🐺 👼🏼 🎞️ DSGVO: Zustimmung zur Verarbeitung personenbezogener Daten 🌏 📶 🧑🏿‍🤝‍🧑🏼

Dies ist eine Übersetzung des offiziellen Einwilligungshandbuchs für die Verarbeitung personenbezogener Daten (Richtlinien zur Einwilligung gemäß Verordnung 2016/679 wp259rev.01) der Arbeitsgruppe der Europäischen Kommission. Das Original wird in 23 Amtssprachen der Europäischen Union veröffentlicht. Trotz der Tatsache, dass Russisch nicht einer von ihnen ist, ist es in Europa sehr verbreitet. Wenn Ihr Unternehmen Kunden aus der EU bedient, sind Sie verpflichtet , die am 25. Mai 2018 in Kraft getretenen Allgemeinen Bestimmungen zum Schutz personenbezogener Daten (Allgemeine Datenschutzverordnung) einzuhalten .

Die Zustimmung zur Verarbeitung personenbezogener Daten ist das erste, was Ihrem Kunden begegnet. Trotz der offensichtlichen Einfachheit nimmt der Leitfaden 30 Seiten ein und verursacht immer noch Schwierigkeiten: Der Verlust personenbezogener Daten auf EU-Websites liegt zwischen 12% und 41% und die Geldbußen der Aufsichtsbehörden zwischen Tausenden und zig Millionen Euro. Große Unternehmen mit einem Team von Anwälten und Ingenieuren können schnell auf Änderungen im Geschäftsumfeld reagieren, aber einzelne Unternehmer und kleine Unternehmen müssen sich oft nur auf sich selbst verlassen und alle Risiken eingehen.

Der Autor versuchte, die Bestimmungen des Leitfadens so nah wie möglich an das Original heranzuführen, wodurch besonders harte Geistliche gemildert wurden. Die Übersetzung erfolgt aus den Originalen in zwei Sprachen, hat keine Rechtskraft. Der Autor gibt keine Garantien und haftet nicht für Ansprüche, Verluste oder entgangenen Gewinn. Aber er wird sich über vernünftige Kommentare und Wortlautverbesserungen freuen.

1. Einleitung

Dieser Leitfaden enthält eine gründliche Analyse des in der Verordnung 2016/679 - Allgemeine Verordnung zum Schutz personenbezogener Daten (DSGVO) enthaltenen Zustimmungskonzepts. Bisher hat sich das in der Datenschutzrichtlinie (Richtlinie 95/46 / EG) und der Richtlinie über Vertraulichkeit und elektronische Kommunikation (Richtlinie 2002/58 / EG) verwendete Zustimmungskonzept weiterentwickelt. Die DSGVO bietet weitere Klarstellungen und Klarstellungen der Anforderungen für die Erlangung und den Nachweis einer rechtsverbindlichen Zustimmung. Dieser Leitfaden konzentriert sich auf diese Änderungen und bietet praktische Anleitungen zur Gewährleistung der Einhaltung der DSGVO auf der Grundlage von Schlussfolgerung 15/2011. Die Aufgabe der für die Verarbeitung personenbezogener Daten Verantwortlichen besteht darin, Innovationen einzuführen und im Rahmen des Gesetzes nach neuen Lösungen zu suchen.die zum Schutz personenbezogener Daten und der Interessen der betroffenen Personen beitragen.

Gemäß Artikel 6 der DSGVO ist die Zustimmung einer der sechs Gründe für die rechtmäßige Verarbeitung personenbezogener Daten. Bei der Aufnahme von Aktivitäten im Zusammenhang mit der Verarbeitung personenbezogener Daten muss der für die Verarbeitung Verantwortliche stets die Rechtsgrundlage für die beabsichtigte Verarbeitung berücksichtigen.

Die Zustimmung kann in der Regel nur dann ein legitimer Grund sein, wenn der betroffenen Person Kontrolle und freie Wahl hinsichtlich der Annahme oder Ablehnung der vorgeschlagenen Bedingungen ohne nachteilige Folgen angeboten wird. Bei der Anforderung der Zustimmung muss der Controller bewerten, ob alle verfügbaren Anforderungen erfüllt werden. Die Zustimmung wurde in voller Übereinstimmung mit der DSGVO eingeholt. Mit diesem Tool können betroffene Personen steuern, ob ihre personenbezogenen Daten verarbeitet werden oder nicht. Andernfalls hat die betroffene Person keine tatsächliche Kontrolle, und diese Zustimmung wird als rechtswidrige Grundlage für die Verarbeitung angesehen.

Die bestehenden Schlussfolgerungen der Arbeitsgruppe (WP29) zur Zustimmung bleiben relevant, solange sie mit den neuen Rechtsvorschriften vereinbar sind, da die von der DSGVO kodifizierten Leitlinien und Empfehlungen sowie die Schlüsselelemente der Zustimmung in der DSGVO unverändert bleiben. Daher erweitert und ergänzt WP29 in diesem Dokument vielmehr die vorherigen Schlussfolgerungen zu bestimmten Aspekten der Zustimmung, die sich bei der Auslegung der Richtlinie 95/46 / EG auf das Abkommen beziehen, und ersetzt sie nicht.

Wie in Schlussfolgerung 15/2011 zur Definition des Begriffs Einwilligung dargelegt, muss ein Vorschlag zur Annahme eines Datenverarbeitungsvorgangs strengen Regeln unterliegen, da er sich auf die Grundfreiheiten der betroffenen Personen und den Wunsch des für die Verarbeitung Verantwortlichen bezieht, an diesen Vorgängen teilzunehmen, die ohne die Zustimmung der betroffenen Person illegal wären. Die entscheidende Rolle der Zustimmung wird in den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union hervorgehoben. Darüber hinaus schließt die erteilte Zustimmung die Pflicht des für die Verarbeitung Verantwortlichen zur Einhaltung der in der DSGVO, insbesondere in Artikel 5, verankerten Grundsätze in Bezug auf Fairness, Notwendigkeit, Verhältnismäßigkeit und Qualität der Daten nicht aus und ändert sie in keiner Weise. Selbst wenn die Verarbeitung personenbezogener Daten auf der Zustimmung der betroffenen Person beruht, wird die Erhebung von Daten, die für den angegebenen Zweck der Verarbeitung nicht erforderlich sind, nicht legalisiert und somit unfair.

Gleichzeitig ist WP29 die Überarbeitung der Richtlinie 2002/58 / EG bekannt. Das Konzept der Zustimmung im Entwurf dieser Richtlinie steht weiterhin im Einklang mit der DSGVO. Unternehmen verlangen wahrscheinlich die Zustimmung, dies für die meisten Marketingnachrichten, Anrufe und Internet-Tracking-Methoden zu tun, einschließlich der Verwendung von Cookies, Anwendungen oder anderer Software. In Bezug auf die Zustimmung hat WP29 dem europäischen Gesetzgeber bereits seine Vorschläge und Anweisungen vorgelegt.

In Bezug auf die aktuelle Fassung der Richtlinie 2002/58 / EG stellt WP29 fest, dass Verweise auf die aufgehobene Richtlinie 95/46 / EG als Verweise auf die DSGVO auszulegen sind. Dies gilt auch für Verweise auf die Zustimmung zur Richtlinie 2002/58 / EG, die am 25. Mai 2018 ausläuft. Gemäß Artikel 95 der DSGVO gelten Verpflichtungen im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Dienste in öffentlichen Kommunikationsnetzen nicht als „zusätzliche“, sondern als vorläufige rechtliche Bedingungen. Daher gelten die Anforderungen für die Erlangung der Zustimmung zur DSGVO auch in Situationen im Rahmen der Richtlinie 2002/58 / EG.

2. Zustimmung zu Artikel 4 Absatz 11 DSGVO

Artikel 4 Absatz 11 der DSGVO definiert die Zustimmung wie folgt: „eine freiwillige, spezifische, informierte und eindeutige Willensäußerung, in der die betroffene Person unter Verwendung einer Erklärung oder einer eindeutigen positiven Handlung der Verarbeitung ihrer personenbezogenen Daten zustimmt.“

Das Verständnis der Grundlage der Einwilligung bleibt das gleiche wie in der Richtlinie 95/46 / EG, und die Einwilligung ist einer der Rechtsgründe, auf denen die Verarbeitung personenbezogener Daten gemäß Artikel 6 der DSGVO beruhen sollte. Zusätzlich zu der geänderten Definition in Artikel 4 Absatz 11 enthält die DSGVO in Artikel 7 und in den Absätzen 32, 33, 42 und 43 weitere Leitlinien dazu, wie der für die Verarbeitung Verantwortliche handeln sollte, um die Einhaltung der Elemente der Zustimmung sicherzustellen.

Schließlich bestätigt die Aufnahme spezifischer Regeln für den Widerruf der Einwilligung, dass die Einwilligung eine umkehrbare und kontrollierte Entscheidung der betroffenen Person sein muss.

3. Elemente der rechtlichen Zustimmung

Artikel 4 Absatz 11 der DSGVO definiert die Zustimmung des Subjekts als:

freiwillig
Spezifisch
informiert und
Eindeutige Willensäußerung, bei der die betroffene Person mit einer Erklärung oder einer eindeutigen positiven Zustimmung der Verarbeitung ihrer personenbezogenen Daten zustimmt.

Im Folgenden wird analysiert, inwieweit Artikel 4 Absatz 11 der DSGVO von den für die Verarbeitung Verantwortlichen verlangt, ihre Anträge / Formulare auf Zustimmung zu ändern, um die Einhaltung der DSGVO sicherzustellen.

3.1. Freiwillig

Dieses Element impliziert eine echte Auswahl und Kontrolle für die betroffenen Personen. Die DSGVO sieht vor, dass eine solche Zustimmung als illegal angesehen wird, wenn die betroffene Person keine wirkliche Wahl hat, sich gezwungen fühlt, zuzustimmen oder Schaden zu erleiden, wenn sie nicht zustimmt. Wenn die Zustimmung als unveränderlicher Bestandteil in den Nutzungsbedingungen enthalten ist, gilt sie nicht als freiwillig. Dementsprechend gilt die Zustimmung nicht als freiwillig, wenn die betroffene Person sie nicht ohne nachteilige Folgen für sich selbst ablehnen oder widerrufen kann. Das Konzept des Ungleichgewichts zwischen dem für die Verarbeitung Verantwortlichen und der betroffenen Person wird in der DSGVO ebenfalls berücksichtigt.

