Logo

EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO)

Datenschutzhinweise    Impressum    Kontakt

Anforderungen der DS-GVO an die Einwilligung

Zusammenfassung,     Copyright,     Einleitung,     Form der Einwilligung,     Nachweispflicht,     Anforderungen an eine Einwilligung,     Einwilligung Kinder in "Dienste der Informationsgesellschaft",     Besonderheiten bei der Datenverarbeitung nicht einwilligungsfähiger Patienten,     Sanktionierung,     "Bestandswahrung",     Fundstellen in der DS-GVO,     Literatur,     Checkliste

Checkliste Anforderungen der DS-GVO

Zu prüfen… Ja Nein
Allgemein    
Wird die Einwilligung zeitlich vor der Erhebung und Verwendung von personenbezogenen Daten eingeholt?    
Bezieht sich die Einwilligung nur auf Datenverarbeitungen, die nicht bereits durch gesetzlicher Grundlage legitimiert sind? (Die rechtlichen Konsequenzen einer "überflüssigen" Einwilligung sind umstritten)    
Form    
Ist die Eindeutigkeit resp. die aktive Handlung der Einwilligung gewährleistet?
Die Einwilligung muss eindeutig erfolgen, d.h. durch eine aktive Handlung des Einwilligenden (z.B. durch Ankreuzen eines Auswahlfeldes).
   
Ist die Einwilligung "Teil eines größeren Dokuments"?
Wenn ja, dann muss sie von den anderen Sachverhalten des Dokuments klar zu unterscheiden sein:
      Werden Anforderungen an die "optische" Hervorhebung der datenschutzrechtlichen Einwilligung eingehalten?
   
Ist an eine zweifache Ausfertigung des Dokumentes gedacht?
(Verbleib des Originals beim Verantwortlichen, Kopie beim/bei der Betroffenen)
   
Existiert eine Bestätigung der Gelegenheit für Rückfragen?
Diesbezüglich empfehlen sich Formulierungen wie: "…Ich hatte Gelegenheit, Fragen zu stellen. Diese wurden vollständig und umfassend beantwortet. …";
Benennung desjenigen, der die Fragen beantwortet hat, ggfs. sollte dessen Name handschriftlich auf dem Einwilligungsbogen nachtragen
   
Freiwilligkeit    
Hatte der Betroffene eine echte Wahl zwischen Zustimmung und Ablehnung?    
Ist gewährleistet, dass die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung nicht von der Einwilligung abhängig gemacht wurde, wenn die Einwilligung nicht zwingend zur Erfüllung benötigt wird (Kopplungsverbot)?    
Informiertheit    
Hat der Betroffene alle erforderlichen Informationen (inkl. Vor- und Nachteile) erhalten? Insbesondere:
  • Datenverwendung (Zweck, Ziel, Nutzen, Chancen und Risiken)
  • Personenkreis, der auf Daten Zugriff erlangen darf
  • Art der von der Verarbeitung betroffenen Daten
  • Datenweitergabe (an wen, ggfs. Speicherung an welchem Ort, Land)
   
Werden alle in Art. 13 DS-GVO bzw. Art 14 DS-GVO genannten Informationen bereitgestellt?
Insbesondere:
  • Ansprechpartner sowie Kontaktdaten (Verantwortlicher, Datenschutzbeauftragter, …)
  • Rechtsgrundlage der Vereinbarung
  • Empfänger
  • Speicherdauer
  • Rechte des Betroffenen (Einsichtnahme, Korrektur, Löschen, Widerruf Einwilligung)
   
Sind der Verantwortliche sowie seine Vertreter eindeutig benannt? Stehen alle benötigten Kontaktdaten dem Betroffenen zur Verfügung?    
Gibt es einen (verständlichen) Hinweis auf die Folgen, die die Verweigerung der Einwilligung für den Betroffenen haben kann?    
Bezieht sich bei der Verarbeitung besonderen Kategorien von Daten (Art. 9 DS-GVO) die Einwilligungserklärung ausdrücklich auch auf diese Daten?    
Bestimmtheit    
Bezieht sich die Einwilligung auf einen konkret benannten Fall?
Generaleinwilligungen sind unwirksam; für verschiedene Zwecke müssen separate Einwilligungen eingeholt / abgegeben werden
   
Ist die Einwilligungserklärung von etwaigen sonstigen (datenschutzrelevanten) Hinweisen deutlich getrennt?
Es ist zu vermeiden, dass der Betroffene auf Grund Unübersichtlichkeit des Dokumentes nicht erkennt, ob und gegebenenfalls in was er eigentlich einwilligt bzw. einwilligen soll.
   
Widerrufbarkeit    
Ist auf den jederzeit möglichen Widerruf der Einwilligung im Einwilligungsformular hingewiesen?    
Ist im Einwilligungsformular darauf hingewiesen, dass ein Widerruf immer nur für die nach dem Widerruf erfolgende geplante Verarbeitung gilt?    
Ist der Widerruf der Einwilligung (mindestens) so einfach möglich wie das Erteilen der Einwilligung selbst?    
Gibt es einen (verständlichen) Hinweis auf die Folgen des Widerrufs?    
Einwilligung Minderjähriger    
Bei der Verarbeitung mittels "Dienste der Informationsgesellschaft" - Art. 8 beachtet?    
Wenn Einwilligung der Eltern vorliegt: spätestens bei Volljährigkeit des Betroffenen ist weitere Verarbeitung nur mit Einwilligung des Betroffenen selbst möglich.
Gibt es Mechanismus um die Verarbeitung der Daten zum Zeitpunkt "x" zu stoppen?
   
Nachweisbarkeit    
Ist der Nachweis gegeben, dass die Einwilligung vom Betroffenen abgegeben wurde?    
Ist der Nachweis gegeben, dass die Einwilligung den Anforderungen der Ds-GVO genügend abgegeben wurde?    
Werden erteilte Einwilligungen protokolliert?
Wenn ja:
     Sind ausreichende technische und organisatorische Maßnahmen zum Schutz der Protokolle getroffen? (Beweisfestigkeit)
   
Sind erteilte Einwilligungen jederzeit abrufbar?