Einwilligungs- und Widerrufsmanagement: Hintergrund und Praxistipps

Bis das der Widerruf uns scheidet: Viele Verarbeitungen personenbezogener Daten basieren auf freiwilligen Einwilligungen als Rechtsgrundlage. Da es sich um eine freiwillige Einwilligung handelt, haben Betroffene jederzeit auch das Recht, ihre Einwilligung zu widerrufen und das „Ja-Wort“ aufzulösen.

Nicht nur das datenschutzkonforme Einholen von Einwilligungen, sondern auch das Nachhalten eventueller Widerrufe stellt Organisationen vor Herausforderungen. Auf der einen Seite steht nämlich die Nachweispflicht über die erhaltenen Einwilligungen. Auf der anderen Seite steht die unbedingte Pflicht zur Beachtung und Umsetzung späterer Widerrufe. Werden Einwilligungen nicht datenschutzkonform eingeholt, liegt keine wirksame Einwilligung vor und die Verarbeitung erfolgt unrechtmäßig. Werden Widerrufe missachtet, drohen Bußgelder, zumeist wegen Verstoß gegen die Löschpflicht (Art 18 Abs. 1 lit. b DSGVO). Oder es handelt sich – wie ein Fall aus Belgien zeigt – um einen Verstoß gegen die Mitteilungspflicht gemäß Art. 19 DSGVO. 

Daher ist der Aufbau eines geregelten und funktionierenden Einwilligungs- und Widerrufsmanagements eine wichtige Organisationsaufgabe, um die Datenschutzanforderungen einhalten zu können.

Wir haben für Sie zusammengefasst, welche Vorgaben die DSGVO macht, zeigen den Fall eines belgischen Betroffen und erklären die Anforderungen an ein Einwilligungs- und Widerrufsmanagement. 

Laut DSGVO Art. 4 Abs. 11 ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Laut der Datenschutzkonferenz (DSK) bedeutet informiert, dass alle wesentlichen Aspekte einer konkreten Verarbeitung, in die eingewilligt werden soll, vorab transparent und nachvollziehbar mittgeteilt werden müssen.

Einwilligungen müssen gemäß DSGVO auch auf den bestimmten Fall bezogen sein. Das bedeutet, dass Verantwortliche keine Generaleinwilligung einholen dürfen. Vielmehr muss über jede Verarbeitung bzw. Kategorie von Verarbeitungen informiert, dazu ein eindeutiger und legitimer Zweck angegeben und anschließend eine Einwilligung dafür eingeholt werden. Betroffene müssen dabei die Möglichkeit haben, Verarbeitungen mit separaten Zwecken einzeln zuzustimmen oder diese einzeln abzulehnen. Verantwortliche müssen also eine feingranulare Erteilung von Einwilligungen ermöglichen.

Ist dies nicht möglich, gelten Einwilligungen regelmäßig nicht als freiwillig. Denn in diesem Fall hätten Betroffene keine echte Wahl. Deshalb dürfen Betroffene auch keine Nachteile erfahren, wenn sie Einwilligungen verweigern oder widerrufen. Auch darf die Erfüllung eines Vertrags nicht von Einwilligungen in Datenverarbeitungen, die nicht zur Erfüllung des Vertrags notwendig sind, abhängig gemacht werden. Durch derartige Koppelungen werden Einwilligungen unwirksam.

Außerdem müssen Betroffene schon bei der Einholung der Einwilligung über ihr Widerrufsrecht informiert werden.

Für das Einholen von Einwilligungen sind in der DSGVO (Art. 7) einige weitere Anforderungen aufgeführt:

• Sie müssen nachweisbar sein.
• Enthält eine schriftliche Erklärung noch weitere Sachverhalte, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen.
• Betroffene können ihre Einwilligung jederzeit widerrufen und der Widerruf muss so einfach sein wie das Erteilen der Einwilligung.

Gemäß Erwägungsgrund 32 der DSGVO sollte die Einwilligung zudem durch eine eindeutige bestätigende Handlung erfolgen. Stillschweigen oder die Verwendung bereits vorab angekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung dar.

Aus dem Erfordernis der Nachweisbarkeit folgt somit logisch, dass nicht nur die Tatsache der Einwilligung dokumentiert werden muss, sondern auch der Inhalt und die Form der Einwilligung. Denn nur dann kann auch nachgewiesen werden, dass die Einwilligung alle Bedingungen der Rechtmäßigkeit erfüllt.  

Wie strikt diese oben genannten Anforderungen umgesetzt werden müssen, zeigt ein aktuelles Urteil des EuGH vom 27. Oktober 2022. Hier ging es um die Umsetzung eines Widerrufs einer Privatperson, durch einen belgischen Anbieter von Telekommunikationsdienstleistungen. Dieser Anbieter hatte die Daten des Betroffenen in seinem Telefonauskunftsdienst veröffentlicht und weiteren Anbietern von Telefonauskunftsdiensten zugänglich gemacht. Dieser Veröffentlichung hat der Betroffene widersprochen und den Telefonanbieter aufgefordert, seine Daten zu löschen. Nachdem seine Daten trotz wiederholter Aufforderung (wegen technischer und organisatorischer Mängel) nicht wirksam gelöscht wurden bzw. bei den anderen Anbietern weiterhin verwendet wurden, hat sich der Betroffene an die belgische Datenschutzbehörde gewandt.