Bei der Beurteilung, ob die Zustimmung freiwillig erteilt wurde, sollte auch die spezifische Situation berücksichtigt werden, in der sie mit Dienstleistungsvereinbarungen verbunden ist, wie in Artikel 7 Absatz 4 beschrieben. Artikel 7 Absatz 4 ist mit den Worten „insbesondere“ falsch formuliert, was bedeutet, dass es eine Reihe von Situationen geben kann, die in den Geltungsbereich dieser Regel fallen. Im Allgemeinen macht jedes Element des Drucks oder Einflusses auf eine betroffene Person (das auf verschiedene Weise auftreten kann), das die betroffene Person daran hindert, ihren freien Willen auszuüben, die Zustimmung illegal.

1

GPS- . , . , . , .

3.1.1.

Aus Paragraph 43 geht eindeutig hervor, dass es unwahrscheinlich ist, dass sich Regierungsbehörden auf die Zustimmung verlassen können, denn wenn der Staat der für die Datenverarbeitung Verantwortliche ist, besteht häufig ein deutliches Ungleichgewicht zwischen ihm und der betroffenen Person. Darüber hinaus ist in den meisten Fällen klar, dass die betroffene Person keine wirklichen Alternativen zur Annahme der Bedingungen eines solchen für die Verarbeitung Verantwortlichen hat. WP29 ist der Ansicht, dass es andere rechtliche Gründe gibt, die grundsätzlich besser für die Tätigkeit staatlicher Stellen geeignet sind.

Die Verwendung der Zustimmung als Rechtsgrundlage für die Verarbeitung von Daten durch Regierungsbehörden ist jedoch keine Ausnahme von der DSGVO. Die folgenden Beispiele zeigen, dass die Zustimmung unter bestimmten Umständen angemessen sein kann.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

Ein Ungleichgewicht tritt auch im Zusammenhang mit der Beschäftigung auf. Angesichts der Beziehung zwischen Arbeitgeber und Arbeitnehmer ist es unwahrscheinlich, dass die betroffene Person ihre Zustimmung zur Verarbeitung personenbezogener Daten verweigert, ohne Angst oder das Risiko negativer Konsequenzen infolge der Ablehnung zu haben. Es ist unwahrscheinlich, dass ein Mitarbeiter freiwillig zustimmen kann, beispielsweise Überwachungssysteme wie Überwachungskameras am Arbeitsplatz zu aktivieren oder Bewertungsformulare auszufüllen, ohne Druck auszuüben. Daher hält es WP29 für Arbeitgeber für problematisch, personenbezogene Daten von Arbeitnehmern auf der Grundlage der Zustimmung zu verarbeiten, da dies kaum als freiwillige Daten angesehen werden kann. In den meisten Fällen der Verarbeitung von Daten in der Produktion kann die Zustimmung der Arbeitnehmer (Artikel 6 Absatz 1 Buchstabe a DSGVO) aufgrund der Art der Beziehung kein legitimer Grund sein.

Dies bedeutet jedoch nicht, dass sich Arbeitgeber nicht auf die Zustimmung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verlassen können. Es können Situationen auftreten, in denen der Arbeitgeber nachweisen kann, dass die Zustimmung tatsächlich freiwillig erteilt wurde. Angesichts des Ungleichgewichts zwischen dem Arbeitgeber und seinen Arbeitnehmern können Arbeitnehmer ihre Einwilligung nur freiwillig erteilen, wenn dies keine negativen Folgen hat, unabhängig davon, ob sie ihre Einwilligung erteilen oder nicht.

Beispiel 5

Ein Filmteam dreht in einem bestimmten Teil des Büros. Der Arbeitgeber bittet alle Mitarbeiter, die in diesem Bereich arbeiten, ihre Zustimmung zu den Dreharbeiten zu geben, da diese möglicherweise im Hintergrund des Videos erscheinen. Diejenigen, die in keiner Weise handeln wollen, werden nicht bestraft, sondern erhalten für die Dauer der Dreharbeiten gleichwertige Jobs in einem anderen Teil des Büros.

Das Ungleichgewicht ist nicht nur auf staatliche Stellen und Arbeitgeber beschränkt, sondern kann auch in anderen Situationen auftreten. WP29 betont, dass die Zustimmung nur dann legal ist, wenn die betroffene Person in der Lage ist, echte Entscheidungen zu treffen, ohne das Risiko von Betrug, Einschüchterung, Zwang oder negativen Konsequenzen. Die Zustimmung ist nicht freiwillig, wenn ein Element von Zwang, Druck oder Unfähigkeit zur Ausübung des freien Willens vorliegt.

3.1.2. Optional

Artikel 7 Absatz 4 DSGVO spielt eine wichtige Rolle bei der Beurteilung, ob eine Zustimmung freiwillig ist. Sie weist insbesondere darauf hin, dass eine „Verknüpfung“ der Zustimmung mit der Annahme der Nutzungsbedingungen oder eine „Verknüpfung“ der Bereitstellung der Dienstleistung mit einer Aufforderung zur Zustimmung zur Verarbeitung personenbezogener Daten, die für die Ausführung des Vertrags nicht erforderlich sind, höchst unerwünscht ist. Die in einer solchen Situation erteilte Zustimmung gilt nicht als freiwillig (Ziffer 43). Artikel 7 Absatz 4 soll sicherstellen, dass der Zweck der Verarbeitung personenbezogener Daten nicht verschleiert oder mit einem Vertrag verbunden wird, für den diese Daten nicht benötigt werden. Die DSGVO macht geltend, dass die Verarbeitung personenbezogener Daten, für die die Zustimmung beantragt wird, weder direkt noch indirekt zu einer Gegenforderung werden kann.Zwei Gründe für die rechtmäßige Verarbeitung personenbezogener Daten - Zustimmung und Erbringung von Dienstleistungen - können nicht kombiniert und verwischt werden.

Der Zwang, der Verwendung personenbezogener Daten über die erforderlichen Grenzen hinaus zuzustimmen, schränkt die Wahl der betroffenen Person ein und behindert die Ausübung des freien Willens. Da das Gesetz den Schutz der Grundrechte zum Ziel hat, ist die Datenkontrolle von entscheidender Bedeutung. Es wird argumentiert, dass die Zustimmung zur Verwendung personenbezogener Daten, die über das Notwendige hinausgeht, keine zwingende Annahme im Austausch für die Ausführung eines Vertrags oder die Erbringung von Dienstleistungen sein kann.

Wenn sich die Zustimmung auf die Ausführung des Vertrags bezieht, riskiert die betroffene Person, die keine personenbezogenen Daten angeben möchte, einen Denial-of-Service.

Um beurteilen zu können, ob es sich um eine „Bindung“ oder eine „Bindung“ handelt, ist es wichtig, den Umfang des Vertrags und die für seine Ausführung erforderlichen Daten zu bestimmen. Gemäß Schlussfolgerung 06/2014 WP29 sollte der Begriff „zur Ausführung des Vertrags erforderlich“ eng ausgelegt werden. Die Verarbeitung muss erforderlich sein, um einen Vertrag mit jeder einzelnen betroffenen Person abzuschließen. Im Kontext eines Online-Shops kann dies beispielsweise die Adresse für die Lieferung von Waren oder Kreditkartendaten sein. Im Zusammenhang mit der Beschäftigung können dies Gehaltsinformationen und Bankkontodaten sein. Es muss ein direkter und objektiver Zusammenhang zwischen den Daten und dem Zweck ihrer Verwendung im Vertrag bestehen.

Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten verarbeiten möchte, die für die Ausführung des Vertrags tatsächlich erforderlich sind, ist die Zustimmung keine zwingende Grundlage.

Artikel 7 Absatz 4 gilt nur in Fällen, in denen die angeforderten Daten für die Ausführung des Vertrags nicht erforderlich sind und die Ausführung vom Erhalt dieser Daten durch die Zustimmung abhängig gemacht wird. Umgekehrt gilt Artikel 7 Absatz 4 nicht, wenn die Daten zur Vertragserfüllung erforderlich sind.

Beispiel 6 Eine

Bank bittet Kunden um Zustimmung, damit Dritte ihre Daten für das Direktmarketing verwenden können. Diese Tätigkeit ist für die Ausführung des Vertrages und die Erbringung gewöhnlicher Dienstleistungen nicht erforderlich. Wenn die Weigerung eines Kunden, seine Zustimmung zu erteilen, zu einer Weigerung führt, Bankdienstleistungen zu erbringen, ein Konto zu schließen oder die Provision zu erhöhen, gilt diese Zustimmung nicht als freiwillig.

Die Fokussierung auf Fakultativität als Vermutung mangelnder Einwilligungsfreiheit zeigt, dass die Bedingungen für ihr Auftreten sorgfältig geprüft werden müssen. Der Begriff „besonders beachten“ in Artikel 7 Absatz 4 bedeutet, dass der für die Verarbeitung Verantwortliche besondere Vorsicht walten lassen muss, wenn der Vertrag einen Antrag auf Zustimmung zur Verarbeitung personenbezogener Daten enthält.

Da der Wortlaut von Artikel 7 Absatz 4 nicht absolut ist, kann es Fälle geben, in denen die Zustimmung die Zustimmung nicht rechtswidrig macht. Das Wort „angeblich“ in Ziffer 43 weist jedoch darauf hin, dass solche Fälle äußerst selten sein werden.

In jedem Fall liegt die in Artikel 7 Absatz 4 vorgesehene Beweislast beim für die Verarbeitung Verantwortlichen. Diese Regel spiegelt das allgemeine Prinzip der Rechenschaftspflicht wider, das in der gesamten DSGVO gilt. Bei der Anwendung von Artikel 7 Absatz 4 wird es für den für die Verarbeitung Verantwortlichen jedoch schwieriger sein nachzuweisen, dass die betroffene Person freiwillig ihre Zustimmung gegeben hat.

Der für die Verarbeitung Verantwortliche kann argumentieren, dass die Organisation den betroffenen Personen eine echte Wahl bietet, wenn sie zwischen einem Dienst, für den die Zustimmung zur Verwendung personenbezogener Daten für zusätzliche Zwecke erforderlich ist, und einem identischen Dienst, für den keine solche Zustimmung erforderlich ist, wählen kann. Solange es möglich ist, einen Vertrag ohne Zustimmung zur Verwendung zusätzlicher Daten auszuführen, gilt dies nicht als optional. In diesem Fall sollten beide Dienste praktisch identisch sein.

