Zum Experten-Blog

EU-DSGVO: Die Consent-Checkliste zur Erlaubniseinholung

  • Andreas Reutimann

Organisationen verarbeiten ständig personenbezogene Daten. Dafür benötigen sie allerdings eine rechtliche Grundlage. Eine prominente Möglichkeit, personenbezogene Daten zu verarbeiten, stellt das Einholen von Einwilligung der betroffenen Person dar. Wir haben für Sie eine Checkliste zusammengestellt, mit deren Hilfe Sie beurteilen können, ob das DSGVO-konforme Einholen von Einwilligungen angebracht ist.

Ist das Einholen von Erlaubnissen notwendig? 

Die Erlaubniserteilung durch Empfänger (bspw. Anmeldung zum Newsletter) stellt eine sehr beliebte Form dar, um personenbezogene Daten zu verarbeiten. Besonders beliebt sind Einwilligungen aufgrund Ihrer vermeintlichen Einfachheit. Man stellt sich ein simples Formular mit einer Checkbox vor. Mit Rechtssicherheit oder User-Erwartung hat das jedoch noch nicht viel zu tun. So müssen Einwilligungen schliesslich freiwillig und bewusst erteilt, spezifisch dokumentiert, vor Verwechslungen geschützt und jederzeit widerrufbar sein. Enorme Aufwände also, um dies in Prozessen und Applikationen zu ermöglichen.

Bevor man sich also dazu entscheidet, eine Erlaubnis einzuholen, empfiehlt es sich, deren Notwendigkeit zu prüfen. Da die Europäische Datenschutz Grundverordnung (EU-DSGVO), die seit Mai 2018 in Kraft ist, die Erwartungshaltung der Betroffenen sehr stark einbezogen hat, kann diese nicht nur in rechtlicher Hinsicht als Grundlage für entsprechende Abklärungen beigezogen werden. Artikel 6 DSGVO über die «Rechtmässigkeit der Verarbeitung» führt neben der Erlaubniserteilung noch fünf weitere Legitimationen auf. So dürfen Unternehmen Daten verarbeitet , um ...

  • ... einen Vertrag oder vorvertragliche Massnahmen mit dem Betroffenen erfüllen zu können (Beispiel: Kontaktformular auf der Website).

  • ... Ihren rechtlichen Pflichen nachkommen zu können (Beispiel: Verarbeitung des Geburtsdatums im Kontext von Alkohol-Verkäufen).

  • ... lebenswichtige Interessen einer (beliebigen) natürlichen Person zu schützen (Beispiel: medizinische Notfallversorgung) .

  • ... Aufgaben im öffentlichen Interesse wahrnehmen oder in offizieller Ausübung einer öffentlichen Gewalt erfolgen zu können (Beispiel: Personenkontrolle durch Polizei-Organ).

  • ... überwiegende berechtigte Interessen zu wahren (Beispiel: Speicherung relevanter Kontaktdaten eines Betroffenen mit einer Werbesperre).

Trifft eine dieser Legitimationen zu, wird die Dokumentation der involvierten Prozesse im Rahmen der Datenschutzerklärung empfohlen. Ist jedoch eine Erlaubniserteilung tatsächlich die beste Variante, so beachten Sie bitte nachfolgende Checkliste.

Die Consent-Checkliste

Erlaubnis einholen

  1. Die Erlaubniserteilung ist prominent ersichtlich und getrennt von allgmeinen Nutzungsbedingungen
  2. Betroffene werden höflich um Erlaubnis (Opt-In) gebeten.
  3. Vorausgewählte Checkboxen und andere «Erlaubnis ohne Widerruf»-Methoden werden nicht eingesetzt.
  4. Es wird eine klare und einfach verständliche Sprache verwendet
  5. Weshalb die Daten abgefragt werden und was mit ihnen getan wird, ist beschrieben.
  6. Spezifische und unabhängige Prozesse erlauben es, granulare Erlaubnisse zu erteilen
  7. Der Name der Organisation («Verantwortlicher») sowie weitere beteiligte Parteien sind ersichtlich
  8. Wie man jederzeit seine Einwilligung widerrufen kann, ist deklariert.
  9. Jeder kann seine Einwilligung ohne Nachteil widerrufen.
  10. Die Dienstleistung setzt keine nicht zwingend benötigte Einwilligung voraus.
  11. Eine Alters-Verifizierung sowie Mechanismen für eine Eltern-Einwilligung ist implementiert bei Leistungen für unter Vormundschaft stehende Personen (z. B. Kinder)

Aufzeichnen

  1. Wann und wie eine Erlaubnis erteilt wurde, wird gespeichert.
  2. Der genaue Wortlaut einer erteilten Einwilligung wird gespeichert.

Verwalten

  1. Es wird regelmässig geprüft, ob sich erteilte Einwilligungen in Bezug auf deren Beziehung, die Verarbeitung oder dem Zweck verändert haben.
  2. Einwilligungen werden in angemessenen Intervallen erneuert.
  3. Aus Gründen des «good-practice» wird eine Einwilligungsverwaltung verwendet
  4. Es ist für einen Betroffenen einfach seine Einwilligung jederzeit zu widerrufen.
  5. Eine Beschreibung ist publiziert, welche erklärt, wie man seine Einwilligung jederzeit widerrufen kann
  6. Einwilligungswiderrufe werden so schnell es geht verarbeitet.
  7. Wer den Wunsch äussert seine Einwilligung zu widerrufen, wird nicht bestraft. 

Fazit

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) kann sowohl als rechtliche als auch ethische Basis für Abklärungen beigezogen werden. In Anbetracht des erheblichen Aufwands, welcher mit Einwilligungen einhergeht, sollte vor einem solchen Einsatz unbedingt deren Notwendigkeit geprüft werden. Um die kleinstmögliche Angriffsfläche zu erzielen, sollten sämtliche Punkte obiger Checkliste erfüllt oder einer der übrig genannten Legitimationsgründe, nach sorgfältiger Prüfung, erfüllt sein.

Headless CMS: Effiziente Entwicklungsprozesse dank Fokus auf die Inhalte

Headless sorgt ganz im Sinne von Content First dafür, dass im Projekt der Fokus von Anfang an auf Inhalten und Funktionen und damit auf dem Mehrwert für den User liegt. Der Entwicklungsprozess wird dadurch völlig neu orchestriert: Inhaltserfassung und technische Entwicklung laufen parallel.