Der Fall ist durch mehrere Instanzen gegangen. Dabei wurde vom EuGH wenig überraschend bestätigt, dass für derartige Verarbeitungen eine Einwilligung gemäß DSGVO erforderlich ist und dass es sich bei einem Gesuch um Entfernung der Daten aus dem Verzeichnis um ein Löschersuchen gemäß Art. 17 DSGVO handelt. Weitreichendere Folgen haben aber zwei weitere Feststellungen zur Umsetzung des Widerspruchs/Löschersuchens.

So stellte der EuGH fest, dass von einem Anbieter von öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten als Verantwortlichem verlangt werden kann, geeignete technische und organisatorische Maßnahmen zu ergreifen, um weitere Verantwortliche über den Widerruf der Einwilligung dieses Teilnehmers zu informieren. Dazu gehören sowohl der Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, denen er selbst solche Daten geliefert hat.

Teil dessen ist nach Ansicht des EuGH auch, dass der Anbieter verpflichtet werden kann, „angemessene Maßnahmen“ im Sinne der DSGVO zu ergreifen, um auch Suchmaschinenanbieter über diesen Antrag auf Löschung von Daten zu informieren.

Für Betroffene ist das eine erhebliche Erleichterung, da sie sich nicht an alle Verantwortlichen richten müssen – ganz gemäß der Vorgabe der DSGVO, dass der Widerruf so einfach sein muss wie die Einwilligung.

Für Verantwortliche bedeutet dieses Urteil allerdings eine Erweiterung ihrer Mitteilungspflicht (Art. 19 DSGVO) und stellt eine wichtige organisatorische Zusatzaufgabe dar. Denn Verantwortliche müssen gemäß dem Urteil nicht nur die Empfänger:innen, an die sie selbst die Daten weitergeleitet haben, informieren, sondern auch diejenigen, von denen sie die Daten empfangen haben. Demnach müssen sie für alle Daten auch die Datenherkunft dokumentieren. Hinzu kommt die Definition von Prozessen sowohl zur Datenweitergabe als auch zur Mitteilung von Widerrufen oder weiteren Ersuchen. Diese müssen Verantwortliche auch im Verzeichnis von Verarbeitungstätigkeiten fest- und aktuell halten. Ohne Mitteilung an alle Stellen, von denen sie die Daten empfangen oder an die sie diese weitergegeben haben, können Verantwortliche ihrer Pflicht zur Erfüllung des Widerrufs nicht nachkommen.

Einwilligungsmanagement bedeutet somit gleichzeitig auch Widerrufs- und Löschmanagement. Diese Prozesse müssen Verantwortliche nun regeln und wirksam mit geeigneten technischen und organisatorischen Maßnahmen umsetzen. 

Für viele Datenverarbeitungen ist die Einwilligung die einzige Rechtsgrundlage. Laut DSGVO muss die Erteilung informiert und freiwillig erfolgen. Daher gibt es einige Anforderungen, die Sie beim Einholen von Einwilligungen beachten müssen:

• Zwecke nennen, in die eingewilligt werden kann
• Vollständige Erklärung aller Verarbeitungen in der Datenschutzerklärung
• Einwilligung muss pro Zweck (Kategorie gleichartiger Zwecke) möglich sein
• Sofern Sie dabei Dienstanbieter einsetzen, sind folgende Angaben erforderlich
• Anbieter (volle Firmenangabe samt Adresse und Land)
• Zwecke der Verarbeitung
• Datenempfänger (volle Firmenangabe samt Adresse und Land)
• Länder der Datenerhebung
• Risiken bei Übermittlung in unsichere Drittländer (USA bleibt unsicher, auch bei Verwendung der Standardvertragsklauseln)
• Aufbewahrungsfristen einhalten: nach Zweckwegfall, sofern dem keine gesetzlichen Regelungen entgegenstehen

Tipp: Bei Einwilligungen im Internet sind Cookie-Banner erforderlich. Einwilligungspflichtige Dienste, Cookies & Co. dürfen erst nach Einwilligung geladen werden. Außerdem müssen Sie die direkte Erreichbarkeit der Datenschutzerklärung trotz Popup-Fenster gewährleisten.

Gleichzeitig haben Sie eine Nachweispflicht. Die Nachweise müssen Sie dabei mediengerecht protokollieren. In der Regel können Sie die Einwilligungen schriftlich nachweisen. Bei Einwilligungen, die Sie im Internet einholen, ist das meist eine besondere Herausforderung. Sie müssen Einwilligungen so protokollieren, dass Sie diese im Streitfall vor Gericht nachweisen können. Je nachdem, wie Sie die Einwilligung eingeholt haben, kann dieser Nachweis unterschiedlich aussehen. Geht es beispielsweise um einen Newsletter erfolgt die Einwilligung per Double-Opt-In. Bei Cookies sollte Ihre Dokumentation aus einer vollständigen Historie bestehen – inklusive Timestamp, User-Agent, Version der Texte sowie Logfiles, die belegen, dass vor dem Opt-In keine Cookies gesetzt wurden.

Bei einer elektronischen Einwilligung müssen Sie dabei mit besonderen Maßnahmen sicherstellen, dass Sie die Einwilligung der einwilligenden Person zuordnen können. Dieser Beleg muss aussagekräftig und nach dem Stand der Technik gegen Manipulation gesichert sein.

Wenn Sie eine Einwilligung schriftlich einholen, empfiehlt sich ein eigenständiges Einwilligungsdokument, da bei verbundener Einwilligung alle Bestandteile im Original mit in die Dokumentation aufgenommen werden müssten.