Einwilligung ohne Widerrufsbelehrung – Was sind die Folgen?

Fachbeitrag

Ist die beim Betroffenen eingeholte datenschutzrechtliche Einwilligung überhaupt wirksam, wenn die Widerrufsbelehrung fehlt? Oder riskiert der Verantwortliche vielmehr mit dem Unterlassen der Belehrung die Unwirksamkeit der Einwilligung? Diese Fragestellung wird durch den nachfolgenden Artikel näher beleucht.

Voraussetzungen für die Einwilligung

Die Vorgaben für eine wirksame Einwilligung, die freiwillig, informiert und unmissverständlich erfolgen muss, finden sich in verschiedenen Artikeln der DSGVO und ergeben nur im Zusammenspiel die vollständigen Zulässigkeitsvoraussetzungen einer wirksamen Einwilligung. Letztendlich enthält Art. 7 DSGVO die Steuerungsvorgaben für die Einwilligung, die durch weitere Vorschriften wesentlich ergänzt werden.

  • Art. 7 Abs. 1 DSGVO
    Der Verantwortliche muss belegen können, dass die betroffene Person eingewilligt hat (Beweislastregel).
  • Art. 7 Abs. 2 S. 1 DSGVO
    Das Einwilligungsersuchen muss in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache, abgesetzt von anderen Texten, erfolgen (Transparenzgebot).
  • Art. 7 Abs. 3 DSGVO
    Normiert die Widerrufbarkeit der Einwilligung (Widerrufsrecht).
  • Art. 7 Abs. 4 DSGVO
    Gibt den Beurteilungsmaßstab für die Freiwilligkeit (Freiwilligkeit).
  • Art. 4 Nr. 11 DSGVO
    Enthält die Einwilligungsdefinition (Einwilligungsbewusstsein, Informiertheit).
  • Art. 6 Abs. 1 S. 1 lit. a DSGVO
    Enthält den Zweck (Zweckbindung).
  • die Erwägungsgründe
    EG 32f und EG 42f
  • sowie Spezialvorschriften
    Art. 8 DSGVO (Einwilligung eines Kindes), Art. 9 DSGVO (Einwilligung bei besonderen Datenkategorien), Art. 22 DSGVO (Einwilligung im automatisierten Verfahren), Art. 49 DSGVO (Einwilligung bei Datenübermittlungen in Drittländer) – wobei in Artt. 9, 22, 49 DSGVO eine ausdrückliche Einwilligung gefordert wird.

Da sich dieser Artikel auf die fehlende Widerrufsbelehrung bei der Einwilligungserteilung konzentriert, empfehlen wir unsere Blogbeiträge zu den übrigen Voraussetzungen der Einwilligung:

Voraussetzungen für den Widerruf

Grundsätzlich muss der Widerruf so einfach erfolgen, wie die Einwilligung eingeholt wurde, d.h. er kann gem. Art. 7 Abs. 3 S. 4 DSGVO formlos und ohne Begründung erfolgen. Die freie Widerrufbarkeit der Einwilligung ist abschließend in Art. 7 Abs. 3 DSGVO normiert. Damit wird sichergestellt, dass die betroffene Person in Ausübung ihres informationellen Selbstbestimmungsrechtes jederzeit in der Lage ist, eine einmal getroffene Entscheidung wieder rückgängig zu machen. Diese umfassende Korrekturmöglichkeit ist mit der insbesondere im Zeitalter von Big Data oder Künstlicher Intelligenz einhergehenden Komplexität und den schwer zur durchschauenden Datenverarbeitungsvorgänge oder teilnehmenden Akteuren geschuldet und zugleich gerechtfertigt. Denn die Möglichkeiten einer Datennutzung und Auswertung steigen stetig, so dass für die natürliche Person berechtigterweise die Möglichkeit gegeben sein muss, eine einmal erteilte Einwilligung, bei ggf. neuen Erkenntnissen in Bezug auf die Datenverarbeitung, jederzeit zu widerrufen.

Für eine Anfechtung aus Täuschung, Drohung oder aufgrund eines Irrtums, die dem tatsächlichen Willen des Betroffenen widerspricht, besteht bei dieser umfangreichen Widerrufsmöglichkeit daher kein Grund mehr, da es der betroffenen Person möglich ist, darüber zu entscheiden, ob und in welchem Umfang sie den Widerruf einlegt.

