widerruf einwilligung double opt in verzicht auf datenschutz consentmanager

Serie Betroffenenrechte: Das Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO

/von

Dies ist der letzte Artikel aus unserer Artikelreihe zu den Betroffenenrechten. Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO, unseren Erläuterungen zum Auskunftsrecht gemäß Art. 15 DSGVO, den Artikeln zum Berichtigungs- und Löschungsrecht gemäß Artt. 16 und 17 DSGVO, zum Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und zum Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO, dem Widerspruchsrecht aus Art. 21 DSGVO sowie dem Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 DSGVO befasst sich dieser Artikel mit dem Recht auf Widerruf einer Einwilligung durch die betroffene Person gemäß Art. 7 Abs. 3 DSGVO.

Mit den wesentlichen Voraussetzungen dieses Rechts haben wir uns bereits im Rahmen unseres Artikels zur Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) beschäftigt. Festzuhalten ist, dass für die betroffene Person jederzeit die Möglichkeit besteht, eine erteilte Einwilligung zu widerrufen. Eine Einwilligung ist daher als Rechtsgrundlage für die Verarbeitung personenbezogener Daten risikobehaftet, da sie jederzeit wegfallen (widerrufen werden) kann. Außer den im oben erwähnten Artikel zum Teil bereits beleuchteten (Problem-)Punkten gibt es im Zusammenhang mit der Ausübung des Widerrufsrechts gemäß Art. 7 Abs. 3 DSGVO einige wichtige weitere Aspekte, auf die wir im Rahmen des vorliegenden Artikels intensiver eingehen möchten. Hierzu beleuchten wir das Widerrufsrecht sowohl aus der Perspektive der betroffenen Person als auch aus der Sicht des Verantwortlichen.

Perspektive der betroffenen Person

Aus der Perspektive der betroffenen Person ist das Recht auf Widerruf einer Einwilligung gemäß Art. 7 Abs. 3 DSGVO eine sehr einfache Möglichkeit, die Verarbeitung der sie betreffenden personenbezogenen Daten zu beenden. Die Erklärung eines Widerrufs ist nämlich nicht an die Bedingung einer Begründung geknüpft und das Recht kann formlos ausgeübt werden. Einzige Voraussetzung ist, dass die personenbezogenen Daten aufgrund einer Einwilligung verarbeitet werden.

Welche Rechtsfolge ergibt sich aus dem Widerruf?

Die Rechtsfolge eines erklärten Widerrufs ergibt sich grundsätzlich aus Art. 17 Abs. 1 lit. b DSGVO. Diese Norm legt fest, dass die betroffene Person das Recht hat, Löschung der sie betreffenden Daten zu verlangen, sofern sie ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO stützte, widerruft und der Verantwortliche die Verarbeitung nicht auf eine andere Rechtsgrundlage stützen kann. Der Verantwortliche wäre entsprechend verpflichtet, die Verarbeitung unverzüglich einzustellen und die personenbezogenen Daten der betroffenen Person unverzüglich zu löschen. Doch halt: Wer sich unseren Beitrag zum Recht auf Löschung gem. Art. 17 DSGVO noch einmal in Erinnerung ruft, weiß, dass es bezüglich der Löschung personenbezogener Daten zahlreiche Einschränkungen gibt. Welche Daten müssen denn nun konkret gelöscht werden?

Einfach ausgedrückt, müssen alle personenbezogenen Daten gelöscht werden, die zuvor von der Einwilligung umfasst waren und für deren Verarbeitung nach dem Widerruf keine (andere) Rechtsgrundlage mehr vorliegt. Darüber hinaus wirkt ein Widerruf nur für die Zukunft. Die Rechtmäßigkeit der Datenverarbeitung bis zum Widerruf wird gemäß Art. 7 Abs. 3 S. 2 DSGVO nicht berührt. Das bedeutet aber auch, dass der Verantwortliche die Verarbeitung gegebenenfalls auf eine andere Rechtsgrundlage stützen könnte, beispielsweise auf sein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO, so dass er die Daten einschließlich der in diesem Zusammenhang erzeugten Ergebnisse (beispielsweise Berechnungen oder erhobene Informationen) trotz eines Widerrufs weiterhin speichern oder anderweitig verarbeiten könnte. Darüber hinaus könnte der Verantwortliche Daten ebenfalls auch dann weiterhin verarbeiten, wenn er diese zur Durchsetzung eigener Ansprüche gegenüber der betroffenen Person benötigt.

