Besondere Berücksichtigung der Einwilligung als Grundlage für die Verarbeitung
Home » Standort- und Nachverfolgungsdaten » Chancen nutzen – Geschäftsverständnis und datenschutzplan » Besondere Berücksichtigung der Einwilligung als Grundlage für die Verarbeitung

Wie bereits erwähnt, wird die Datenverarbeitung nicht immer durch eine Einwilligung als Rechtsgrundlage legitimiert. Dies sind jedoch nicht die häufigsten Situationen. Vielmehr sieht der Entwurf der e-Datenschutz-Verordnung[1] die Einwilligung als Hauptgrundlage für die rechtmäßige Datenverarbeitung im Zusammenhang mit der elektronischen Kommunikation vor. Die Einwilligung gilt jedoch nur, wenn bestimmte Bedingungen erfüllt sind (siehe „Einwilligung“ im entsprechenden Abschnitt der Leitlinien). Wenn die Einwilligung als Rechtsgrundlage für die Datenverarbeitung verwendet wird, sollten die Entwickler sicherstellen, dass ihr Gerät die Erforderlichkeit beinhaltet, die Einwilligung der Nutzer in die Verarbeitung in Kenntnis der Sachlage und auf granulare Weise einzuholen und diese Einwilligung zu dokumentieren. Darüber hinaus muss eine solche Einwilligung ordnungsgemäß akkreditiert werden.

Es muss klar sein, dass eine Einwilligung durch die betroffene Person freiwillig weder durch die zwingende Annahme der allgemeinen Geschäftsbedingungen eingeholt werden kann noch durch die Möglichkeit zum Opt-out.[2] Der Ansatz muss granular sein. Andererseits sollten die Standardeinstellungen eines Betriebssystems gewährleisten, dass die Lokalisierungsdienste „AUS“ sind und der Nutzer sollte dann die Möglichkeit haben, stufenweise bei bestimmten Anwendungen auf „AN“ zu stellen. Außerdem “muss unterschieden werden zwischen der Einwilligung in einen einmaligen Dienst und in ein regelmäßiges Abonnement. Um beispielsweise einen bestimmten Dienst zur Geolokalisierung zu nutzen, kann es möglicherweise erforderlich sein, diesen Dienst an dem Gerät oder in dem Browser einzustellen. Wenn die Geolokalisierungsfunktion auf „AN“ steht, kann jede Website die Standortdetails des Nutzers des betreffenden intelligenten mobilen Endgerätes lesen. Um die Risiken einer geheimen Überwachung zu verhindern, ist die Artikel-29-Datenschutzgruppe der Ansicht, dass das Gerät ständig warnen sollte, wenn der Geolokalisierungsdienst eingeschaltet ist. Das könnte beispielsweise mittels eines dauerhaft zu sehenden Icons gemacht werden.”[3]

Schließlich empfahl die Artikel-29-Datenschutzgruppe, dass die Anbieter von Geolokalisierungsanwendungen oder -diensten die individuelle Einwilligung nach einer angemessenen Zeitspanne erneuern (selbst, wenn keine Änderung in der Art der Verarbeitung erfolgt ist). Es wäre beispielsweise nicht richtig, Standortdaten weiterhin zu verarbeiten, wenn die betreffende Person den Dienst während der letzten zwölf Monate nicht aktiv genutzt hat. Selbst wenn eine Person den Dienst genutzt hat, sollte sie zumindest einmal im Jahr (oder häufiger, wenn die Art der Verarbeitung dies erforderlich macht) an die Art der Verarbeitung ihrer personenbezogenen Daten erinnert werden. So könnte der Entwickler die Möglichkeit in Betracht ziehen, in das Gerät oder System ein E-Tool einzubauen, das eine Anfrage an den Nutzer sendet, um seine Einwilligung zur Fortsetzung der Verarbeitung (erneut) einzuholen (oder nicht). Dies ist jedoch eher eine Empfehlung als ein rechtliches Erfordernis.

Eine breite Einwilligung könnte akzeptabel sein, jedoch nur bei Vorliegen bestimmter konkreter Umstände, beispielsweis die Schwierigkeit oder Unwahrscheinlichkeit, vorherzusehen, wie diese Daten in Zukunft verarbeitet werden; eine umfassende Einwilligung, die für die Verarbeitung besonderer Datenkategorien verwendet wird, ist mit den nationalen Vorschriften vereinbar; wenn eine umfassende Einwilligung verwendet wird, haben die betroffenen Personen die Möglichkeit, ihre Einwilligung zurückzuziehen und zu entscheiden, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen wollen oder nicht. Darüber hinaus müssen einige Sicherungsmaßnahmen eingeführt werden.

