Drei Bedingungen für die Einwilligung nach DSGVO

Die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) im Mai bringt eine stärkere Betonung der Einwilligung mit sich, indem einige Bereiche geklärt und andere noch offen für Interpretationen gelassen werden. Die DSGVO modernisiert die Datenschutzgesetze in Europa und stärkt die Rechte der EU-Bürger in Bezug auf ihre persönlichen Daten.

Kurz gesagt, laut DSGVO muss

- Die Zustimmung muss frei, spezifisch und eindeutig sein.

- Das Unternehmen nachweisen können, dass eine betroffene Person ihre Einwilligung erteilt hat.

- Die betroffenen Personen haben das Recht, ihre Einwilligung jederzeit zu widerrufen.

Hier werde ich drei der wichtigsten Erfordernisse zur Einholung der Zustimmung und deren Auswirkungen auf Organisationen, erläutern.

1. Einwilligung muss eindeutig sein

"Eindeutig" ist eine Erweiterung der Kriterien der aktuellen Datenschutzrichtlinie. Die DSGVO erklärt, dass "die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung." "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person" stellen keine Einwilligung dar. (Erwägungsgrund 32).

Es ist auch erwähnenswert, dass Einwilligungen, die vor dem 25. Mai eingeholt werden, den DSGVO-Standards entsprechen müssen. Organisationen, die sich auf die Zustimmung als gesetzliche Grundlage für den Prozess verlassen, sollten sich jetzt an diese "Regeln" halten.

2. Einwilligung muss nachweisbar sein

Eine eindeutige Zustimmung allein reicht nicht aus. Die DSGVO fordert in Art. 7(1) dass der für die Verarbeitung Verantwortliche die Einwilligung nachweisen kann. " Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat." Elektronische Signaturen können bei der Einholung und Dokumentation von Einwilligungen helfen, indem sie einen gerichtlich zulässigen Prüfpfad bereitstellen.

In der Praxis bedeutet dies, dass die Unternehmen Einverständniserklärungen führen müssen, die nachweisen, dass die Person zugestimmt, wofür sie zugestimmt hat (machbar mit z.B. einem Datenerfassungsformular) und wann die Einwilligung stattgefunden hat. (Online-Zeitstempel zum Beispiel)

3. Einwilligung muss widerrufbar sein

Die DSGVO hat Vorkehrungen für Kunden getroffen, die ihre Meinung ändern und ihre Zustimmung zu einem späteren Zeitpunkt widerrufen wollen. Gemäß Artikel 7 Absatz 3 hat eine Person "das Recht, ihre Einwilligung jederzeit zu widerrufen.... Es ist ebenso einfach, ihre Einwilligung zu widerrufen wie ihre Einwilligung zu erteilen".

Wenn eine Person ihre Einwilligung widerrufen möchte, muss sie dies jederzeit tun können und das Unternehmen muss dann sofort die Datenverarbietung einstellen. Es hat sich bewährt, das gleiche Verfahren anzuwenden sowohl bei der Einwilligung als auch beim Widerruf anzuwenden.

Dies ist ein Beispiel, wie die DSGVO dem Kunden mehr Kontrolle gibt. Unternehmen sollten das positive sehen: Kunden, die die Kontrolle über die Daten haben, die vom Unternemen verwendet warden, haben wahrscheinlich ein grosseres Vertrauen in das Unternehmen. Vertrauen ist die Grundlage einer dauerhaften Beziehung.

Handlungsbedarf bei Einwilligungen

Die Einwilligung ist ein relativ komplexer Teil der neuen Verordnung, wobei Aspekte wie die ausdrückliche Zustimmung und der besondere Schutz von Kinderdaten je nach Unternehmen und Kundenstamm besondere Aufmerksamkeit erfordern. Die Nichteinhaltung der ab Mai geltenden DSGVO wäre mehr als nachlässig; erhebliche Geldbußen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens drohen.

Neben verschärften Zustimmungsvoraussetzungen verlangt die DSGVO auch, dass Organisationen den Datenschutz in ihre Systeme einbinden, ein Konzept, das als "Privacy by Design" bezeichnet wird. Docusign hilft Unternehmen aller Branchen, DSGVO-konform zu werden. Die elektronische Signatur erleichtert die Einholung von Einwilligung in Echtzeit (kann gemeinsam mit anderen Daten erhoben werden). Zugleich dient der gerichtlich zulässige Prüfpfad einer elektronischen Signatur als Nachweis der Einwilligung.

Erfahren Sie mehr über die Zustimmung und die DSGVO in unserem Whitepaper, das wir in Zusammenarbeit mit der führenden europäischen Anwaltskanzlei Fieldfisher erarbeitet haben.