Wenn Sie sich auf die Einwilligung einer Person zur Verarbeitung ihrer personenbezogenen Daten verlassen, müssen Sie laut DSGVO dazu in der Lage sein Zeigen Sie, dass Sie deren Zustimmung eingeholt haben.
Gut Einwilligungsaufzeichnung Praktiken bedeuten, dass Sie nachweisen können, dass Sie die Einwilligung einer Person haben. Dies ist eine zentrale Rechenschaftspflicht der DSGVO – und kann hilfreich sein, wenn die Person eine Beschwerde einreicht oder eine Aufsichtsbehörde Ihr Unternehmen prüft.
Dieser Artikel wird es erklären welche Einwilligungsinformationen Sie müssen aufzeichnen, ob Sie aufzeichnen müssen, wann eine Person dies getan hat widerrufen oder die Einwilligung verweigertund schauen Sie sich einige an Entscheidungen zur Durchsetzung der DSGVO einschließlich der Einwilligungsaufzeichnung.
Müssen wir die Einwilligung protokollieren?
Das besagt die DSGVO Sie müssen nachweisen können, dass eine Person ihre Einwilligung gegeben hatin Artikel 7 Absatz 1:
„Wenn die Verarbeitung auf einer Einwilligung beruht, muss der Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.“
Und im Erwägungsgrund 42 der DSGVO heißt es:
„Beruht die Verarbeitung auf der Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person dem Verarbeitungsvorgang zugestimmt hat.“
Wenn Sie für die Einholung einer Einwilligung verantwortlich sind, Sie müssen aufzeichnen, wenn jemand seine Einwilligung erteilt hat damit Sie dies bei Bedarf nachweisen können.
Welche Einwilligungsinformationen müssen wir aufzeichnen?
Bei der Erfassung der Einwilligung die Informationen, die Sie aufzeichnen müssen hängt teilweise von dem Kontext ab, in dem Sie die Einwilligung angefordert haben.
Die britische Datenregulierungsbehörde, das Information Commissioner’s Office oder ICO, empfiehlt dass Sie Folgendes dokumentieren:
- WHO eingewilligt.
- Wenn die Person stimmte zu.
- Wie die Person hat ihre Einwilligung erteilt.
- Was Der Person wurde gesagt, wann sie zustimmte.
- Ob sie ihre Einwilligung widerrufen haben und wenn ja, wann sie dies getan haben.
Schauen wir uns jeden dieser Punkte etwas genauer an.
Aufzeichnung, wer eingewilligt hat
Ihre Einwilligungsunterlagen sollten jeden Einzelnen identifizieren die Einwilligung erteilt hat.
Dies bedeutet nicht, dass Sie den Namen jeder Person aufzeichnen müssen – Sie sollten ein Pseudonym, einen Benutzernamen, eine Sitzungs-ID oder ähnliches verwenden andere Kennung Falls zutreffend.
Denken Sie daran, dass dieser Bezeichner per Definition ist „personenbezogene Daten“ im Sinne der DSGVO — Sie verwenden die Informationen, um eine Person zu identifizieren. Deshalb müssen Sie die Regeln und Grundsätze der DSGVO einhalten bei der Speicherung, Nutzung und sonstigen Verarbeitung.
Anstatt beispielsweise die vollständige IP-Adresse einer Person zu speichern, sollten Sie überlegen, ob Sie die Kennung verschleiern (maskieren) oder hashen können, um die direkte Identifizierung der Person zu erschweren.
Aufzeichnung, wann eine Person eingewilligt hat
Du solltest Notieren Sie das Datum und, falls relevant, der Zeitpunkt, zu dem eine Person ihre Einwilligung erteilt hat. Dies kann ein Zeitstempel oder eine Kopie eines datierten Dokuments sein, wenn Sie die Einwilligung schriftlich eingeholt haben.
