print logo

Widerruf und Datenlöschung gemäß DSGVO

Widerruf der Einwilligung und Löschverlangen: Was nun? Was änderte sich durch die DSGVO? Daten zum Zulässigkeitsnachweis müssen nicht gelöscht werden.
Jens Eckhardt | 05.11.2018
© Pixabay / TPHeinz
 

Der Widerruf einer Werbe-Einwilligung oder die Abbestellung eines Newsletters ist datenschutzrechtlich dasselbe. Es ist auch kein Phänomen der DSGVO. Auch das Verlangen nach Löschung der Daten durch eine betroffene Person ist auch nicht erstmals unter der DSGVO aufgetreten – wenngleich nunmehr scheinbar vermehrt. Neu ist allerdings das scheinbare Problem im Umgang mit diesen Verlangen.

Der Rechtsrahmen als Hintergrund

E-Mail-Werbung ist nur zulässig, wenn eine Einwilligung vorliegt (§ 7 Abs. 2 Nr. 2 UWG, Art. 6 Abs. 1 lit. a DSGVO) oder die Voraussetzungen des § 7 Abs. 3 UWG (in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO) gegeben sind. In beiden Fällen endet die Zulässigkeit mit dem Widerruf bzw. dem Widerspruch, was auch durch die Abbestellung oder den Abmeldelink zum Ausdruck gebracht werden kann. Danach ist die Zusendung der E-Mail-Werbung unzulässig. Nur zur Vermeidung von Missverständnissen: Auch ein Newsletter ist im Regelfall E-Mail-Werbung im Sinne der Rechtsprechung. Auch Kundenzufriedenheitsbefragungen sind nach der Rechtsprechung Werbung. Der BGH ist in seiner Entscheidung vom 10.07.2018 so weit gegangen, dass eine E-Mail zur Übersendung einer Rechnung ebenfalls nach den Regeln der E-Mail-Werbung zu behandeln ist, wenn in der E-Mail auch zur Abgabe einer Bewertung aufgefordert wird. Datenschutzrechtlich bedeutet der Widerruf und der Widerspruch, dass die Daten – also insbesondere die E-Mail-Adresse – nicht mehr zur Zusendung von E-Mail-Werbung verarbeitet – auch nicht mehr gespeichert – werden dürfen. Damit steht die Frage nach der Löschung der Daten im Daten im Raum … Zum Verständnis: Der Wegfall der Rechtsgrundlage zur Zusendung von E-Mail-Werbung führt auch dann zur Frage der Löschung, wenn die betroffene Person nicht ausdrücklich die Löschung verlangt. Denn wenn Daten zu einem Zweck – hier die Zusendung der E-Mail-Werbung – verarbeitet werden und sich dieser Zweck erledigt oder die Rechtsgrundlage zur Verarbeitung für diesen Zweck nicht mehr gegeben ist, dann sind die entsprechenden Daten zu löschen (Art. 5 Abs. 1 lit. e, Art. 17 DSGVO).

Dilemma der Löschung

Der scheinbare Reflex ist, dass mit dem Widerruf und dem Widerspruch, jedenfalls aber nach einem Löschungsverlangen der betroffenen Person alle Daten gelöscht werden müssen. Das führt zu einem Dilemma: Werden alle Daten zur E-Mail-Werbung an diese Person gelöscht, dann kann später weder geprüft werden, ob jemals E-Mail-Werbung zugesendet wurde, noch die Zulässigkeit bis zum Widerruf nachgewiesen werden. Das bedeutet: Kommt nach der Löschung eine Abmahnung oder eine Datenschutzaufsichtsbehörde verlangt Aufklärung, steht der Werbeversender „nackt“ da und kann sich nicht verteidigen. Das zeigt: Diese Löschung kann nicht die Lösung sein. Rechtlich ist dieses Vorgehen auch nicht zwingend erforderlich. Wer unreflektiert löscht, kann in eine böse Falle tappen. Wenn wegen eines Löschungsverlangens gelöscht wurde, mag das Argument in Betracht kommen, dass der Abmahnende sich entgegen Treu und Glauben verhält. Aber sicherer sind andere Gestaltungen.