WP29 ist der Ansicht, dass die Zustimmung nicht als freiwillig angesehen wird, wenn der für die Verarbeitung Verantwortliche behauptet, dass zwischen einem Dienst, bei dem die Zustimmung zur Verwendung personenbezogener Daten für zusätzliche Zwecke erforderlich ist, und einem identischen Dienst eines anderen für die Verarbeitung Verantwortlichen, für den keine solche Zustimmung erforderlich ist, die Wahl besteht. In diesem Fall hängt die Wahlfreiheit davon ab, ob die betroffene Person die Dienste für praktisch identisch hält. Darüber hinaus muss der für die Verarbeitung Verantwortliche den Markt überwachen, um die fortdauernde Gültigkeit dieser Zustimmung sicherzustellen, da ein Wettbewerber den Dienst später ändern kann. Ein solches Argument bedeutet daher, dass die Zustimmung nicht den Anforderungen der DSGVO entspricht.

3.1.3. Detail

Ein Dienst kann mehrere Datenverarbeitungsvorgänge für mehr als einen Zweck umfassen. In solchen Fällen sollten die betroffenen Personen in der Lage sein, separat zu wählen, für welchen Zweck sie ihre Einwilligung erteilen. In Übereinstimmung mit der DSGVO können mehrere Zustimmungen beantragt werden, um mit der Erbringung einer Dienstleistung zu beginnen.

In Paragraph 43 wird klargestellt, dass die Zustimmung nicht als freiwillig angesehen wird, wenn das Empfangsverfahren nicht zulässt, dass betroffene Personen bestimmten Transaktionen zustimmen. In Artikel 32 heißt es: „Die Zustimmung gilt für alle Methoden zur Verarbeitung personenbezogener Daten, die zur Erreichung des gleichen Ziels durchgeführt werden. Für den Fall, dass die Verarbeitung personenbezogener Daten mehreren Zwecken dient, ist es erforderlich, für jeden von ihnen eine Einwilligung einzuholen. “

Wenn der Controller mehrere Verarbeitungsziele kombiniert und nicht versucht hat, für jedes eine separate Zustimmung zu erhalten, bedeutet dies einen Mangel an Freiheit. Die Detaillierung hängt eng mit der Notwendigkeit der Konkretisierung der Zustimmung zusammen, die in Abschnitt 3.2 beschrieben wird. unten. Wenn die Datenverarbeitung zu mehreren Zwecken durchgeführt wird, ist eine Bedingung der rechtlichen Zustimmung die Trennung dieser Ziele und die Erlangung der Zustimmung für jeden.

7

, . , . . (. 3.3.1), , , .

3.1.4.

Der für die Verarbeitung Verantwortliche ist verpflichtet, der betroffenen Person nachzuweisen, dass er die Zustimmung unbeschadet seiner selbst widerrufen kann (Randnr. 42). Beispielsweise muss der für die Verarbeitung Verantwortliche nachweisen, dass der Widerruf der Einwilligung keine Kosten für die betroffene Person verursacht und keine offensichtlichen Unannehmlichkeiten für sie verursacht.

Andere Beispiele für Schäden sind Täuschung, Einschüchterung, Zwang oder erhebliche negative Folgen, wenn die betroffene Person ihre Zustimmung nicht erteilt. Der für die Verarbeitung Verantwortliche muss nachweisen, dass die betroffene Person die freie Wahl hat, ob sie eine Einwilligung erteilt, und dass sie diese unbeschadet ihrer selbst widerrufen kann.

Wenn der für die Verarbeitung Verantwortliche nachweist, dass der Dienst die Möglichkeit umfasst, die Zustimmung ohne negative Folgen zu widerrufen, beispielsweise ohne die Qualität zu beeinträchtigen, kann dies als Beweis für eine freiwillige Zustimmung dienen. Die DSGVO enthält nicht alle Anreize, aber die Beweislast für die Freiwilligkeit dieser Zustimmung liegt in allen Fällen beim für die Verarbeitung Verantwortlichen.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

Artikel 6 Absatz 1 Buchstabe a bestätigt, dass die Zustimmung in Bezug auf „ein oder mehrere spezifische“ Ziele erteilt werden muss und dass die betroffene Person in Bezug auf jedes dieser Ziele eine Wahl hat. Die Anforderung, dass die Zustimmung spezifisch sein muss, zielt darauf ab, die Benutzerkontrolle und Transparenz für die betroffene Person zu gewährleisten. Die DSGVO hat diese Anforderung nicht geändert und steht weiterhin in engem Zusammenhang mit der Anforderung der Einwilligung nach Aufklärung. Gleichzeitig sollte es in Übereinstimmung mit den Detailanforderungen interpretiert werden, um eine freiwillige Zustimmung zu erhalten. Um genau zu sein, sollte der Controller im Allgemeinen:

das Ziel als Schutzmaßnahme gegen seine Ausdehnung angeben,
detailliert die Bitte um Zustimmung und,
Trennen Sie die Informationen zur Erlangung der Zustimmung klar von allen anderen.

Ergänzung zu 1. Gemäß Artikel 5 Absatz 1 Buchstabe b der DSGVO geht der Erlangung der Zustimmung immer die Bestimmung des spezifischen, ausdrücklichen und rechtlichen Zwecks der beabsichtigten Datenverarbeitung voraus. Die Notwendigkeit einer spezifischen Zustimmung in Verbindung mit dem Konzept der Zielbeschränkung in Artikel 5 Absatz 1 Buchstabe b dient als Schutz gegen die schrittweise Ausweitung des Ziels der Datenerfassung, nachdem das Unternehmen die Zustimmung erteilt hat. Dieses Phänomen, auch als funktionales Kriechen bezeichnet, stellt ein Risiko für betroffene Personen dar, da es zu einer unvorhergesehenen Verwendung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen oder durch Dritte und zum Verlust der Kontrolle führen kann.

Wenn sich der für die Verarbeitung Verantwortliche auf Artikel 6 Absatz 1 Buchstabe a stützt, müssen die betroffenen Personen stets dem spezifischen Zweck der Verarbeitung zustimmen. In Übereinstimmung mit dem Konzept der Zielbeschränkung, Artikel 5 Absatz 1 Buchstabe b und Absatz 32, kann die Zustimmung verschiedene Operationen abdecken, wenn sie demselben Zweck dienen. Eine spezifische Zustimmung kann natürlich nur eingeholt werden, wenn die betroffenen Personen genau über die beabsichtigten Verarbeitungsziele informiert sind.

Trotz der Fähigkeit, Ziele zu kombinieren, muss die Zustimmung für jeden spezifisch sein. Die betroffenen Personen müssen dem Verständnis zustimmen, dass sie die Situation kontrollieren, und ihre Daten werden nur für die angegebenen Zwecke verarbeitet. Wenn der für die Verarbeitung Verantwortliche die Daten für einen bestimmten Zweck rechtmäßig verarbeitet und sie auch für einen anderen Zweck verarbeiten möchte, muss der für die Verarbeitung Verantwortliche eine zusätzliche Zustimmung einholen, es sei denn, es gibt eine andere Rechtsgrundlage, die die Situation besser widerspiegelt.

11

, , . , ( ) . .

Ergänzung zu 2. Zustimmungsmechanismen sollten nicht nur detailliert sein, um die Anforderung „freiwillig“ zu erfüllen, sondern auch um das Element „Spezifität“ zu erfüllen. Dies bedeutet, dass der Controller, der die Zustimmung für verschiedene Zwecke anfordert, für jeden eine Auswahl treffen muss, damit Benutzer die Zustimmung für einen bestimmten Verarbeitungszweck erteilen können.

Ergänzung zu 3. Schließlich müssen die Aufsichtsbehörden in jedem einzelnen Zustimmungsantrag für jeden Zweck spezifische Informationen angeben, damit die betroffenen Personen über die Auswirkungen unterschiedlicher Entscheidungen informiert sind. So erhalten betroffene Personen die Möglichkeit, eine spezifische Zustimmung zu erteilen. Dieser Punkt bezieht sich auf die Verpflichtung zur Bereitstellung klarer Informationen in Abschnitt 3.3. unten.

3.3. Unterrichtet

Die DSGVO verlangt, dass die Zustimmung informiert wird. Auf der Grundlage von Artikel 5 der DSGVO ist das Erfordernis der Transparenz eines der Grundprinzipien, die eng mit den Grundsätzen der Gerechtigkeit und Rechtmäßigkeit verbunden sind. Die Bereitstellung von Informationen für betroffene Personen vor Erhalt ihrer Zustimmung ist wichtig, damit sie eine fundierte Entscheidung treffen, verstehen, womit sie genau einverstanden sind, und beispielsweise das Recht verstehen, ihre Zustimmung zu widerrufen. Wenn der für die Verarbeitung Verantwortliche keine zugänglichen Informationen bereitstellt, erhält die betroffene Person keine tatsächliche Kontrolle, und diese Zustimmung wird als rechtswidrige Grundlage für die Verarbeitung angesehen.

Die Folge der Nichteinhaltung der Einverständniserklärung ist ihre Rechtswidrigkeit, und der für die Verarbeitung Verantwortliche verstößt möglicherweise gegen Artikel 6 der DSGVO.

3.3.1. Mindestanforderungen an den Inhalt, um eine Einverständniserklärung zu erhalten

Damit die Einwilligung informiert werden kann, müssen der betroffenen Person mehrere Elemente zur Verfügung gestellt werden, die für eine Entscheidung von entscheidender Bedeutung sind. Daher ist WP29 der Ansicht, dass mindestens die folgenden Informationen erforderlich sind, um eine rechtliche Zustimmung zu erhalten:

Name des Controllers
Verarbeitungszwecke, für die personenbezogene Daten bestimmt sind,
die Arten von Daten, die gesammelt und verwendet werden,
das Recht, die Zustimmung zu widerrufen,
gegebenenfalls Angaben zur automatischen Datenverarbeitung gemäß Artikel 22 Absatz 2 Buchstabe c und
Informationen zu den möglichen Risiken der Datenübertragung aufgrund des Fehlens einer angemessenen Lösung und der in Artikel 46 beschriebenen Schutzmaßnahmen.

In Bezug auf die Absätze 1. und 3. stellt WP29 fest, dass in dem Fall, in dem die beantragte Zustimmung von mehreren (gemeinsamen) Kontrolleuren eingeholt werden muss oder wenn die Daten von anderen Kontrolleuren übertragen oder verarbeitet werden müssen, die einer solchen Zustimmung beitreten möchten, alle von ihnen sein müssen sind aufgelistet. Datenverarbeiter dürfen nicht angegeben werden, obwohl die für die Verarbeitung Verantwortlichen eine vollständige Liste der Datenempfänger oder ihrer Kategorien, einschließlich der Verarbeiter, vorlegen müssen, um den Artikeln 13 und 14 der DSGVO zu entsprechen. Zusammenfassend stellt WP29 fest, dass die betroffene Person abhängig von den Umständen möglicherweise zusätzliche Informationen benötigt, um die Datenverarbeitungsvorgänge klar zu verstehen.

