Zustimmung
Home » IoT » Rechtmäßigkeit: Die Wahl der Rechtsgrundlage » Zustimmung

Die Einwilligung ist die traditionellste Rechtsgrundlage für die Datenverarbeitung. Darüber hinaus [1]sieht der Entwurf der Datenschutzverordnung für elektronische Kommunikation die Einwilligung als Hauptgrundlage für die rechtmäßige Datenverarbeitung im Zusammenhang mit elektronischer Kommunikation vor, ein Umstand, der beispielsweise im Falle von IoT-Geräten, die mit dem Internet verbunden sind, gilt. Die Einwilligung gilt jedoch nur, wenn bestimmte Bedingungen erfüllt sind. Wenn die Einwilligung als Rechtsgrundlage für die Datenverarbeitung verwendet wird, sollten die Entwickler sicherstellen, dass das Gerät, das sie entwickeln, die Notwendigkeit beinhaltet, die vorherige Einwilligung der Nutzer für die Verarbeitung in spezifischer, informierter und granularer Weise einzuholen, und die angemessene Dokumentation einer solchen Einwilligung gewährleisten.

Dem EDPB zufolge bedeutet Granularität, dass “ein Dienst mehrere Verarbeitungsvorgänge für mehr als einen Zweck umfassen kann. In solchen Fällen sollten die betroffenen Personen frei wählen können, welchen Zweck sie akzeptieren, anstatt einem Bündel von Verarbeitungszwecken zustimmen zu müssen. In einem bestimmten Fall können mehrere Einwilligungen erforderlich sein, um einen Dienst gemäß der Datenschutz-Grundverordnung anbieten zu können”.[2]

Die Granularität “sollte nicht nur die Kategorien der gesammelten Daten betreffen, sondern auch den Zeitpunkt und die Häufigkeit, mit der Daten erfasst werden, sowie die verschiedenen Zwecke, für die diese Daten verarbeitet werden. Ähnlich wie die “Bitte nicht stören”-Funktion auf Smartphones sollten IoT-Geräte eine “Bitte nicht sammeln”-Option bieten, um Sensoren zu planen oder schnell zu deaktivieren.”[3]

Es muss ganz klar sein, dass die Einwilligung der betroffenen Person weder durch die obligatorische Annahme allgemeiner Geschäftsbedingungen noch durch Opt-out-Möglichkeiten frei eingeholt werden kann.[4] Daher sollten die Geräte so konzipiert sein, dass die Einwilligung granular ist und die Nutzer die Möglichkeit haben, auf bestimmte Dienste oder Funktionen des IoT zu verzichten. Die Nutzer sollten nicht bestraft werden oder einen schlechteren Zugang zu den Fähigkeiten des Systems haben, wenn sie beschließen, es nicht zu nutzen (wenn sie mit einem anderen System interagieren) oder wenn sie beschließen, einen bestimmten in das System integrierten Dienst nicht zu nutzen.

Geräte und Anwendungen sollten stets so konzipiert sein, dass die Nutzer und die betroffenen Personen, die keine Nutzer sind, über die Verarbeitung von Daten informiert werden, z. B. über die physische Schnittstelle des Geräts oder durch Senden eines Signals über einen drahtlosen Kanal. Unabhängig vom Bestehen eines Vertragsverhältnisses und sogar von der Rechtsgrundlage für die Verarbeitung muss jede betroffene Person, unabhängig davon, ob es sich um einen Nutzer oder einen Nichtnutzer handelt, informiert werden und in der Lage sein, ihre Rechte auszuüben (die einzige Ausnahme ist das Widerspruchsrecht, das nicht gilt, wenn die Rechtsgrundlage für die Verarbeitung die Einwilligung ist). [5] Die Möglichkeit, die Einwilligung zu widerrufen, muss ab dem Zeitpunkt der Erhebung der Daten gewährleistet sein, und die betroffenen Personen müssen über diese Möglichkeit informiert werden.

