So gestalten Sie eine GDPR-konforme Einwilligung

Wie wir bereits in den vorherigen Beiträgen dieser Serie besprochen haben, ist die Einwilligung eines der fünf in der DSGVO definierten rechtmäßigen Verarbeitungsmittel. In der Geschäftswelt ist die Einwilligung jedoch der gebräuchlichste und bedeutendste Ansatz. In diesem Beitrag diskutieren wir das Einverständnismanagement im Detail und betrachten auch Designaspekte.

Der Hauptzweck der Einwilligung besteht darin, dem Einzelnen eine echte Wahlfreiheit zu bieten und die Kontrolle über die Verarbeitung seiner persönlichen Daten zu behalten. Auch für Organisationen, die personenbezogene Daten verarbeiten, bietet die Einwilligung eine rechtmäßige Grundlage für die Verarbeitung. Eine gut durchdachte Einwilligung hilft dem Unternehmen, das Vertrauen der Kunden zu stärken, und erhöht das Kundenbewusstsein und die Transparenz bei der Datenverarbeitung. Eine weitere Einwilligung verbessert die Reputation des Unternehmens erheblich.

Die DSGVO stellt sehr hohe Anforderungen an das Einwilligungsmanagement, die DSGVO definiert erhebliche finanzielle Sanktionen für Verstöße gegen einwilligungsbezogene Vorschriften. Jede Organisation, die personenbezogene Daten einer Person verarbeitet, muss besonderes Augenmerk auf die Verwaltung der Einwilligung und die zukünftige Verarbeitung bereits gesammelter personenbezogener Daten legen.

Der Zweck der Zustimmung

Eine verarbeitende Organisation kann die Einwilligung zur Legitimation verwenden

  1. Verwendung spezieller Kategoriedaten
  2. Eingeschränkte Verarbeitung
  3. Automatisierte Entscheidungsfindung
  4. Übersee-Datenübertragungen

Es ist sehr wahrscheinlich, dass für die meisten Marketingaktivitäten oder Nachrichten, Website-Cookies und Online-Tracking-Methoden die Zustimmung verwendet wird, um Apps / Software auf den Geräten von Personen zu installieren. Es ist erforderlich, die Einwilligung so zu erteilen, dass die Verbraucher leicht nachvollziehen können, dass sie die Einwilligung und die Einwilligung dazu haben, ohne dass wichtige Details mit Kleingedruckten verborgen werden.

Auch Verarbeitungsunternehmen können keine E-Mails oder SMS senden, um die Zustimmung des Verbrauchers einzuholen, da diese Nachricht selbst eine Direktmarketing-Nachricht darstellt. Es gibt bereits einige Beispiele aus der Praxis.

Eine Einwilligung ist jedoch kein absolutes Recht. Es kann eine legitime Grundlage geben, um die Einwilligung des Einzelnen zur Datenverarbeitung zu ignorieren. Sie können beispielsweise einer Bank nicht verweigern, Ihre Kreditinformationen an öffentliche Finanzbehörden weiterzugeben, und Sie können Ihrem Arbeitgeber nicht die Verpflichtung verweigern, Ihre Gehaltsinformationen an öffentliche Steuerbehörden weiterzugeben.

Die GDPR-Definition der Zustimmung bleibt dieselbe wie die derzeitige DPD-Definition, aber die GDPR führt eine neue Klausel ein, da die Zustimmung eindeutig sein und eine eindeutige positive Handlung beinhalten muss.

1995 DPA Definition

„Alle frei gegebenen spezifischen und informierten Angaben zu seinen Wünschen, mit denen die betroffene Person ihre Zustimmung zu personenbezogenen Daten bedeutet, die sich auf die Verarbeitung beziehen.“

Die GDPR-Definition

"Jede frei gegebene, spezifische, informierte und eindeutige Angabe der Wünsche der betroffenen Person, durch die sie oder er, durch eine Erklärung oder durch eine eindeutige positive Handlung, die Zustimmung zur Verarbeitung personenbezogener Daten bedeutet, die sie oder ihn betreffen."

