Zum Inhalt springen Zur Navigation springen
Was besagt das Recht auf Widerruf der Einwilligung?

Was besagt das Recht auf Widerruf der Einwilligung?

Artikel von Dr. Datenschutz·17. Februar 2022

Die Einwilligung erteilen betroffene Personen, um der Verarbeitung ihrer personenbezogenen Daten zuzustimmen. Das ist insbesondere dann interessant, wenn Verantwortliche die Datenverarbeitung nicht auf eine andere gesetzliche Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO stützen können. In einer Dystopie wäre die Einwilligung lebenslänglich erteilt worden – doch der Datenschutz räumt Betroffenen das Recht auf Widerruf der Einwilligung ein. Was dieses Betroffenenrecht besagt und auf sich hat, ist Bestandteil des heutigen Beitrages.

Anforderungen an die Einwilligung nach der DSGVO

Um die Anforderungen an die Einwilligung als Rechtsgrundlage nachvollziehen und anwenden zu können, muss zunächst der Begriff bestimmt werden. Eine Legaldefinition ist in Art. 4 Nr. 11 DSGVO enthalten:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Anhand dieser Definition gehen die Anforderungen hervor. Hierbei geht es nicht ausschließlich um die abgegebene Willensbekundung der Betroffenen, sondern auch um die Rahmenbedingungen.

  • Unter die Rechenschaftspflicht des Verantwortlichen fällt auch der Nachweis über eine erteilte Einwilligung von Betroffenen, vgl. Art. 7 Abs. 1 DSGVO.
  • Erheblich für die Wirksamkeit einer Einwilligungserklärung ist, dass das Ersuchen hierfür in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgt, vgl. Art. 7 Abs. 2 S.1 DSGVO.
  • Hierunter fällt auch die eindeutige Zweckbestimmung, damit Betroffene explizit der Verwendung ihrer personenbezogenen Daten für einen bestimmten und transparenten Zweck einwilligen, vgl. Art. 6 Abs. 1 S. 1 lit. a DSGVO.
  • Zudem ist entscheidend, dass die Einwilligung freiwillig erteilt wird. Insofern sich Umstände für einen Zwang ergeben, gilt die Einwilligung als unwirksam.
  • Schließlich sind Betroffene vor Abgabe ihrer Einwilligung über ihr Recht auf Widerruf in Kenntnis zu setzen, vgl. Art. 7 Abs. 3 DSGVO.

Das Recht auf Widerruf der Einwilligung

Der betroffenen Person steht ein Recht auf Widerruf ihrer erteilten Einwilligung zu. Da die Datenverarbeitung in solchen Fällen nur unter ihrem Einverständnis erfolgt, gewährt das Widerrufsrecht den Betroffenen auch einen nachträglichen Entscheidungsspielraum das Einverständnis wieder zurückzuziehen. Anhand dieses Rechtes bleibt die „Herrschaft“ und „Entscheidungsmacht“ über die eigenen Daten bei den Betroffenen.

Warum gibt es ein Recht auf Widerruf?

Mit dem Widerrufsrecht wird sichergestellt, dass die betroffene Person in Ausübung ihres informationellen Selbstbestimmungsrechtes jederzeit in der Lage ist, eine einmal getroffene Entscheidung wieder rückgängig zu machen. Dem Widerrufsrecht wird insbesondere im Zeitalter von Big Data oder der Künstlichen Intelligenz eine große Bedeutung zugeschrieben. Die gegenwärtig einhergehende Komplexität und Intransparenz der Datenverarbeitungsvorgänge werden durch die teilnehmenden Akteure nicht erleichtert. Auf Grundlage dieser Tatsache ist Betroffenen das Widerrufsrecht geschuldet und die Ausübung gerechtfertigt. Die Möglichkeiten einer Datennutzung und Auswertung steigen stetig, sodass für natürliche Personen berechtigterweise die Möglichkeit gegeben sein muss, eine einmal erteilte Einwilligung, bei ggf. neuen Erkenntnissen in Bezug auf die Datenverarbeitung, jederzeit zu widerrufen.

