Art. 7 - DSGVO - Bedingungen für die Einwilligung
|
Stand: 25.01.2012 |
Stand: 12.03.2014 |
Stand: 16.06.2015 |
Stand: 27.04.2016 |
Einwilligung |
Einwilligung |
Einwilligung |
Bedingungen für die Einwilligung |
|
1. Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat. |
1. Im Fall der Verarbeitung auf Grundlage einer Einwilligung trägt der für die Verarbeitung Verantwortliche die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat. |
1. In den Fällen, in denen Artikel 6 Absatz 1 Buchstabe a zur Anwendung kommt, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre unmissverständliche Einwilligung erteilt hat. 1a. In den Fällen, in denen Artikel 9 Absatz 2 Buchstabe a zur Anwendung kommt, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre ausdrückliche Einwilligung erteilt hat. |
1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. |
|
2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich erkennbar von dem anderen Sachverhalt getrennt werden. |
2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich klar erkennbar von dem anderen Sachverhalt getrennt werden. Bestimmungen über die Einwilligung der betroffenen Person, die diese Verordnung teilweise verletzen, sind in vollem Umfang nichtig. |
2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. |
2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
|
|
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. |
3. Unbeschadet anderer Rechtsgrundlagen für die Verarbeitung hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Die betroffene Person wird von dem für die Verarbeitung Verantwortlichen informiert, wenn der Widerruf der Einwilligung zu einer Einstellung der erbrachten Dienstleistungen oder der Beendigung der Beziehungen zu dem für die Verarbeitung Verantwortlichen führen kann. |
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. |
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
|
|
4. Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. |
4. Die Einwilligung ist zweckgebunden und wird unwirksam, wenn der Zweck nicht mehr gegeben ist oder die Verarbeitung der personenbezogenen Daten zur Erreichung des Zwecks, für den die Daten ursprünglich erhoben wurden, nicht mehr erforderlich ist. Die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung darf nicht von der Einwilligung in eine Verarbeitung von Daten abhängig gemacht werden, die für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung nicht im Sinne von Artikel 6 Absatz 1 Buchstabe b erforderlich ist. |
4. (entfällt) |
4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
|
Erwägungsgründe: 32, 33, 42, 43
Äquivalenz zum BDSG: §§ 4a, 28.IIIa, 28.IIIb BDSG
Erwägungsgründe: 32, 33, 42, 43 – vgl. auch Art. 4 (11) EU-DSGVO
Äquivalent im BDSG: §§4a, 28.IIIa, IIIb BDSG
Die Anforderungen gegenüber der Einwilligung haben sich in der EU-DSGVO deutlich verschärft:
Freiwilligkeit
- kein Koppelgeschäft (Art. 7 Abs. 4 EU-DSGVO):
keine Erfüllung eines Vertrages oder keine Erbringung einer Dienstleistung wird davon abhängig gemacht - kein Über-Unterordnungsverhältnis
- Widerrufbarkeit (muss so einfach wie die Erteilung sein)
- ohne Unterbrechung des Dienstes (Erwägungsgrund 32)
Bestimmtheit
- für verschiedene Zwecke / Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.
Informiertheit
- Über Zweck und Umfang der Verarbeitung
- Über den Verantwortlichen
- über das Widerrufsrecht (galt bisher i.W. nur im TMG), insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung
Unmißverständlichkeit
- in einer (schriftlichen) Erklärung Form oder einer sonstigen aktiven, eindeutig bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl entsprechender Einstellungen (Vorsicht: Privacy by default, Art. 25 (2) EU-DSGVO!)
- kann auch mündlich oder elektronisch geschehen (=> Nachweisbarkeit?)
Nachweisbarkeit
- Die Einwilligung muss auch nach jahren noch nachweisbar sein,
was insbesondere bei schriftlichen Erklärungen schwierig sein dürfte (Auffindbarkeit? => einscannen und mit Namen taggen!).
in verständlicher und leicht zugänglicher Form / klaren, einfachen Sprache
- Hier ist die Auswirkung noch ziemlich unklar. Sicher ist gemeint, dass kein „Juristen-Deutsch“ (schon gar keine Fremdsprache) und keine zu verschachtelten Sätze benutzt werden sollten. vermutlich werden die Einwilligungstexte hierdurch deutlich länger!
bei Minderjährigen
- bei Kindern bis 16 Jahren nur mit Zustimmung des Erziehungsberechtigten (Art. 8)
Update der Bestands-Opt-Ins
Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vogesehen. Ab diesem Datum müssen alle genutzten Einwillgungen den o.g. (strengeren) Anforderungen genügen.
Ausweichen auf eine Erlaubnisnorm wie Art. 6f EU-DSGVO?
Es ist daher mehr denn je fraglich, ob sich ein Unternehmen auf die Wirksamkeit seiner Einwilligungen verlassen kann. Aus diesem Grund werden viele Unternehmen versuchen, statt einer Einwilligung die Daten auf Basis rechtlicher Erlaubnisnormen z.B. des Art. 6 DSGVO zu verarbeiten. Hierzu gibt insbesondere Art. 6f EU-DSGVO mit dem weitgehend unbestimmten, interpretations- und abwägungswürdigen Begriff des begründeten Interesses weiten Spielraum.