3.3.2. Informationen bereitstellen

Die DSGVO beschreibt nicht die Form oder Art der Bereitstellung von Informationen, um die Anforderung der Einwilligung nach Aufklärung zu erfüllen. Dies bedeutet, dass es auf verschiedene Arten dargestellt werden kann, beispielsweise durch schriftliche oder mündliche Erklärungen, Audio- oder Videonachrichten. In der DSGVO gibt es jedoch mehrere Anforderungen an die Einwilligung nach Aufklärung, hauptsächlich in Artikel 7 Absatz 2 und Artikel 32. Dies verbessert die Klarheit und Zugänglichkeit.

Wenn Sie die Zustimmung anfordern, sollte der Controller immer eine klare und einfache Sprache verwenden. Dies bedeutet, dass die Botschaft für eine normale Person und nicht nur für einen Anwalt leicht verständlich sein sollte. Vorgesetzte sollten keine langen Datenschutzrichtlinien verwenden, die schwer zu verstehen sind, oder keine juristische Fachsprache. Die Zustimmung muss klar, von anderen Themen unterscheidbar und verständlich und leicht zugänglich sein. Diese Anforderung bedeutet, dass Informationen im Zusammenhang mit der Annahme einer informierten Entscheidung über Zustimmung oder Nichtübereinstimmung nicht in den allgemeinen Nutzungsbedingungen verborgen werden können.

Der für die Verarbeitung Verantwortliche muss sicherstellen, dass die Zustimmung auf der Grundlage von Informationen eingeholt wird, anhand derer die betroffene Person leicht erkennen kann, wer der für die Verarbeitung Verantwortliche ist und womit sie genau einverstanden sind. Der für die Verarbeitung Verantwortliche muss den Zweck der Verarbeitung, für die die Zustimmung beantragt wird, klar beschreiben.

Weitere spezifische Richtlinien zur Barrierefreiheit sind in Bezug auf Transparenz in WP29 enthalten. Wenn die Zustimmung elektronisch erteilt wird, muss der Antrag klar und präzise sein. Umfassende und detaillierte Informationen eignen sich besser für bilaterale Verpflichtungen - einerseits genau und vollständig und andererseits verständlich.

Der Controller muss die Zielgruppe bewerten, die personenbezogene Daten übermittelt. Wenn es beispielsweise Minderjährige enthält, sollte der Controller sicherstellen, dass die Informationen für sie verständlich sind. Nach einer solchen Bewertung muss der für die Verarbeitung Verantwortliche bestimmen, welche Informationen und wie er die betroffenen Personen bereitstellen soll.

Artikel 7 Absatz 2 berücksichtigt im Voraus erstellte schriftliche Einverständniserklärungen, die sich auf andere Angelegenheiten beziehen. Wenn die Zustimmung im Rahmen eines (Papier-) Vertrags beantragt wird, sollte ein solcher Antrag klar von anderen Fragen getrennt werden. Wenn der Papiervertrag Aspekte enthält, die nicht mit der Zustimmung zusammenhängen, sollte die Frage so betrachtet werden, dass sie deutlich hervorsticht oder als separates Dokument vorgeschlagen wird. Wenn die Zustimmung elektronisch angefordert wird, sollte die Anfrage separat sein und darf nicht nur ein Absatz in den Nutzungsbedingungen gemäß Absatz 32 sein. Wenn sie auf kleinen Bildschirmen oder auf engstem Raum platziert wird, kann eine umfassende Art der Bereitstellung von Informationen angebracht sein, um eine übermäßige Interaktion mit zu vermeiden Verstöße gegen das Benutzer- oder Produktdesign.

Der für die Verarbeitung Verantwortliche, der sich auf die Zustimmung bezieht, muss auch die Anforderungen der Artikel 13 und 14 erfüllen, um die DSGVO einzuhalten. In der Praxis kann ein integrierter Ansatz gewählt werden, um diese Anforderungen zu erfüllen und um die Anforderung der informierten Zustimmung zu erfüllen. Dieser Abschnitt des Leitfadens wurde jedoch in dem Zusammenhang verfasst, dass eine legitime „informierte“ Zustimmung eingeholt werden kann, auch wenn nicht alle Elemente der Artikel 13 und / oder 14 während des Eingangs erwähnt werden (diese Punkte sollten natürlich an anderer Stelle erwähnt werden, z Datenschutz-Bestimmungen). WP29 gab separate Empfehlungen zur Transparenz ab.

Beispiel 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

Die DSGVO stellt fest, dass die Zustimmung eine Erklärung oder eine eindeutige positive Handlung der betroffenen Person erfordert. Es sollte offensichtlich sein, dass die betroffene Person der spezifischen Verarbeitung zugestimmt hat.
Artikel 2 Buchstabe h der Richtlinie 95/46 / EG beschreibt die Zustimmung als „Ausdruck des Willens, mit dem die betroffene Person ihre Zustimmung zur Verarbeitung personenbezogener Daten, die sie betreffen, zum Ausdruck bringt“. Artikel 4 Absatz 11 der DSGVO basiert auf dieser Definition und stellt klar, dass eine rechtliche Zustimmung eine ausdrückliche Willensäußerung durch eine Erklärung oder eine klare positive Handlung gemäß den vorherigen Anweisungen von WP29 erfordert.

"Klare positive Handlung" bedeutet, dass das Subjekt einer bestimmten Behandlung bewusst zustimmt. Abschnitt 32 enthält weitere Anleitungen zu diesem Thema. Die Zustimmung kann durch schriftliche oder (aufgezeichnete) mündliche Erklärung sowie elektronisch eingeholt werden.

Der einfachste Weg, um die Anforderung einer „schriftlichen Erklärung“ zu erfüllen, besteht darin, sicherzustellen, dass die betroffene Person dem für die Verarbeitung Verantwortlichen per Brief oder E-Mail erklärt hat, womit sie einverstanden ist. Oft ist dies nicht möglich. Die jeweiligen schriftlichen Erklärungen der DSGVO können variieren.

Unbeschadet des bestehenden (nationalen) Vertragsrechts kann die Zustimmung durch aufgezeichnete mündliche Mitteilung eingeholt werden, wobei zuvor die der betroffenen Person zur Verfügung stehenden Informationen berücksichtigt wurden. Laut GDPR ist die Verwendung von vorgewählten Optionen nicht zulässig. Schweigen, Untätigkeit oder fortgesetzte Arbeit mit dem Dienst werden nicht als Zeichen der Wahl angesehen.

Beispiel 14

Während der Installation fordert die Anwendung die betroffene Person zur Zustimmung auf, personalisierte Absturzberichte zu verwenden, um ihre Qualität zu verbessern. Eine umfassende Datenschutzrichtlinie mit allen erforderlichen Informationen ist der Einverständniserklärung beigefügt. Durch aktives Ankreuzen des optionalen Feldes mit der Aufschrift "Ich stimme zu" führt der Benutzer eine eindeutige positive Aktion durch, die seine Zustimmung zur Verarbeitung gibt.

Der für die Verarbeitung Verantwortliche muss berücksichtigen, dass die Zustimmung nicht gleichzeitig mit dem Vertrag über die Erbringung von Dienstleistungen eingeholt werden kann. Die Annahme der Nutzungsbedingungen kann nicht als eindeutige positive Maßnahme zur Verwendung personenbezogener Daten angesehen werden. Die DSGVO verbietet vorgewählte Optionen (z. B. das Feld "Abbestellen") oder andere Methoden, bei denen die betroffene Person eingreifen muss, um die Zustimmung zu widerrufen.

Wenn die Zustimmung elektronisch erteilt wird, sollte die Anfrage die Arbeit mit dem Dienst nicht unnötig unterbrechen. Eine eindeutige positive Maßnahme, mit der die betroffene Person die Zustimmung erteilt, kann erforderlich sein, wenn eine weniger störende Art der Erlangung der Zustimmung zu Unklarheiten führt. Um die Zustimmung anzufordern, kann es daher erforderlich sein, die Interaktion mit dem Benutzer teilweise auszusetzen, um die Anfrage legitim zu machen.

In Übereinstimmung mit der DSGVO haben die Aufsichtsbehörden das Recht, den für die Organisation am besten geeigneten Zustimmungsprozess unabhängig zu entwickeln. In diesem Sinne können körperliche Handlungen als eindeutig positiv eingestuft werden.

Die Aufsichtsbehörden sollten die Zustimmungsmechanismen so gestalten, dass sie von den betroffenen Personen verstanden werden. Die Aufsichtsbehörden sollten Unklarheiten vermeiden und sicherstellen, dass die Maßnahme, mit der die Zustimmung erteilt wird, von anderen Maßnahmen unterschieden werden kann. Die übliche fortgesetzte Nutzung der Website ist daher keine Handlung, aus der wir schließen können, dass die betroffene Person ihre Zustimmung zum Verarbeitungsvorgang zum Ausdruck bringen möchte.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

In der digitalen Welt benötigen viele Dienste personenbezogene Daten, sodass betroffene Personen mehrere Zustimmungsanfragen erhalten, die jeden Tag durch Klicken und Wischen auf den Bildschirm beantwortet werden müssen. Dies kann zu Apathie führen: Wenn Anforderungen zu oft erfüllt werden, verringert sich ihr tatsächlicher Warnungseffekt.

Dies führt dazu, dass die Zustimmungsanforderung nicht mehr gelesen wird. Diese Situation stellt ein hohes Risiko für betroffene Personen dar, da die Zustimmung normalerweise zur Verarbeitung angefordert wird, die ohne sie illegal wäre. Die DSGVO verpflichtet die Aufsichtsbehörden, Methoden zur Lösung dieses Problems zu entwickeln.

Ein bekanntes Beispiel für eine solche Situation ist das Einholen der Zustimmung eines Internetbenutzers über die Einstellungen in seinem Browser. Solche Einstellungen sollten in Übereinstimmung mit der DSGVO entworfen werden. Beispielsweise sollte die Zustimmung für jedes der Ziele detailliert sein und die Namen der Vorgesetzten enthalten.

In jedem Fall muss die Zustimmung eingeholt werden, bevor der für die Verarbeitung Verantwortliche mit der Verarbeitung personenbezogener Daten fortfährt. In früheren Empfehlungen hat WP29 konsequent darauf hingewiesen, dass die Zustimmung erteilt werden muss, bevor die Verarbeitungsaktivitäten beginnen. Trotz der Tatsache, dass Artikel 4 Absatz 11 der DSGVO den Erhalt der Zustimmung vor Beginn der Verarbeitung nicht wörtlich vorschreibt, ist dies eindeutig impliziert. Der Titel von Artikel 6 Absatz 1 und der Wortlaut „gegeben“ in Artikel 6 Absatz 1 Buchstabe a stützen eine solche Auslegung. Aus Artikel 6 und Absatz 40 folgt logischerweise, dass vor Beginn der Datenverarbeitung eine Rechtsgrundlage vorhanden sein muss. Daher muss die Zustimmung vor Beginn des Datenverarbeitungsprozesses erteilt werden. Grundsätzlich reicht es aus, die Zustimmung der betroffenen Person einmal einzuholen. Die Aufsichtsbehörden müssen jedoch eine neue Zustimmung einholen, wenn sich die Verarbeitungsziele geändert haben oder ein zusätzlicher Zweck vorliegt.