Vorgaben an den Widerruf der Einwilligung

Die Schlüsselnorm für den Widerruf der Einwilligung ist Art. 7 Abs. 3 DSGVO. Vor Abgabe der Einwilligung sind Betroffene über ihr Widerrufsrecht zu informieren. Grundsätzlich muss der Widerruf so einfach erfolgen, wie die Einwilligung eingeholt wurde, d.h. er kann gem. Art. 7 Abs. 3 S. 4 DSGVO formlos und ohne Begründung erfolgen. Es gibt unterschiedliche Wege, wie eine Einwilligung abgegeben werden kann. Auf dieselbe einfache Art und Weise, wie die Einwilligung erteilt wurde, so sollte sie im besten Fall auch zu widerrufen sein. Angenommen die Einwilligung wurde nur mit einem Klick erteilt, so sollte diese auch mit einem Klick widerrufbar sein und nicht beispielsweise schriftlich oder telefonisch innerhalb der Geschäftszeiten. In solchen Fällen ist keine einfache Widerrufsmöglichkeit gegeben, sondern durch Umwege und einer arbeitsaufwendigen unangemessenen Anstrengung. Somit ist die Möglichkeit eines Widerrufs nicht an bestimmte Voraussetzungen geknüpft und steht Betroffenen jederzeit zu. Eine weitere Vorgabe ist, dass sich für Betroffene keine Nachteile ergeben dürfen. Der Widerruf steht gebührenfrei und ohne Absenkung des Leistungsniveaus zur Verfügung.

Beispiel: Ein Preisnachlass, der bei der Einwilligung für den Newsletter gewährt wird, darf nach dem Widerruf nicht zurückgenommen werden.

Mit dem Widerruf tritt die ex-nunc-Wirkung ein, so dass der Widerruf von „nun“ an gilt und die Rechtmäßigkeit der Datenverarbeitung vor dem Widerruf nicht berührt. Somit unterbindet der Widerruf die gegenwärtige und zukünftige Datenverarbeitung.

Welche Folgen hat eine fehlende Belehrung über die Widerrufsmöglichkeit?

Nun stellt sich die Frage, ob eine fehlende Widerrufsbelehrung zu einer ex-tunc-Wirkung führen kann, das heißt die Einwilligung von Beginn an als unwirksam gilt. Tatsächlich sind die rechtlichen Folgen hierzu unklar und diesbezüglich werden unterschiedliche Auffassungen vertreten.

Nach der einen Auffassung führt eine fehlende Widerrufsbelehrung zu einer Unwirksamkeit. Hierbei wird insbesondere die freiwillige Erteilung angezweifelt, da vor Abgabe der Einwilligung darüber nicht in Kenntnis gesetzt wurde. Direkt hierzu anknüpfend droht bei einem Verstoß gegen Art. 7 DSGVO eine Geldbuße bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens, vgl. Art. 83 Abs. 5 lit. a DSGVO. Ein weiterer Anhaltspunkt ist, dass für eine faire und transparente Verarbeitung die Widerrufsbelehrung nach Art. 13 Abs. 2 lit. c DSGVO zu den Informationspflichten des Verantwortlichen gehören.

Nach der herrschenden Meinung stellt eine fehlende Widerrufsbelehrung zwar einen Verstoß gegen die DSGVO dar, führt jedoch nicht zu einer Unwirksamkeit der Einwilligung insbesondere aus praktischen Gründen, z.B. bei konkludent abgegebenen Einwilligungen: „Lächeln in die Kamera“. Die Unverbindlichkeit der Einwilligungserklärung bei Verstoß gegen die DSGVO fällt systematisch nicht unter den Absatz des Widerrufsrechts. Außerdem wird vertreten, dass in Art. 13 Abs. 2 lit. c DSGVO die zusätzlichen Informationen zu den „zwingenden“ nach Art. 13 Abs. 1 DSGVO genannt werden.

Zumindest ist festzuhalten, dass wenn der Verantwortliche sowie die Verarbeitungszwecke als zwingende Informationen genannt werden, eine fehlende Widerrufsbelehrung nicht unmittelbar zu einer Unwirksamkeit führt. Grundsätzlich kann man sagen, dass sich kontextbezogen und je nach Verarbeitungszweck Unterschiede ergeben können, wo eine Widerrufsbelehrung äußerst erforderlich ist und von ihr abgesehen werden kann. Beispielsweise können Fälle einer Newsletter-Anmeldung und eine konkludente Einwilligung für einen Fotografen auf einer Firmenfeier nicht gleichgesetzt werden.

