INFORMATIONEN

DSGVO-Zustimmung: Leitfaden für die Datenverarbeiter

Zustimmungserfordernisse

Die Datenschutz-Grundverordnung stellt hohe Anforderungen an den Erhalt einer Einwilligung. In bestimmten Situationen benötigen Sie jedoch keine Einwilligung.

Zustimmung bedeutet, dass der Einzelne das Recht hat, auszuwählen und zu regeln. Echte Zustimmung sollte die Menschen motivieren, Ihr Vertrauen und Ihr Engagement stärken und Ihre Glaubwürdigkeit erhöhen.

  • Überprüfen Sie bestehende Einwilligungspraktiken und Einwilligungsformulare. Aktualisieren Sie Ihre Einwilligung, wenn sie nicht den DSGVO-Standards entspricht.
  • Die Zustimmung erfordert eine positive Option. Verwenden Sie keine angekreuzten Kästchen oder andere Standardmethoden.
  • Die ausdrückliche Zustimmung erfordert eine unmissverständliche und spezifische Erklärung.
  • Bewahren Sie Einverständniserklärungen getrennt von Verträgen oder Allgemeinen Geschäftsbedingungen auf.
  • Seien Sie bei der Einholung getrennter Einwilligungen für verschiedene Zwecke konkret und gründlich. Eine vage oder verdeckte Zustimmung reicht nicht aus.
  • Seien Sie klar und prägnant.
  • Erleichterung des Widerrufs der Einwilligung durch die betroffenen Personen.
  • Bewahren Sie den Nachweis der Zustimmung auf – wer, wann, wie und was Sie den Leuten gesagt haben.
  • Überprüfen Sie Ihre Zustimmung regelmäßig und aktualisieren Sie sie, wenn sich etwas ändert.
  • Vermeiden Sie es, als Voraussetzung für die Inanspruchnahme einer Dienstleistung um Zustimmung zu bitten.

    • Sie sollten sicherstellen, dass:

  • Die Einwilligung ist das am besten geeignete Thema für die Verarbeitung.
  • Die Einverständniserklärung ist vom Vertrag oder den Allgemeinen Geschäftsbedingungen getrennt.
  • Die Menschen können eine positive Entscheidung treffen.
  • Vorgekreuzte Kästchen oder andere Arten von Standardzustimmungen werden nicht verwendet.
  • Es wird eine klare, einfache und leicht verständliche Sprache verwendet.
  • Es wird angegeben, warum die Daten angefordert werden und was mit ihnen geschehen soll.
  • Wir bieten verschiedene („gestaffelte“) Optionen für die separate Einwilligung in verschiedene Zwecke oder Arten der Verarbeitung.
  • Wir rufen unsere Organisation und jeden Drittanbieter an, der sich auf die Einwilligung beruft.
  • Wir sagen den Leuten, dass sie ihre Zustimmung zurückziehen können.
  • Wir stellen sicher, dass Menschen ihre Zustimmung verweigern können, ohne dass ihnen dadurch Nachteile entstehen.
  • Wir vermeiden, dass die Zustimmung eine Voraussetzung für eine Dienstleistung ist.
  • Wenn wir Online-Dienste direkt für Kinder bereitstellen, bitten wir nur dann um Zustimmung, wenn es Schritte zur Überprüfung des Alters gibt, und wir bitten um die Zustimmung der Eltern, wenn sie unter 16 sind.
  • Wir halten fest, wann und wie wir die Zustimmung der betreffenden Person erhalten haben.
  • Wir führen genau Buch über das, was ihnen damals gesagt wurde.
  • Wir überprüfen regelmäßig die Einwilligungen, um sicherzustellen, dass sich die Beziehung, die Verarbeitung und der Zweck nicht geändert haben.
  • Wir verfügen über Verfahren, um die Zustimmung in angemessenen Abständen zu erneuern, einschließlich der Zustimmung der Eltern.
  • Wir halten die Verwendung von Datenschutz-Dashboards oder anderen Instrumenten zur Verwaltung von Präferenzen für eine gute Praxis.
  • Wir ermöglichen den jederzeitigen Widerruf der Einwilligung und geben Hinweise dazu.
  • Wir handeln nach dem Widerruf der Zustimmung so schnell wie möglich.
  • Wir sanktionieren keine Personen, die ihre Zustimmung zurückziehen wollen.

    • Was ist neu?

    Die Datenschutz-Grundverordnung setzt einen hohen Standard für die Einwilligung, aber der funktionale Wert der Einwilligungsprozesse ist die wichtigste Änderung.

    Die Datenschutz-Grundverordnung stellt klar, dass der Hinweis auf die Einwilligung unmissverständlich und positiv sein muss. Vorab angekreuzte Kästchen sind ausdrücklich verboten.

    Für getrennte Verarbeitungen ist auch ein anderes („granulares“) Zustimmungsverfahren erforderlich. Zustimmungsformulare sollten von der Vereinbarung getrennt sein und nicht unbedingt eine Voraussetzung für den Erwerb einer Dienstleistung sein.

