DSGVO Artikel 7 befasst sich mit den „Einwilligungsvoraussetzungen“, die erfüllt sein müssen, damit festgestellt werden kann, dass eine Organisation vor der Verarbeitung der Daten einer Person die erforderliche Genehmigung erhalten hat.
Bedingungen für die Einwilligung
- Wenn die Verarbeitung auf einer Einwilligung beruht, muss der Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
- Erfolgt die Einwilligung des Betroffenen im Rahmen einer schriftlichen Erklärung, die sich auch auf andere Sachverhalte bezieht, ist das Einwilligungsersuchen in einer von den übrigen Sachverhalten klar unterscheidbaren Form, in verständlicher und leicht zugänglicher Form sowie in klarer und eindeutiger Form zu formulieren einfache Sprache. Jeder Teil einer solchen Erklärung, der einen Verstoß gegen diese Verordnung darstellt, ist nicht bindend.
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung vor dem Widerruf erfolgten Verarbeitung nicht berührt. Vor Erteilung der Einwilligung ist die betroffene Person darüber zu informieren. Der Widerruf muss ebenso einfach sein wie die Erteilung der Einwilligung.
- Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist weitestgehend zu berücksichtigen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängt, die für die Erfüllung nicht erforderlich sind dieser Vertrag.
Bedingungen für die Einwilligung
- Wenn die Verarbeitung auf einer Einwilligung beruht, muss der Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
- Erfolgt die Einwilligung des Betroffenen im Rahmen einer schriftlichen Erklärung, die sich auch auf andere Sachverhalte bezieht, ist das Einwilligungsersuchen in einer von den übrigen Sachverhalten klar unterscheidbaren Form, in verständlicher und leicht zugänglicher Form sowie in klarer und eindeutiger Form zu formulieren einfache Sprache. Jeder Teil einer solchen Erklärung, der einen Verstoß gegen diese Verordnung darstellt, ist nicht bindend.
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung vor dem Widerruf erfolgten Verarbeitung nicht berührt. Vor Erteilung der Einwilligung ist die betroffene Person darüber zu informieren. Der Widerruf muss ebenso einfach sein wie die Erteilung der Einwilligung.
- Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist weitestgehend zu berücksichtigen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängt, die für die Erfüllung nicht erforderlich sind dieser Vertrag.
Die Einwilligung wird im gesamten Artikel 7 der DSGVO in drei Schlüsselbereichen behandelt:
Organisationen müssen die Einwilligung auf eine Weise einholen, die es PII-Personen erleichtert, Informationen darüber anzufordern, wie sie eingeholt wurden (Zeitstempel, wer sie angefordert hat usw.) (siehe ISO 27701 Abschnitt 7.3.3).
Die Einwilligung beruht auf drei grundlegenden rechtlichen Bestimmungen: Sie muss freiwillig erteilt werden, sich auf den Zweck der Verarbeitung beziehen und in ihrer Absicht klar sein.
Organisationen müssen einen Mechanismus bereitstellen, der die Rechte jedes PII-Prinzipals darlegt, der seine Einwilligung widerrufen möchte, sowie Anweisungen dazu, wie dies zu tun ist, die mit den Methoden zur Erfassung von PII (z. B. E-Mail, Telefon) im Einklang stehen.
PII-Prinzipale sollten auch in der Lage sein, die Einwilligung zu „ändern“, also den Verantwortlichen daran zu hindern, bestimmte Aktionen durchzuführen, wie etwa das Löschen von PII. Solche Anfragen sollten gemäß den Verfahren zum Widerruf der Einwilligung dokumentiert werden.
Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Anfragen zur Änderung oder zum Widerruf der Einwilligung verpflichten.
Organisationen müssen die Erlaubnis nach dem PII-Prinzip einholen, bevor sie bereitgestellte Daten für Marketing- oder Werbezwecke nutzen, und sicherstellen, dass die Zustimmung zu einer solchen Nutzung keine Voraussetzung für die Verarbeitung von PII ist.
Marketing- und Werbebestimmungen sollten im Einklang mit dem oben genannten Zweck in allen Verträgen oder Dienstleistungsvereinbarungen klar dokumentiert werden.
Organisationen sollten eine „ausdrückliche Zustimmung“ einholen, die auf einer transparenten und aktuellen Darstellung der Verwendung personenbezogener Daten basiert.
DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
---|---|---|
EU-DSGVO Artikel 7 (1) und 7 (2) | ISO 27701 7.2.4 | Andere |
EU-DSGVO Artikel 7 (3) | ISO 27701 7.3.4 | Andere |
EU-DSGVO Artikel 7 (4) | ISO 27701 8.2.3 | Andere |
Die ISMS.online-Plattform umfasst integrierte Anleitungen für jeden Schritt, kombiniert mit unserem Implementierungsansatz „Übernehmen, Anpassen, Hinzufügen“, sodass der Nachweis Ihrer DSGVO-Konformität wesentlich einfacher ist. Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.
Mit unserer intuitiven Plattform können Sie Ihre Arbeit über mehrere Standards und Frameworks hinweg abbilden, sodass Sie in kürzester Zeit mehrere Informationssicherheits- und Datenschutzziele erreichen können.
Sollten Sie zu irgendeinem Zeitpunkt auf Ihrem Weg zur DSGVO, aus welchen Gründen auch immer, einen Mangel an Selbstvertrauen, Handlungsfähigkeit oder Tatkraft verspüren, können wir Ihnen unser Team interner Experten zur Verfügung stellen oder einen unserer vertrauenswürdigen Partner zur Unterstützung empfehlen Sie bei der Erreichung Ihrer Ziele.
Erfahren Sie mehr von Buchung einer kurzen Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo