Formen von Konsent – Aspekte der Entscheidungsfindung und Einwilligung
Formen von Konsent – Aspekte der Entscheidungsfindung und Einwilligung
von Dr. Michael Stemmer
Mit der Digitalisierung stehen Entscheidungsfindung und Einwilligung vor neuen Möglichkeiten, aber auch vor neuen Herausforderungen. Insbesondere ihre gestiegene und weiter steigende Komplexität und Dynamik verleiht Entscheidungs- und Einwilligungsprozessen im Digitalen eine neue Qualität. In diesem Zusammenhang lohnt ein grundlegender Blick auf verschiedene Formen von Konsent. Dieser Beitrag gibt hierzu einen ersten Überblick. Betrachtet werden Konsent als Entscheidungsprinzip im Zusammenhang mit modernen Organisationsformen und Konsent als Einwilligung im Sinne des Datenschutzes.
Konsent als Entscheidungsprinzip
Im Zuge der Digitalisierung wird mehr und mehr deutlich, dass traditionelle Vorgehensmodelle und Organisationsformen, wie z.B. das Wasserfallmodell und hierarchische Organisationstrukturen, den Anforderungen und Möglichkeiten digitaler Transformationen häufig nicht gerecht werden. Unter dem Stichwort Agilität werden daher bereits seit einiger Zeit Alternativen diskutiert und auch angewendet. Hierzu zählen u.a. die Organisationskonzepte der Holokratie und Soziokratie (vgl. Holokratie). Beiden ist als wesentlicher Bestandteil das Konzent-Prinzip zu eigen, nachdem gruppenbasiert Entscheidungen getroffen werden.
Im Gegensatz zum Konsens-Prinzip, bei dem für eine Entscheidung die Zustimmung aller Gruppenmitglieder vorliegen muss (Konsens), wird mit dem Konsent-Prinzip eine Entscheidung getroffen werden, falls kein Gruppenmitglied einen schwerwiegenden Einwand geltend macht (Konsent). Das Konsent-Prinzip ermöglicht hierdurch schnellere Entscheidungen, die in den Konzepten der Holo- und Soziokratie mit der jederzeitigen Revidierbarkeit – die ebenfalls der Konsent-Regel folgt – verbunden ist. Die Grundannahme ist, dass es besser ist, schnell zu entscheiden, hierbei verbleibende Risiken in Kauf zu nehmen und notfalls die Entscheidung schnell zu revidieren, als lange im Vorfeld nach der theoretisch besten und idealerweise endgültigen Entscheidung zu suchen und erst danach in die praktische Umsetzung zu gehen.
Konsent als Einwilligung
Im Kontext von Datenschutz und Informationeller Selbstbestimmung wird Konsent dem englischen Begriff »Consent« entsprechend in der Bedeutung als Einwilligung bzw. Zustimmung verwendet. Insbesondere der »Informed Consent« bzw. die »Informierte Einwilligung« ist ein Rechtsbegriff, der z.B. in der Datenschutzgrundverordnung wie folgt definiert wird (DSGVO, Art. 4, Nr. 11):
»Im Sinne dieser Verordnung bezeichnet der Ausdruck: ... »Einwilligung« der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;«
Überdies wird dieser Begriff auch in anderen Bereichen verwendet, so in der Medizin im Sinne einer »Einwilligung nach erfolgter Aufklärung« (vgl. Qualität von Aufklärungsbögen - Systematisches Review und kritische Analyse), aber z.B. auch im Verbraucherschutz und im Wissenschaftsrecht.
Wesentliche Aspekte des »Informed Consent« sind u.a.:
- Persönlichkeits- und Selbstbestimmungsrecht
- Kriterien für ausreichende Information/Aufklärung vor Einwilligung
- Wirksamkeit der Einwilligung
- Rechtsfolgen einer fehlenden Einwilligung
Formen der Einwilligung
Im Unterschied zu vorhergehenden Regelungen, wie z.B. des Bundesdatenschutzgesetzes (BDSG), verlangt die DSGVO bzw. die General Data Protection Regulation (GDPR) der EU keine spezielle Form für Einwilligungen:
GDPR, Article 4 (11): »… by a statement or by a clear affirmative action, …«
Unterstützt wird diese Festlegung durch die folgenden formellen Bedingungen für die Einwilligung:
GDPR, Article 7:
»1. … able to demonstrate that the data subject has consented …« (Nachweisbarkeit)
»2. … clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language …« (Identifizierbarkeit)
»3. … right to withdraw his or her consent at any time« (Widerrufbarkeit)
Beispiele:
- Schriftliche Einwilligung
Früher: Grundsätzlich gem. § 4a Abs. 1 BDSG (bis auf spezielle Ausnahmefälle)
Jetzt: Nach DSGVO, Art. 7 Nr. 1 nur »Nachweisbarkeit« gefordert – keine konkrete Formvorschrift - Elektronische Einwilligung
Früher: nur gemäß Telemediengesetz (§ 13 Abs. 2 TMG)
Jetzt: Generell, durch eindeutige Handlung (Opt-In, z.B. aktives Setzen eines Häkchens) - Mündliche Einwilligung – soweit nachweisbar
Kriterien für die Einwilligung
Neben den formellen Anforderungen definiert die GDPR / DSGVO die folgenden vier Kriterien für Consent bzw. Einwilligung:
- Freely given – Freiwillig
- Specific – Zweckgebunden (»Für den bestimmten Fall«)
- Informed – Informiert
- Unambiguous – Unmissverständlich
Arten und Verfahren der Einwilligung
Neben den beschriebenen formalen Bedingungen und inhaltlichen Kriterien können verschiedene Arten und Verfahren für die Einwilligung unterschieden werden. Die folgende Liste greift wichtige in der Literatur diskutierte Beispiele auf, strukturiert diese und bettet sie in weitere Optionen ein, ohne jedoch einen Anspruch auf Vollständigkeit zu erheben:
- Refusal – Ablehnung der Datennutzung
- Contract (Ownership of Data) – Zur Nutzung der Daten wird ein Vertrag geschlossen.
