Um Daten von Personen verarbeiten zu dürfen, muss die sogenannte „Rechtmäßigkeit der Verarbeitung“ vorliegen. Eine Möglichkeit zur Erlangung der Rechtmäßigkeit ist das Einholen einer entsprechenden Einwilligung bei der betroffenen Person.
Eine Einwilligung ist auch in den meisten Fällen notwendig, um mit der betroffenen Person telefonisch oder via E-Mail Kontakt aufzunehmen. Dies ist nicht direkt ein Datenschutzthema sondern wird in Österreich durch das Telekommunikationsgesetz bzw. in Deutschland durch das Telemediengesetz geregelt. Mit der kommenden ePrivacy Verordnung der EU wird auch dieser Bereich europaweit geregelt. Die bisher existierenden Entwürfe enthalten ebenfalls die Forderung zur Einwilligung durch die betroffene Person.
Wie sieht eine korrekte Einwilligungserklärung aus?
Eine korrekte Einwilligungserklärung wird also immer wichtiger. Daher ist es auch wichtig die formalen Kriterien zu kennen, die eine Einwilligungserklärung erfüllen muss. Diese erfordern durchaus etwas Überlegung bei der Umsetzung.
„Privacy by Default“ ist nicht erlaubt
Der Text der Einwilligungserklärung muss verständlich und in klarer, einfacher Sprache erfolgen und darf keine Voraussetzung zur Erfüllung eines Vertrages sein. So ist es auch nicht erlaubt bei Web-Formularen die entsprechende Checkbox bereits vorab anzuhaken, denn die Einwilligung muss eine eindeutige Willenserklärung der betroffenen Person sein. Diese Vorgabe ist in den Medien oft als „Privacy by Default“ beschrieben worden.
Nachweisbarkeit der Einwilligung
Das Unternehmen muss auch nachweisen können, dass eine Einwilligung abgegeben wurde. Dies sollte so umfangreich wie möglich geschehen, da es noch naturgemäß noch keine Rechtssprechung zu diesem Thema der DSGVO gibt. So ist in vielen CRM-Systemen (falls überhaupt) nur eine Checkbox „Einwilligung erhalten“ enthalten. Wichtig wäre aber auch die Information, wann und in welcher Form dies erfolgt ist. Idealerweise sollte diese Information auch nur unter genau definierten Bedingungen veränderbar sein und vom System protokolliert werden. Ebenso sollte ersichtlich sein, wie die entsprechende Einwilligungserklärung lautete. Daher sollte daran gedacht werden entsprechende Standardtexte zu formulieren, am besten in Zusammenarbeit mit einem Anwalt.
Wie ist mit bestehenden Einwilligungen umzugehen?
Bereits bestehende Einwilligungen von betroffenen Personen dürfen nur dann weiter verwendet werden, wenn sie die Kriterien der DSGVO erfüllen. Das dürfte bei vielen in Systemen gespeicherten Einwilligungen nicht der Fall sein. De facto bedeutet dies, dass Unternehmen möglichst rasch aktualisierte, der DSGVO entsprechende Einwilligungen bei den betroffenen Personen einholen sollten und diese Informationen korrekt abspeichern. Das erfordert auch oft technische Anpassungen an den beteiligten IT-Systemen wie z. B. zusätzliche Felder im CRM-System.
Informationsrecht der betroffenen Personen
Zusätzlich zu den Vorgaben für die Einwilligungserklärung ist das Unternehmen auch verpflichtet Informationen für die betroffene Person zur Verfügung zu stellen. Damit soll unter anderem sicher gestellt werden, dass die Person über ihre Rechte ausreichend informiert ist. Die Informationen müssen dabei bereits bei der Erhebung der Daten verfügbar bzw. einsehbar sein. Im Besonderen muss auch
- über den Zweck der Datenverarbeitung,
- die Dauer der Speicherung der Daten,
- die allfällige Weitergabe von Daten an Dritte,
- die Aufklärung über die Rechte,
- Kontaktinformationen und
- der Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Die Vielzahl von anzugebenden Informationen zeigt schon ein nächstes Problemfeld. Es wird recht schwer, die Informationen auf offline-Materialien wie z. B. Kärtchen zum händischen Ausfüllen vernünftig unterzubringen. Lösungen zur elektronischen Eingabe mit Tablets oder Websites können hier eine Alternative sein und erlauben darüber hinaus die automatische Prüfung der eingegebenen Daten und die Durchsetzung von Geschäftsregeln.
DSGVO: Ein Thema für das ganze Unternehmen
Das scheinbar einfache Thema der Einwilligungserklärung zeigt recht schön, wie viele verschiedene Stellen eines Unternehmens bzw. dessen Partner beim Thema Datenschutz zusammen arbeiten müssen. Von der Rechtsberatung für die Textierung und die Informationspflichten, über die Kreativabteilung zur Gestaltung, bis zu den IT-Partnern für Systemprozesse. Die Einwilligungserklärung ist aber natürlich nur ein (kleiner) Baustein in einem umfangreichen Konzept zur Erfüllung der Vorgaben der Datenschutzgrundverordnung. Es ist daher zu raten, das Thema Datenschutzgrundverordnung in einem Unternehmen als großes organisatorisches und technisches Projekt zu begreifen, für das möglichst bald Analysen und Umsetzungspläne erstellt werden sollten.
Keywords
Weitere passende Blogbeiträge
Fündig geworden?
Starten Sie jetzt Ihre intelligente Suche