Datenschutzrechtliche Folgen des Widerrufs

Hauptsächlich ist die Folge eines Widerrufs, dass dem Verantwortlichen mit sofortiger Wirkung die Verarbeitung untersagt wird und die Datenverarbeitung zukünftig ab der Widerrufserklärung unrechtmäßig wird. Im Einzelfall besteht die Möglichkeit, dass nach dem Widerruf auf einer anderen Rechtsgrundlage die Weiterverarbeitung zulässig wird. Klassisches Beispiel: nach dem berechtigten Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Müssen mit dem Widerruf der Einwilligung die Daten gelöscht werden?

Der Widerruf einer Einwilligung ist mit der Löschpflicht des Verantwortlichen nach Art. 17 Abs. 1 lit. b DSGVO verbunden. Mit anderen Worten: Betroffenen, die ihre Einwilligung widerrufen haben, steht das Recht auf Löschung zu. Der Widerruf sowie das Löschbegehren können gleichzeitig erklärt werden. Eine Widerrufserklärung an sich kann implizit als Löschbegehren gelten und auch andersherum. Eine automatische Pflicht zur Datenlöschung besteht nach dem Widerruf nicht, sondern ist am Begehren der betroffenen Person abhängig.

327q BGB: Folgen des Widerrufs der Einwilligung beim Bezahlen mit Daten

Im Folgenden sind unter „Verbraucher“ nach § 13 BGB „betroffene Personen“ i.S.d. DSGVO und unter „Unternehmer“ nach § 14 BGB „Verantwortlicher“ für die Datenverarbeitung nach Art. 4 Nr. 7 DSGVO zu verstehen.

Es sind längst keine Erwartungshaltungen an die Zukunft mehr: Das Bezahlen mit Daten ist die Realität. Für den einen oder anderen werden Daten als Gegenleistung in einem Vertrag wahrscheinlich dennoch als „kostenloses Angebot“ angesehen. Doch auch wenn vom Verbraucher „nichts“ aus dem Geldbeutel geht, fließen anhand von Daten Millionen in die Tasche von Unternehmen. In solchen Fällen bezahlen Verbraucher mit ihren personenbezogenen Daten, indem sie der Datenverarbeitung einwilligen.

An diesem Punkt kommt die europäische Richtlinie (EU) 2019/770 über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DI-RL: Digitale-Inhalte-Richtlinie) zur Anwendung, die bereits am 01.01.2022 auf nationaler Ebene in Kraft getreten ist. Diese Umsetzung führte zu umfangreichen Neuregelungen im Bürgerlichen Gesetzbuch (BGB).

In § 327q BGB sind die vertragsrechtlichen Folgen von datenschutzrechtlichen Erklärungen geregelt. Grundsätzlich gilt nach der Umsetzung des Erwägungsgrundes 39 der DI-RL in § 327q Abs. 1 BGB, dass insbesondere das Widerrufsrecht für die Einwilligung auch im Rahmen solcher Vertragsabschlüsse gilt und die Ausübung die Wirksamkeit des Vertrages unberührt lässt.

Aus Erwägungsgrund 40 der DI-RL geht deutlich hervor, dass die Richtlinie an sich nicht die Folgen eines Widerrufs regeln soll, sondern diese dem nationalen Recht der EU-Mitgliedsstaaten unterliegen.

Nach dieser Erwägung wurde in § 327q Abs. 2 BGB geregelt, dass im Falle eines Widerrufs dem Unternehmer ein Kündigungsrecht zustehen kann:

„Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann.“

Es ist jedoch unklar, unter welchen Voraussetzungen die Fortsetzung des Vertragsverhältnisses für den Unternehmer als unzumutbar erachtet wird. Die Kriterien und Anforderungen müssten diesbezüglich in Zukunft aus der Rechtsprechung entnommen werden.

Als weitere Folge werden in § 327q Abs. 3 BGB Ersatzansprüche des Unternehmers gegen den Verbraucher insbesondere wegen der Ausübung des Widerrufsrechts bewirkten Einschränkungen einer zulässigen Datenverarbeitung ausgeschlossen. In Anlehnung nach Erwägungsgrund 39 wird hiermit die Freiheit des Verbrauchers gewährleistet seine Betroffenenrechte aus dem Datenschutz auszuüben, ohne Ersatzansprüche zu befürchten.

