INFORMATIONEN

Was sind die Hauptunterschiede zwischen Zustimmung und berechtigtem Interesse?

Berechtigtes Interesse und Einwilligung sind zwei der sechs Rechtsgrundlagen, die den Datenverarbeitern bei der Erhebung und Verarbeitung personenbezogener Daten zur Verfügung stehen. Die beiden aufgeführten Rechtsgrundlagen werden von Organisationen am häufigsten als Rechtfertigung für ihre Datenerhebung verwendet. Doch was sind die wesentlichen Unterschiede zwischen den beiden?

Ein Teil der Initiative besteht darin, ihre Datenschutzrichtlinien weiterhin zu aktualisieren, da die Unternehmen weiterhin hart an der Durchsetzung der DSGVO arbeiten. Dazu gehört auch die rechtmäßige Begründung für die Aufbewahrung und Verarbeitung der Daten eines Kunden. Sobald eine gültige Grundlage ausgewählt wurde, sollten Informationen über die erhobenen/verarbeiteten Daten gegeben werden. Es sollte deutlich gemacht werden, warum die Informationen benötigt werden und was die Daten für die Durchführung einer bestimmten Aufgabe bedeuten. Außerdem sollten genaue Angaben darüber gemacht werden, wie lange die Daten aufbewahrt werden sollen.

Bei der Betrachtung der beiden Rechtsgrundlagen, die Organisationen bei der Datenerhebung verwenden können, ist zu beachten, dass die Einwilligung und das berechtigte Interesse nur zwei der sechs in der DSGVO genannten Rechtsgrundlagen sind. Es kann auch hilfreich sein, eine Datenschutz-Folgenabschätzung durchzuführen, um ein besseres Verständnis für Ihre Datenschutzrichtlinien zu erhalten, was auch bei der Entscheidung helfen wird, welche für Ihre Organisation am besten geeignet sein könnte.

Berechtigtes Interesse

Eine der sechs rechtmäßigen Säulen für die Erhebung personenbezogener Daten ist das berechtigte Interesse. Das Information Commissioner’s Office (ICO) des Vereinigten Königreichs bezeichnet es als „den flexibelsten Rechtsrahmen für die Produktion“.

Ein berechtigtes Interesse liegt vor, wenn die Verarbeitung solcher Daten dringend erforderlich ist und die Risiken für die betroffenen Personen überwiegen. Wenn eine Agentur oder öffentliche Einrichtung ein berechtigtes Interesse als Rechtsgrundlage angeben möchte, übernimmt sie daher eine zusätzliche Verantwortung für den Schutz der Interessen der betroffenen Personen. Nach Angaben des ICO gibt es einen dreistufigen Denk- und Beurteilungsprozess, den der für die Verarbeitung Verantwortliche bei der Feststellung eines berechtigten Interesses besser berücksichtigen sollte:

1. Besteht ein berechtigtes Interesse an dieser Verarbeitung?

2. Ist eine Bearbeitung erforderlich, um den übermittelten Auftrag zu erfüllen?

3. Wie sieht es aus? Abwägung mit den Rechten und Freiheiten des Datenthemas.

In Form einer Checkliste bietet die ICO auch eine Bewertung des berechtigten Interesses (Legitimate Interest Evaluation, LIA) an, die dabei helfen soll, die Notwendigkeit eines berechtigten Interesses zu definieren und zu prüfen, was bei der Entscheidung für die Verwendung eines solchen Interesses zu beachten ist.

Da es sich bei einem berechtigten Interesse um eine offensichtliche und gewagte Rechtsgrundlage handelt, ähnlich wie bei der dreistufigen Checkliste der ICO, muss ein langer Denkprozess über die Auswirkungen auf die betroffenen Personen stattfinden.

Die Datenschutz-Grundverordnung ermöglicht es Datenverarbeitern auf drei verschiedene Arten, eine Einwilligung einzuholen.

– Ausdrückliche Zustimmung: Dies ist der Fall, wenn einer betroffenen Person die einfache Möglichkeit eingeräumt wird, der Erhebung oder Verarbeitung ihrer personenbezogenen Daten zuzustimmen oder sie abzulehnen. Die ausdrückliche Zustimmung kann sowohl schriftlich als auch mündlich eingeholt werden.

– Implizite Zustimmung: Dies ist eine indirekte Form der Zustimmung. Das kann bedeuten, dass eine betroffene Person aus Gründen, die sowohl für den Nutzer als auch für die Organisation von Vorteil sind, ihre persönlichen Daten zur Verfügung stellt. Es kann auch sein, dass die betroffene Person aus offensichtlichen Gründen, die Details betreffen, dies freiwillig tut.

– Opt-Out-Zustimmung: Eine Opt-out-Einwilligung wird erteilt, wenn eine betroffene Person die Möglichkeit hat, die Erhebung und Verwendung ihrer Daten abzulehnen, aber nur, wenn die betroffene Person diese Option nicht ausdrücklich wählt und die Einwilligung eingeholt wird.

Welche Möglichkeiten gibt es, die Zustimmung richtig zu nutzen?

Wenn eine Person ihre persönlichen Daten bereitwillig weitergibt, z. B. in einem Spendenformular, kann dies als ausdrückliche Zustimmung betrachtet werden. Nachdem sie die Logik hinter der Notwendigkeit ihrer Daten klar erkannt hat (die in diesem Fall darin besteht, erfolgreich zu spenden), gibt die Person diese Informationen aus eigener Entscheidung heraus weiter.

Angenommen, eine Person hat erst vor kurzem aus Sicherheitsgründen einen neuen Arbeitsplatz bezogen. In diesem Fall könnte sie aufgefordert werden, gesundheitsbezogene Angaben zu machen, was als offensichtliches Erfordernis angesehen werden kann, da es um das Wohlbefinden der Person geht. Wenn die Person diese Notwendigkeit anerkennt und die erforderlichen Angaben macht, kann dies als stillschweigende Zustimmung angesehen werden.

Schließlich kann es beim Besuch der Website eines Schuhunternehmens offensichtlich sein, dass Kästchen für die Produktvermarktung angezeigt werden, um dem Kunden eine individuellere Erfahrung zu bieten. Die Einwilligung wird nur dann nicht erteilt, wenn die Person ausdrücklich die Wahl trifft, dem Unternehmen nicht die Erlaubnis zur Verwendung ihrer Daten zu erteilen. Wenn sie diese Option nicht ausgewählt hat, ist die Zustimmung zum Opt-in gegeben.