Datenverarbeitung ohne Rechtsgrundlage nach einem Widerruf?

Was passiert, wenn der Verantwortliche keine weitere Rechtsgrundlage zur Verarbeitung hat oder einen erklärten Widerruf schlicht nicht beachtet oder aufgrund fehlender technischer bzw. organisatorischer Maßnahmen (beispielsweise aufgrund fehlender Arbeitsanweisungen, nicht definierter interner Prozesse zur Beantwortung der Betroffenenanfragen) übersieht und untätig bleibt?

Abgesehen von einer Beschwerde bei einer Aufsichtsbehörde, die die betroffene Person gemäß Art. 77 DSGVO in einem solchen Fall einlegen könnte, und eines gerichtlichen Rechtsbehelfs in Form von Leistungs- oder Verpflichtungsklagen unmittelbar gegen den Verantwortlichen gemäß Art. 79 DSGVO, wäre insbesondere der Schadensersatzanspruch gemäß Art. 82 DSGVO zu erwähnen, der geltend gemacht werden könnte. In diesem Fall hätte der Verantwortliche sowohl einen materiellen als auch einen immateriellen (beispielweise psychischen) Schaden zu ersetzen.

Perspektive des Verantwortlichen

Was bedeutet der Widerruf einer Einwilligung aus der Sicht des Verantwortlichen? Welche Maßnahmen wären zu ergreifen und worauf ist im Zusammenhang mit dem Widerruf einer Einwilligung besonders zu achten?

Zu ergreifende Maßnahmen

Maßnahmen, die durch den Verantwortlichen im Zusammenhang mit dem Widerrufsrecht der betroffenen Person zu ergreifen wären, beginnen nicht erst, wenn der Widerruf erklärt wird, sondern bereits viel früher. Maßnahmen, die im Vorfeld außer Acht gelassen wurden, können im Nachhinein oft nur schlecht oder überhaupt nicht mehr nachgeholt werden. Die Folgen könnten für den Verantwortlichen sehr unangenehm werden. Man denke hier wiederum nur an das oben bereits beschriebene Rechtearsenal der betroffenen Person oder auch Prüfungen durch die zuständige Aufsichtsbehörde.

Im Vorfeld zu erledigen

Der Verantwortliche müsste gemäß Art. 7 Abs. 3 S. 4 DSGVO der betroffenen Person faktisch und nicht nur deklaratorisch ermöglichen, den Widerruf so einfach zu erklären, wie die Erteilung der Einwilligung ursprünglich auch war. Hier müsste der Verantwortliche dafür sorgen, dass er funktionierende Kommunikationskanäle unterhält, die einen einfachen Widerruf ermöglichen (beispielsweise per E-Mail, Telefonanruf, Postweg oder auch persönliche Vorsprache). Am einfachsten – insbesondere für die betroffene Person – ist es immer, den gleichen Kommunikationskanal und die gleichen technischen Methoden zu nutzen, die bereits zuvor für die Einholung der Einwilligung genutzt wurden. Allerdings kann die betroffene Person nicht gezwungen werden, einen bestimmten Kommunikationskanal oder ein bestimmtes Medium für den Widerruf zu nutzen. Es müssen also alle vom Verantwortlichen für die Kommunikation genutzten Kanäle soweit vorbereitet sein, dass sie für einen Widerruf genutzt werden können.

Zudem müsste der Verantwortliche die betroffene Person auf ihr Widerrufsrecht gemäß Art. 7 Abs. 3 S. 3 DSGVO bereits vor, beziehungsweise bei Abgabe der Einwilligungserklärung hinweisen. Dieser Hinweis ist aus einem weiteren Grund von Bedeutung: Obwohl die Rechtsfolge einer fehlenden Belehrung im Gesetz nicht ausdrücklich normiert wird, argumentieren einige Kommentierungen dahingehend, dass ein fehlender Hinweis zur Unwirksamkeit der Einwilligung führen könnte (vgl. Plath/Plath, BDSG/DS-GVO, 2. Aufl., Art. 7 DS-GVO Rn. 11; Auerhammer/Kramer, BDSG/DS-GVO, 5. Aufl., Art. 7 DS-GVO Rn. 20).