Ein Blick nach Österreich zeigt, dass in ihrer Richtlinienumsetzung keine dem § 327q BGB entsprechende Regelung in Kraft getreten ist. Wie oben bereits dargestellt, ist die Regelung der konkreten Folgen, Sache der Mitgliedsstaaten.

Gibt es eine Einschränkungsmöglichkeit der Widerruflichkeit?

Die Widerruflichkeit der Einwilligung steht Betroffenen frei zu, das heißt hierfür ist nicht einmal eine Begründung nach der DSGVO notwendig. Demnach ist ein genereller im Vorhinein vereinbarter Verzicht auf das Widerrufsrecht keinesfalls möglich. Trotz dessen wird in einigen Fällen eine Einschränkung der Widerruflichkeit für möglich erachtet.

Die Widerruflichkeit kann einer weiteren Einschränkung unterliegen, wenn zusätzlich zur Einwilligung andere Rechtsgrundlagen für die Datenverarbeitung bestehen. Große Bedeutung bekommt hier die Datenverarbeitung im Rahmen der Vertragserfüllung. Wenn die Einwilligung ein fester Bestandteil des Vertrages ist, kann nach einem Widerruf die Weiterverarbeitung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden, da die Verarbeitung für die Vertragsdurchführung erforderlich ist. Ein passendes Beispiel hierfür ist, wenn Betroffene für die Nutzung des eigenen Fotos ein Entgelt bekommen, wie bei Verträgen mit Fotomodels.

Eine Einschränkungsmöglichkeit kann sich aus besonderen Umständen ergeben, indem die Datenverarbeitung auf eine andere Rechtsgrundlage gestützt und fortgesetzt wird oder es einer Begründung bedarf, um widerrufen zu können. Diese Möglichkeiten gelten jedoch als Ausnahmen für den Regelfall der freien Widerruflichkeit.

Wie sollten Verantwortliche mit einer widerrufenen Einwilligung umgehen?

Verantwortliche können sich berechtigterweise die Frage stellen, wie sie mit einer widerrufenen Einwilligung umgehen sollten. Sie müssen nach einer widerrufenen Einwilligung unbedingt tätig werden. Doch abgesehen davon, ob der Widerruf seitens der Betroffenen erklärt wurde oder nicht, sollten Verantwortliche auch im Vorfeld tätig werden. Dabei sind folgende Punkte zu beachten:

Im Vorfeld des Widerrufs

Hierbei geht es darum, dass betroffene Personen sich über die Möglichkeit des Widerrufs im Klaren sind. Dafür können Verantwortliche Folgendes vornehmen:

  • Betroffene Personen auf das Widerrufsrecht bei der Abgabe der Einwilligungserklärung hinweisen.
  • Einfache und schnelle Kommunikationskanäle zur Abgabe der Widerrufserklärung zur Verfügung stellen. Insbesonders auch mehrere Widerrufsmöglichkeiten, beispielsweise mit einem Abmeldelink, telefonisch, postalisch oder per E-Mail anbieten und den Betroffenen überlassen welchen Kommunikationsweg sie wählen. Die Best-Practice-Lösung ist den Widerruf auf dieselbe Weise anzubieten, wie die Einwilligung eingeholt wurde.

Nach der Widerrufserklärung

Nachdem eine Widerrufserklärung zugegangen ist, sind folgende Schritte vorzunehmen:

  • Sicherstellen, dass eine fortführende Datenverarbeitung nicht stattfindet, wenn keine zusätzlich Rechtsgrundlage besteht.
  • Feststellen, ob ein Löschbegehren der betroffenen Person besteht. Bei der Löschung sind Aufbewahrungspflichten zu beachten und für Newsletter die notwendigen Daten in einer Blacklist zu speichern.
  • Insbesondere mit einem verknüpften Löschantrag die betroffenen Personen über die ergriffenen Maßnahmen bezüglich der Löschung informieren. Wenn keine Pflicht besteht dem Antrag nachzukommen, ist dies ebenfalls der betroffenen Person mitzuteilen.