Aufzeichnen, wie eine Person eingewilligt hat und wozu sie eingewilligt hat
Nochmal, Aufzeichnen, wie eine Person eingewilligt hat ist kontextabhängig, Sie sollten jedoch auf den Einwilligungsmechanismus zurückgreifen können, den Sie zur Einholung der Einwilligung verwendet haben. Dazu sollte eine Aufzeichnung der Informationen gehören, die die Person erhalten hat, als Sie ihre Einwilligung eingeholt haben.
Im Fall von Erfassung der Cookie-EinwilligungDies bedeutet, dass der Einwilligungsdatensatz zusammen mit einem Datensatz des Cookie-Banners gespeichert wird, der zum Zeitpunkt der Einwilligung vorhanden war.
Erfassung, ob eine Person ihre Einwilligung widerrufen hat
Wenn eine Person zunächst ihre Einwilligung erteilt und diese später widerruft, sollten Sie dies zusammen mit der Uhrzeit und dem Datum, an dem die Person ihre Einwilligung widerrufen hat, protokollieren.
Müssen wir protokollieren, wenn eine Person ihre Einwilligung verweigert?
Die DSGVO verpflichtet Sie dazu nicht protokollieren, wenn eine Person ihre Einwilligung verweigert hat, aber manchmal müssen Sie dies möglicherweise tun. Beispielsweise möchten Sie vermeiden, eine Person wiederholt um ihre Einwilligung zu bitten, nachdem sie sich geweigert hat.
Wenn es darum geht Aufzeichnung, dass eine Person die Cookie-Einwilligung abgelehnt hatist das Gesetz hinsichtlich der besten Lösung nicht ganz klar.
Wenn eine Person Cookies ablehnt, kann man davon ausgehen, dass sich ihre Präferenz für einige Zeit nicht ändert – zumindest nicht innerhalb derselben Sitzung. Wenn die Person Cookies auf der Homepage Ihrer Website ablehnt, möchte sie beim Besuch einer anderen Seite wahrscheinlich keine weitere Einwilligungsanfrage sehen.
Um dies zu verhindern, könnte eine Möglichkeit darin bestehen, Folgendes zu tun: Setzen Sie ein Einwilligungs-Präferenz-Cookie auf dem Gerät der Person, die die Einwilligungspräferenz der Person anzeigt. Dies könnte eine akzeptable Lösung sein, wenn das Cookie:
- Wird nur verwendet, um die Cookie-Einwilligungspräferenz der Person zu signalisieren.
- Nicht an Dritte weitergegeben.
- Begrenzte Dauer (möglicherweise nur für eine Sitzung).
Für ein Einwilligungs-Präferenz-Cookie wie dieses ist wohl ohnehin keine Einwilligung erforderlich „unbedingt erforderlich“ für die Bereitstellung einer vom Benutzer gewünschten Dienstleistung (das Cookie-Banner verwerfen). Die britische Datenaufsichtsbehörde schlägt vor, dass dies eine akzeptable Lösung sein könnte.
Jedoch, mit Vorsicht fortfahren — Die Regeln für Cookies variieren zwischen den europäischen Ländern.
DSGVO-Entscheidungen mit Einwilligungsaufzeichnung
Wir schauen uns jetzt drei an Entscheidungen zur Durchsetzung der DSGVO zur Einwilligungsaufzeichnung.
Einwilligungs-Präferenz-Cookies können personenbezogene Daten sein
Im Jahr 2022 hat die belgische Regulierungsbehörde eine wichtige Entscheidung über Interactive Advertising Bureau (IAB) Europe. Die Regulierungsbehörde entschied, dass IAB Europe aufgrund der Vorgehensweise der Organisation ein „Datenverantwortlicher“ im Sinne der DSGVO sei Cookie-Einwilligungseinstellungen.
