ISO-konforme Datenschutzinformation und Einwilligung im Onlinebereich

Beitrag verfasst von Mag. Maximilian Kröpfl am 19.06.2020 – KTR-Newsletter Juni 2020

Die Welt der internationalen Normung ist einen ISO/IEC-Standard reicher. Letzte Woche wurde für die Themenbereiche der Datenschutzinformation und der konformen Einwilligung im Onlinebereich der internationale Standard ISO/IEC 29184:2020 06 veröffentlicht. Dieser soll Verantwortliche durch festgelegte Kontrollanforderungen bei der Struktur und der inhaltlichen Gestaltung von Datenschutzinformationen sowie dem Aufbau eines Einwilligungsmanagements im Onlinebereich unterstützen.

Die Norm gliedert sich dementsprechend in den Aufbau (Pkt 5.2) und Inhalt einer Datenschutzinformation (Pkt 5.3), die Gestaltung eines Einwilligungsmanagements (Pkt 5.4) zur Sicherstellung einer fairen, nachweisbaren, transparenten, unzweifelhaften und widerrufbaren Erklärung und in Regelungen für den Fall, dass sich Aspekte der Datenverarbeitung ändern. Zusätzlich bietet die Norm in zwei Anhängen einerseits Beispiele für einen Einwilligungsprozess für PC und Smartphone (A.2) und andererseits einen Vorschlag zur Gestaltung des Nachweises der erteilten Einwilligung sowie des „Consent receipt“.

Eines ist gleich klar: Allein auf Basis der ISO/IEC 29184:2020 06 sind weder eine DSGVO-konforme Datenschutzinformation noch ein den Anforderungen der Cookie-Richtlinie (2009/139/EG) oder der DSGVO entsprechender Einwilligungsprozess umsetzbar. Dies ist aber nicht der Qualität der Norm, sondern ihrer Natur als internationaler Standard geschuldet. So werden beispielsweise hinsichtlich des Aufbaus der Datenschutzinformation eher generelle Anforderungen wie die klare und einfache Sprache, der Zeitpunkt der Bereitstellung oder Zugänglichkeit angesprochen, doch zieht sich ein konsistenter roter Faden mit „Controls“ also Kontrollanforderungen durch das Dokument. Mit Hilfe dieser insgesamt 32 Kontrollanforderungen bietet der ISO/IEC-Standard jedenfalls eine strukturierte Arbeitserleichterung und Hilfestellung. Durch die konsequente Einhaltung der ISO-High-Level-Structure lassen sich die Kontrollanforderungen auch gut in bestehende (Datenschutz-)Managementsysteme integrieren. Das ist besonders für Prozessverantwortliche und die im Unternehmen technischen Verantwortlichen wichtig.

Um bei der guten datenschutzrechtlichen Praxis im Unternehmen unterstützen zu können, sollten Verantwortliche die Norm ISO/IEC 29184:2020 06 als Fundament der Umsetzung von Datenschutzinformationen und des Einwilligungsmanagements im Onlinebereich heranziehen und mit der europäischen Interpretation der zahlreichen wenig bestimmten Begriffe und Anforderungen der Norm ergänzen. Hierfür können Leitlinien des Europäischen Datenschutzausschusses, die Judikatur des Europäischen Gerichtshofs und der Datenschutzbehörde sowie die mittlerweile mannigfaltige Kommentar- und Zeitschriftenliteratur zum Datenschutz herangezogen werden.

Wir sind Ihnen gerne behilflich, Ihre bestehenden Datenschutzinformationen und Einwilligungen an den neuen ISO-Standard anzupassen.

Anfragen senden Sie bitte an: kt@kt.at.

Artikel drucken

Beiträge

Newsletter Juni 2020

Weitere Beiträge folgen in Kürze