Kostenloses Muster für den Widerruf einer Einwilligung

Als betroffene Person kann es immer mal wieder der Fall sein, dass man die erteilte Einwilligung widerrufen möchte. Nun stellt sich die Frage, wie das Widerrufsrecht geltend gemacht werden kann. Hierfür steht eine kostenlose Mustervorlage der Verbraucherzentrale zur Verfügung. Die Textvorlage kann für jegliche Kommunikationswege verwendet werden. Mit dieser Mustervorlage können Betroffene sowohl vom Widerrufsrecht als auch von weiteren Rechten Gebrauch machen.

Die Einwilligung wird nicht auf Lebenszeit erteilt

Betroffene Personen können in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Um diese als Rechtsgrundlage für die Datenverarbeitung nutzen zu können, unterliegt sie gewissen Anforderungen, um ihre Wirksamkeit zu entfalten. Nach einer erteilten Einwilligung steht Betroffenen das Recht auf Widerruf ihrer Einwilligung zu. Das ist insbesondere für die Wahrung der informationellen Selbstbestimmung von Relevanz. Der Widerruf bringt datenschutzrechtliche Folgen mit sich, eine davon ist die Unterbindung der Datenverarbeitung. Sie ruft gleichzeitig weitere Betroffenenrechte, wie die Löschung hervor.

Die Einwilligung und der Widerruf im Sinne der DSGVO spielen gegenwärtig im Vertragsrecht beim Bezahlen mit Daten eine Rolle. Eine gesetzliche Regelung zu dieser Konstellation ist gegeben, jedoch aus der Rechtsanwendung ergeben sich Unklarheiten, die erwartungsgemäß anhand zukünftiger Rechtsprechung zu klären sind.

Verantwortliche müssen mit einer widerrufenen Einwilligung konkret umgehen. Das betrifft nicht nur Handlungen nach Abgabe der Widerrufserklärung, sondern auch die im Vorfeld. Um die Ausübung des Widerrufsrechts für Betroffene zu erleichtern, steht ein kostenloses Muster für eine eindeutige Widerrufserklärung zur Verfügung.

Es sind Ausnahmefälle gegeben, wo das Recht auf freie Widerruflichkeit der Einwilligung eingeschränkt werden können. Dennoch schließen Ausnahmen den Regelfall nicht aus: Das Recht auf informationelle Selbstbestimmung verhindert eine lebenslängliche Einwilligung.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Zitat:
    „Ferner könnte dem Grundsatz von Treu und Glauben[…]Erfüllung oder Durchführung des Vertrages erforderlich sein.“
    Steht diese Auffassung nicht im Widerspruch zum WP 259 der Artikel 29 Gruppe, „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung2016/679“
    Diese schreibt auf Seite 27, Punkt 6, „Wechselwirkungen zwischen der Einwilligung und anderen Rechtsgrundlagen in Artikel6 der DS-GVO“
    Absatz 2:
    „Hier muss festgestellt werden, dass ein Verantwortlicher, der sich für einen Teil der Verarbeitung auf eine Einwilligung stützt, bereit sein muss, die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft. Es wäre gegenüber Einzelpersonen ein in höchstem Maß missbräuchliches Verhalten, ihnen zu sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird.“?

    • In Art. 6 Abs. 1 DSGVO ist ausdrücklich festgehalten, dass die Datenverarbeitung erlaubt ist, wenn mindestens einer der nachstehenden Rechtsgründe gegeben ist. Daraus ergibt, sich, dass sich die Datenverarbeitung grundsätzlich auf mehrere Erlaubnistatbestände stützen kann. Gleiches ergibt sich aus Art. 17 Abs. 1 lit. b …“ und fehlt es an einer anderen Rechtsgrundlage“, der darauf abstellt, dass eine unverzügliche Löschung zu erfolgen habe, wenn kein anderer Rechtsgrund gegeben ist.

      Zwar hat die Art. 29 Gruppe ursprünglich die Anschauung vertreten, dass „A processing activity for one specific purpose cannot be based on multiple lawful bases“ WP 259 S. 22, d.h. dass ein Verarbeitungsvorgang nicht auf verschiedene, kumulative Rechtsgrundlagen gestützt werden kann. Allerdings fehlt dieser Satz in der überarbeiteten Version. Belassen wurde aber der Satz, dass die Rechtsgrundlage vor der Verarbeitung festgelegt werden soll, wobei keine Exklusivität der einzelnen Rechtsgrundlagen angenommen wird.

