Die Erlaubniserteilung durch Betroffene (bspw. Anmeldung zum Newsletter) stellt eine sehr beliebte Form dar, um beispielsweise personenbezogene Daten verarbeiten oder einen Newsletter zustellen zu dürfen. Besonders beliebt sind Einwilligungen aufgrund Ihrer vermeintlichen Simplizität. Man stellt sich ein einfaches Formular mit einer Checkbox vor. Mit Rechtssicherheit oder User-Erwartung hat das jedoch noch nicht viel zu tun. Schliesslich müssen Einwilligungen freiwillig und bewusst erteilt, spezifisch, dokumentiert, vor Verwechslungen geschützt, jederzeit widerrufbar sein und-so-weiter-und-sofort. Enorme Aufwände also, um dies in Prozessen und Applikationen zu ermöglichen.
Bevor man sich also dazu entscheidet eine Erlaubnis einzuholen, empfiehlt es sich deshalb deren Notwendigkeit zu prüfen. Da die Europäische Datenschutz-Grundverordnung (seit Mai 2018 in Kraft) sehr stark auch die Erwartungshaltung der Betroffenen einbezogen hat, kann diese nicht nur in rechtlicher Hinsicht als Grundlage für entsprechende Abklärungen beigezogen werden. Artikel 6 DSGVO („Rechtmässigkeit der Verarbeitung“) führt neben der Erlaubniserteilung noch fünf weitere Legitimationen auf. So sind dies erforderliche Verarbeitungen um..
- ..einen Vertrag oder vorvertragliche Massnahmen mit dem Betroffenen erfüllen zu können (Beispiel: Kontaktformular auf der Website)
- ..Ihren rechtlichen Pflichen nachkommen zu können (Beispiel: Verarbeitung des Geburtsdatums im Kontext eines Alkohol-Verkaufs)
- ..lebenswichtige Interessen einer (beliebigen) natürlichen Person zu schützen (Beispiel: medizinische Notfallversorgung)
- ..Aufgaben im öffentlichen Interesse wahrzunehmen oder in offizieller Ausübung einer öffentlichen Gewalt erfolgen (Beispiel: Personenkontrolle durch Polizei-Organ)
- ..überwiegende berechtigte Interessen zu wahren (Beispiel: Speicherung relevanter Kontaktdaten eines Betroffenen in Zusammenhang mit einer Werbesperre)
Trifft eine dieser Legitimationen zu, empfehle ich die Dokumentation der involvierten Prozesse z.B. im Rahmen der Datenschutz-Erklärung. Ist jedoch eine Erlaubniserteilung tatsächlich die beste Variante, so beachten Sie bitte nachfolgende Checkliste.
Checklisten
Erlaubnis einholen
- Die Erlaubniserteilung ist prominent ersichtlich und getrennt von allgmeinen Nutzungsbedingungen
- Betroffene werden höflich um Erlaubnis (Opt-in) gebeten
- Vorausgewählte Checkboxen und andere „Erlaubnis ohne Widerruf“-Methoden werden nicht eingesetzt
- Es wird eine klare und einfach verständliche Sprache verwendet
- Weshalb die Daten abgefragt werden und was mit ihnen getan wird, ist beschrieben
- Spezifische und unabhängige Prozesse erlauben es, granulare Erlaubnisse zu erteilen
- Der Name der Organisation („Verantwortlicher“) sowie weitere beteiligte Parteien sind ersichtlich
- Wie man jederzeit seine Einwilligung widerrufen kann, ist deklariert
- Jeder kann seine Einwilligung ohne Nachteil widerrufen
- Die Dienstleistung setzt keine nicht zwingend benötigte Einwilligung voraus
- Eine Alters-Verifizierung sowie Mechanismen für eine Eltern-Einwilligung ist implementiert, sofern ggf. relevant
Aufzeichnen
- Wann und wie eine Erlaubnis erteilt wurde, wird gespeichert
- Der genaue Wortlaut einer erteilten Einwilligung wird gespeichert
Verwalten
- Es wird regelmässig geprüft, ob sich erteilte Einwilligungen in Bezug auf deren Beziehung, die Verarbeitung oder dem Zweck verändert haben
- Einwilligungen werden in angemessenen Intervallen erneuert
- Aus Gründen der „good-practice“ wird eine Einwilligungs-Verwaltung verwendet
- Es ist für einen Betroffenen nicht schwieriger seine Einwilligung jederzeit zu widerrufen, als damals die Einwilligung zu erteilen
- Eine Beschreibung ist publiziert, welche erklärt wie man seine Einwilligung jederzeit widerrufen kann
- Einwilligungs-Widerrufe werden so schnell es geht verarbeitet
- Wer den Wunsch äussert seine Einwilligung zu widerrufen, wird nicht bestraft
Fazit
Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) kann sowol als rechtliche als auch ethische Grundlage für Abklärungen beigezogen werden. In Anbetracht des erheblichen Aufwands, welcher mit Einwilligungen einhergeht, sollte man vor einem solchen Einsatz unbedingt deren Notwendigkeit prüfen. Um die kleinstmögliche Angriffsfläche zu bieten, sollte einer der übrig genannten Legitimationsgründe angewendet werden (Präferenz) oder alternativ – im Falle einer Einwilligung – sämtliche Punkte obiger Checklisten erfüllt sein.