Bei der Verwaltung von Einwilligungen müssen zunächst die Grundsätze des Datenschutzes durch Technik und durch Voreinstellungen beachtet werden. Wie Wachter erklärte, ist es sehr empfehlenswert, dass IoT-Entwickler Zugriffsberechtigungen “nicht nur für Nutzer, sondern auch für ‘Dinge’, die im Namen des Nutzers oder eines Dritten auf dessen Daten zugreifen oder diese verarbeiten wollen”, festlegen. Diese Zugriffsberechtigungen müssen die Datenschutzpräferenzen der Benutzer berücksichtigen. Identitätsmanagement in Kombination mit rollenbasierter Zugriffskontrolle ermöglicht beispielsweise eine Identitätsüberprüfung in Verbindung mit der Autorisierung von Aktionsanfragen oder Geräten von Benutzern entsprechend ihrer vom System zugewiesenen Rolle, wodurch sichergestellt wird, dass in einer Sitzung nur Aktionen durchgeführt werden können, die für eine bestimmte Rolle autorisiert sind (z. B. das Sammeln, Übertragen oder Verarbeiten von Daten). Administratoren oder Benutzer können diese Berechtigungen definieren und bieten so verschiedene Ansätze zum Schutz der subjektiven Datenschutzpräferenzen der Benutzer.”[6]

Kasten 3: “Sticky Policies” und Datenschutz-Proxies

Eine bessere Kontrolle der Datenverarbeitung könnte durch die Verwendung eines Konzepts gewährleistet werden, das auf den so genannten Sticky Policies basiert, die die Einhaltung des Datenschutzrahmens unterstützen können, indem Informationen über Bedingungen und Grenzen der Datennutzung in die Daten selbst eingebettet werden. So könnten diese Richtlinien den Kontext der Datennutzung, die Zwecke, Richtlinien für den Zugang Dritter und eine Liste vertrauenswürdiger Nutzer festlegen.

Eine alternative/ergänzende Möglichkeit, einer betroffenen Person eine echte Kontrolle darüber zu bieten, wie Daten bei der Interaktion mit Sensoren verarbeitet werden müssen, indem sie Präferenzen ausdrücken kann, einschließlich der Einholung und des Widerrufs von Einwilligungen und Entscheidungen zur Zweckbeschränkung, könnte auf der Verwendung von Datenschutzbeauftragten basieren. Unterstützt durch ein Gerät werden Datenanfragen mit vordefinierten Richtlinien konfrontiert, die den Zugang zu Daten unter der Kontrolle der betroffenen Person regeln. Durch die Festlegung von Sensor- und Richtlinienpaaren können Anfragen Dritter zur Erhebung von oder zum Zugriff auf Sensordaten genehmigt, eingeschränkt oder einfach abgelehnt werden.

Quelle: Art 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088

Um der Gefahr einer heimlichen Überwachung vorzubeugen, hält es die ehemalige Artikel-29-Datenschutzgruppe für unerlässlich, dass das Gerät darauf hinweist, dass die Funktion zur gemeinsamen Nutzung von Daten eingeschaltet ist, z. B. durch ein ständig sichtbares Symbol.[7] In der Tat könnte eine angemessene Beschilderung, die für die betroffenen Personen tatsächlich sichtbar ist, besonders wichtig sein, wenn es um Wearables geht. Alle IoT-Geräte sollten betroffene Personen, die keine Nutzer sind und deren Daten erhoben werden, über diese Verarbeitung informieren, einschließlich aller relevanten Informationen darüber. Die für die Verarbeitung Verantwortlichen sollten ihr Bestes tun, um sicherzustellen, dass diese Informationen bereitgestellt werden, auch wenn dies in der Praxis schwierig sein könnte. Es sind geeignete Instrumente einzusetzen, um sicherzustellen, dass die Präferenzen der betroffenen Personen, die keine Nutzer sind und deren Daten nicht von dem Gerät erfasst werden sollen, respektiert werden.

