Infor­ma­ti­ons­pflich­ten zur Ein­wil­li­gung nach DSGVO

Lese­dau­er 2 Minu­ten

Die Daten­schutz-Grund­ver­ord­nung (DSGVO) legt stren­ge Anfor­de­run­gen an die Ein­wil­li­gung zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten fest. Damit eine Ein­wil­li­gung als „infor­miert“ gel­ten kann, müs­sen bestimm­te Infor­ma­ti­ons­pflich­ten erfüllt sein. Die­ser Arti­kel beleuch­tet die gesetz­li­chen Anfor­de­run­gen und gibt Emp­feh­lun­gen, wie Unter­neh­men die­se Pflich­ten effek­tiv erfül­len können.

Gesetz­li­che Informationspflichten

Nach Art. 4 Nr. 11 DSGVO ist eine Ein­wil­li­gung eine frei­wil­li­ge, infor­mier­te und unmiss­ver­ständ­li­che Wil­lens­be­kun­dung einer betrof­fe­nen Per­son. Die­se muss in Kennt­nis der Sach­la­ge erfol­gen, was bedeu­tet, dass die Per­son min­des­tens wis­sen muss, wer der Ver­ant­wort­li­che ist und für wel­che Zwe­cke ihre Daten ver­ar­bei­tet werden.

Der Erwä­gungs­grund 42 der DSGVO kon­kre­ti­siert die­se Anfor­de­run­gen wei­ter. Die betrof­fe­ne Per­son ist so umfas­send zu infor­mie­ren, dass sie die Trag­wei­te der Daten­ver­ar­bei­tung und die damit ver­bun­de­nen Risi­ken abschät­zen kann. Dies umfasst nicht nur die Iden­ti­tät des Ver­ant­wort­li­chen und die Zwe­cke der Daten­ver­ar­bei­tung, son­dern auch die Art der ver­ar­bei­te­ten Daten, das Bestehen eines Wider­rufs­rechts und mög­li­che Risi­ken bei Daten­über­mitt­lun­gen in Dritt­län­der ohne Angemessenheitsbeschluss.

Emp­feh­lun­gen des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA)

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat in sei­nen Leit­li­ni­en 05/2020 wei­te­re Inhal­te defi­niert, die für eine infor­mier­te Ein­wil­li­gung erfor­der­lich sind:

1. Iden­ti­tät des/der Ver­ant­wort­li­chen: Die betrof­fe­ne Per­son muss wis­sen, wer für die Daten­ver­ar­bei­tung ver­ant­wort­lich ist.
2. Zweck der Daten­ver­ar­bei­tung: Der Zweck, für den die Ein­wil­li­gung ein­ge­holt wird, ist klar kommunizieren.
3. Art der ver­ar­bei­te­ten Daten: Es muss ange­ge­ben wer­den, wel­che Daten ver­ar­bei­tet sind.
4. Wider­rufs­recht: Die betrof­fe­ne Per­son ist über ihr Recht zu infor­mie­ren, dass die Ein­wil­li­gung jeder­zeit zu wider­ru­fen ist.
5. Auto­ma­ti­sier­te Ent­schei­dun­gen: Infor­ma­tio­nen über auto­ma­ti­sier­te Ent­schei­dun­gen, ein­schließ­lich Pro­fil­ing nach Art. 22 DSGVO, sind bereitzustellen.
6. Risi­ken bei Daten­über­mitt­lun­gen: Mög­li­che Risi­ken bei der Über­mitt­lung von Daten in Län­der ohne Ange­mes­sen­heits­be­schluss oder geeig­ne­te Garan­tien nach Art. 46 DSGVO müs­sen offen­ge­legt werden.

Über­schnei­dun­gen mit all­ge­mei­nen Informationspflichten

Ein Ver­gleich der von der EDSA gefor­der­ten Inhal­te mit den all­ge­mei­nen Infor­ma­ti­ons­pflich­ten nach Art. 13 und 14 DSGVO zeigt, dass sich vie­le Anfor­de­run­gen über­schnei­den. Um die Infor­ma­ti­ons­pflich­ten effi­zi­ent zu erfül­len, emp­fiehlt es sich daher, die Inhal­te nach Art. 13 und 14 DSGVO zu berück­sich­ti­gen und gleich­zei­tig abzubilden.

Fazit

Eine kom­bi­nier­te und ergänz­te Infor­ma­ti­on nach Art. 13 und 14 DSGVO bie­tet sowohl für die betrof­fe­ne Per­son als auch für den Ver­ant­wort­li­chen Vor­tei­le. Die betrof­fe­ne Per­son wird trans­pa­rent und umfas­send über die geplan­te Daten­ver­ar­bei­tung infor­miert, wäh­rend der Ver­ant­wort­li­che sei­ne gesetz­li­chen Rechen­schafts­pflich­ten nach Art. 5 Abs. 2 DSGVO erfül­len kann. Durch eine sorg­fäl­ti­ge Umset­zung die­ser Infor­ma­ti­ons­pflich­ten wird die Ein­wil­li­gung nicht nur rechts­kon­form, son­dern auch ver­trau­ens­för­dernd gestaltet.