4. Einholen der expliziten Zustimmung

In einigen Situationen, in denen ein ernstes Datenschutzrisiko besteht, ist eine ausdrückliche Zustimmung erforderlich. Daher wird ein hohes Maß an individueller Kontrolle über personenbezogene Daten als angemessen angesehen. Nach Angaben der DSGVO spielt die ausdrückliche Zustimmung in Artikel 9 eine wichtige Rolle in Bezug auf die Verarbeitung spezieller Datenkategorien, Bestimmungen über die Übermittlung von Daten an Drittländer oder internationale Organisationen, wenn in den Artikeln 49 und 22 keine Schutzmaßnahmen für die automatisierte Entscheidungsfindung einschließlich der Profilerstellung vorgesehen sind.

Die DSGVO sieht vor, dass eine „Erklärung oder eine klare positive Handlung“ eine Voraussetzung für eine „einfache“ Zustimmung ist. Da die Forderung nach einer „einfachen“ Zustimmung in der DSGVO wichtiger ist als in der Richtlinie 95/46 / EG, muss geklärt werden, welche zusätzlichen Anstrengungen der für die Verarbeitung Verantwortliche unternehmen muss, um die ausdrückliche Zustimmung der betroffenen Person gemäß der DSGVO zu erhalten.

Der Begriff explizit bezieht sich auf eine Methode zum Ausdruck der Zustimmung einer betroffenen Person. Dies bedeutet, dass die betroffene Person eine ausdrückliche Zustimmung geben muss. Der offensichtliche Weg, um sicherzustellen, dass die Zustimmung ausdrücklich ist, besteht darin, die Zustimmung schriftlich zu erteilen. In solchen Fällen kann der für die Verarbeitung Verantwortliche sicherstellen, dass die schriftliche Erklärung von der betroffenen Person unterschrieben wird, um alle möglichen Zweifel und potenziellen Mangel an Beweisen in Zukunft zu beseitigen.

Eine schriftliche Erklärung ist jedoch nicht die einzige Möglichkeit, eine ausdrückliche Zustimmung zu erhalten, und es kann nicht gesagt werden, dass die DSGVO in allen Fällen, in denen eine legitime ausdrückliche Zustimmung erforderlich ist, eine schriftliche Zustimmung verlangt. In der digitalen Welt kann eine betroffene Person beispielsweise zustimmen, indem sie ein elektronisches Formular ausfüllt, eine E-Mail sendet, ein gescanntes Dokument mit einer Unterschrift herunterlädt oder eine elektronische Unterschrift verwendet. Theoretisch kann die Verwendung mündlicher Erklärungen auch ausreichen, um eine legitime ausdrückliche Zustimmung zu erhalten, aber es wird für den für die Verarbeitung Verantwortlichen schwieriger sein, nachzuweisen, dass alle Bedingungen der legitimen ausdrücklichen Zustimmung erfüllt sind, wenn eine solche Erklärung registriert wird.

Die Organisation kann auch telefonisch eine ausdrückliche Zustimmung einholen, sofern die Auswahlinformationen fair, verständlich und klar sind und eine bestimmte Aktion von der betroffenen Person angefordert wird (z. B. Drücken einer Taste oder mündliche Bestätigung).

Beispiel 17 Ein

Datenverantwortlicher kann von einem Besucher seiner Website eine explizite Zustimmung erhalten, indem er den Bildschirm "Zustimmung" anbietet, der die Flags "Ja" und "Nein" enthält, sofern der Text die Zustimmung eindeutig anzeigt. Zum Beispiel "Ich stimme hiermit der Verarbeitung meiner Daten zu" und nicht "Es ist mir klar, dass meine Daten verarbeitet werden". Natürlich müssen andere Bedingungen für die Erlangung der rechtlichen Zustimmung beachtet werden.

Beispiel 18

, . - . , , , .

Eine zweistufige Überprüfung der Zustimmung kann auch eine Möglichkeit sein, die Gültigkeit der ausdrücklichen Zustimmung zu bestätigen. Beispielsweise erhält die betroffene Person eine E-Mail, in der der für die Verarbeitung Verantwortliche über seine Absicht informiert wird, seine medizinischen Daten zu verarbeiten. Der Controller erklärt, dass er die Zustimmung anfordert, einen bestimmten Datensatz für einen bestimmten Zweck zu verwenden. Wenn die betroffene Person einer solchen Verarbeitung zustimmt, bittet der für die Verarbeitung Verantwortliche, per E-Mail mit dem Text „Ich stimme zu“ zu antworten. Nach dem Senden der Antwort erhält die betroffene Person eine Übertragungsverbindung oder eine SMS mit einem Code, um die Vereinbarung zu bestätigen.

Artikel 9 Absatz 2 erkennt die „Notwendigkeit der Vertragsabwicklung“ nicht als Ausnahme vom allgemeinen Verbot der Verarbeitung besonderer Datenkategorien an. Daher müssen die für die Verarbeitung Verantwortlichen und EU-Länder, die sich mit dieser Situation befassen, die in Artikel 9 Absatz 2 Buchstaben b bis j enthaltenen Ausnahmen untersuchen. Wenn keines dieser Verfahren anwendbar ist, bleibt die Erlangung einer ausdrücklichen Zustimmung gemäß der DSGVO die einzig mögliche rechtliche Ausnahme für die Verarbeitung dieser Daten.

Beispiel 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. Zusätzliche Bedingungen für die Erlangung der rechtlichen Zustimmung

Die DSGVO fordert die Aufsichtsbehörden auf, zusätzliche Maßnahmen zu ergreifen, um sicherzustellen, dass sie die rechtliche Zustimmung erhalten, unterstützen und nachweisen können. Artikel 7 der DSGVO beschreibt diese zusätzlichen Maßnahmen mit spezifischen Bestimmungen zur Führung des Zustimmungsjournals und dem Recht auf einfachen Widerruf der Zustimmung. Artikel 7 gilt auch für die Zustimmung, auf die in anderen Artikeln der DSGVO Bezug genommen wird, beispielsweise in den Artikeln 8 und 9. Hinweise zu zusätzlichen Anforderungen für den Nachweis einer gesetzlichen Zustimmung und für deren Widerruf sind nachstehend aufgeführt.

5.1. Demonstration der Zustimmung

§ 7 Abs. 1 DSGVO definiert die ausdrückliche Verpflichtung des für die Verarbeitung Verantwortlichen, die Zustimmung der betroffenen Person nachzuweisen. Die Beweislast liegt nach § 7 Abs. 1 beim Kontrolleur.

In Paragraph 42 heißt es: „Wenn die Verarbeitung auf der Zustimmung der betroffenen Person beruht, sollte der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person dem Verarbeitungsvorgang zugestimmt hat.“

Die Aufsichtsbehörden können ihre eigenen Methoden entwickeln, um diese Anforderung so zu erfüllen, dass sie für ihre Aktivitäten besser geeignet sind. Gleichzeitig sollte die Verpflichtung zum Nachweis der an und für sich erlangten rechtlichen Zustimmung nicht zu einer übermäßigen zusätzlichen Datenverarbeitung führen. Dies bedeutet, dass die Controller über genügend Daten verfügen müssen, um einen Zusammenhang mit der Verarbeitung nachzuweisen (den Erhalt der Zustimmung anzeigen), aber nicht verpflichtet sind, Daten zu sammeln, die über das erforderliche Maß hinausgehen.

Der Controller muss nachweisen, dass die aktuelle Zustimmung von der betroffenen Person eingeholt wurde. Die DSGVO legt nicht genau fest, wie dies geschehen soll. Der für die Verarbeitung Verantwortliche muss jedoch nachweisen, dass die betroffene Person seine Zustimmung gegeben hat. Während der laufenden Datenverarbeitungsaktivitäten besteht die Verpflichtung, die Zustimmung nachzuweisen. Nach Abschluss der Verarbeitung dürfen gemäß Artikel 17 Absatz 3 Buchstaben b und e die Zustimmungsnachweise nicht länger aufbewahrt werden, als dies zur Erfüllung gesetzlicher Verpflichtungen, zur Vorlage, zur Durchsetzung oder zur Verteidigung gesetzlicher Anforderungen unbedingt erforderlich ist.

Beispielsweise kann der Controller ein Protokoll der empfangenen Einverständniserklärungen speichern, um zu zeigen, wie und wann sie empfangen wurden und welche Informationen der betroffenen Person zu diesem Zeitpunkt zur Verfügung gestellt wurden. Der für die Verarbeitung Verantwortliche muss außerdem nachweisen, dass die betroffene Person informiert wurde und der Empfangsvorgang alle Kriterien für die rechtliche Zustimmung erfüllt. Der logische Grund für diese Verpflichtung der DSGVO besteht darin, dass die Aufsichtsbehörden die Verantwortung dafür übernehmen sollten, die rechtliche Zustimmung des Subjekts und ihre Mechanismen zu erhalten, um sie zu erhalten. In einem Online-Kontext kann der Controller beispielsweise Informationen über die Sitzung, in der die Zustimmung erteilt wurde, sowie eine Dokumentation des Empfangsvorgangs und eine Kopie der Informationen speichern, die der betroffenen Person zu diesem Zeitpunkt vorgelegt wurden. Es reicht nicht aus, nur auf die richtige Website-Konfiguration zu verweisen.

21

- « X», . , . . , « X».

Die DSGVO legt kein bestimmtes Ablaufdatum für die Zustimmung fest. Die Haltbarkeit hängt vom Kontext, Umfang und den Erwartungen der betroffenen Person ab. Wenn die Verarbeitungsvorgänge erheblich variieren, ist die ursprüngliche Zustimmung nicht mehr gültig. In diesem Fall müssen Sie eine neue Genehmigung einholen.

WP29 empfiehlt, die Zustimmung von Zeit zu Zeit zu aktualisieren. Durch die erneute Bereitstellung von Informationen wird sichergestellt, dass die betroffene Person über ihre Datennutzung und -rechte informiert ist.