Es sollte auch beachtet werden, dass Einzelpersonen, wenn die Datenverarbeitung auf Zustimmung beruht, ein sehr starkes Recht haben, einschließlich des Rechts auf Löschung und des Rechts auf Datenübertragbarkeit.

Hier sind die wichtigsten Punkte aus der obigen Definition.

Frei gegeben - Dies ist ein sehr wichtiger Punkt, der bei der Entscheidung hilft, ob die Zustimmung die richtige Wahl für eine bestimmte Datenverarbeitung ist oder nicht. Die zustimmungsverarbeitende Organisation sollte in der Lage sein, Einzelpersonen echte Freiheit zu bieten, eine Entscheidung für eine Datenverarbeitung zu treffen . In den meisten Fällen können die Behörden beispielsweise nicht frei zustimmen. Ein anderes Beispiel ist, dass der Arbeitgeber den Arbeitnehmern nicht immer eine echte Wahlmöglichkeit bietet. In solchen Fällen sollte keine Zustimmung erteilt werden, sondern die Organisation kann eines der fünf anderen rechtmäßigen Verarbeitungsmittel sein.

spezifisch - Es ist nicht möglich, eine allgemeine Einwilligung von Einzelpersonen anzufordern. Die Einwilligung sollte spezifisch sein in Bezug auf den beabsichtigten Zweck, den zugrunde liegenden Verarbeitungsansatz, die Art der Daten, die verarbeitet werden und wie lange die Daten im Unternehmen aufbewahrt werden usw.

Informiert - Eine Person sollte darüber informiert werden, dass sie der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat. Außerdem sollte die Person über die Rechte auf die erteilte Einwilligung informiert sein, z. B. das Recht, die erteilte Einwilligung zu widerrufen. Weiterverarbeitende Organisationen sollten sicherstellen, dass die in der Einwilligung verwendeten Sprachen, Bilder, Grafiken usw. von den Personen gut verstanden werden. Es ist nicht legitim, eine Einwilligung durch irreführende Personen oder die Angabe versteckter Informationen zu erhalten.

Explizite Zustimmung

Es gibt eine spezielle Zustimmungskategorie namens "Explizite Zustimmung", die für die Verarbeitung von Daten zu speziellen Kategorien und die automatisierte Entscheidungsfindung erforderlich ist. Der wesentliche Unterschied besteht darin, dass die „ausdrückliche“ Zustimmung in einer klaren mündlichen oder schriftlichen Erklärung bestätigt werden muss.

Gestaltungsprinzipien für das Einwilligungsmanagement

  • Aktives Opt-In - Die Zustimmung erfordert ein positives Opt-In und vermeidet standardmäßig angekreuzte Kästchen oder andere Methoden der Zustimmung. Immer wenn eine binäre Auswahl getroffen wird, sollten beide Optionen den gleichen Stellenwert haben.
  • Informiert - Die Zustimmung sollte klar, präzise und spezifisch zum Inhalt sein. Die Zustimmung sollte keine mehrdeutigen oder generischen Aussagen enthalten.
  • Entbündelt - Die Einwilligung sollte getrennt von anderen Inhalten wie allgemeinen Geschäftsbedingungen, Datenschutzhinweisen usw. dargestellt werden.
  • Named - Consent sollte klare Informationen über die Verarbeitungsorganisation und Informationen über Dritte, die an der Datenverarbeitung beteiligt sind, enthalten.
  • Leicht zu widerrufen - Die Zustimmung sollte ausdrücklich das Recht des Verbrauchers zum Widerruf der Einwilligung jederzeit mit klarem Widerrufsverfahren erwähnen. Dies setzt auch voraus, dass die Verarbeitungsorganisation Einrichtungen zum Widerruf von Zustimmungen eingerichtet hat.
  • Granular - Organisationen sollten granulare Zustimmungen erteilen, damit die Verbraucher für verschiedene Arten der Verarbeitung separat zustimmen können.
  • Kontinuierlich überprüft - Unternehmen sollten einen Prozess einrichten, um die Zustimmung zu Geschäfts- / Systemänderungen fortlaufend zu überprüfen, um sicherzustellen, dass sie der DSGVO entsprechen.
  • Dokumentiert - Die verarbeitende Organisation sollte einen Einverständnisnachweis führen, z. B. wer, wann, wie und was Sie angegeben haben.
  • Keine Unausgewogenheit in den Beziehungen - Wenn ein Ungleichgewicht zwischen einer Person und der verarbeitenden Organisation besteht (z. B. bei Behörden und Arbeitgebern), ist es nicht möglich, eine Einwilligung frei zu erteilen. In solchen Fällen sollte anstelle der Einwilligung ein anderes legitimes Mittel verwendet werden.
  • Zeitlimits - Es gibt keine expliziten Regeln, wie lange Sie personenbezogene Daten speichern können. Es wird jedoch empfohlen, anzugeben, wie lange Sie personenbezogene Daten mit Zustimmung speichern und verarbeiten.

