erteilt werden, die auf der Einwilligung beruhen.

3. Die Zustimmung muss in Kenntnis der Sachlage erfolgen

Damit die Zustimmung als gültig betrachtet werden kann, muss die Person davon wissen:

  • Die Identität der Organisation, die die Daten verarbeitet
  • Die Zwecke, für die die Daten verarbeitet werden
  • Die Art der Daten, die verarbeitet werden sollen
  • Die Möglichkeit, die Zustimmung zu widerrufen

4. Die Zustimmung muss unzweideutig sein

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erteilt werden, damit die Wünsche der Person klar sind. Die Bitte um Zustimmung muss in einer klaren und einfachen Sprache abgefasst sein, die verständlich und leicht zugänglich ist. Dies kann in Form einer schriftlichen oder mündlichen Erklärung geschehen. Schweigen, angekreuzte Kästchen oder Untätigkeit stellen keine gültige Zustimmung dar.

Wie lauten die Regeln für die Zustimmung von Kindern?

Für Personen unter 16 Jahren ist in der Regel die Zustimmung der Eltern erforderlich, wobei das erforderliche Alter für die Zustimmung je nach EU-Teilnehmerland variiert. Darüber hinaus müssen angemessene Anstrengungen unternommen werden, um die Identität der Person zu überprüfen, die die Zustimmung im Namen des Kindes erteilt.

Der Prozess der Zustimmung mag unter der DSGVO strenger sein, aber er bietet Organisationen die Möglichkeit, ein höheres Maß an Vertrauen und Transparenz mit ihren Kunden zu entwickeln.

MetaPrivacy wurde entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Ihrem Unternehmen helfen können, seine Compliance-Struktur zu verbessern.

Weitere Lektüre:

Wie sich die GDPR auf das Recht auf Vergessenwerden auswirken wird

Die 5 wichtigsten GDPR-Mythen

Fünf Möglichkeiten, wie Ihr Unternehmen von der GDPR profitieren kann

HAFTUNGSAUSSCHLUSS: Der Inhalt und die Meinungen in diesem Blog dienen nur zu Informationszwecken. Sie stellen keine Rechts- oder sonstige professionelle Beratung dar und sollten nicht als Ersatz für eine spezifische Beratung in Bezug auf bestimmte Umstände, das Datenschutzgesetz oder andere aktuelle oder zukünftige Gesetze betrachtet werden. MetaCompliance übernimmt keine Verantwortung für Fehler, Auslassungen oder irreführende Aussagen oder für Verluste, die durch das Vertrauen auf die in diesem Blog enthaltenen Materialien entstehen können.