DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Tipps zur DS-GVO

Ein­wil­ligung in der DS-GVO

Aus­gehend von Art. 1 Abs. 1 und Art. 2 Abs. 1 Grund­gesetz sowie Art. 8 Abs. 1 der Charta der Grund­rechte der Euro­päi­schen Union werden durch die Euro­päische Daten­schutz­grund­ver­ordnung (DS-GVO) die daten­schutz­be­zo­genen Grund­rechte natür­licher Per­sonen hin­sichtlich ihrer infor­ma­tio­nellen Selbst­be­stimmung und Pri­vat­sphäre gestärkt. Bezüglich der Recht­mä­ßigkeit zur Ver­ar­beitung per­so­nen­be­zo­gener Daten spielt neben der Erfor­der­lichkeit für die Erfüllung eines Ver­trages die Ein­wil­ligung eine zen­trale Rolle. Denn hierbei besteht für den Betrof­fenen die Mög­lichkeit, mit Hilfe der Ein­wil­ligung selbst zu bestimmen, welche der eigenen per­so­nen­be­zo­genen Daten zu welchem Zweck von wem erhoben, ver­ar­beitet oder genutzt werden dürfen.

Zwar ergeben sich durch die DS-GVO im Ver­gleich zu den betref­fenden Rege­lungen des BDSG keine grund­sätzlich neuen Anfor­de­rungen an die Rechts­wirk­samkeit bestehender Ein­wil­li­gungs­er­klä­rungen (mit Aus­nahme der Regelung zum Schutz Min­der­jäh­riger). Dennoch werden die bisher rele­vanten Anfor­de­rungen gegenüber einer Ein­wil­ligung (§ 4a, § 28 Abs. 3 BDSG sowie § 13 Abs. 2 TMG) durch die DS-GVO im Detail erheblich ver­schärft. Daher bestehen in der Praxis oftmals Unsi­cher­heiten dahin­gehend, ob bereits bestehende Erklä­rungen nach dem Inkraft­treten der DS-GVO (ab 25.05.2017) noch wirksam sind oder auf was bei neuen Ein­wil­li­gungen geachtet werden sollte.

Die nach­fol­gende Zusam­men­fassung der wich­tigsten Rege­lungen soll Sie bei der Klärung dieser Fragen unter­stützen. Voll­um­fäng­liche und wei­ter­füh­rende Infor­ma­tionen zum Sach­verhalt erhalten Sie im Internet, z. B. über die Such­be­griffe „EU-Daten­schutz­grund­ver­ordnung”, „DS-GVO”, „Ein­wil­ligung DS-GVO” oder einfach „Art. 7 DS-GVO”.

1.         Rechts­grund­lagen (DS-GVO)

  • Art. 4 (11) DS-GVO defi­niert den Begriff der „Ein­wil­ligung” als „ … jede frei­willig für den bestimmten Fall, in infor­mierter Weise und unmiss­ver­ständlich abge­gebene Wil­lens­be­kundung in Form einer Erklärung oder einer sons­tigen ein­deu­tigen bestä­ti­genden Handlung, mit der die betroffene Person zu ver­stehen gibt, dass sie mit der Ver­ar­beitung der sie betref­fenden per­so­nen­be­zo­genen Daten ein­ver­standen ist”.
  • Art. 6 Abs. 1 a) der DS-GVO zählt die Ein­wil­ligung als eine der Bedin­gungen für die Recht­mä­ßigkeit der Ver­ar­beitung per­so­nen­be­zo­gener Daten auf.
  • In Art. 7 DS-GVO werden die „Bedin­gungen für die Ein­wil­ligung” beschrieben. Es handelt sich hierbei ins­be­sondere um die Nach­weis­barkeit, die ver­ständ­liche Form sowie die Wider­ruf­barkeit.
  • Art. 8 DS-GVO behandelt die „Bedin­gungen für die Ein­wil­ligung eines Kindes”, sofern diesem Angebote von Diensten der Infor­ma­ti­ons­ge­sell­schaft gemacht werden. So knüpft der Gesetz­geber die Recht­mä­ßigkeit zur Ver­ar­beitung per­so­nen­be­zo­gener Daten von Kindern an deren Alter (ab 16 Jahren oder mit Ein­wil­ligung der Erzie­hungs­be­rech­tigten) und übergibt dem Ver­ant­wort­lichen Dienste-Anbieter eine ent­spre­chende Kon­troll­pflicht.
  • Der Erwä­gungs­grund 32 geht näher auf die mög­lichen Formen der Ein­wil­ligung (schriftlich, elek­tro­nisch) sowie die Zweck­ge­bun­denheit ein.
  • Der Erwä­gungs­grund 33 bezieht sich auf Ein­wil­li­gungen für Zwecke der wis­sen­schaft­lichen For­schung und spielt für die betrieb­liche Praxis eine eher unter­ge­ordnete Rolle.
  • Der Erwä­gungs­grund 42 beschreibt die Anfor­derung der Nach­weis­barkeit sowie der klaren und unmiss­ver­ständ­lichen For­mu­lierung, ins­be­sondere hin­sichtlich der Zwecke, für die eine Ein­wil­ligung erteilt wird.
  • Der Erwä­gungs­grund 43 geht auf die Frei­wil­ligkeit einer Ein­wil­ligung ein und stellt klar, dass zu ver­schie­denen Ver­ar­bei­tungs­vor­gängen jeweils eigene Ein­wil­li­gungen nötig sind.