Mit dem Widerruf tritt die ex-nunc-Wirkung ein, d.h. die weitere Datenverarbeitung durch den Verantworltichen ist ab dem Ausspruch des Widerrufes nicht mehr zulässig, es sei denn, es liegt eine andere Rechtsgrundlage, wie etwa Art. 6 Abs. 1 S. 1 lit. f DSGVO hierfür vor. Die zuvor erfolgte Datenverarbeitung hingegen bleibt von dem Widerruf unberührt.

Folgen der fehlenden Widerrufsbelehrung

Fraglich ist, ob es, wenn die Einwilligung ohne Widerrufsbelehrung eingeholt wurde, bei einem Widerruf vielleicht doch zu einer ex-tunc-Wirkung kommt, d.h. die Einwilligung von Beginn an unwirksam sein könnte. Orientiert man sich an dem Verordnungstext, dann regelt Art. 7 Abs. 2 S.2 DSGVO explizit, dass

„Teile der Erklärung dann nicht verbindlich sind, wenn sie einen Verstoß gegen diese Verordnung darstellen“

mit anderen Worten, wenn dem Transparenzgebot nicht Genüge getan wurde. Für den Widerruf wird in Art. 7 Abs. 3 DSGVO eine derartige „Nicht-Verbindlichkeit“ der erteilten Einwilligung nicht festgehalten, so dass hieraus zu schließen ist, dass die Verordnung allein auf die fehlende Widerrufsbelehrung keine Unwirksamkeit der Einwilligung begründen wollte.

Die fehlende Widerrufsbelehrung bedingt daher zwar einen Verstoß gegen die DSGVO, nicht jedoch die Unwirksamkeit der datenschutzrechtlichen Einwilligung. Dies hat konsequenterweise zur Folge, dass alle vor der DSGVO ohne Widerrufsbelehrung eingeholten Einwilligungen weiterhin Bestand haben, es sei denn, man geht von einem zeitlichen Verfall einer Einwilligung aus.

Einschränkung der Widerruflichkeit

Keinesfalls möglich ist ein genereller im Vorhinein vereinbarter Widerrufsverzicht des Betroffenen. Allerdings wird eine Einschränkung der Widerruflichkeit in bestimmten Fällen für möglich erachtet.

So hat das Bundesarbeitsgericht (Urteil vom 11.12.2014 – 8 AZR 1010/13) dahingehend entschieden, dass ein Arbeitnehmer, der in die Veröffentlichung von Videoaufnahmen eingewilligt hat, diese Einwilligung nur widerrufen kann, wenn im Rahmen einer Interessensabwägung ein plausibler Grund seitens des Arbeitnehmers geltend gemacht werden kann, das Recht auf informationelle Selbstbestimmung, nun gegenläufig wahrzunehmen.

Ferner könnte dem Grundsatz von Treu und Glauben ein vertragliches Rücksichtnahmegebot auch außerhalb des Arbeitsrechts entspringen, so dass dies eine Einschränkung der Widerrufbarkeit der Einwilligung in einem Vertragsverhältnis begründen könnte. Bedenkt man jedoch, dass dann, wenn die datenschutzrechtliche Einwilligung in ein Vertragsverhältnis eingebunden ist, z. B. die betroffene Person erhält für die Fotonutzung ein Entgelt, die Datennutzung auf zwei Rechtsgrundlagen beruht, nämlich

  • zum einen auf Art. 6 Abs. 1 S. 1 lit. a DSGVO also der datenschutzrechtlichen Einwilligung und
  • zum anderen auf dem Vertragsverhältnis zwischen dem Verantwortlichen und der betroffenen Person gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Wird nun seitens der betroffenen Person die Einwilligung widerrufen, kann die weitere Datennutzung durch den Verantwortlichen durchaus noch im Rahmen des bestehenden Vertragsverhältnisses gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung oder Durchführung des Vertrages erforderlich sein.

