Die Datenschutz-Grundverordnung (DSGVO) ist nun die Grundlage der Online-Datenschutzgesetzgebung. Da die Verordnung für alle personenbezogenen Daten von EU-Bürgern gilt, gilt sie nicht nur für in der EU ansässige Organisationen. In der Tat muss jede Website, auf die ein EU-Bürger potenziell zugreifen kann, die DSGVO-Standards erfüllen
Dies ist besonders relevant für die DSGVO-Einwilligungsanforderungen.
Die Einwilligung ist der Kern der DSGVO. Vorrangiges Ziel der Verordnung ist es, den EU-Bürgern mehr Macht über ihre personenbezogenen Daten zu geben. Das bedeutet, zu wissen, was gesammelt wird, und in der Lage zu sein, die Löschung zu verlangen.
Aber was sind die anfänglichen Zustimmungsvoraussetzungen? Und wie begegnet man ihnen?
Was ist eine gültige, aktive Einwilligung?
Die Einwilligung ist ein einfaches Konzept: Sie müssen die Erlaubnis einholen, Daten von einer Person zu erhalten oder zu sammeln. Gemäß Artikel 4 der DSGVO ist die Einwilligung definiert als:
„Einwilligung der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der sie sich mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden erklärt.“
Das legt ein paar Grundlagen fest:
- Die Einwilligung muss von der Person, um deren Daten es sich handelt, freiwillig erteilt werden.
- Die Einwilligung darf nicht erzwungen oder irreführend sein – die betroffene Person muss vollständig verstehen, womit sie einverstanden ist.
- Die betroffene Person muss aktiv einwilligen – d.h. eine passive Einwilligung oder eine Einwilligung durch Stillschweigen, wobei die Nutzung einer Website als Einwilligung gewertet wird, ist nicht zulässig.
Wenn einer dieser Grundsätze nicht befolgt wird, gilt die Zustimmung als ungültig. Das führt dazu, dass Unternehmen mit erheblichen Bußgeldern und Strafen belegt werden.
In der Tat hat Google bekanntermaßen gegen die Einwilligungsbedingungen verstoßen. Daraufhin wurden sie mit einer Geldstrafe von 50 Millionen Euro belegt. Die französischen Datenschutzbehörden erklärten, dass der Einwilligungsmechanismus von Google weder „informiert“ noch „eindeutig“ oder „spezifisch“ sei.
Was sind die Bedingungen für die Einwilligung?
Die DSGVO präzisiert die Definition der Einwilligung in Artikel 7, indem sie die notwendigen Bedingungen für die Einwilligung vorsieht (fett gedruckte Bereiche heben die wichtigsten Punkte hervor):
- Beruht die Verarbeitung auf einer Einwilligung, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat .
- Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist der Antrag auf Einwilligung in einer von den übrigen Angelegenheiten klar und leicht verständlichen Form in klarer und einfacher Sprache zu stellen. Ein Teil einer solchen Erklärung, der einen Verstoß gegen diese Verordnung darstellt, ist nicht bindend.
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Vor Erteilung der Einwilligung wird die betroffene Person darüber informiert. Der Widerruf ist ebenso einfach wie die Erteilung der Zustimmung.
- Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wird, ist weitestgehend zu berücksichtigen, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängt, die für die Erfüllung dieses Vertrags nicht erforderlich ist.
Diese Klarstellungen fügen den Einwilligungskriterien der DSGVO weitere Vorbehalte hinzu, nämlich:
- Die Einwilligung kann jederzeit widerrufen werden.
- Die Einwilligung muss nachweisbar sein.
- Es muss klar sein, womit eine Person einverstanden ist, wenn andere Angelegenheiten einbezogen werden.
- Verträge sollten nur die Einwilligung zur Erhebung relevanter Daten enthalten.
Auf diese Weise kann die DSGVO mit anderen EU-Rechtsvorschriften, wie z. B. dem Recht auf Vergessenwerden, konform bleiben.
Wie kann die Einwilligung freiwillig erteilt werden?
Die Einwilligung „freiwillig zu geben“ bedeutet, dies ohne Zwang zu tun. Die DSGVO geht jedoch noch weiter. In Erwägungsgrund 42 heißt es: „Die Einwilligung sollte nicht als freiwillig erteilt angesehen werden, wenn die betroffene Person keine echte oder freie Wahl hat oder nicht in der Lage ist, die Einwilligung ohne Nachteil zu verweigern oder zu widerrufen.“ Die letztgenannte Klausel dehnt die Zustimmung auf Geschäfte aus, bei denen ein erheblicher finanzieller Verlust eine Person daran hindert, sich zu weigern.
Darüber hinaus muss, wie es in Erwägungsgrund 43 weitergeht, für jeden Datenverarbeitungsvorgang eine freiwillig erteilte Einwilligung erteilt werden. Zum Beispiel die Verwendung einer E-Mail-Adresse für das Marketing und einer IP-Adresse für die Webanalyse. Beides kann nicht in einer einzigen Einwilligung zusammengefasst werden.
Inwiefern ist die Einwilligung spezifisch und eindeutig?
Das erste Beispiel verdeutlicht einen weiteren wichtigen Aspekt: die Spezifität. Die Einwilligung darf nicht weiter als nötig sein und sollte jede Datennutzung separat erläutern.
Die Verwendung von Daten zu Marketingzwecken muss also erläutert werden, gefolgt von der Webanalyse. Auf diese Weise kann der Dateninhaber umfassend über die Folgen der Einwilligung informiert werden.
Die Einwilligung kann auch nicht eindeutig sein, z. B. „Schweigen, vorab angekreuzte Kästchen oder Inaktivität“. Stattdessen muss aus der Einwilligung eindeutig hervorgehen, dass eine betroffene Person die Bedingungen akzeptiert.
Wie erfolgt die Einwilligung?
Dies ist eine der häufigsten Fallstricke von Einwilligungsformularen. Wie die DSGVO besagt, muss die Einwilligung in „einer verständlichen und leicht zugänglichen Form in klarer und einfacher Sprache“ verfasst sein. Das bedeutet, dass Unternehmen Einwilligungserklärungen nicht in diffusen, irreführenden Fachjargon oder Juristensprache kleiden können.
Vielmehr muss jeder in der Lage sein, die Einwilligungserklärung unabhängig von Vorkenntnissen zu verstehen.
Dies war im Fall Google besonders wichtig. In diesem Fall beanstandeten die französischen Behörden die Verwässerung der Informationen über die Verarbeitungsvorgänge für die Personalisierung von Anzeigen. Ohne ausreichende Informationen könnte die betroffene Person daher ihre informierte Einwilligung nicht erteilen.
Schlussfolgerung
Die Einwilligung in die Datenverarbeitung ist verständlicherweise komplex. Tatsächlich gab jeder fünfte Befragte einer Umfrage an, dass eine vollständige Einhaltung der DSGVO „unmöglich“ ist.
Das ist einfach nicht der Fall.
Verfassen Sie Ihre Einwilligungserklärungen vielmehr in einer klaren und leicht verständlichen Sprache, in der Sie erklären, welche Daten erhoben und wofür sie verwendet werden – und dabei jede Verwendung klar abgrenzen. Bieten Sie den betroffenen Personen dann die Möglichkeit, ihre Einwilligung zu widerrufen.
Weitere Informationen finden Sie in der 88-seitigen Verordnung selbst.
Quellen:
https://gdpr.eu/what-does-it-stand-for/
https://gdpr.eu/gdpr-consent-requirements/
https://www.gdpreu.org/the-regulation/key-concepts/consent/