Aktuelles

Urteile, Vorfälle, Kommentierungen...
15/17 Die datenschutzrechtliche Einwilligung

15/17 Die datenschutzrechtliche Einwilligung

by 24. Januar 2017

Gewinnspiele, Newsletter, Teilnahmen… wer fremde Daten verarbeitet, muss sich mit dem Datenschutzrecht auseinandersetzen. Wie ich hier schon öfter gesagt habe, wird es ab 25. Mai 2018 erhebliche Änderungen geben in Gestalt der Datenschutzgrundverordnung der EU, kurz: DSGVO-EU.

Wer heute schon ein hohes Datenschutzniveau nach dem Bundesdatenschutzgesetz (BDSG) hat, muss sich wenig Sorgen machen und lediglich in Einzelfällen nachjustieren. Wer aber bisher den Datenschutz nicht oder nicht umfassend beachtet hat, sollte sich sputen: Es gibt viel zu tun, und der 25. Mai 2018 ist bald da. Und ohne weitere Übergangsfristen wird es krasse Bußgelder geben können in einer Höhe, dass einem schwindelig werden könnte…

Hier ein Beispiel, was sich bei der Einwilligung zur Erhebung und Verarbeitung von Daten ändern wird (ausgenommen die Daten von Beschäftigten, das ist eine gesonderte Baustelle):

Bisher = § 4a BDSG:

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die
Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen
Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.

Ab Mai 2018 = Art. 7 DSGVO-EU:

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Daraus wird: § 47 DSAnpUG-EU:

Der nationale Gesetzgeber hat in der DSGVO-EU einen gewissen Gestaltungsspielraum, den der deutsche Gesetzgeber derzeit mit seinem “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU”, Kurzform: “DSAnpUG-EU” wie folgt umsetzen möchte (noch ist das Gesetz nicht verabschiedet):

(1) [Art. 7 Abs. 1 DS-GVO] Erfolgt die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.

(2) [Art. 7 Abs. 2 DS-GVO] Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3) [Art. 7 Abs. 3 DS-GVO] Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

(4) [Art. 7 Abs. 4 DS-GVO] Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. [§ 4a Abs. 1 BDSG-alt] Bei der Beurtei- lung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung sowie, wenn nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

(5) [§ 4a Abs. 3 BDSG-alt] Soweit besondere personenbezogene Daten gemäß § 45 Absatz 2 verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

Bei der Einwilligung wird es ab Mai 2018 eine Besonderheit bzgl. des Alters geben = Art. 8 DSGVO-EU:

(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

Tatsächlich macht es Sinn, bereits heutige Einwilligung nach den Anforderungen der DSGVO bzw. des deutschen Anpassungsgesetzes zu beschaffen.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Einwilligung Handschlag: © eyeQ - Fotolia.com