Etwas mehr als zwei Monate vor dem Inkrafttreten der neuen Datenschutzverordnung (RGPD) sind die neuen Gesetze für die Einholung der Einwilligung der betroffenen Person eines der Hauptthemen in Unternehmen. Die Verpflichtungen zur Einholung dieser Zustimmung werden verschärft, stillschweigende Zustimmungen und vorgemerkte Kästchen sind nicht mehr zulässig und ab dem 25. Mai 2018 ist die eindeutige Zustimmung des Betroffenen unabdingbar.
Nach den Bestimmungen der Verordnung selbst und den Schlussfolgerungen der Arbeitsgruppe zu Artikel 29 gibt es zwei Arten der Einwilligung, die normale und die ausdrückliche Einwilligung für besonders schutzbedürftige Daten.
Für die normale Einwilligung wird die Verwendung von einfach zu implementierenden Systemen wie Click-Wrap, Akzeptanzbuttons oder generell jede bestätigende Aktion, die als Akzeptanz interpretiert werden kann (z.B. das Wischen mit dem Finger auf einem Display, das Begrüßen einer Smart Kamera oder das Drehen des Smartphones im Uhrzeigersinn usw.), unterstützt. Für eine ausdrückliche Zustimmung sind andere Maßnahmen erforderlich, wie z.B. die Unterzeichnung eines Dokuments, in dem festgelegt ist, dass auch Systeme, die auf elektronischen Signaturen basieren, akzeptiert werden müssen (wobei die Vorteile einer fortgeschrittenen elektronischen Signatur hervorgehoben werden).
Ungeachtet dessen legt Artikel 7 Absatz 1 RGPD für beide Arten der Einwilligung fest, dass der Verantwortliche, die Einwilligung der betroffenen Person nachweisen können muss, so dass die Beweislast im Streitfall zwangsläufig beim Verantwortlichen liegt, was durch Erwägungsgrund 42 noch verstärkt wird:
„Wird die Verarbeitung mit der Einwilligung der betroffenen Person durchgeführt, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung zugestimmt hat. Insbesondere im Rahmen einer schriftlichen Erklärung zu einem anderen Thema, muss sichergestellt sein, dass der Betroffene weiß, dass er zustimmt und in welchem Umfang er zustimmt.”
Den für die Verarbeitung Verantwortlichen steht es frei, die Methoden anzuwenden, die sie für geeignet halten, um ihren Verpflichtungen nachzukommen, doch ist dabei nicht nur die Leichtigkeit der Umsetzung, sondern auch die Beweiskraft der eingesetzten Mittel zu berücksichtigen, denn obwohl das RGPD nicht festlegt, wie diese Zustimmung nachgewiesen werden sollte, sollte der für die Verarbeitung Verantwortliche mit jenen Instrumenten ausgestattet werden, die im Falle eines Rechtsstreits die größtmöglichen rechtlichen Garantien bieten und langfristig gültige Nachweise erbringen, da die Verpflichtung zum Nachweis der Zustimmung der betroffenen Person für die gesamte Dauer der Verarbeitung der Informationen gilt.
Aus praktischer Sicht sollte der für die Verarbeitung Verantwortliche über alle eingegangenen Einwilligungserklärungen Buch führen, damit er nachweisen kann, wie die Einwilligung eingeholt wurde, wann sie eingeholt wurde und welche Informationen er der betroffenen Person übermittelt hat.
Bei Validated ID bieten wir verschiedene Optionen an, um die Unterschriften der Parteien zu ermöglichen – von der handschriftlichen biometrischen Unterschrift für Face-to-Face-Szenarien bis hin zu Remote-Signaturlösungen, die alle notwendigen Nachweise für die effektive Einholung der Zustimmung sammeln, um die im RGPD angegebenen Strafen für die Nichteinhaltung vermeiden, welche bis zu 20.000.000 € oder 4% des Umsatzes des Unternehmens bedeuten können.
Es ist erwiesen, dass für Face-to-Face-Szenarien die biometrische Signatur der beste Weg ist, diese Zustimmung einzuholen. Heutzutage nutzen Hunderte von Gesundheitseinrichtungen in Spanien und 50 öffentliche Verwaltungen VIDsigner Bio als Teil der Arbeitsabläufe, die aus persönlichem Kontakt mit Patienten und Bürgern bestehen.
Für Remote-Signaturszenarien können Sie sowohl mit VIDsigner Remote, mit VIDsigner Centralized als auch mit Smartcard die notwendigen Nachweise über die eindeutige Zustimmung des Interessenten sammeln.
Zudem ist es wichtig zu bedenken, dass nicht alle Produkte und Dienstleistungen der elektronischen Unterschriften gleichwertig sind und dass im Falle eines Rechtsstreits nicht alle über die Qualität und Quantität der Nachweise verfügen, die erforderlich sind, damit sie den Prozess der Einholung der Zustimmung mit absoluter Sicherheit ermöglichen können.