Kein Erfordernis das Widerrufsrecht zu beschneiden

Es bedarf  daher keiner Einschränkung des Widerrufes, zumal der Wortlaut in Art. 7 Abs. 3 DSGVO eindeutig belegt, dass die Widerrufsmöglichkeit der betroffenen Person uneingeschränkt ist. Wenn die Wirksamkeit der Einwilligung nicht von der Widerrufsbelehrung abhängt, dann muss das Widerrufsrecht uneingeschränkt gelten. Dies wird auch durch EG 45 S. 5 belegt, der darauf verweist, dass die betroffene Person, widerrufen können muss, ohne einen Nachteil zu erleiden. Überdies bedarf es auch keiner Einschränkung des Widerrufsrechtes, da der Vertragspartner, wie oben dargelegt, im Falle eines Widerrufes die erforderliche weitere Verarbeitung auf einen anderen Rechtsgrund stützen kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

6 Kommentare zu diesem Beitrag

  1. Zitat:
    „Ferner könnte dem Grundsatz von Treu und Glauben[…]Erfüllung oder Durchführung des Vertrages erforderlich sein.“
    Steht diese Auffassung nicht im Widerspruch zum WP 259 der Artikel 29 Gruppe, „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung2016/679“
    Diese schreibt auf Seite 27, Punkt 6, „Wechselwirkungen zwischen der Einwilligung und anderen Rechtsgrundlagen in Artikel6 der DS-GVO“
    Absatz 2:
    „Hier muss festgestellt werden, dass ein Verantwortlicher, der sich für einen Teil der Verarbeitung auf eine Einwilligung stützt, bereit sein muss, die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft. Es wäre gegenüber Einzelpersonen ein in höchstem Maß missbräuchliches Verhalten, ihnen zu sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird.“?

    • In Art. 6 Abs. 1 DSGVO ist ausdrücklich festgehalten, dass die Datenverarbeitung erlaubt ist, wenn mindestens einer der nachstehenden Rechtsgründe gegeben ist. Daraus ergibt, sich, dass sich die Datenverarbeitung grundsätzlich auf mehrere Erlaubnistatbestände stützen kann. Gleiches ergibt sich aus Art. 17 Abs. 1 lit. b …“ und fehlt es an einer anderen Rechtsgrundlage“, der darauf abstellt, dass eine unverzügliche Löschung zu erfolgen habe, wenn kein anderer Rechtsgrund gegeben ist.

      Zwar hat die Art. 29 Gruppe ursprünglich die Anschauung vertreten, dass „A processing activity for one specific purpose cannot be based on multiple lawful bases“ WP 259 S. 22, d.h. dass ein Verarbeitungsvorgang nicht auf verschiedene, kumulative Rechtsgrundlagen gestützt werden kann. Allerdings fehlt dieser Satz in der überarbeiteten Version. Belassen wurde aber der Satz, dass die Rechtsgrundlage vor der Verarbeitung festgelegt werden soll, wobei keine Exklusivität der einzelnen Rechtsgrundlagen angenommen wird.

      Allerdings kann gerade bei komplexen Verarbeitungsvorgängen die Verarbeitung auf mehrere Rechtsgrundlagen gestützt werden. Wenn der Verantwortliche dies von vornherein erklärt, ist dies auch kein Nachschieben von Rechtsgrundlagen, auf das der Betroffene nicht vorbereitet war. Es kann gerade beim Wegfall der Einwilligung als Rechtsgrund und der weiteren Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO im Hinblick auf Art. 17 Abs. 1 lit b DSGVO nicht von einer Täuschung ausgegangen werden. Will der Verantwortliche im Konsens mit der betroffenen Person die Datenverarbeitung vornehmen, kann es nicht sein, dass ihm bei Entzug oder Enthalten der Einwilligung der andere Rechtsgrund verwehrt ist. Maßgeblich ist doch vielmehr, dass die betroffene Person vor der Datenverarbeitung hinreichend informiert wurde.

  2. Unter https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.pdf?__blob=publicationFile&v=51 habe ich dazu auf Seite 27 gefunden: „Ebenso ist es im Prinzip denkbar, dass bei Wegfall eines Erlaubnistatbestands auf einen anderen zurückgegriffen werden kann. Beides ist allerdings nur im Ausnahmefall möglich. Grundsätzlich muss sich der Verantwortliche zu Beginn seiner Datenverarbeitung entscheiden, auf welcher Rechtsgrundlage zu welchen Zwecken er personenbezogene Daten verarbeiten möchte. Denn aus den Prinzipien der Verarbeitung nach Treu und Glauben, der Transparenz (Art. 5 Abs. 1 Buchst. a) DSGVO) und der vor jeder Datenverarbeitung festzulegenden Zwecke folgt, dass eben bereits zu Beginn der Datenverarbeitung die betroffene Person sich darüber im Klaren sein muss, was mit ihren Daten zu welchen Zwecken passiert. Die betroffene Person soll jederzeit wissen können, wer was wann bei welcher Gelegenheit und aus welchem Grund über sie weiß. Es ist also letztlich ein Gebot der Fairness, dass auch die Rechtsgrundlagen der Verarbeitung sowie deren Zwecke von vorneherein feststehen müssen und nicht im Nachhinein beliebig geändert werden können.“
    Ich halte daher den Wechsel der Rechtsgrundlage für bedenklich – da sollte man sich vorher über die Rechtsgrundlage Gedanken machen und nicht alle möglichen Rechtsgrundlagen aufführen und dann, wenn z.B. eine Einwilligung entfällt, eine Alternative aus dem Hut zaubern. Oder gibt es Rechtsprechungen seit Mai 2018, die explizit diese Möglichkeiten aufzeigen? Ggf. bringt das auch mehr Flexibilität bei Unternehmen.