5.2. Widerruf der Zustimmung

Der Widerruf der Zustimmung nimmt in der DSGVO einen wichtigen Platz ein. Die Normen und Anforderungen der DSGVO für den Widerruf der Zustimmung können als Kodifizierung der bestehenden Auslegung dieses Themas in den Schlussfolgerungen von WP29 angesehen werden.

Artikel 7 Absatz 3 der DSGVO schreibt vor, dass der für die Verarbeitung Verantwortliche sicherstellen muss, dass die betroffene Person die Zustimmung jederzeit so einfach widerrufen kann, wie sie erteilt wurde. Die DSGVO verlangt nicht, dass die Bereitstellung und der Widerruf der Zustimmung dieselbe Maßnahme sein müssen.

Wenn die Einwilligung jedoch elektronisch mit nur einem Mausklick, Wischen auf dem Bildschirm oder Drücken einer Taste eingeholt wird, sollten betroffene Personen diese Einwilligung mit der gleichen Leichtigkeit widerrufen können. In Fällen, in denen die Zustimmung über die Benutzeroberfläche eingeholt wird (z. B. über eine Website, eine Anwendung, ein Anmeldekonto, eine Geräteschnittstelle für das Internet der Dinge oder per E-Mail), muss die betroffene Person in der Lage sein, die Zustimmung über dieselbe Schnittstelle zu widerrufen, da sie zu wechselt Eine andere Schnittstelle aus dem alleinigen Grund des Widerrufs der Zustimmung erfordert ungerechtfertigte Anstrengungen. Darüber hinaus muss die betroffene Person unbeschadet ihrer selbst in der Lage sein, ihre Zustimmung zu widerrufen. Dies bedeutet insbesondere, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Einwilligung kostenlos oder ohne Beeinträchtigung der Servicequalität zu widerrufen.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

Das Erfordernis eines einfachen Rückrufs wird als notwendiges Erfordernis der rechtlichen Zustimmung in der DSGVO beschrieben. Wenn das Widerrufsrecht nicht den Anforderungen der DSGVO entspricht, entspricht der gesamte Prozess der Bearbeitung der Einwilligung durch den für die Verarbeitung Verantwortlichen nicht den Anforderungen der DSGVO. Wie bereits in Abschnitt 3.1 erwähnt. Über die Anforderungen der informierten Einwilligung ist der für die Verarbeitung Verantwortliche verpflichtet, die betroffene Person gemäß Artikel 7 Absatz 3 DSGVO über das Recht zu informieren, die Einwilligung vor ihrem tatsächlichen Eingang zu widerrufen. Darüber hinaus ist der für die Verarbeitung Verantwortliche im Rahmen der Gewährleistung der Transparenz verpflichtet, die betroffene Person über die Art und Weise der Ausübung dieses Rechts zu informieren.

Wenn die Einwilligung widerrufen wird, bleiben normalerweise alle Datenverarbeitungsvorgänge, die darauf aufgebaut und vor dem Widerruf der Einwilligung ausgeführt wurden, legal. Ab diesem Zeitpunkt ist der für die Verarbeitung Verantwortliche jedoch verpflichtet, die Verarbeitung einzustellen. Wenn es keine anderen rechtlichen Gründe für die Verarbeitung von Daten gibt (z. B. weitere Speicherung), sollten diese gelöscht werden.

Wie bereits erwähnt, ist es sehr wichtig, dass die für die Verarbeitung Verantwortlichen die Ziele und rechtlichen Gründe für die tatsächliche Verarbeitung der Daten festlegen, bevor mit der Datenerfassung begonnen wird. Oft benötigen Unternehmen personenbezogene Daten für mehrere Zwecke gleichzeitig, und die Verarbeitung basiert auf mehr als einer Rechtsgrundlage. Beispielsweise können Kundendaten sowohl im Vertrag als auch in der Einwilligung enthalten sein. Der Widerruf der Einwilligung bedeutet dann nicht, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die zur Vertragserfüllung verarbeiteten Daten zu löschen. Daher ist der für die Verarbeitung Verantwortliche von Anfang an verpflichtet, genau anzugeben, welcher Zweck sich auf jedes Datenelement bezieht und auf welcher Rechtsgrundlage es basiert.

Der für die Verarbeitung Verantwortliche ist verpflichtet, die auf der Grundlage der Zustimmung verarbeiteten Daten sofort nach ihrem Widerruf zu löschen, sofern kein anderer Grund vorliegt, der eine weitere Speicherung rechtfertigt. Zusätzlich zu dieser in Artikel 17 Absatz 1 Buchstabe b beschriebenen Situation kann die betroffene Person die Entfernung ihrer anderen Daten verlangen, die auf einer anderen Rechtsgrundlage verarbeitet werden, beispielsweise auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b. Der für die Verarbeitung Verantwortliche muss die Angemessenheit der Weiterverarbeitung der Daten auch dann prüfen, wenn keine Aufforderung zur Löschung vorliegt.

In Fällen, in denen die betroffene Person ihre Einwilligung widerruft, der für die Verarbeitung Verantwortliche die Verarbeitung personenbezogener Daten jedoch auf einer anderen Rechtsgrundlage fortsetzen möchte, kann er nicht stillschweigend von der Einwilligung (die widerrufen wird) zu einer anderen Rechtsgrundlage wechseln. Jede Änderung der Rechtsgrundlage für die Verarbeitung sollte der betroffenen Person gemäß den in den Artikeln 13 und 14 festgelegten Informationspflichten und dem Grundsatz der Transparenz zur Kenntnis gebracht werden.

6. Wechselwirkung der Zustimmung mit anderen rechtlichen Gründen in Artikel 6 der DSGVO

Artikel 6 legt die Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten fest und beschreibt sechs rechtliche Gründe, auf die sich der für die Verarbeitung Verantwortliche berufen kann. Die Anwendung eines dieser sechs Gründe muss vor Beginn der Verarbeitung festgestellt werden und für den jeweiligen Zweck relevant sein.

Hierbei ist zu beachten, dass der für die Verarbeitung Verantwortliche, wenn er sich in Bezug auf einen Teil der Verarbeitung auf die Zustimmung verlässt, bereit sein sollte, diese zu beenden, wenn die Person ihre Zustimmung widerruft. Die Mitteilung, dass die Daten auf der Grundlage der Zustimmung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage angewendet wird, ist für die betroffene Person grundsätzlich unfair.

Mit anderen Worten, der für die Verarbeitung Verantwortliche kann die Zustimmung nicht durch eine andere Rechtsgrundlage ersetzen. Beispielsweise ist es nicht gestattet, berechtigte Interessen rückwirkend als Rechtsgrundlage für die Legalisierung der Verarbeitung zu verwenden, wenn Probleme mit der Rechtmäßigkeit der Zustimmung auftreten. Unter Berücksichtigung der Verpflichtung zur Offenlegung der Rechtsgrundlage, auf die sich der für die Verarbeitung Verantwortliche auf die Erhebung personenbezogener Daten stützt, ist er verpflichtet, im Voraus zu entscheiden, welche Rechtsgrundlage anwendbar ist.

7. Besondere Bestimmungen der DSGVO

7.1. Kinder (Artikel 8)

Im Vergleich zur aktuellen Richtlinie schafft die DSGVO ein zusätzliches Schutzniveau, bei dem die personenbezogenen Daten der am stärksten gefährdeten Personen, insbesondere von Kindern, verarbeitet werden. Artikel 8 führt zusätzliche Verpflichtungen ein, um diesen Kindern ein höheres Schutzniveau in Bezug auf Informationsdienste zu bieten. Die Gründe für den erweiterten Schutz sind in Absatz 38 angegeben: „... da sie sich der Risiken, Folgen, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind ...“ In Absatz 38 heißt es außerdem: „Ein solcher besonderer Schutz sollte insbesondere für die Verwendung von gelten personenbezogene Daten von Kindern zu Marketingzwecken oder zur Erstellung persönlicher (Benutzer-) Profile und zur Erhebung personenbezogener Daten in Bezug auf Kinder, während diese Dienste speziell für Kinder genutzt werden."Der Wortlaut" insbesondere "weist darauf hin, dass der Schutz nicht auf Marketing oder Profilerstellung beschränkt ist, sondern eine umfassendere" Sammlung personenbezogener Daten von Kindern "umfasst.

Artikel 8 Absatz 1 bestimmt, dass in Fällen, in denen die Zustimmung angewendet wird, um dem Kind Informationsdienste direkt anzubieten, die Verarbeitung personenbezogener Daten als legal angesehen wird, wenn es mindestens 16 Jahre alt ist. Wenn das Kind jünger als 16 Jahre ist, ist eine solche Verarbeitung nur dann legal, wenn und soweit die Zustimmung von einer Person erteilt wird, die die Interessen des Kindes vertritt. In Bezug auf die Altersgrenze der Zustimmung erlaubt die DSGVO den EU-Ländern, selbst einen Mindestschwellenwert festzulegen, der jedoch nicht unter 13 Jahren liegen darf.

Wie in Abschnitt 3.1 erwähnt. In Bezug auf die Einwilligung nach Aufklärung sollte die Botschaft für die Zielgruppe klar sein, an die sich der für die Verarbeitung Verantwortliche richtet, wobei der Meinung des Kindes besondere Aufmerksamkeit zu widmen ist. Um die „informierte Zustimmung“ des Kindes zu erhalten, muss der für die Verarbeitung Verantwortliche in einer einfachen und verständlichen Sprache für Kinder erklären, wie er die gesammelten Daten verarbeiten möchte. Wenn der Elternteil seine Zustimmung gibt, kann eine Reihe von Informationen erforderlich sein, damit der Erwachsene eine fundierte Entscheidung treffen kann.

Aus dem Vorstehenden folgt, dass Artikel 8 nur gilt, wenn folgende Bedingungen erfüllt sind:

Die Verarbeitung bezieht sich auf die Bereitstellung von Informationsdiensten direkt für das Kind.
Die Verarbeitung basiert auf Zustimmung.

7.1.1. Informationsdienste

Um den Geltungsbereich des Begriffs „Informationsdienst“ in Artikel 4 Absatz 25 zu bestimmen, verweist die DSGVO auf die Richtlinie 2015/1535.

In Bezug auf den Geltungsbereich dieser Definition bezieht sich WP29 auch auf die Praxis des Europäischen Gerichtshofs. Das Gericht entschied, dass Informationsdienste Verträge oder andere Dienste abdecken, die online abgeschlossen oder zugesagt werden. Wenn eine Dienstleistung zwei wirtschaftlich unabhängige Komponenten aufweist, von denen die erste online ist, z. B. ein Angebot, und deren Annahme mit dem Abschluss eines Vertrags oder Informationen über Produkte und Dienstleistungen, einschließlich Marketing, verbunden ist, wird eine solche Komponente als Informationsdienst betrachtet. Die zweite Komponente, nämlich die physische Lieferung oder Verteilung von Waren, fällt wiederum nicht unter das Konzept eines Informationsdienstes. Die Bereitstellung eines Onlinedienstes entspricht der Definition des Begriffs „Informationsdienst“ in Artikel 8 der DSGVO.