      Allerdings kann gerade bei komplexen Verarbeitungsvorgängen die Verarbeitung auf mehrere Rechtsgrundlagen gestützt werden. Wenn der Verantwortliche dies von vornherein erklärt, ist dies auch kein Nachschieben von Rechtsgrundlagen, auf das der Betroffene nicht vorbereitet war. Es kann gerade beim Wegfall der Einwilligung als Rechtsgrund und der weiteren Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO im Hinblick auf Art. 17 Abs. 1 lit b DSGVO nicht von einer Täuschung ausgegangen werden. Will der Verantwortliche im Konsens mit der betroffenen Person die Datenverarbeitung vornehmen, kann es nicht sein, dass ihm bei Entzug oder Enthalten der Einwilligung der andere Rechtsgrund verwehrt ist. Maßgeblich ist doch vielmehr, dass die betroffene Person vor der Datenverarbeitung hinreichend informiert wurde.

  • Unter https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.pdf?__blob=publicationFile&v=51 habe ich dazu auf Seite 27 gefunden: „Ebenso ist es im Prinzip denkbar, dass bei Wegfall eines Erlaubnistatbestands auf einen anderen zurückgegriffen werden kann. Beides ist allerdings nur im Ausnahmefall möglich. Grundsätzlich muss sich der Verantwortliche zu Beginn seiner Datenverarbeitung entscheiden, auf welcher Rechtsgrundlage zu welchen Zwecken er personenbezogene Daten verarbeiten möchte. Denn aus den Prinzipien der Verarbeitung nach Treu und Glauben, der Transparenz (Art. 5 Abs. 1 Buchst. a) DSGVO) und der vor jeder Datenverarbeitung festzulegenden Zwecke folgt, dass eben bereits zu Beginn der Datenverarbeitung die betroffene Person sich darüber im Klaren sein muss, was mit ihren Daten zu welchen Zwecken passiert. Die betroffene Person soll jederzeit wissen können, wer was wann bei welcher Gelegenheit und aus welchem Grund über sie weiß. Es ist also letztlich ein Gebot der Fairness, dass auch die Rechtsgrundlagen der Verarbeitung sowie deren Zwecke von vorneherein feststehen müssen und nicht im Nachhinein beliebig geändert werden können.“
    Ich halte daher den Wechsel der Rechtsgrundlage für bedenklich – da sollte man sich vorher über die Rechtsgrundlage Gedanken machen und nicht alle möglichen Rechtsgrundlagen aufführen und dann, wenn z.B. eine Einwilligung entfällt, eine Alternative aus dem Hut zaubern. Oder gibt es Rechtsprechungen seit Mai 2018, die explizit diese Möglichkeiten aufzeigen? Ggf. bringt das auch mehr Flexibilität bei Unternehmen.

    • Es ist durchaus möglich, dass in komplexen Verarbeitungsvorgängen mehrere Rechtsgrundlagen kumulativ vorliegen. Entscheidend ist, dass diese der betroffenen Person im Vorfeld in den Informationen benannt sind. Wie sich aus Art. 6 Abs. 1 S. 1 DSGVO „wenn mindestens eine der nachstehenden Bedingungen erfüllt ist“ im Zusammenspiel mit Art. 17 Abs. 1 S. 1 b DSGVO … unverzüglich gelöscht werden, …. Und es fehlt an einer anderen Rechtsgrundlage“ ergibt, geht der Gesetzeswortlaut von einem kumulativen Vorliegen der Rechtsgründe aus. Wenn der Verarbeitungsvorgang mehrere Rechtsgrundlagen erfüllt, dann kann es nicht sein, dass der Verantwortliche sich eine Rechtsgrundlage auswählen und dann darauf beschränken muss, wenn die andere ausgewählte Rechtsgrundlage z.B. die Einwilligung widerrufen wird. Voraussetzung ist, dass der Betroffene über beide Rechtsgrundlagen aufgeklärt wurde.

      Aber in der Tat ist es so, dass der Verantwortliche sich zuvor genau überlegen sollte, auf welche Rechtsgrundlage die Verarbeitung gestützt werden soll und bevor er auf die Einwilligung zugreift erst die gesetzlichen Rechtsgrundlagen ausschöpfen sollte.