- Die Einwilligung ergibt sich mittelbar aus den Vertragspflichten.
- Evtl. wird eine monetäre Kompensation für die Datenbereitstellung vereinbart.
-
Consent (Opt-in)
- Specific Consent – Die Einwilligung wird für einen spezifischen Zweck erteilt.
- Einwilligung / Consent nach GDPR / DSVGO
- Bsp.: Nutzung Finanzdaten im Rahmen der Steuererklärung
- Broad Consent – Die Einwilligung wird für einen breiten Verwendungsbereich erteilt.
- Ggf. gemäß GDPR / DSGVO unwirksam
- Bsp.: Nutzung Geodaten für Werbezwecke
- Blanket Consent – Die Einwilligung wird pauschal erteilt.
- Ggf. gemäß GDPR / DSGVO unwirksam
- Bsp.: Nutzung Gesundheitsdaten ohne Zweckbindung
- Meta Consent – Es wird vorab festgelegt, welche Art der Einwilligung erforderlich ist.
- Abhängig von der Art der Daten, der Art ihrer Verwendung und ggf. weiterer Kategorien wird die Art der Einwilligung vorab festgelegt, z.B.: keine Einwilligung für Video- und Audiodaten, Nutzung von Finanzdaten jeweils nur mit spezifischer Einwilligung, breite Einwilligung bzgl. Geodaten für Werbezwecke und pauschale Einwilligung für Gesundheitsdaten.
- Bei Bedarf für die Datennutzung kann dann anhand des Meta Consent entschieden werden, ob eine spezifische Einwilligung nötig ist oder durch breite oder pauschale Einwilligung bereits erteilt ist.
- Ggf. bzgl. breiter und pauschaler Einwilligung gemäß GDPR/DSGVO unwirksam.
- Vgl. Meta Consent – A Flexible Solution to the Problem of Secondary Use of Health Data
- Dynamic Consent – Einwilligungen werden dynamisch erteilt und widerrufen.
- Mit Meta Consent kombinierbar
- Vgl. Dynamic consent: a patient interface for twenty-first century research networks
- Managed (oder Empowered) Consent – Einwilligungen erfolgen nutzergesteuert und (teil-)automatisiert z.B. über Einwilligungsplattformen.
- Kombiniert Meta Consent mit Dynamic Consent und führt es weiter.
- Datengeber (Nutzer) kann seine Einwilligungen über ein Datencockpit konfigurieren und steuern (vergleichbar zu Datenschutzeinstellungen in modernen Betriebssystemen, wie z.B. iOS/macOS, Android oder Windows 10).
- Schafft Transparenz über Einwilligungserteilung.
- Ermöglicht potenziell Transparenz über tatsächliche Datennutzung.
- Wird unter den Stichworten Privacy Enhancing Technologies (PETS) und Personal Information Management Systems (PIMS) diskutiert
- Vgl. Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen
- Specific Consent – Die Einwilligung wird für einen spezifischen Zweck erteilt.
- (Right to) Opt-out – Die Daten werden ohne Einwilligung genutzt, solange nicht widersprochen wird (Widerspruchslösung).
- Consent-free – Eine Einwilligung zur Datennutzung ist nicht erforderlich, z.B. auf Grundlage gesetzlicher Bestimmungen.
Zusammenfassende Bewertung
Die dargestellten Formen von Konsent zeigen aktuelle Lösungsansätze für Probleme auf, vor die Entscheidungs- und Einwilligungsprozesse im Digitalen derzeit gestellt sind. Eine Umsetzung dieser Ansätze steckt allerdings vielfach noch in den Kinderschuhen. So gibt es zwar eine breite Bewegung hin zu agilen Prozessen und Strukturen, etablierte agile Organisationsformen, wie z.B. Holarchien, die nach dem Konsent-Prinzip funktionieren, sind in der Praxis jedoch noch selten. Auch ist mit der GDPR / DSGVO eine regulatorische Modernisierung des Datenschutzes und damit der rechtlichen Bedingungen für Einwilligungen erfolgt. Weiterführende Formen der Einwilligung jenseits des Specific Consent, wie Dynamic, Meta und Managed/Empowered Consent werden hierbei jedoch noch nicht hinreichend berücksichtigt. Zudem steht auch die Entwicklung und Etablierung entsprechender Lösungen erst noch am Anfang.
Veröffentlicht: 05.06.2020