Von hier aus können Sie auf einige der von projectsbyif erstellten Prototypen für nette Einwilligungen verweisen.

Richtlinien zu bestehenden Einwilligungen und Daten

Um sich auf die Einhaltung der DSGVO vorzubereiten, müssen Sie nicht alle Ihre bestehenden Einwilligungen verwerfen und neue Einwilligungen von Benutzern einholen. Es ist jedoch unbedingt erforderlich, eine Überprüfung des aktuellen Einwilligungsverwaltungsprozesses durchzuführen gültig und fahren Sie mit der Datenverarbeitung fort. Wenn Ihr Zustimmungsverwaltungsprozess den aktuellen DPA-Empfehlungen entspricht, können Sie sich problemlos auf die Einhaltung der DSGVO vorbereiten.

Für den Fall, dass Sie Zweifel an bestehenden Zustimmungen in Bezug auf die Einhaltung der DSGVO haben, ist es immer eine gute Idee, die Daten zu verwerfen und eine neue Zustimmung in Bezug auf die Einhaltung der DSGVO einzuholen.

Aufzeichnung der Nachverfolgung von Einwilligungen

Um nachzuweisen, dass Sie die Zustimmung einer Einzelperson haben, sollten die Verarbeitungsorganisationen die folgenden Aufzeichnungen führen.

  1. Wer hat zugestimmt - der Name der Person oder eine andere Kennung
  2. Wenn sie zustimmten - eine Kopie eines datierten Dokuments oder Online-Aufzeichnungen, die einen Zeitstempel enthalten.
  3. Was ihnen zu diesem Zeitpunkt mitgeteilt wurde - Eine Masterkopie des Dokuments oder Datenerfassungsformulars mit der zu diesem Zeitpunkt gültigen Einverständniserklärung sowie etwaige separate Datenschutzbestimmungen, einschließlich Versionsnummern und Daten, die mit dem Datum übereinstimmen, an dem die Einwilligung erteilt wurde. Wenn die Zustimmung mündlich erteilt wurde, sollten Ihre Unterlagen eine Kopie des zu diesem Zeitpunkt verwendeten Skripts enthalten.
  4. Wie sie zugestimmt haben - für die schriftliche Zustimmung eine Kopie des entsprechenden Dokuments oder Datenerfassungsformulars. Wenn die Einwilligung online erteilt wurde, sollten Ihre Aufzeichnungen die übermittelten Daten sowie einen Zeitstempel enthalten, um sie mit der entsprechenden Version des Datenerfassungsformulars zu verknüpfen. Wenn die Einwilligung mündlich erteilt wurde, sollten Sie dies zum Zeitpunkt des Gesprächs notieren - es muss keine vollständige Aufzeichnung des Gesprächs sein.
  5. Ob sie ihre Einwilligung widerrufen haben - und wenn ja, wann.