7.1.2. Direkt einem Kind angeboten

Die Aufnahme des Ausdrucks „direkt dem Kind angeboten“ weist darauf hin, dass Artikel 8 nur für bestimmte Informationsdienste gilt. Wenn der Informationsdienstanbieter potenziellen Nutzern klar macht, dass er Dienste nur für Personen über 18 Jahre anbietet und dies nicht durch andere Beweise (z. B. den Inhalt der Website oder Marketingpläne) widerlegt wird, gilt ein solcher Dienst nicht als „direkt dem Kind angeboten“ Artikel 8 findet keine Anwendung.

7.1.3. Alter

Die DSGVO bestimmt, dass „die EU-Länder für diese Zwecke gesetzlich ein niedrigeres Alter vorsehen können, sofern dieses Alter nicht unter 13 Jahren liegt.“ Der Controller muss die lokalen Gesetze kennen und die Community berücksichtigen, für die er Dienstleistungen anbietet. Es ist besonders zu beachten, dass der für den grenzüberschreitenden Dienst anbietende für die Verarbeitung Verantwortliche möglicherweise nicht immer nur auf die Normen in seiner Gerichtsbarkeit Bezug nimmt, sondern möglicherweise auch die Gesetze jedes Landes einhalten muss, in dem er Informationsdienste anbietet. Dies hängt davon ab, ob sich das Land für die Zuständigkeit des für die Verarbeitung Verantwortlichen oder für den Wohnort der betroffenen Person entscheidet. Erstens sind alle EU-Länder bei einer solchen Entscheidung verpflichtet, die Interessen des Kindes zu berücksichtigen. Die Arbeitsgruppe fordert eine vereinbarte Entscheidung zu diesem Thema.

Wenn Kindern auf der Grundlage der Einwilligung Informationsdienste zur Verfügung gestellt werden, wird erwartet, dass die Aufsichtsbehörden Maßnahmen ergreifen, um sicherzustellen, dass der Benutzer das Mindestalter für die digitale Einwilligung erreicht hat, und diese Maßnahmen müssen in einem angemessenen Verhältnis zur Verarbeitung von Daten und Risiken stehen.

Wenn Benutzer behaupten, älter als das Mindestalter für die digitale Zustimmung zu sein, kann der Controller eine Überprüfung durchführen, um dies zu überprüfen. Obwohl die DSGVO nicht verpflichtet ist, eine solche Überprüfung durchzuführen, ist dies implizit erforderlich, da die Datenverarbeitung illegal wird, wenn das Kind seine Einwilligung erteilt und nicht alt genug ist, um in seinem Namen eine rechtliche Einwilligung zu erteilen.

Wenn der Benutzer behauptet, dass er das Mindestalter für die digitale Einwilligung nicht erreicht hat, kann der Controller diese Erklärung ohne Überprüfung akzeptieren. Der Controller muss jedoch die Erlaubnis der Eltern einholen und überprüfen, ob die Person, die die Zustimmung erteilt, die elterlichen Rechte besitzt.

Die Altersüberprüfung kann nicht auf eine übermäßige Datenverarbeitung zurückgeführt werden. Die zur Überprüfung des Alters der betroffenen Person ausgewählte Methode sollte eine Risikobewertung der vorgeschlagenen Behandlung umfassen. In Situationen mit geringem Risiko kann es ausreichend sein, nach dem Geburtsjahr zu fragen oder ein Formular auszufüllen, in dem er (nicht) minderjährig ist. Im Zweifelsfall sollte der Vorgesetzte die Methoden zur Alterskontrolle ändern und die Notwendigkeit alternativer Kontrollen in Betracht ziehen.

7.1.4. Zustimmung der Kinder und Rechte der Eltern

Die DSGVO legt nicht fest, wie die Zustimmung der Eltern eingeholt oder festgestellt werden soll, wer das Recht dazu hat. Daher empfiehlt WP29 einen proportionalen Ansatz gemäß Artikel 8 Absatz 2 und Artikel 5 Absatz 1 © DSGVO (Datenminimierung). Ein proportionaler Ansatz besteht darin, eine begrenzte Menge an Informationen zu erhalten, beispielsweise die Kontaktdaten eines Elternteils oder Erziehungsberechtigten.

Was vernünftig ist, um zu überprüfen, ob der Benutzer alt genug ist, um seine eigene Zustimmung zu erteilen, und ob die Person, die die Zustimmung des Kindes erteilt, elterliche Rechte hat, kann von den Verarbeitungsrisiken und der verfügbaren Technologie abhängen. In Situationen mit geringem Risiko kann eine E-Mail-Bestätigung ausreichend sein. Im Gegensatz dazu kann es in Situationen mit hohem Risiko angebracht sein, zusätzliche Nachweise anzufordern, damit der für die Verarbeitung Verantwortliche diese gemäß Artikel 7 Absatz 1 der DSGVO überprüfen und speichern kann. Verifizierungsdienste von Drittanbietern können Lösungen anbieten, die die Menge an persönlichen Daten minimieren, die der Controller selbst verarbeiten muss.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

Das Beispiel zeigt, dass der für die Verarbeitung Verantwortliche nachweisen kann, dass angemessene Anstrengungen unternommen wurden, um sicherzustellen, dass für die für das Kind erbrachten Dienstleistungen eine rechtliche Zustimmung besteht. In Artikel 8 Absatz 2 heißt es: „Der für die Verarbeitung Verantwortliche muss unter Berücksichtigung der verfügbaren technologischen Fähigkeiten angemessene Anstrengungen unternehmen, um sicherzustellen, dass die Zustimmung von einer Person mit elterlichen Rechten in Bezug auf das Kind erteilt wurde oder mit seiner Zustimmung erteilt wurde.“

Der Controller ist verpflichtet zu bestimmen, welche Maßnahmen im Einzelfall angemessen sind. In der Regel sollten Vorgesetzte Überprüfungen vermeiden, die zu einer übermäßigen Erfassung personenbezogener Daten führen.

WP29 erkennt an, dass es Situationen geben kann, in denen die Überprüfung kompliziert ist (z. B. wenn Kinder, die ihre Zustimmung erteilt haben, noch keinen „digitalen Fußabdruck“ hinterlassen haben oder wenn die Rechte der Eltern schwer zu überprüfen sind. Die Komplexität kann bei der Festlegung angemessener Maßnahmen berücksichtigt werden, von den Kontrolleuren wird jedoch erwartet, dass sie ihre Prozesse ständig überwachen. und verfügbare Technologien.

In Bezug auf das Recht des Betroffenen, der Verarbeitung personenbezogener Daten zuzustimmen und die volle Kontrolle darüber zu haben, kann die Einwilligung des Elternteils oder Erziehungsberechtigten bestätigt, geändert oder widerrufen werden, sobald die betroffene Person das Alter der digitalen Einwilligung erreicht. In der Praxis bedeutet dies, dass, wenn das Kind keine Maßnahmen ergreift, die Zustimmung zur Verarbeitung durch die Eltern oder Erziehungsberechtigten, die vor dem Alter der digitalen Zustimmung erteilt wurde, die Rechtsgrundlage für die Verarbeitung bleibt. Bei Erreichen des Alters der digitalen Einwilligung kann das Kind die Einwilligung gemäß Artikel 7 Absatz 3 widerrufen. In Übereinstimmung mit den Grundsätzen der Fairness und Transparenz ist der für die Verarbeitung Verantwortliche verpflichtet, das Kind über diese Möglichkeit zu informieren.

Es ist wichtig zu beachten, dass gemäß Ziffer 38 die Zustimmung des Elternteils oder Erziehungsberechtigten für die direkt dem Kind angebotenen Präventions- oder Beratungsdienste nicht erforderlich ist. Für die Bereitstellung von Online-Kinderschutzdiensten ist beispielsweise keine elterliche Erlaubnis erforderlich.

Zusammenfassend stellt die DSGVO fest, dass die Regeln für die Erteilung von Vollmachten in Bezug auf Minderjährige „das allgemeine Vertragsrecht der EU-Länder, beispielsweise über den Abschluss oder die Durchführung von Vereinbarungen über das Kind“, nicht berühren. Daher sind die Anforderungen an die rechtliche Zustimmung zur Verwendung dieser Kinder Teil des rechtlichen Rahmens, der vom Vertragsrecht der Länder getrennt zu betrachten ist. Daher befasst sich der Leitfaden nicht mit der Frage der Rechtmäßigkeit von Online-Verträgen, die von Minderjährigen geschlossen werden. Beide Rechtsordnungen können gleichzeitig angewendet werden, und der Geltungsbereich der DSGVO umfasst nicht die Harmonisierung des Vertragsrechts der Länder.

7.2. Wissenschaftliche Forschung

Die Definition von Forschungszielen hat erhebliche Auswirkungen auf das gesamte Spektrum der Datenverarbeitungsaktivitäten, die der für die Verarbeitung Verantwortliche ausführen kann. Der Begriff „wissenschaftliche Forschung“ ist in der DSGVO nicht definiert. In Paragraph 159 heißt es: "... Im Rahmen dieser Verordnung sollte die Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung weit ausgelegt werden ..." WP29 ist jedoch der Ansicht, dass dieses Konzept nicht weiter gehen kann als seine allgemeine Bedeutung, weshalb "wissenschaftliche Forschung" in diesem Zusammenhang ein Forschungsprojekt bedeutet erstellt in Übereinstimmung mit den methodischen und ethischen Standards und Best Practices der Branche.

Wenn die Zustimmung die Rechtsgrundlage für die Durchführung von Forschungsarbeiten gemäß der DSGVO ist, sollte sie von anderen Anforderungen der Zustimmung getrennt werden und ethischen Standards oder Verfahrenspflichten dienen. Ein Beispiel für eine solche Verfahrensverpflichtung, wenn die Verarbeitung nicht auf der Zustimmung, sondern auf einer anderen Rechtsgrundlage beruht, finden Sie im Zeitplan für klinische Studien. Im Zusammenhang mit Datenschutzrechten kann die zuletzt genannte Form der Zustimmung als zusätzliche Schutzmaßnahme angesehen werden. Gleichzeitig beschränkt die DSGVO die Anwendung von Artikel 6 nicht nur auf die Zustimmung zur Verarbeitung von Daten zu Forschungszwecken. Solange Schutzmaßnahmen wie die Anforderungen von Artikel 89 Absatz 1 bestehen und die Verarbeitung fair, legal, transparent und in Übereinstimmung mit Datenminimierungsstandards und individuellen Rechten ist,Möglicherweise liegen andere rechtliche Gründe vor, wie z. B. Artikel 6 Absatz 1 Buchstabe e oder f. Dies gilt auch für besondere Datenkategorien gemäß den Ausnahmen von Artikel 9 Absatz 2 Buchstabe j.