    Um die Zustimmung nachzuweisen, müssen Sie konsistente Aufzeichnungen führen.

    Die Datenschutz-Grundverordnung gibt ausdrücklich das Recht, die Einwilligung zu widerrufen. Sie müssen die Menschen über ihr Recht auf Widerruf informieren und ihnen einfache Möglichkeiten bieten, ihre Einwilligung jederzeit zu widerrufen.

    Für öffentliche Einrichtungen, Angestellte und andere Organisationen in einer Führungsrolle kann es schwieriger sein, eine gültige Zustimmung nachzuweisen.

    Um zu prüfen, ob sie mit der DSGVO übereinstimmen, müssen Sie die aktuelle Einwilligung und die Einwilligungsprozesse überprüfen. In diesem Fall brauchen Sie keine neue Einwilligung einzuholen.

    Warum ist die Zustimmung notwendig?

    Die Einwilligung ist die Grundlage für die Verarbeitung, und die Verwendung besonderer Datenkategorien kann auch durch eine ausdrückliche Erlaubnis legitimiert werden. Die Einwilligung kann auch relevant sein, wenn die Person ihr Recht auf Zurückhaltung ausgeübt hat, und die automatische Entscheidungsfindung und die Datenübermittlung ins Ausland können durch eine ausdrückliche Einwilligung legitimiert werden.

    Echte Zustimmung sollte Menschen in eine Machtposition bringen, Vertrauen und Engagement schaffen und ihre Integrität stärken.

    Dies kann Ihr Vertrauen zerstören und Ihre Glaubwürdigkeit ruinieren, wenn Sie sich auf eine unzulässige oder ungültige Zustimmung stützen – und Sie mit hohen Geldstrafen belegen.

    Wann ist eine Zustimmung angemessen?

    Die Genehmigung ist eine Verarbeitungsgrundlage, obwohl es auch Alternativen gibt. Eine Zustimmung ist an sich nicht substanzieller oder sinnvoller als diese Alternativen. Sie sollten die Verwendung einer Option in Betracht ziehen, wenn die Zustimmung entmutigend ist.

    Wenn Sie den Menschen die Möglichkeit geben, selbst zu entscheiden und zu kontrollieren, wie Sie ihre Daten verwenden, ist die Zustimmung akzeptabel. Aber Ihre Zustimmung ist nicht echt, wenn Sie keine genaue Entscheidung treffen können. Wenn Sie in der Lage sind, personenbezogene Daten ohne Erlaubnis zu verarbeiten, kann es unehrlich und unethisch sein, eine Einwilligung zu verlangen.

    Wenn sie nicht nachweisen können, dass sie freiwillig erteilt wurde, sollten sich Beamte, Arbeitgeber und andere Organisationen, die die Kontrolle über Personen ausüben, nicht auf die Einwilligung verlassen.

    Was ist eine gültige Zustimmung?

    Es ist von entscheidender Bedeutung, dass die Zustimmung frei erteilt wird; das bedeutet, dass die Menschen wirklich die Möglichkeit haben, zu wählen und zu kontrollieren, wie ihre Daten verwendet werden.

    Die Zustimmung sollte offensichtlich sein, und es muss eine positive Entscheidung getroffen werden.

    Die Arten der Zustimmung müssen einfach sein, sich von anderen Bedingungen und Konditionen unterscheiden, prägnant, leicht verständlich und schnell zu verwenden.

    Die Zustimmung muss sich insbesondere auf die Identität des Betreibers, die Zwecke der Verarbeitung und die Art der Verarbeitungstätigkeiten beziehen.

    Eine Frist für die Zustimmung ist nicht vorgesehen. Der Hintergrund hängt davon ab, wie lange dies dauern wird. Bei Bedarf müssen Sie die Vereinbarung überprüfen und ändern.

    Wie sollten wir die Zustimmung einholen, registrieren und verwalten?

    Achten Sie darauf, dass die Einwilligungserklärung einfach und prägnant ist, sich von der Vereinbarung oder den Geschäftsbedingungen unterscheidet und leicht zu verstehen ist. Sie muss Folgendes umfassen:

  • Der Name Ihrer Organisation; die Namen von Drittanbietern, die sich auf die Zustimmung stützen werden;
  • warum Sie die Daten anfordern;
  • was werden Sie m
    it ihnen machen; und
  • die Tatsache, dass die Betroffenen ihre Einwilligung jederzeit zurückziehen können.

    • Die Nutzer müssen aufgefordert werden, sich positiv zu verhalten. Die Unterzeichnung eines Zustimmungsdokuments, in dem Sie erklären, warum Sie ihre Daten verarbeiten, was Sie damit tun und welche Rechte sie haben, ist der beste Weg, sich positiv zu entscheiden.

    Verwenden Sie keine vorgefertigten Kästchen, Dropdown-Felder oder andere Standardkonfigurationen. Bieten Sie nach Möglichkeit getrennte („gestaffelte“) Einwilligungsoptionen für verschiedene Zwecke und unterschiedliche Verarbeitungsmethoden an.