Ausdrücklich nach Einwilligung fragen
Auch bekannt als: Obtaining Explicit Consent, Explicit Consent, Obtaining Explicit Consent via Privacy Agreement, Permission to Use Sensitive Data via Privacy Agreement – Explicit Consent
Kurzinfo
Verantwortliche benötigen eine Einwilligung, die bereitwillig und ausdrücklich gegeben werden muss, wenn sie die persönlichen Daten ihrer Nutzenden in irgendeiner Weise verarbeiten.
STRATEGIEN: Kontrolle überlassen
Kontext
Um Nutzenden Dienste (oder Produkte) anbieten zu können, müssen Verantwortliche oft Daten sammeln und verarbeiten. Manchmal handelt es sich dabei um sensible, identifizierende oder einfach nur um Metadaten oder andere Informationen, die möglicherweise korreliert werden und dadurch invasiver werden können. Dadurch sind Verantwortliche jedoch in der Lage, wettbewerbsfähige Funktionen anzubieten.
Verantwortliche müssen die eindeutige Zustimmung ihrer Nutzenden einholen, um ihre persönlichen Daten in irgendeiner Weise verarbeiten zu dürfen. Je nach Rechtsprechung gibt es je nach Art der Daten zusätzliche Faktoren zu berücksichtigen. In der Regel erfordern sensible Daten eine besonders strenge Sorgfalt.
Problem
Verantwortliche, die darauf abzielen, Nutzungsdaten zu verwenden, insbesondere solche, die zur Identifizierung der Nutzenden oder sensibler Aspekte über die Nutzenden verwendet werden können, dürfen dies nicht ohne eine rechtsverbindliche Zustimmung der Nutzenden tun.
Einflüsse und Bedenken
- Nutzende wollen Dienste nutzen, ohne einen übermäßigen Aufwand zum Verständnis von Datenschutzrisiken betreiben zu müssen.
- Verantwortliche müssen sicherstellen, dass Nutzende nicht aus Ungeduld oder Einschüchterung zustimmen.
- Nutzende wollen nicht für jede Funktion eines Dienstes erneut denselben Datenschutzrichtlinien zustimmen.
- Verantwortliche müssen nachweisen können, dass Nutzende ihre Einwilligung gegeben haben.
Lösung
Geben Sie eine klare und prägnante Mitteilung aller relevanten Informationen, die der Dienst ableiten könnte, sofern er über alle Daten verfügt, die dieser erhebt. Geben Sie an, was dies für Merkmale und Funktionalität bedeutet. Fragen Sie dann die/den Nutzende/n, ob sie/er mit diesem Kompromiss einverstanden ist. Wenn ja, sollten Verantwortliche die Antwort mit einem Zeitstempel versehen und digital signieren, oder den Vertrag über Datenverarbeitung anwenden.
Implementierung
Verantwortliche müssen sicherstellen, dass Nutzende die möglichen Konsequenzen ausreichend verstehen. Andernfalls wird ist diese Einwilligung möglicherweise keine informierte Einwilligung. Verantwortliche müssen prüfen, ob Nutzende trotz dieser Konsequenzen bereit sind, ihre Daten für die von ihnen benötigten spezifischen Zwecke zur Verfügung zu stellen. Ist dies nicht der Fall, ist die Einwilligung möglicherweise nicht freiwillig geschehen.
Um sicherzustellen, dass Nutzende nicht aus Zeitgründen oder aufgrund von Einschüchterung durch die zur Verfügung gestellten Informationen einwilligen, kann ein Test mit einer Stichprobe von Nutzenden erforderlich sein. Wenn die Stichprobe repräsentativ ist, können Verantwortliche dies als Verteidigung gegen Vorwürfen der Nötigung verwenden.
Der Mechanismus, durch dem die Nutzenden ihre Zustimmung signalisieren, sollte klar sein. Wenn es sich zum Beispiel um einen Knopf handelt, könnte dieser mit den Worten „Ich stimme zu“ beschriftet sein.
Auswirkungen
Vorteile
Verantwortliche können klarere potenzielle Konsequenzen ableiten, wenn die gesammelten Daten für jeden einwilligenden Nutzenden gleich sind. Nutzende können diese Risiken dadurch besser überblicken und verbringen weniger Zeit damit, eine gültige Entscheidung zu treffen. Dies verringert die Chancen, dass die Nutzenden einwilligen, ohne sich aufgrund des schwierigen oder wortreichen Inhalts zu informieren.
Verantwortlichkeiten
Nutzende wollen jedoch nicht unbedingt allen Zwecken zustimmen, da sie möglicherweise nicht bereit sind alle angefragten Daten preiszugeben. In diesen Fällen kann Nutzenden eine Art selektive Offenlegung angeboten werden.
Verwandte Patterns
Das Pattern ist Teil des zusammengesetzten Patterns Rechtsgültige Einwilligungen einholen.
Ausdrücklich nach Einwilligung fragen ist ähnlich zu Vertrag über Datenverarbeitung. Diese vertragliche Einwilligung konzentriert sich lediglich mehr auf die Notwendigkeit die Zustimmung nicht widerrufen zu können, als auf die Einholung der expliziten Einwilligung. Ihre Perspektiven sind unterschiedlich, während ihre Gesamtlösung mehr oder weniger die gleiche ist.
Das Pattern ergänzt Einwilligung bei Web-Diensten. Es ist eine Erweiterung von Rechtsgültige Einwilligungen einholen und wird von diesem Pattern verwendet. In beiden Fällen zielt das Pattern darauf ab, dass Verantwortliche, Nutzende ausreichend informieren, bevor sie ihre Zustimmung einholen, was sich im Fall des ersten Patterns speziell auf webbasierte Transaktionen bezieht.
Lizenz:
Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.
Quellen:
J. Porekar, A. Jerman-Blažič, and T. Klobučar, “Towards organizational privacy patterns,” Proceedings – The 2nd International Conference on the Digital Society, ICDS 2008, 2008.
C. Bier and E. Krempel, “Common Privacy Patterns in Video Surveillance and Smart Energy,” in ICCCT-2012, 2012, pp. 610–615.
Y. Asnar et al., “Initial Set of Security and Privacy Patterns at Organizational Level,” no. December 2006, 2007.