Wenn das IoT-Gerät von Dritten bereitgestellte Tools enthält und die Zustimmung die geeignetste Rechtsgrundlage ist, sollten sich die IoT-Entwickler der Tatsache bewusst sein, dass diese Tools auf einer Opt-in-Basis installiert werden sollten (auch wenn dies in einigen Sektoren keine weit verbreitete Praxis ist). Die Artikel-29-Datenschutzgruppe stellte daher fest: “Da für einen solchen Zugang die vorherige Zustimmung des Nutzers eingeholt werden muss, muss diese Zustimmung eindeutig, spezifisch und in Kenntnis der Sachlage erteilt werden. Die Praxis zeigt jedoch, dass die Genehmigungsanfragen von Drittanwendungsentwicklern oft nicht genügend Informationen enthalten, um die Zustimmung des Nutzers als spezifisch und ausreichend informiert und damit als gültig im Sinne des EU-Rechts zu betrachten”. [8]

Schließlich empfahl die Artikel-29-Datenschutzgruppe, dass die Anbieter von Anwendungen oder Diensten versuchen sollten, die Zustimmung des Einzelnen nach einem angemessenen Zeitraum zu erneuern (auch wenn sich die Art der Verarbeitung nicht ändert). So kann es beispielsweise unzulässig sein, personenbezogene Daten weiter zu verarbeiten, wenn eine Person den Dienst innerhalb der letzten 12 Monate nicht aktiv genutzt hat. Selbst wenn eine Person den Dienst genutzt hat, sollte sie mindestens einmal im Jahr (idealerweise öfter, insbesondere wenn die Art der Verarbeitung dies rechtfertigt) an die Art der Verarbeitung ihrer personenbezogenen Daten erinnert werden. So könnte der Entwickler die Möglichkeit in Betracht ziehen, in das Gerät oder System ein Tool einzubauen, das eine Anfrage an den Nutzer sendet und seine Zustimmung zur Fortsetzung der Verarbeitung erneut einholt (oder auch nicht). Dies ist jedoch eher eine Empfehlung als eine strenge gesetzliche Vorschrift. In jedem Fall muss die betroffene Person über eine einfache Möglichkeit verfügen, ihre Einwilligung jederzeit und ohne Rückwirkung zu widerrufen.

Eine breite Einwilligung kann akzeptabel sein, aber nur, wenn einige konkrete Umstände zutreffen, wie z. B.: Es ist schwierig oder unwahrscheinlich vorherzusehen, wie diese Daten in Zukunft verarbeitet werden; eine breite Einwilligung, die für die Verarbeitung besonderer Datenkategorien verwendet wird, ist mit den nationalen Vorschriften vereinbar; wenn eine breite Einwilligung verwendet wird, haben die betroffenen Personen die Möglichkeit, ihre Einwilligung zurückzuziehen und zu wählen, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen wollen oder nicht. Darüber hinaus müssen einige Schutzmaßnahmen ergriffen werden (siehe Kasten 4).

Kasten 4: Umfassende Zustimmung und zusätzliche Sicherheitsvorkehrungen

Die deutsche Datenschutzbehörde hat einige zusätzliche Sicherheitsvorkehrungen aufgeführt, die im Falle einer umfassenden Einwilligung im Rahmen von Forschungsprojekten zu treffen sind.[9] Diese können in geeigneter Weise an andere Umstände angepasst werden:

1. Sicherheitsvorkehrungen zur Gewährleistung der Transparenz:

  • Verwendung von Benutzungsordnungen oder Forschungsplänen, die die geplanten Arbeitsmethoden und Fragestellungen, die Gegenstand des Forschungsprojekts sein sollen, veranschaulichen.
  • Bewertung und Dokumentation der Frage, warum in diesem speziellen Forschungsprojekt eine genauere Spezifizierung der Forschungsziele nicht möglich ist.
  • Einrichtung einer Website, um die Studienteilnehmer über laufende und künftige Studien zu informieren.

2. Sicherheitsvorkehrungen zur Vertrauensbildung:

  • Positives Votum einer Ethikkommission vor Verwendung der Daten für weitere Forschungszwecke.
  • Bewertung, ob es möglich ist, mit einer dynamischen Einwilligung zu arbeiten, oder ob eine betroffene Person ihre Einwilligung verweigern oder Widerspruch einlegen kann, bevor die Daten für neue Forschungsfragen verwendet werden können (je nach der Rechtsgrundlage für eine solche Weiterverarbeitung der Daten).