To-Dos nach der Widerrufserklärung

Nach einem erklärten Widerruf muss der Verantwortliche sicherstellen, dass keine weitere Datenverarbeitung stattfindet, soweit keine sonstige Rechtsgrundlage die (weitere) Datenverarbeitung legitimiert. Zudem muss der Verantwortliche auch dafür Sorge tragen, dass er nicht zu viele Daten löscht, denn eine Löschaktion, bei der zu viele Daten gelöscht werden, könnte dem Interesse der betroffenen Person widersprechen. Darüber hinaus könnte sie auch im Widerspruch zu berechtigten Interessen des Verantwortlichen stehen. Jeder Fall ist daher sorgfältig zu prüfen. So wäre beispielsweise bevor Daten gelöscht werden, durch Rücksprache mit der betroffenen Person zu ermitteln, welche Daten von einer Löschung erfasst sein sollen, wenn sich dies nicht aus der Widerrufserklärung der betroffenen Person eindeutig ergibt. Darüber hinaus ist zu prüfen, ob nicht etwaige Aufbewahrungspflichten einer Löschung entgegenstehen.

Soweit die Widerrufserklärung einen (Löschungs-)Antrag enthält und der Verantwortliche entsprechend dem Antrag die Daten löscht (oder im umgekehrten Fall der Auffassung ist, nicht zur Löschung verpflichtet zu sein), ist zwingend Art. 12 Abs. 3 DSGVO zu beachten. Darin wird festgelegt, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Artt. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich oder spätestens innerhalb eines Monats zur Verfügung stellt. Soweit der Verantwortliche auf Antrag der betroffenen Person hin nicht tätig wird, hat er gemäß Art. 12 Abs. 4 DSGVO die Pflicht, die betroffene Person auch darüber zu informieren. Kurz gesagt: Der Verantwortliche hat die betroffene Person darüber zu informieren, welche Maßnahmen er aufgrund des Antrags ergriffen hat und warum er gegebenenfalls der Auffassung ist, nicht verpflichtet zu sein, Teilen des Antrags oder dem Antrag als Ganzes, nachkommen zu müssen. Dies wird in der Praxis leider häufig vergessen.

Fazit

Das Widerrufsrecht erfordert insbesondere beim Verantwortlichen Sorgfalt und Fingerspitzengefühl bei der Erfüllung dieses Rechts. Der Verantwortliche darf einerseits nicht zu viel (insbesondere keine allumfassenden Löschaktionen), andererseits aber auch nicht zu wenig tun (insbesondere nicht untätig bleiben, betroffene Personen nicht über das Widerrufsrecht oder veranlasste Maßnahmen informieren). Hier ist stets abzuwägen und dafür zu sorgen, dass den gesetzlichen Anforderungen exakt entsprochen wird, um unangenehme Folgen, etwa behördliche Prüfungen, mögliche Bußgelder oder Schadensersatzansprüche der betroffenen Person zu vermeiden. Hier sind insbesondere die technischen und organisatorischen Maßnahmen (TOM), die leider zu oft vernachlässigt werden, der Schlüssel zum Erfolg. Stellen Sie Ihre TOM auf den Prüfstand und sorgen Sie als Verantwortlicher dafür, dass Ihre Prozesse so organisiert sind, dass die betroffenen Personen ihre Rechte wahrnehmen können. Das spart im Ergebnis sowohl viel Zeit als auch Geld.

Sind Sie unsicher, wie Sie das Thema Betroffenenrechte rechtskonform angehen sollen? Sprechen Sie uns an, wir helfen Ihnen gerne!

 

Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier:

Das könnte Sie auch interessieren
konzern unternehmensgruppeDatenschutz in Unternehmensgruppen und Konzernen – was ist zu beachten?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inEuGH kippt Safe Harbor
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoEinwilligungserklärungen und Koppelungsverbot unter der DSGVO
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitTracking im Newsletter – die Risiken
hacker pentest penetrationstest abmahnung abmahnfähigSind Verstöße gegen die DSGVO abmahnfähig? – Bislang keine Abmahnwelle
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzSerie Betroffenenrechte: Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
Passwörter: Grundlegende Änderung der BSI-Empfehlungenaufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnenverschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!