Kasten 3: Breite Einwilligung und zusätzliche Sicherungsmaßnahmen

Die deutsche Datenschutzaufsichtsbehörde hat vor Kurzem einige zusätzliche Sicherungsmaßnahmen aufgelistet, die im Falle einer breiten Einwilligung zu treffen sind.[4] Diese sind:

1. Zusätzliche Sicherungsmaßnahmen zur Gewährleistung von Transparenz:

  • Verwendung einer für den Einwilligenden zugänglichen Nutzungsordnung oder eines einsehbaren Forschungsplanes, der die geplanten Arbeitsmethoden und die Fragen, die Gegenstand der Forschung sein sollen, beleuchtet
  • Ausarbeitung und Dokumentation im Hinblick auf das konkrete Forschungsprojekt, wieso in diesem Fall eine nähere Konkretisierung der Forschungszwecke nicht möglich ist
  • Einrichten einer Internetpräsenz, durch die die Studienteilnehmer über laufende und künftige Studien informiert werden

2. Zusätzliche Sicherungsmaßnahmen zur Vertrauensbildung:

  • Positives Votum eines Ethikgremiums vor der Nutzung für weitere Forschungszwecke
  • Prüfung, ob das Arbeiten mit einem dynamic consent möglich ist bzw. Einräumung einer Widerspruchsmöglichkeit vor der Verwendung der Daten für neue Forschungsfragen

3. Zusätzliche Garantiemaßnahmen zur Datensicherheit:

  • Keine Datenweitergabe in Drittländer mit geringerem Datenschutzniveau
  • Gesonderte Zusagen zur Datenminimierung, Verschlüsselung, Anonymisierung oder Pseudonymisierung
  • Spezifische Vorschriften für die Begrenzung des Zugriffs auf die erhobenen Daten
Kasten 4: Beispiel einer bewährten Praxis für Anbieter von Geolokalisierungsanwendungen laut der Artikel-29-Datenschutzgruppe[5]:

Eine Anwendung, die Standortdaten verwenden möchte, informiert den Nutzer deutlich über die Zwecke, für die die Daten genutzt werden sollen und erfragt die ausdrückliche Einwilligung für jeden möglichen Zweck. Der Nutzer wählt aktiv das Maß der Granularität der Geolokalisierung (beispielsweise auf Länderebene, Städteebene, Postleitzahlenebene oder so genau wie möglich). Sobald der Dienst zur Standortbestimmung aktiviert ist, ist ständig ein Icon auf jedem Bildschirm sichtbar, der anzeigt, dass die Dienste zur Standortbestimmung aktiviert sind. Der Nutzer kann seine Einwilligung jederzeit zurückziehen, ohne hierfür die Anwendung verlassen zu müssen. Der Nutzer hat auch die Möglichkeit, alle auf dem Endgerät gespeicherten Standortdaten einfach und dauerhaft zu löschen.

Checkliste: Einwilligung

☐ Die Verantwortlichen können nachweisen, dass sie nach Abwägung der Umstände der Verarbeitung zu dem Schluss gekommen sind, dass die Einwilligung die geeignetste Rechtsgrundlage für die Verarbeitung ist.

☐ Die Verantwortlichen holen die Einwilligung der betroffenen Personen gemäß Artikel 7 DSGVO freiwillig, für einen konkreten Fall, nach ausreichender Information und unmissverständlich ein.

☐ Die Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen.

☐ Die für die Verarbeitung besonderer Datenkategorien verwendete breite Einwilligung ist mit den nationalen Vorschriften vereinbar.

☐ Wenn eine breite Einwilligung verwendet wird, ist sich der Verantwortliche insbesondere bewusst, dass die betroffenen Personen die Möglichkeit haben, ihre Einwilligung zu widerrufen und zu entscheiden, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen wollen oder nicht.

☐ Die Verantwortlichen stehen in einer direkten Beziehung zu der Person, die die Daten zur Verfügung stellt.

☐ Das Machtgefälle zwischen den Verantwortlichen und den betroffenen Personen behindert die freie Einwilligung nicht. Dies ist in bestimmten Kontexten wie der Arbeitswelt besonders wichtig.

☐ Die Verantwortlichen fordern die Personen auf, aktiv zuzustimmen.

☐ Die Verantwortlichen verwenden keine Markierungskästchen oder eine andere Art von Standardeinwilligung.

☐ Die Verantwortlichen verwenden eine klare, einfache und leicht verständliche Sprache.

☐ Die Verantwortlichen geben an, wozu sie die Daten benötigen, was sie damit tun werden und wie lange die Daten verarbeitet werden.

☐ Die Verantwortlichen bieten separate („granulare”) Optionen zur Einwilligung in verschiedene Zwecke und Arten der Verarbeitung.

☐ Die Verantwortlichen stellen eine Verknüpfung, welche Daten oder Datenkategorien für welchen Zweck verarbeitet werden.

☐ Die Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen, und darüber, wie sie dies tun können.

☐ Die Verantwortlichen stellen sicher, dass die betroffenen Personen ihre Einwilligung verweigern können, ohne dass ihnen dadurch der Zugang zu den Diensten erschwert wird.

☐ Die Verantwortlichen vermeiden es, die Einwilligung zur Vorbedingung für einen Dienst zu machen.

 

 

Quellenangaben


1https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf

2Artikel-29-Datenschutzgruppe (2011) Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten, angenommen am 16. Mai 2011. 881/11/EN WP 185, Seite 13, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf

3Artikel-29-Datenschutzgruppe (2011) Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten, angenommen am 16. Mai 2011. 881/11/EN WP 185, Seite 13, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf

4DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO 3. April 2019, unter: www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (abgerufen am 20. Mai 2020). Eine englische Zusammenfassung dieser Maßnahmen finden Sie hier: www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/

5Artikel-29-Datenschutzgruppe (2011) Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten, angenommen am 16. Mai 2011. 881/11/EN WP 185, Seite 15, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf

 

Skip to content