3. Sicherheitsvorkehrungen:

  • Keine Datenübermittlung in Drittländer mit einem niedrigeren Datenschutzniveau.
  • Zusätzliche Maßnahmen zur Datenminimierung, Verschlüsselung, Anonymisierung, Pseudonymisierung oder Implementierung von Sicherheitsmaßnahmen.
  • Umsetzung spezifischer Maßnahmen zur Begrenzung des Zugangs zu personenbezogenen Daten.

Wichtig ist, dass die Einwilligung möglicherweise nicht die wirksamste Rechtsgrundlage ist, wenn die Verarbeitung der Daten für die Verarbeitung in einer Weise erforderlich ist, dass die Verarbeitung ohne die Daten nicht stattfinden kann oder dass ein bestimmter Dienst ohne die Verarbeitung nicht angeboten werden kann. Dies trifft zu, da die betroffenen Personen immer das Recht haben, ihre Einwilligung jederzeit zu widerrufen. In Fällen, in denen die Tätigkeit von den Daten abhängig ist, kann der Widerruf der Einwilligung dazu führen, dass die Dienstleistung nicht mehr erbracht werden kann. Abhängig von allen anderen Umständen der Verarbeitungstätigkeit können in diesen Fällen andere Rechtsgrundlagen angemessener sein, wie z. B. die Notwendigkeit, einen Vertrag zu erfüllen.

Darüber hinaus müssen die betroffenen Personen die Möglichkeit haben, eine zuvor erteilte Einwilligung in eine bestimmte Datenverarbeitung zu widerrufen und der Verarbeitung der sie betreffenden Daten zu widersprechen. Die Ausübung dieses Rechts muss ohne technische oder organisatorische Zwänge möglich sein, und die für die Registrierung des Widerrufs vorgesehenen Instrumente müssen zugänglich, sichtbar und effizient sein.

Gemäß der Arbeitsgruppe zu Artikel 29 sollten “Rücknahmeregelungen feinkörnig sein und sich auf Folgendes erstrecken:

(1) Alle Daten, die von einer bestimmten Sache erfasst werden (z. B. die Aufforderung, dass die Wetterstation die Erfassung von Luftfeuchtigkeit, Temperatur und Geräuschen einstellt);

(2) Eine bestimmte Art von Daten, die von einem beliebigen Gerät erfasst werden (z. B. sollte ein Nutzer die Möglichkeit haben, die Erfassung von Daten durch ein Gerät, das Geräusche aufzeichnet, zu unterbrechen, sei es ein Schlaftracker oder eine Wetterstation);

(3) Eine spezifische Datenverarbeitung (z. B. könnten Nutzer verlangen, dass sowohl ihr Schrittzähler als auch ihre Uhr aufhören, ihre Schritte zu zählen). Da tragbare “vernetzte Dinge” wahrscheinlich bestehende Gegenstände mit den üblichen Funktionen ersetzen werden, sollten die für die Verarbeitung Verantwortlichen außerdem die Möglichkeit bieten, die “vernetzte” Funktion des Gegenstandes zu deaktivieren und ihn wie den ursprünglichen, nicht vernetzten Gegenstand funktionieren zu lassen (d. h. die vernetzte Funktion der intelligenten Uhr oder Brille zu deaktivieren).

Die Datenschutzgruppe hat bereits festgelegt, dass die betroffenen Personen die Möglichkeit haben sollten, “ihre Einwilligung jederzeit zu widerrufen, ohne den angebotenen Dienst verlassen zu müssen”[10].

Checkliste: Zustimmung

☐ Die für die Verarbeitung Verantwortlichen können nachweisen, dass sie nach Abwägung der Umstände der Verarbeitung zu dem Schluss gekommen sind, dass die Einwilligung die geeignetste Rechtsgrundlage für die Verarbeitung ist.