    • Es ist durchaus möglich, dass in komplexen Verarbeitungsvorgängen mehrere Rechtsgrundlagen kumulativ vorliegen. Entscheidend ist, dass diese der betroffenen Person im Vorfeld in den Informationen benannt sind. Wie sich aus Art. 6 Abs. 1 S. 1 DSGVO „wenn mindestens eine der nachstehenden Bedingungen erfüllt ist“ im Zusammenspiel mit Art. 17 Abs. 1 S. 1 b DSGVO … unverzüglich gelöscht werden, …. Und es fehlt an einer anderen Rechtsgrundlage“ ergibt, geht der Gesetzeswortlaut von einem kumulativen Vorliegen der Rechtsgründe aus. Wenn der Verarbeitungsvorgang mehrere Rechtsgrundlagen erfüllt, dann kann es nicht sein, dass der Verantwortliche sich eine Rechtsgrundlage auswählen und dann darauf beschränken muss, wenn die andere ausgewählte Rechtsgrundlage z.B. die Einwilligung widerrufen wird. Voraussetzung ist, dass der Betroffene über beide Rechtsgrundlagen aufgeklärt wurde.

      Aber in der Tat ist es so, dass der Verantwortliche sich zuvor genau überlegen sollte, auf welche Rechtsgrundlage die Verarbeitung gestützt werden soll und bevor er auf die Einwilligung zugreift erst die gesetzlichen Rechtsgrundlagen ausschöpfen sollte.

  3. In Zusammenhang mit einer «Nicht-Verbindlichkeit» der erteilten Einwilligung führen Sie aus, dass «hieraus zu schließen ist, dass die Verordnung allein auf die fehlende Widerrufsbelehrung keine Unwirksamkeit der Einwilligung begründen wollte.»
    Dem stimme ich soweit zu. Allerdings würde ich Art. 7 Abs. 2 Satz 2 DSGVO in Verbindung mit Abs. 3 anders interpretieren. Satz 3 lautet: «Die betroffene Person wird vor Abgabe der Einwilligung hiervon [dem Widerrufsrecht] in Kenntnis gesetzt.» Dies stellt eine direkte Bedingung für Satz 2 dar, welche die Rechtmässigkeit bis zum Widerruf der Einwilligung nicht Aufheben vermag. Fehlt nun die Belehrung bezüglich des Widerrufrechts, so ist dies ein Verstoss gegen die DSGVO. Nach Abs. 2 Satz 2 sind diese Teile daher nicht verbindlich. Da die Belehrungspflicht direkt mit der Rechtmässigkeit der Datenverarbeitung bis zu einem Widerruf gekoppelt ist, würde ich argumentieren, dass hier der gesamte Teil als nicht verbindlich zu beurteilen ist. Dies würde schliesslich zu einer ex-tunc Wirkung eines Widerrufs führen.

    • Dies ist eine gute Argumentation für eine ex-tunc Wirkung.
      Allerdings lese ich Art. 7 Abs. 3 S. 2 DSGVO so, dass die fehlende Widerrufsbelehrung nicht den Verstoß gegen die DSGVO darstellen soll, der gem. Art. 7 Abs. 2 S. 2 die Unverbindlichkeit der Einwilligungserklärung hervorruft. Ich beziehe dies eher auf die inhaltliche Ausgestaltung der Einwilligung und auf die Sachverhalte, auf die in der Erklärung Bezug genommen wird, wie diese in Art. 7 Abs. 2 S. 1 DSGVO beschrieben sind.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.