Logo

EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO)

Datenschutzhinweise    Impressum    Kontakt

Anforderungen der DS-GVO an die Einwilligung

Zusammenfassung,     Copyright,     Einleitung,     Form der Einwilligung,     Nachweispflicht,     Anforderungen an eine Einwilligung,     Einwilligung Kinder in "Dienste der Informationsgesellschaft",     Besonderheiten bei der Datenverarbeitung nicht einwilligungsfähiger Patienten,     Sanktionierung,     "Bestandswahrung",     Fundstellen in der DS-GVO,     Literatur,     Checkliste

Nachweispflicht

Erfolgt eine Datenverarbeitung auf der Grundlage einer Einwilligung, so ist der Verantwortliche entsprechend der in der DS-GVO enthaltenen "Rechenschaftspflicht" nachweispflichtig, dass "die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat" (Erwägungsgrund 42). Dieses wiederum hat zur Konsequenz, dass wenn eine Einwilligung elektronisch erfolgt z.B. durch Setzen eines Hakens in einer Ankreuzbox, der Verantwortliche im Streitfall nachweisen muss, dass tatsächlich der Betroffene (Einwilligende) den "Haken" gesetzt hat. Daraus folgt, dass die betroffene Person bei "elektronischen Einwilligungserklärungen" zuvor eindeutig identifiziert werden muss. Diesen Nachweis muss der Verantwortliche z.B. gegenüber einer Aufsichtsbehörde oder ggfs. auch vor Gericht führen können.

Aufgrund der vorstehend beschriebenen Rechenschaftspflicht ist es daher gerade im Kontext mit der Verarbeitung von Gesundheitsdaten sinnvoll, Einwilligungserklärungen schriftlich oder elektronisch einzuholen und entsprechend beweisfest zu dokumentieren. Aufgrund der beim Verarbeiter liegenden Beweislast hinsichtlich der gegebenen Einwilligung ist bei einer elektronischen Einwilligung der Einsatz einer Protokollierung zu empfehlen. In dieser Protokollierung sollte neben dem Einwilligungstext und dem eindeutigen Identifizierungsmerkmal des Betroffenen (inkl. Art der verifizierten Authentifizierung, z.B. Double-Opt-In mit E-Mail-Adresse des Betroffenen) auch der Einwilligungszeitpunkt als qualifizierter elektronischer Zeitstempel gemäß der eIDAS-Verordnung(1) enthalten sein.



(1) Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. Online, zitiert am 2016-08-10