Einwilligungen zur Datenverarbeitung nach neuem EU-Recht – was ist zu tun?

in Legal, 05.04.2018

Das neue Datenschutzrecht der EU gilt ab Ende Mai 2018. Es ist auch für Unternehmen in der Schweiz relevant. Entsprechen Ihre Datenschutzerklärungen und die entsprechende Einwilligung der neuen Gesetzgebung? Sind bestehende Einwilligungen gültig? Auf welche Punkte sollte man achten?

Nach dem 25. Mai 2018 gilt das neue Datenschutzrecht der EU, die Datenschutz Grundverordnung (DSGVO / GDPR). Auch für Unternehmen in der Schweiz kann das neue Recht zur Anwendung kommen, weshalb  es wichtig ist, die bestehenden Einwilligungserklärungen der betroffenen Personen/Kunden genau anzusehen und zu prüfen, ob Änderungen notwendig sind. Andernfalls könnte eine entsprechende Verarbeitung von Personendaten nach dem 25. Mai 2018 nicht mehr rechtens sein.

Wichtig ist in diesem Zusammenhang zu wissen, dass die Einwilligung der betroffenen Person nicht die einzige Möglichkeit ist, Daten gemäss DSGVO /GDPR rechtmässig zu verarbeiten. Die recht verbreitete Ansicht, für jeden Verarbeitungsvorgang von Personendaten sei nach dem 25. Mai 2018 eine ausdrückliche Zustimmung der betroffenen Person notwendig, ist nicht zutreffend und widerspricht dem Konzept der DSGVO. Neben der Zustimmung durch die betroffene Person gibt es folgende Möglichkeiten für eine rechtmässige Verarbeitung von Personendaten:

  • Verarbeitung zwecks Erfüllung eines Vertrages
  • Erfüllung einer rechtlichen Verpflichtung
  • Eine Bearbeitung um lebenswichtige Interessen zu schützen
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse sowie zur
  • Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten

Stellen Sie fest, dass aufgrund der Konstellation mit der betroffenen Person oder aufgrund der Art der verarbeiteten Personendaten – bei besonders schützenswerten Personendaten ist eine Einwilligung erforderlich – Notwendigkeit für eine Einwilligungserklärung besteht, dann sind folgende Anforderungen zu beachten:

Freiwilligkeit

Die betroffene Person muss freiwillig über ihre Zustimmung entscheiden können. Die bedeutet, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

Verständlichkeit

Die Einwilligungserklärung muss in klarer und einfacher Sprache gehalten sein.
Nicht zulässig wäre eine unübersichtliche Datenschutzklausel z.B. in den Allgemeinen Geschäftsbedingungen des Unternehmens.

Informiertheit

Die betroffene Person muss die Einwilligung in informierter Weise abgeben. Es ist also erforderlich, dass diese Person weiss, wer der Verantwortliche für die Verarbeitung der Daten ist und zu welchem Zweck ihre Personendaten konkret verarbeitet werden.

Zweckbezogenheit

Die Einwilligung für die Verarbeitung personenbezogener Daten muss für einen bestimmten Zweck erfolgen. Der konkrete Zweck der Verarbeitung muss also so präzise wie möglich beschrieben sein. Allgemeine Formulierungen wie “für Marketingzwecke” genügen demzufolge meist nicht um den Zweck hinreichend definieren zu können.

Bestimmtheit

Die Einwilligung muss für den bestimmten Fall erfolgen, somit also für Verarbeitungsvorgänge die denselben Zweck haben oder zu denselben Zwecken vorgenommen werden. Eine generelle Einwilligung im Sinne einer Blanko-Einwilligung ist nicht zulässig.

Eindeutigkeit

Die betroffene Person muss ihre Einwilligung durch eine eindeutige bestätigende Handlung geben. In vielen Fällen wird dies durch das Unterzeichnen der Einwilligungserklärung geschehen – jedoch ist Schriftlichkeit nicht zwingend. Wichtig ist, dass die Willensbekundung unmissverständlich ist und eine solche Einwilligung später auch nachweisbar ist.

Widerrufsmöglichkeit

Die betroffene Person muss in der Einwilligungserklärung ausdrücklich darauf hingewiesen werden, dass sie die erteilte Einwilligung jederzeit widerrufen kann.

Spezialfall: Kinderdaten und besonders schützenswerte Daten

Werden Daten von Kindern verarbeitet oder handelt es sich um besonders schützenswerte Personendaten, so muss eine ausdrückliche Einwilligung zu einer solchen Verarbeitung vorhanden sein. Dies geschieht vorzugsweise schriftlich um eine spätere Nachweisbarkeit zu erlauben.

Was geschieht mit bereits bestehenden Einwilligungserklärungen?

Eine neue Einwilligungserklärung für die Datenverarbeitung ist dann nicht erforderlich, wenn die Art und Weise der bereits erteilten Einwilligung den oben genannten Bedingungen der DSGVO entspricht. In der Praxis wird dies jedoch nur selten der Fall sein, weshalb derartige Einwilligungen entweder an die neuen Erfordernisse angepasst werden oder bei der betroffenen Person eine neue Einwilligung die der DSGVO entspricht eingeholt werden sollte.

 

Weitere Informationen: