Logo

EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO)

Datenschutzhinweise    Impressum    Kontakt

Anforderungen der DS-GVO an die Einwilligung

Zusammenfassung,     Copyright,     Einleitung,     Form der Einwilligung,     Nachweispflicht,     Anforderungen an eine Einwilligung,     Einwilligung Kinder in "Dienste der Informationsgesellschaft",     Besonderheiten bei der Datenverarbeitung nicht einwilligungsfähiger Patienten,     Sanktionierung,     "Bestandswahrung",     Fundstellen in der DS-GVO,     Literatur,     Checkliste

Freiwilligkeit,     Informiertheit,     Bestimmtheit,     Widerrufbarkeit,     Konsequenzen der Teilunwirksamkeit einer Einwilligung

Anforderungen an eine Einwilligung

Widerrufbarkeit

Art. 7 Abs. 3 DS-GVO besagt, dass die betroffene Person das Recht haben muss, die Einwilligung jederzeit zu widerrufen. Diese Regelung stellt ferner klar, dass ein Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ein Widerruf gilt daher immer nur für die nach dem Widerruf geplante Verarbeitung. Entsprechend Art. 7 Abs. 3 S. 3 DS-GVO muss die betroffene Person von dieser Tatsache vor Abgabe ihrer Einwilligung in Kenntnis gesetzt werden.

Gemäß Art. 7 Abs. 3 S. 4 DS-GVO muss der Widerruf mindestens genauso einfach wie die Erteilung der entsprechenden Einwilligung möglich sein. Der Verantwortliche muss daher eine zur gewählten Methode der Einwilligungseinholung entsprechend "gleich einfache" Möglichkeit zum Einwilligungswiderruf anbieten.

Im Falle elektronisch eingeholter Einwilligungen durch die Betätigung einer Checkbox, stellt sich daher z.B. die Frage, wie ein Verantwortlicher einen Widerruf des Betroffenen, der kein eigenes "Kundenkonto" beim Verantwortlichen hat, ermöglichen will. Die Widerrufmöglichkeit per geschriebener Mail oder Telefonanruf durch den Betroffenen dürfte, hinsichtlich der Beurteilung der (vergleichbaren) Unkompliziertheit (= dem bloßen Setzen eines Häkchens) vom zu betreibenden Aufwand her vermutlich nicht entsprechen. Zur Lösung dieses Problems könnte ein Verantwortlicher aber auf das bei E-Mail Newslettern gängige Abbestellungsverfahren zurückgreifen. So könnte man dem Betroffenen (nach Anklicken der Checkbox) eine E-Mail zusenden, die einen entsprechenden "Unsubscribe- (Widerrufs-)Link" enthält und jederzeit vom Betroffenen für den Widerruf genutzt werden kann. Vom zu betreibenden Widerrufsaufwand wäre diese Widerrufmethode mit dem Anklicken der Checkbox vergleichbar, denn auch hier benötigt der Betroffene nur einen Klick (auf einen Link), um seinen Widerruf auszuüben. Bei dieser vermeintlich "einfachen" Widerrufmöglichkeit muss der Verantwortliche jedoch immer darauf achten, dass er die Ausübung eines solchen Widerrufs auch gleich "ernst" behandelt. Aus diesem Grund muss er technisch und organisatorisch gewährleisten, dass nach ergangenem Widerruf durch den Betroffenen, die entsprechenden Daten nicht mehr für die von der Einwilligung erfassten Zwecke (weiter) verarbeitet werden.

Im bisher noch geltenden deutschen Recht besteht eine gewisse Rechtsunsicherheit, ob nach dem Widerruf einer Einwilligung eine weitere Verarbeitung aufgrund eines anderen Erlaubnistatbestandes möglich ist. Art. 17. Abs. 2 lit. b bezieht hinsichtlich der Löschung die Position, dass eine Löschung aufgrund eines Widerrufs nur notwendig ist, wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Daraus kann man ableiten, dass auch eine weitere Verarbeitung nach einem Widerruf der Einwilligung möglich ist, wenn eine andere (gesetzliche) Rechtsgrundlage dies gestattet.

Erfolgt jedoch ein Widerruf der Einwilligung und es liegt kein anderer Erlaubnistatbestand vor, so müssen gemäß Art. 17 Abs. 2 lit. b die personenbezogene Daten auf Wunsch des Betroffenen unverzüglich gelöscht werden.