Die Art 29 DS-Gruppe (in der DSGVO: Europäischer Datenschutzausschuss (EDSA)) hat in einem 35-seitigen Dokument die Regelungen der DSGVO zur Einwilligung als Grundlage der Rechtmäßigkeit bei der Verarbeitung von personenbezogenen Daten erläutert.
Kommentare zum Working-Paper, dass sich im Entwurf-Stadium befindet, sind noch bis zum 23.01.2018 möglich.
Die Art 29 DS-Gruppe stellt klar, dass die Einwilligung für jeden Zweck separat abgefragt und auch erteilt werden muss, um die notwendige Freiwilligkeit zu erreichen. Als Beispiel wird angeführt, dass z.B. die Einwilligung für Marketingmaßnahmen (z.B. Email-Newsletter) und Weitergabe der Daten an ein Konzernunternehmen separat möglich sein muss.
Dieses Thema wird ein weiteres Mal in den Leitlinien angesprochen, und klargestellt, dass auch unter dem Gesichtspunkt der Bestimmtheit die Notwendigkeit besteht, dass für separate Zwecke auch separate Einwilligungsmöglichkeiten gegeben werden, um der betroffenen Person die Wahlmöglichkeit zu geben.
Fazit: pro Zweck, eine eigene Einwilligung wird notwendig sein, und die Verarbeitung für einen bestimmten Zweck (z.B. Marketing) und Weitergabe an andere Organisationen sind zwei unterschiedliche Zwecke.
Um eine wirksame (gültige) Einwilligung zu erhalten, sind folgende Mindestinformationen den betroffenen Personen (vor der Einwilligung) zur Verfügung zu stellen:
(i) the controller’s identity, dh die Identität des Verantwortlichen (WER)
(ii) the purpose of each of the processing operations for which consent is sought, dh den Zweck der unterschiedlichen Verarbeitungstätigkeiten, für die die Einwilligung erteilt werden soll (WARUM)
(iii) what (type of) data will be collected and used, dh die Datenkategorien, die erhoben und verwendet werden (WAS)
(iv) the existence of the right to withdraw consent, dh Hinweis auf die Möglichkeit des Widerrufes der Einwilligung
(v) information about the use of the data for decisions based solely on automated processing, including profiling, in accordance with Article 22 (2), dh Informationen zu automatisierter Entscheidungfindung, inkl. Profiling
(vi) if the consent relates to transfers, about the possible risks of data transfers to third countries in the absence of an adequacy decision and appropriate safeguards (Article 49 (1a)), sofern die Einwilligung auch in Bezug auf die Datenweitergabe erteilt wird, das Risiko, das durch eine Übermittlung von Daten in Drittländer ohne Angemessenheitsbeschluss oder Garantien (siehe Art 49 Abs 1) entsteht.
Die Leitlinien befassen sich auch damit, wie die notwendigen Informationen für die Einwilligung zur Verfügung gestellt werden (siehe Seite 14 f), wobei es inbes. auch auf das "Zielpublikum" ankommt.
Die Art 29-DS-Gruppe betont ein weiteres Mal, dass ein "Statement" der betroffenen Person notwendig ist, um eine Einwilligung annehmen zu können, und verweist auf eine klare bestätigende Handlung ("clear affirmative act").
Die Verwendung von vorausgefüllten check-boxen (z.B. im Internet oder auch bei Formularen) ist unzulässig.
Stillschweigen oder eine Unterlassung auf Seiten der betroffenen Person, oder
auch die Fortsetzung einer Dienstleistung kann nicht als aktive Mitteilung einer Auswahl angesehen werden.
(siehe insbes. Seite 16: The use of pre-ticked opt-in boxes is invalid under the GDPR. Silence or inactivity on the part of the data subject, as well as merely proceeding with a service
cannot be regarded as an active indication of choice.
Die Art 29-DS-Gruppe setzt sich auch intensiv mit dem Widerruf der Einwilligung auseinander. So ist es der im Dokument geäußerten Ansicht nicht zulässig, die möglichen Kommunikationswege für den Widerruf einzuschränken.
Darüber hinaus wird im Dokument auch die Frage der Einwilligung von Kindern behandelt.
Kommentar schreiben