2.         Anfor­de­rungen an Ein­wil­li­gungen und Anhalts­punkte zur Ein­schätzung der Rechts­gül­tigkeit bestehender Ein­wil­li­gungs­er­klä­rungen

Die bis­he­rigen Anfor­de­rungen an eine recht­gültige Ein­wil­ligung sind schnell auf­ge­zählt. Nach dem BDSG muss der Betroffene den Zweck kennen, für den seine Daten erhoben ver­ar­beitet und genutzt werden. Denn nur wenn er auf Basis dieser Infor­mation frei ent­scheiden kann, ob er mit der Ver­ar­beitung ein­ver­standen ist und die Kon­se­quenzen seiner Wahl kennt, wird seine Ein­wil­ligung als „frei­willig erteilt” betrachtet. Ein­wil­li­gungen zur Ver­ar­beitung „beson­derer Arten” per­so­nen­be­zo­gener Daten gem. § 3 (9) BDSG müssen sich darüber hinaus aus­drücklich auf diese Daten beziehen. Eine „Ein­wil­ligung bedarf der Schriftform, soweit nicht wegen beson­derer Umstände eine andere Form ange­messen ist” (§ 4a Abs. 1 Satz 1 BDSG). Wei­terhin muss sicher­ge­stellt sein, dass der Betroffene seine Ein­wil­ligung jederzeit wider­rufen kann.

Die neuen Anfor­de­rungen gemäß DS-GVO greifen die bis­he­rigen auf und kon­kre­ti­sieren diese im Ein­zelnen.

So muss der Betroffene seine Ein­wil­ligung vor Erhebung oder Ver­ar­beitung seiner per­so­nen­be­zo­genen Daten frei­willig durch eine ein­deutige, aktive und bestä­ti­gende Handlung (Opt-In-Ver­fahren) erteilen. Das bedeutet, dass vor­ge­fer­tigte, vor­aus­ge­füllte, bereits mit einem Kreuz ver­sehene Erklä­rungen, bei denen der Betroffene nichts mehr tun muss und sein Ein­ver­ständnis bis zum Zeit­punkt eines Widerruf vor­aus­ge­setzt wird (Opt-out-Ver­fahren), künftig nicht mehr wirksam sind. Dies gilt im Übrigen auch für kon­klu­dentes (schlüs­siges) Handeln.

Die „Frei­wil­ligkeit” von Ein­wil­li­gungen wird künftig an meh­reren Stell­schrauben gemessen und ergibt sich unter anderem durch fol­gende Fak­toren:

  • Zwanglose „echte und freie” Wahl­mög­lichkeit auf Basis unmiss­ver­ständ­licher Trans­parenz über die Aus­wir­kungen der Ein­wil­ligung in „klarer und ein­facher” Sprache und ohne nach­teilige Kon­se­quenzen im Fall einer aus­blei­benden Erteilung.
  • Ein­deutige Zuordnung einer Ein­wil­ligung zu allen Ver­ar­bei­tungs­vor­gängen eines bestimmten Zwecks.
  • Auf­klärung des Betrof­fenen über sein Wider­spruchs­recht vor Abgabe seiner Ein­wil­ligung, wobei die Wider­spruchs­mög­lichkeit ebenso einfach gestaltet sein muss, wie die Ein­wil­ligung selbst.
  • Keine Ver­knüpfung (Kopplung) eines Ver­trags mit der Erhebung und Ver­ar­beitung (wei­terer) per­so­nen­be­zo­gener Daten, die für den ursprüng­lichen Zweck des Ver­trags nicht benötigt werden.
  • Kein offen­sicht­liches Über- bzw. Unter­ord­nungs­ver­hältnis zwi­schen dem Betrof­fenen und dem Ver­ant­wort­lichen (z. B. Bürger vs. Behörde).
  • Keine unnötige Unter­bre­chung des Dienstes bei Ein­wil­li­gungen, zu denen elek­tro­nisch auf­ge­fordert wird.