Benachteiligung deutscher Werbetreibender aufgrund des strengen UWGs?
Deutsche Datenverarbeiter müssen insbesondere für Zwecke des Direktmarketings jedoch beachten, dass das Wettbewerbsrecht, insbesondere §7 UWG weiterhin Bestand haben wird, also für bestimmte Kanäle wie etwa eMail weiterhin ein Opt-In erforderlich sein wird. Insofern könnte Deutschland als Standort benachteiligt sein, sofern der die verantwortliche Stelle in einem europäischen Land seinen Sitz hat, das keine so strengen wettbewerbsrechtlichen Anforderungen kennt.
Hilfreiche Dokumente:
– Best-Practice-Guide des DDV
– ECO Richtlinie für zulässiges Email-Marketing
– Einwilligung nach der DSGVO des BayLDA
Wie kann es sein, dass die meisten Unternehmen lediglich für die Einwilligung einen Button (HTML Mails) haben, jedoch nicht für die Verweigerung der Einwilligung. Ist das so zulässig? Hierbei gäbe es nur eine Auswahl, nämlich zuzustimmen.
Was bedeutet nun genau der Passus „…bis zum Widerruf erfolgten Verarbeitung nicht berührt“
(aus dem Satz: Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.)
Das ich die Daten, die vor dem Wideruf gespeichert/verarbeitet wurden, weiterhin speichern darf?
Würde mich sehr über eine Aufklärung freuen!
So verstehe ich das auch.
Nehmen wir an, ein Kunde beendet das Geschäftsverhältnis und verlangt die Löschung all seiner Daten zum 30. des Monats. Dann bleiben alle Daten, die bis zum 30. des Monats, 24:00 Uhr aufgrund seiner früheren Einwilligung gespeichert wurden, davon unberührt.
Andere Gründe, die Daten zu behalten, können natürlich auch vorliegen (Pflicht zur Aufbewahrung der Buchführung z. B.)
Nicht automatisch. Das bedeutet, dass die Verarbeitung der Daten bis zum Zeitpunkt des Widerrufs rechtmäßig war. Eine weitere Datenverarbeitung der vom Widerruf betroffenen Daten ist nur insoweit erlaubt, als Sie hierzu einen anderen Rechtfertigungsgrund vorweisen können.
Zum Beispiel werden Sie wohl jene Daten speichern dürfen (berechtigtes Interesse), die dafür notwendig sind, später – etwa aufgrund einer Prüfung durch die Datenschutzbehörde oder in einem Schadenersatzprozess – nachzuweisen, dass Sie die Daten (vor dem Widerruf) rechtmäßig (nämlich aufgrund der Einwilligung) verarbeitet haben.
Mit anderen Worten: Würden Sie wegen des Widerrufs alles (sic!) sofort löschen und würde der Betroffene am nächsten Tag eine Anzeige bei der Behörde machen, könnten Sie nicht mehr nachweisen, dass Sie die Daten bis zum Widerruf rechtmäßig verarbeitet haben, weil ja auch die Einwilligungserklärung gelöscht wäre.
Hoffe ich konnte helfen.
„keine Erfüllung eines Vertrages oder keine Erbringung einer Dienstleistung wird davon abhängig gemacht“
Ohne Speicherung bestimmter Daten wie z.B. Name, Kontonummer kann einem Mitarbeiter doch kein Gehalt überweisen werden.
Ohne Konto in der Firmen-IT kann der MA nicht arbeiten.
Ist dann für solche Daten keine Zustimmung notwendig ?
Wie verhält es sich denn mit Transactional-E-Mails? Wenn ich meinen Kunden die Info schicke, dass ihr Paket unterwegs ist, brauch ich doch dafür keine Einwilligung, oder? Ich verstehe es so, dass es sich hier um ein berechtigtes Interesse auf Information handelt.
„Nachweisbarkeit
Die Einwilligung muss auch nach jahren noch nachweisbar sein,“
Haben die Verantwortlichen eine Idee wie das bei online abgeschlossenen Verträgen funktionieren soll?
Dann müssten im Hintergrund neue Daten gesammelt werden. Der Kunde sowieso hat am soundsovielten das Häcken bei „ich akzeptiere die Datenschutzbedingungen“ gesetzt und dass müsste dann irgendwo gespeichert werden für wieviel Jahre?
Die, die sich über die neue Verordnung sehr freuen sind die Abmahnanwälte deren Gehälter weiter gesichert werden. Vielen Dank dafür!
Da eigentlich alle Adressen am 25.5.2018 den Standard der DSGVO entsprechen müssen, sollte man doch jetzt schon den richtigen Prozess anwenden sonst ist ja die Verwendung der Kundendaten nicht mehr erlaubt? Also ist offensichtlich das Wichtigste im Moment die Einwillung bzw der Nachweis der Rechtmäßigkeit.