Einwilligungen der Kinder

Wenn sich die Datenverarbeitung an Kinder richtet und von der Zustimmung der Kinder abhängt, muss die Verarbeitungsorganisation die folgenden zwei Anforderungen berücksichtigen.

  1. Implementiert einen Altersüberprüfungsmechanismus.
  2. Überprüfen Sie die elterliche Verantwortung

Außerdem sollten Sie sicherstellen, dass die Einwilligung von Kindern gut verstanden wird.

Alternativen zur Zustimmung

Wenn die Zustimmung nicht die geeignete Grundlage ist, um die Verarbeitung zu legitimieren, kann eine der folgenden 5 Grundlagen verwendet werden.

  1. Ein Vertrag mit dem Einzelnen
  2. Einhaltung einer gesetzlichen Verpflichtung.
  3. Lebenswichtige Interessen.
  4. Eine öffentliche Aufgabe.
  5. Berechtigte Interessen.

Checkliste zur Einwilligung

Die vom britischen Informationskommissariat veröffentlichte Zustimmungs-Checkliste kann verwendet werden, um sicherzustellen, dass Ihre Zustimmung der DSGVO entspricht oder nicht.

Bitte um Zustimmung

  1. Wir haben geprüft, ob die Einwilligung die am besten geeignete rechtliche Grundlage für die Verarbeitung ist.
  2. Wir haben die Einverständniserklärung hervorgehoben und von unseren Geschäftsbedingungen getrennt?
  3. Wir bitten die Leute, sich positiv zu äußern?
  4. Wir verwenden standardmäßig keine vorab angekreuzten Kästchen oder keine andere Art von Einwilligung?
  5. Wir verwenden eine klare, einfache Sprache, die leicht zu verstehen ist.
  6. Wir legen fest, warum wir die Daten wollen und was wir damit machen werden.
  7. Wir geben granulare Optionen, um unabhängigen Verarbeitungsvorgängen zuzustimmen?
  8. Wir haben unsere Organisation und Dritte benannt?
  9. Wir sagen Einzelpersonen, dass sie ihre Zustimmung widerrufen können?
  10. Wir sorgen dafür, dass der Einzelne ohne Schaden die Einwilligung verweigern kann?
  11. Wir machen die Einwilligung nicht zur Voraussetzung einer Dienstleistung?
  12. Wenn wir Online-Dienste direkt für Kinder anbieten, suchen wir die Einwilligung nur, wenn Maßnahmen zur Altersüberprüfung und zur Einwilligung der Eltern vorhanden sind.

Aufnahmebewilligung

  1. Wir halten fest, wann und wie wir die Einwilligung des Einzelnen erhalten haben?
  2. Wir protokollieren genau, was ihnen damals gesagt wurde?

Einverständniserklärung

  1. Wir überprüfen regelmäßig die Einwilligungen, um sicherzustellen, dass sich die Beziehung, die Verarbeitung und die Zwecke nicht geändert haben.
  2. Wir haben Verfahren eingerichtet, um die Einwilligung in angemessenen Abständen zu erneuern, einschließlich der Einwilligung der Eltern.
  3. Wir denken darüber nach, Datenschutz-Dashboards oder andere Präferenzmanagement-Tools als bewährte Methode zu verwenden.
  4. Wir machen es Einzelpersonen leicht, ihre Einwilligung jederzeit zu widerrufen und zu veröffentlichen, wie dies zu tun ist.
  5. Wir reagieren auf Widerruf der Einwilligung, sobald wir können?
  6. Personen, die ihre Einwilligung widerrufen möchten, werden von uns nicht benachteiligt

Verweise

  • GDPR Einverständniserklärung - https://ico.org.uk/about-the-ico/consultations/gdpr-consent-guidance/
  • ICO warnt britische Firmen, die Datenwünsche der Kunden zu respektieren, da dies eine Geldstrafe für Flybe und Honda darstellt - https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico -warns-uk-firmen-um-kunden-datenwünsche-zu-respektieren-wie-es-verurteilt-flybe-and-honda /