☐ Die für die Verarbeitung Verantwortlichen fordern die Einwilligung der betroffenen Personen in freier, spezifischer, informierter und unmissverständlicher Weise gemäß Artikel 7 DSGVO ein.

☐ Die für die Verarbeitung Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen.

☐ Wenn eine umfassende Einwilligung für die Verarbeitung besonderer Datenkategorien verwendet wird, ist dies mit den nationalen Vorschriften vereinbar.

☐ Bei einer umfassenden Einwilligung gibt der für die Verarbeitung Verantwortliche den betroffenen Personen insbesondere die Möglichkeit, ihre Einwilligung zu widerrufen und zu entscheiden, ob sie an bestimmten Projekten oder Teilen davon teilnehmen möchten.

☐ Das Machtgefälle zwischen den für die Verarbeitung Verantwortlichen und den betroffenen Personen steht der freien Einwilligung nicht entgegen. Dies ist besonders wichtig in einem Kontext wie dem des Arbeitsrechts.

☐ Die für die Verarbeitung Verantwortlichen fordern die Menschen auf, sich aktiv zu beteiligen.

☐ Die Steuergeräte verwenden keine angekreuzten Kästchen oder andere Arten von Standardeinwilligungen.

☐ Die Lotsen verwenden eine klare, einfache und leicht verständliche Sprache.

☐ Die für die Verarbeitung Verantwortlichen legen fest, welche Arten von Daten sie haben wollen, warum sie sie haben wollen, was sie damit machen wollen und wie lange die Daten verarbeitet werden.

☐ Die für die Verarbeitung Verantwortlichen geben getrennte (“granulare”) Optionen zur Einwilligung in verschiedene Zwecke und Arten der Verarbeitung.

☐ Die für die Verarbeitung Verantwortlichen geben an, welche Daten oder Datenkategorien zu welchem Zweck verarbeitet werden.

☐ Die für die Verarbeitung Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen, und darüber, wie sie dies tun können.

☐ Die für die Verarbeitung Verantwortlichen stellen sicher, dass Einzelpersonen ihre Zustimmung verweigern können, ohne dass ihnen dadurch Nachteile bei der Inanspruchnahme des Dienstes entstehen.

☐ Die für die Verarbeitung Verantwortlichen vermeiden es, die Einwilligung zur Voraussetzung für einen Vertrag zur Erbringung einer Dienstleistung zu machen, wenn die Daten für die Erbringung dieser Dienstleistung nicht erforderlich sind.
  1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf
  2. EDPB, Leitlinien 05/2020 zur Zustimmung gemäß Verordnung 2016/679, angenommen am 4. Mai 2020, unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
  3. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  4. Artikel-29-Datenschutzgruppe (2011) Stellungnahme 13/2011 zu Geolokalisierungsdiensten auf intelligenten mobilen Geräten Angenommen am 16. Mai 2011. 881/11/EN WP 185, S. 13, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf
  5. Art. 29 Datenschutzgruppe (2014) Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088
  6. Wachter, Sandra, Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR, Computer Law & Security Review, Volume 34, Issue 3, 2018, pages 436-449.
  7. Artikel-29-Datenschutzgruppe (2011) Stellungnahme 13/2011 zu Geolokalisierungsdiensten auf intelligenten mobilen Geräten Angenommen am 16. Mai 2011. 881/11/EN WP 185, S. 13, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. Siehe den Fall LaLiga, unter: https://asociaciondpd.com/wp-content/uploads/2019/07/PS-00326-2018_ORI.pdf. Eine englische Zusammenfassung ist abrufbar unter: https://iapp.org/news/a/spanish-dpa-fines-la-liga-250k-euros-for-alleged-gdpr-violations/.
  8. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.
  9. DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. April 2019, unter: www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (abgerufen am 20. Mai 2020). Die englische Übersetzung stammt aus einer schönen Zusammenfassung der Maßnahmen, die hier eingesehen werden kann: www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/
  10. Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014), S. 20, unter: https://www.dataprotection.ro/servlet/ViewDocument?id=1088

 

Skip to content