  • In Zusammenhang mit einer «Nicht-Verbindlichkeit» der erteilten Einwilligung führen Sie aus, dass «hieraus zu schließen ist, dass die Verordnung allein auf die fehlende Widerrufsbelehrung keine Unwirksamkeit der Einwilligung begründen wollte.»
    Dem stimme ich soweit zu. Allerdings würde ich Art. 7 Abs. 2 Satz 2 DSGVO in Verbindung mit Abs. 3 anders interpretieren. Satz 3 lautet: «Die betroffene Person wird vor Abgabe der Einwilligung hiervon [dem Widerrufsrecht] in Kenntnis gesetzt.» Dies stellt eine direkte Bedingung für Satz 2 dar, welche die Rechtmässigkeit bis zum Widerruf der Einwilligung nicht Aufheben vermag. Fehlt nun die Belehrung bezüglich des Widerrufrechts, so ist dies ein Verstoss gegen die DSGVO. Nach Abs. 2 Satz 2 sind diese Teile daher nicht verbindlich. Da die Belehrungspflicht direkt mit der Rechtmässigkeit der Datenverarbeitung bis zu einem Widerruf gekoppelt ist, würde ich argumentieren, dass hier der gesamte Teil als nicht verbindlich zu beurteilen ist. Dies würde schliesslich zu einer ex-tunc Wirkung eines Widerrufs führen.

    • Dies ist eine gute Argumentation für eine ex-tunc Wirkung.
      Allerdings lese ich Art. 7 Abs. 3 S. 2 DSGVO so, dass die fehlende Widerrufsbelehrung nicht den Verstoß gegen die DSGVO darstellen soll, der gem. Art. 7 Abs. 2 S. 2 die Unverbindlichkeit der Einwilligungserklärung hervorruft. Ich beziehe dies eher auf die inhaltliche Ausgestaltung der Einwilligung und auf die Sachverhalte, auf die in der Erklärung Bezug genommen wird, wie diese in Art. 7 Abs. 2 S. 1 DSGVO beschrieben sind.

  • Hallo,
    wie ist es bei einer einmaligen Verarbeitung personenbezogener Daten, die auf einer Einwilligung fußt?

    Wir löschen die personenbezogenen Daten unmittelbar nach der Verarbeitung. Damit (1) läuft ein Widerruf bei Ausspruch ins Leere und (2) habe ich aufgrund der Dokumentationspflichten eine Einwilligung (die für sich genommen ein personenbezogenes Datum ist) obwohl ich keine weiteren Informationen zu dieser Person in meinen Systemen habe.

    (1) Kann ich in diesem Fall auf den Hinweis zum Widerruf verzichten?
    (2) Soll ich nach Löschung der Daten trotzdem die Einwilligung behalten?

    Vielen Dank!

    • Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten als Verbot mit Erlaubnisvorbehalt konzipiert, d.h. nur wenn einer der Erlaubnistatbestände aus Art. 6 DSGVO vorliegt, kann die Datenverarbeitung rechtmäßig erfolgen. Für den Erlaubnistatbestand der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO sind die Voraussetzungen für eine Einwilligung in Art. 7 DSGVO klar definiert. Nur eine Einwilligung, die diesen Vorgaben entspricht kann letztendlich eine rechtmäßige Datenverarbeitung begründen, demnach ist der Hinweis auf den Widerruf auch in Ihrem Fall zu geben und die Möglichkeit eines Widerrufes gem. Art. 7 Abs. 2 S. 4 DSGVO zu gewähren. Eine Ausnahme für eine einmalige Datenverarbeitung ergibt sich aus dem Gesetzestext nämlich nicht. Aus Gründen der Rechtssicherheit, sollte man seine Prozesse und die Gestaltung seiner Dokumenten an diesen engen Vorgaben ausrichten. Daher sollte aus Gründen der Nachweisbarkeit die Einwilligung sowie das Löschprotokoll für ca. 3 Jahre noch aufbewahrt werden.

  • Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht. Die vorherigen Kommentare und Antworten beziehen sich auf den alten Beitrag und können daher nicht mehr aktuell sein.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.