Datenschutz-Grundverordnung: Recht auf Widerspruch

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber((GENDERNOTICE)) die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen können der Verarbeitung sie betreffender personenbezogener Daten widersprechen

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Der Betroffene kann insbesondere widersprechen((Rechtsgrundlage: Art. 21 (1) ))

• gegen eine Verarbeitung von ihn betreffenden Daten zum Zweck der Direktwerbung (keine Interessenabwägung zugunsten des Verantwortlichen möglich)((Rechtsgrundlage: Art. 21 (2) ))
• gegen jede Verarbeitung aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 Buchstabe f), auch Profiling, das auf Art. 6 Abs. 1 Buchstabe f) gestützt wird.((Rechtsgrundlage: Art. 21 (1) ))

Der Widerspruch ist gegen Direktwerbung grundlos, im Übrigen aus Gründen zulässig, die sich aus der besonderen Situation des Betroffenen ergeben. 

Folgen des Widerspruchs 

Wenn der Verantwortliche die Daten trotz des Widerspruchs des Betroffenen weiterhin verarbeiten möchte, muss er zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Dies könnte z. B. der Fall sein, wenn die IP-Adresse des Betroffenen trotz Widerspruchs zu IT-Sicherheitszwecken verwendet werden soll. Die Verarbeitung ist trotz des Widerspruchs auch zulässig zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen. 

Ansonsten darf der Verantwortliche die betroffenen Daten nicht länger verarbeiten.

Wenn die Daten zum Zwecke der Direktwerbung verarbeitet werden, ist im Falle eines Widerspruchs des Betroffenen die Verarbeitung der sie betreffenden Daten einzustellen.((Rechtsgrundlage: Art. 21 (2) und (3) ))

Eine Interessenabwägung zugunsten des Verantwortlichen ist nicht möglich. Ob und wann auch rein vorbereitende ((Rechtsgrundlage: ErwGr 70 )) Verarbeitungsvorgänge mit einer solchen Direktwerbung zusammenhängen (z. B. Datenanalysen) und damit von der Pflicht erfasst werden, ist noch nicht geklärt.

Sofern Daten zu statistischen Zwecken gemäß Art. 89 Abs. 1 verarbeitet werden und eine „besondere Situation“ bei der betroffenen Person vorliegt, kann die betroffene Person ((Rechtsgrundlage: Art. 21 (6) )) dem auch widersprechen, es sei denn, die Datenverarbeitung ist zur Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich.

Informationspflicht ((Rechtsgrundlage: Art. 21 (4) ))

Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht nach Art. 21 Abs. 1 und 2 hingewiesen werden. 

Nach Auffassung des HDE ist damit die erste Kommunikation gemeint, die im Zusammenhang mit einer Verarbeitung des Art. 6 Abs. 1 Buchstabe f) steht. Anderenfalls würde auf ein Widerspruchsrecht hingewiesen, das gar nicht besteht. Danach müsste der Hinweis nicht schon in der Bestellbestätigung erfolgen, wenn die Datenverarbeitung nur zur Abwicklung des Kaufvertrages erfolgt. Wenn die Daten auch zu anderen Zwecken erhoben werden, z. B. das Anlegen einer Bestellhistorie oder zur Direktwerbung, ist dagegen eine Information über das Widerspruchsrecht in der ersten Kommunikation, z. B. der Bestellbestätigung, erforderlich.

Für den Widerspruch selbst ist keine Form vorgeschrieben. Der Hinweis auf das Widerspruchsrecht muss ((Rechtsgrundlage: Art. 21 (4) ))

• in der ersten Kommunikation mit dem Betroffenen
• ausdrücklich
• verständlich und
• von anderen Informationen getrennt erfolgen. 

Bei Diensten der Informationsgesellschaft (z. B. Kundenportalen) muss das Widerspruchsrecht automatisiert ausgeübt werden können.((Rechtsgrundlage: Art. 21 (5) ))

Der Widerspruch kann vom Betroffenen jederzeit erklärt werden. Eine Information des Betroffenen über die ergriffenen Maßnahmen hat unverzüglich, spätestens innerhalb eines Monats nach dem Widerspruch zu erfolgen. ((Rechtsgrundlage: Art. 12 (3) ))

Wenn der Verantwortliche nicht in der Lage ist, die betroffene Person eindeutig zu identifizieren,((Rechtsgrundlage: Art. 12 (2) )) darf er sich weigern, dem Antrag der betroffenen Person nachzukommen.((Rechtsgrundlage: Art. 12 (4) )) In diesem Fall ist der Betroffene unverzüglich, spätestens jedoch innerhalb eines Monats, zu informieren. Bestehen Zweifel hinsichtlich der Identität, können weitere Informationen angefordert werden.((Rechtsgrundlage: Art. 12 (6) ))

Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme).Im deutschen BDSG-neu sind keine weiteren Regelungen bzgl. des Widerspruchsrechts getroffen.