Paragraph 33 scheint dem Grad der Konkretisierung und Verfeinerung der Zustimmung im Rahmen der wissenschaftlichen Forschung eine gewisse Flexibilität zu verleihen. Darin heißt es: „Es ist oft unmöglich, den Zweck der Verarbeitung personenbezogener Daten, die zum Zeitpunkt der Datenerfassung für die wissenschaftliche Forschung bestimmt sind, vollständig zu bestimmen. Daher sollte den betroffenen Personen die Möglichkeit gegeben werden, ihre Zustimmung zu bestimmten Bereichen der wissenschaftlichen Forschung zu erteilen, basierend auf der Übereinstimmung ihrer Ziele mit anerkannten ethischen Standards der wissenschaftlichen Forschung. Die betroffenen Personen sollten ihre Zustimmung nur in Bezug auf bestimmte Forschungsbereiche oder Teile von Forschungsprojekten gemäß dem beabsichtigten Zweck erteilen können. “

Zunächst ist darauf hinzuweisen, dass Paragraph 33 die Verpflichtung, eine bestimmte Zustimmung zu verlangen, nicht aufhebt. Dies bedeutet, dass Forschungsprojekte grundsätzlich nur dann personenbezogene Daten auf der Grundlage der Zustimmung enthalten können, wenn sie einen genau beschriebenen Zweck haben. In Fällen, in denen die Ziele der Datenverarbeitung im Rahmen eines Forschungsprojekts zu Beginn nicht festgelegt werden können, lässt Paragraph 33 die Ausnahme zu, dass das Ziel allgemeiner beschrieben werden kann.

Angesichts der in Artikel 9 der DSGVO festgelegten strengen Bedingungen für die Verarbeitung spezieller Datenkategorien stellt WP29 fest, dass in Fällen, in denen spezielle Datenkategorien auf der Grundlage einer ausdrücklichen Zustimmung verarbeitet werden, ein flexibler Ansatz strenger ausgelegt werden sollte und eine sorgfältigere Untersuchung erfordert.

In Anbetracht der DSGVO als Ganzes kann sie nicht so ausgelegt werden, dass der für die Verarbeitung Verantwortliche das Schlüsselprinzip der Bestimmung der Zwecke umgehen kann, für die die Zustimmung der betroffenen Person beantragt wird. Wenn die Forschungsziele nicht vollständig definiert werden können, sollte der Betreuer nach anderen Möglichkeiten suchen, um sicherzustellen, dass das Wesentliche der Zustimmungsanforderungen am besten geeignet ist. Beispielsweise können die betroffenen Personen dem Forschungsziel allgemeiner und für bestimmte Phasen des Forschungsprojekts, die von Anfang an bekannt sind, zustimmen. Mit fortschreitender Forschung kann die Zustimmung zum nächsten Schritt eingeholt werden, bevor er beginnt. Diese Zustimmung muss jedoch weiterhin den ethischen Standards der wissenschaftlichen Forschung entsprechen.

Darüber hinaus kann der Controller in solchen Fällen zusätzliche Vorsichtsmaßnahmen treffen. In Artikel 89 Absatz 1 wird beispielsweise die Notwendigkeit von Schutzmaßnahmen bei der Verarbeitung von Daten für wissenschaftliche, historische oder statistische Zwecke hervorgehoben. Diese Ziele umfassen „Garantien der Rechte und Freiheiten der betroffenen Person“. Mögliche Schutzmaßnahmen sind Minimierung, Anonymisierung und Datensicherheit. Eine Anonymisierung wird bevorzugt, wenn der Zweck der Studie ohne Verarbeitung personenbezogener Daten erreicht werden kann.

Transparenz ist ein zusätzlicher Schutz, wenn die Umstände der Studie keine spezifische Zustimmung zulassen. Die mangelnde Konkretisierung des Ziels kann durch Informationen über seine Entwicklung ausgeglichen werden, die regelmäßig von den Betreuern während der Durchführung des Forschungsprojekts bereitgestellt werden, damit die Zustimmung im Laufe der Zeit so spezifisch wie möglich wird. Gleichzeitig verfügt die betroffene Person zumindest über ein grundlegendes Verständnis der Situation, anhand dessen beurteilt werden kann, ob beispielsweise das Recht auf Widerruf der Zustimmung gemäß Artikel 7 Absatz 3 genutzt werden sollte.

Darüber hinaus kann ein umfassender Forschungsplan, der den betroffenen Personen vor Erteilung der Zustimmung zur Verfügung steht, dazu beitragen, den Mangel an Details zum Ziel auszugleichen. In einem solchen Forschungsplan sollten Forschungsthemen und Arbeitsmethoden so klar wie möglich definiert werden. Ein Forschungsplan kann zur Einhaltung von Artikel 7 Absatz 1 beitragen, da die Aufsichtsbehörden nachweisen müssen, welche Informationen den betroffenen Personen zum Zeitpunkt der Erteilung der Zustimmung zur Verfügung standen, um nachweisen zu können, dass sie legal sind.

Es ist wichtig zu beachten, dass die betroffene Person in der Lage sein muss, die Einwilligung zu widerrufen, wenn sie als Rechtsgrundlage für die Verarbeitung verwendet wird. WP29 stellt fest, dass der Widerruf der Einwilligung die Forschung beeinträchtigen kann, die Daten von Einzelpersonen erfordert. Die DSGVO weist jedoch eindeutig darauf hin, dass die Einwilligung widerrufen werden kann, und die Aufsichtsbehörden müssen entsprechend handeln - es gibt keine Ausnahme für wissenschaftliche Forschung. Wenn der für die Verarbeitung Verantwortliche einen Antrag auf Widerruf der Einwilligung erhält, ist er tatsächlich verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn er die Forschung fortsetzen möchte.

7.3. Rechte der betroffenen Person

Wenn die Datenverarbeitung auf der Zustimmung der betroffenen Person beruht, berührt dies die Rechte dieser Person. Die betroffenen Personen haben Anspruch auf die Portabilität ihrer Daten (Artikel 20). Gleichzeitig gilt das Widerspruchsrecht (Artikel 21) nicht, wenn die Verarbeitung auf der Zustimmung beruht, auch wenn das Recht, die Zustimmung jederzeit zu widerrufen, zu demselben Ergebnis führt.

Die Artikel 16 bis 20 der DSGVO weisen darauf hin, dass betroffene Personen (wenn die Datenverarbeitung auf der Zustimmung basiert) das Recht haben, Daten zu löschen, wenn die Zustimmung widerrufen wird, sowie das Recht, sie einzuschränken, anzupassen und darauf zuzugreifen.

8. Zustimmung gemäß Richtlinie 95/46 / EG

Aufsichtsbehörden, die bereits Daten auf der Grundlage der Einwilligung gemäß den örtlichen Gesetzen verarbeiten und sich auf die DSGVO vorbereiten, müssen nicht automatisch alle Beziehungen zu den betroffenen Personen vollständig aktualisieren. Die bereits erteilte Zustimmung bleibt insoweit legal, als sie der DSGVO entspricht.

Es ist wichtig, dass die Aufsichtsbehörden die aktuellen Prozesse und Aufzeichnungen bis zum 25. Mai 2018 eingehend prüfen, um sicherzustellen, dass die bestehenden Vereinbarungen der DSGVO entsprechen (siehe Ziffer 171 der DSGVO). Die DSGVO führt den höchsten Standard für Zustimmungsmechanismen ein und führt viele neue Anforderungen ein, nach denen Vorgesetzte die Zustimmungsprozesse ändern und nicht nur die Datenschutzrichtlinien neu schreiben müssen.

Da die DSGVO beispielsweise verlangt, dass der für die Verarbeitung Verantwortliche nachweisen kann, dass die gesetzliche Zustimmung eingeholt wurde, sind alle anderen Zustimmungen automatisch nicht mit der DSGVO vereinbar und müssen ersetzt werden. Da die DSGVO eine „Erklärung oder eine klare positive Maßnahme“ erfordert, stimmen auch alle anderen Zustimmungen, die auf den indirekten Handlungen der betroffenen Person basieren (z. B. ein voreingestelltes Kontrollkästchen), nicht mit der DSGVO überein.

Um nachzuweisen, dass die Zustimmung eingeholt wurde, oder um die Auswahl der betroffenen Person zu verfeinern, müssen Prozesse und Systeme möglicherweise überprüft werden. Darüber hinaus sollte es möglich sein, die Zustimmung leicht zu widerrufen, und es sollten Informationen dazu bereitgestellt werden. Wenn die bestehenden Zustimmungsverwaltungsverfahren nicht den GDPR-Anforderungen entsprechen, muss der Controller eine entsprechende entsprechende Einwilligung einholen.

Da die Bedingung einer informierten Zustimmung nicht immer alle in den Artikeln 13 und 14 genannten Elemente erfordert, widersprechen die erweiterten Verpflichtungen der DSGVO nicht notwendigerweise der Kontinuität der Zustimmung, die vor Inkrafttreten der DSGVO erteilt wurde. In der Richtlinie 95/46 / EG war es nicht vorgeschrieben, betroffene Personen über die Gründe für die Verarbeitung zu informieren.

Wenn der für die Verarbeitung Verantwortliche feststellt, dass die früher nach den alten Rechtsvorschriften erteilte Zustimmung nicht mehr der DSGVO entspricht, ist er verpflichtet, Maßnahmen zu ihrer Einhaltung zu ergreifen, um beispielsweise die Zustimmung zu aktualisieren. In Übereinstimmung mit der DSGVO ist die Ersetzung einer Rechtsgrundlage durch eine andere nicht akzeptabel. Wenn der für die Verarbeitung Verantwortliche die Zustimmung nicht aktualisieren kann und die DSGVO nicht einhalten kann, indem er die Daten auf einer anderen Rechtsgrundlage verarbeitet und gleichzeitig sicherstellt, dass die Verarbeitung auf faire und transparente Weise fortgesetzt wird, sollte die Verarbeitungstätigkeit gestoppt werden. In jedem Fall ist der für die Verarbeitung Verantwortliche verpflichtet, die Grundsätze der rechtlichen, fairen und transparenten Datenverarbeitung einzuhalten.

DSGVO: Zustimmung zur Verarbeitung personenbezogener Daten