Ein­wil­li­gungen, die Bestandteil grö­ßerer Ver­trags­texte sind, müssen künftig ein­deutig von diesen unter­schieden werden können. Dies geschieht durch ent­spre­chende Sepa­rierung mittels üblicher for­meller oder gra­fi­scher Her­vor­hebung, z. B. durch Ver­wendung unter­schied­licher Schrift­arten, Farben, Kur­siv­druck, Fett­druck oder einer Umrahmung.

Im Rahmen der Trans­parenz muss der Betroffene gemäß Art. 12  —  14 DS-GVO unter anderem über fol­gende Punkte infor­miert werden, sofern er nicht bereits über diese Infor­ma­tionen verfügt:

  • Name und Anschrift des ver­ant­wort­lichen Daten­ver­ar­beiters
  • Zweck bzw. Zwecke, zu denen seine per­so­nen­be­zo­genen Daten erhoben und ver­ar­beitet werden sollen
  • Im Fall der Ver­ar­beitung besonders sen­sibler Arten per­so­nen­be­zo­gener Daten aus­drück­licher Bezug darauf (Art. 9 Abs. 2 a)
  • Nennung der zugrun­de­lie­genden Rechts­vor­schriften zur Daten­ver­ar­beitung
  • Angabe über den Zeit­rahmen der Daten­spei­cherung sowie die Spei­cher­gründe
  • Auf­zählung der Emp­fänger bzw. Emp­fänger-Kate­gorien seiner per­so­nen­be­zo­genen Daten
  • Infor­mation über die Erfor­der­lichkeit der Ein­wil­ligung sowie über die Kon­se­quenzen einer aus­blei­benden Erteilung
  • Infor­mation über die Rechte des Betrof­fenen (Art. 15 — 23 DS-GVO), ins­be­sondere das Wider­spruchs­recht.

Die DS-GVO sieht zwar keine explizite Schriftform mehr für Ein­wil­ligung vor und gibt somit den Weg für eine ein­fache elek­tro­nische Ein­wil­ligung frei. Auf Grund der bestehenden Nach­weis­pflicht (Erwä­gungs­grund 42)  wird sich in der Praxis jedoch nicht viel ändern, denn der Nachweis gelingt dem Ver­ant­wort­lichen regel­mäßig nur dann, wenn die Ein­wil­li­gungen in schrift­licher oder text­licher (elek­tro­ni­scher) Form ein­geholt und mit Datums­angabe revi­si­ons­sicher auf­be­wahrt bzw. gespei­chert werden. Dies gilt selbst­ver­ständlich auch für ein­deutig einer Person zuor­denbare, aktiv gesetzte Haken bei elek­tro­ni­schen Ein­wil­li­gungen.

Schon der Umfang dieser Kurz­fassung zeigt, dass es der Gesetz­geber mit der Stärkung der Bür­ger­rechte sehr ernst meint. Unter­mauert werden die ver­gleichs­weise hohen admi­nis­tra­tiven Anfor­de­rungen an eine rechts­gültige Ein­wil­ligung durch die scharfe Sank­tio­nie­rungs­mög­lichkeit bei ent­spre­chenden Ver­stößen. Hierbei sind Geld­bußen in der Grö­ßen­ordnung bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Jah­res­um­satzes des vor­he­rigen Geschäfts­jahres vor­ge­sehen, wobei der jeweils höhere Betrag maß­geblich ist.

Es macht daher Sinn, bis­herige Pro­zesse zur Ein­holung von Ein­wil­li­gungen zu über­prüfen und zu modi­fi­zieren. Denn daten­schutz­rechtlich Ver­ant­wort­liche werden künftig nicht nur seitens behörd­licher Kon­trollen, sondern zunehmend auch seitens der Kun­den­er­war­tungen an der Umsetzung der neuen daten­schutz­recht­lichen Vor­gaben gemessen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Robert Lederer, DATEV eG

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zer­ti­fi­zierter Daten­schutz- und IT-Security Auditor (TÜV), 5 Jahre Pro­jekt­leiter für attri­butive Qua­li­täts­si­che­rungs­systeme mit sta­tis­ti­scher Pro­zess­kon­trolle in der Auto­mobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Pro­dukt­mar­keting und Service MS-Office-Pro­dukte und Doku­men­ten­or­ga­ni­sation im Geschäftsfeld Eigen­or­ga­ni­sation, seit 2000 tätig für Vor­stands-Kor­re­spondenz, Qua­li­täts­ma­nagement und Reporting in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG, seit 2002 dort als Fach­be­rater und Bereichs­be­auf­tragter zuständig für den Daten­schutz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.