Speicherung trotz Widerruf bzw. Widerspruch und Löschungsverlangen

Die personenbezogenen Daten, die zum Zulässigkeitsnachweis der zur Zusendung der E-Mail-Werbung erforderlich sind, müssen nicht gelöscht werden. Denn diese sind von vornherein nicht zum Zweck der Zusendung der E-Mail-Werbung, sondern zum Zweck des Nachweise der Zulässigkeit gespeichert worden. Als Rechtsgrundlage für die (auch fortgesetzte) Speicherung dieser Daten kommt insbesondere Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) in Betracht. Auch über Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Pflicht) kann nachgedacht werden, wobei diese Differenzierung den Rahmen dieses Beitrags sprengen und arg in juristische Einzelfragen abdriften würde. Auch der Löschungsanspruch besteht nach Art. 17 DSGVO nicht einschränkungslos. Auch diese Regelung sieht vor, dass nach dem Widerruf oder Widerspruch (und einem Löschungsverlangen) weiterhin ein Recht zur Speicherung bestehen kann. Allerdings sind diese Daten so aus der operativen Datenverwendung auszuschließen, so dass sie nur für diesen Nachweiszweck gespeichert sind. Das ist durch technische und organisatorische Maßnahme abzusichern. Aber: Das kann nicht pauschal und undifferenziert erfolgen. Es ist ein klares und nach Daten, deren Zweck und deren Rechtsgrundlage differenziertes Konzept erforderlich (vgl. Art. 5 DSGVO). Auch wenn es rechtlich kompliziert klingt, die Kernbotschaft ist: Die für den Nachweis der Zulässigkeit der Zusendung der Einwilligung erforderlichen Daten (bspw. die Double-Opt-In-Daten) müssen nicht bereits bei Widerruf bzw. Widerspruch (und ggf. Löschungsverlangen) gelöscht werden.

Transparenz gegenüber der betroffenen Person

Die DSGVO hat durch die proaktiven Informationspflichten nach Artt. 13, 14 DSGVO die Anforderungen an die Transparenz gegenüber der betroffenen Person erheblich gesteigert. Danach ist es insbesondere erforderlich der betroffenen Person jeden Zweck der Verarbeitung und die entsprechende Rechtsgrundlage zu nennen. Hier können sich Stolperfallen ergeben. Machen Sie sich bei der Gestaltung dieser Hinweise deutlich, dass Daten nicht nur zur Zusendung der E-Mail-Werbung, sondern auch zum Nachweis der Zulässigkeit der Zusendung erhoben werden (bspw. Double-Opt-In-Verfahren). Hierüber müssen Sie bei Erhebung der Daten informieren. Es ist geboten, hierbei auch schon darüber zu informieren, dass Sie die Daten zum Nachweis der Zulässigkeit über den Widerruf bzw. über den Widerruf hinaus speichern werden. Fehlende Hinweise werden zur Stolperfalle, wenn Sie im Rahmen einer Auseinandersetzung auf Daten zum Nachweis der Einwilligung zurückgreifen und der Betroffene Ihnen vorhalten kann, dass Sie insoweit der Informationspflicht nach Artt. 13, 14 DSGVO nicht genügt haben. Das dürfte zwar nicht die Verwendung der Daten zum Nachweis der Einwilligung unzulässig machen, könnte aber dennoch zu einem Bußgeldverfahren wegen Verstoß gegen Artt. 13, 14 DSGVO führen.

Dauer der Speicherung der Daten

Nach der DSGVO muss die Dauer der Speicherung von Daten festgelegt sein (vgl. Artt. 5, 30 DSGVO) und der betroffenen Person nach Artt. 13, 14 DSGVO auch proaktiv mitgeteilt werden. Die Dauer der Speicherung hängt vom Zweck und der Rechtsgrundlage ab. Auch hier müssen Sie zwischen der Verwendung der Daten zur Zusendung der E-Mail-Werbung und zum Nachweis der Einwilligung unterscheiden. Die Fristen hierfür sind unterschiedlich lang. Für die Speicherung zum Nachweis der Zulässigkeit der Zusendung hängt sie davon ab, wie lange Betroffene Ansprüche wegen einer vermeintlich unzulässigen Zusendung geltend machen können.

Fazit

Der Widerruf bzw. der Widerspruch führen ebenso wie das Löschungsverlangen der betroffenen Person zu der Frage, ob Daten weiterhin gespeichert werden dürfen. Weder die Frage noch die Antwort sind neu. Die Beantwortung ist unter der DSGVO nicht mehr so einfach wie unter dem alten Datenschutzrecht, aber dennoch die selbe. Sie müssen sich nicht selbst „schutzlos“ gegen Vorwürfe der unzulässigen Zusendung stellen. Geboten ist allerdings eine differenzierte Bewertung und Dokumentation der Verarbeitung der Daten. Neu und eine Stolperfalle sind die Transparenzpflichten. Nach der DSGVO muss die betroffene Person insbesondere über alle Zwecke, deren Rechtsgrundlage und die Dauer der Speicherung informiert werden. Diese Informationspflicht wird zur Stolperfalle, wenn hier die gebotenen Sorgfalt fehlt. Ein Faktor darf auch nicht übersehen werden: Das Datenschutzrecht ist zwar durch die DSGVO nicht neu erfunden worden. Aber das Bewusstsein der Werbeadressaten ist gestiegen. Absolit-Workshops mit Dr. Jens Eckhardt zum Thema „E-Mail-Recht in der neuen DSGVO“:München, 22.11.2018Köln, 07.02.2019Frankfurt am Main, 27.06.2019 Gerne stehen wir Ihnen bei Fragen unter der Telefonnummer 07254 / 95170-0 zur Verfügung. Anmeldung hier.