IAB Europe verwaltet ein Cookie-Compliance-System namens Transparency and Consent Framework (TCF) 2.0. Neben der Bereitstellung von Leitlinien für Unternehmen, die im Rahmen des TCF 2.0 tätig sind, verwaltet IAB Europe auch den „TC String“ – ein Code, der Einwilligungspräferenzen signalisiert über Websites hinweg.
IAB Europe behauptete, dass es nicht der DSGVO unterliege, da es keine personenbezogenen Daten verarbeite. Die belgische Regulierungsbehörde stellte dies jedoch fest Der TC-String selbst war personenbezogene Daten.
Die Implikation ist das Jede Kennung, die zur Aufzeichnung der Einwilligungspräferenzen einzelner Personen verwendet wird, sollte als personenbezogene Daten behandelt werden – und dies erfordert die Einhaltung aller Grundsätze der DSGVO (z. B. Zweckbestimmung, Speicherbegrenzung und Sicherheit).
Sie können keine „Einwilligung“ erfassen, die über ein vorab angekreuztes Kästchen erteilt wird
Der Belgische Regulator mit einer Geldstrafe belegt Roularta Media Group 50.000 €, unter anderem wegen fehlender Dokumentation der Einwilligung. Die Wurzel des Problems lag hier bei der Roularta Media Group Einwilligung nicht DSGVO-konform einholen.
Das Unternehmen nutzte a bereits angekreuztes Kästchen in seinem Cookie-Banner – und ging davon aus, dass die Leute den Cookies zustimmten, wenn sie das Kästchen nicht deaktiviert hätten. Die Verwendung eines vorab angekreuzten Kästchens stellt ein „dunkles Muster“ dar, das gegen die Anforderung der DSGVO verstößt, dass die Einwilligung eindeutig sein muss.
Hier gibt es eine wichtige Lektion: Sie müssen die Einwilligung durch eine „Erklärung oder eine eindeutige positive Handlung“ einholen. Ansonsten, Sie werden nicht wissen, wer eingewilligt hatund Sie könnten gegen die DSGVO-Anforderung verstoßen, eine Einwilligung nachzuweisen.
Möglicherweise fällt es Ihnen schwer, die „Einwilligung Dritter“ nachzuweisen.
Eine Firma rief an Leitet die Arbeit erhielt im Jahr 2021 von der britischen Regulierungsbehörde eine Geldstrafe von rund 291.000 Euro, unter anderem weil das Unternehmen nicht nachweisen konnte, dass die Personen dem Empfang von Direktmarketing-Nachrichten per SMS zugestimmt hatten.
Leads Work hatte personenbezogene Daten Dritter über Personen erhalten, die angeblich dem Erhalt von Marketingmitteilungen von Leads Work zugestimmt hatten. Allerdings behauptete dies die Einwilligung eines Dritten eingeholt wurde.
Teilweise aufgrund mangelnder Sorgfalt konnte Leads Work nicht nachweisen, dass die Personen dem Erhalt von Marketingnachrichten zugestimmt hatten. Es gab keine Aufzeichnungen darüber, dass die Empfänger der Vermarktung durch Leads Work ausdrücklich zugestimmt hatten.
DSGVO-Einwilligungsaufzeichnung
Wir haben untersucht, wie und wann die Einwilligungspräferenzen einer Person erfasst werden sollten. Erinnere dich daran um die Einwilligung im Sinne der DSGVO nachzuweisensollten Sie Folgendes aufzeichnen:
- Wer hat zugestimmt.
- Als sie zustimmten.
- Wie sie zugestimmt haben.
- Welche Informationen ihnen gegeben wurden.
Sie sollten auch protokollieren, wann eine Person anwesend ist widerruft die Einwilligung.
Erinnere dich daran Bei der Aufzeichnung der Einwilligungspräferenzen einer Person handelt es sich um personenbezogene Daten Im Rahmen der DSGVO gelten alle Regeln und Grundsätze des Gesetzes.
Versuchen
Weitwinkelanalyse!
