Wie wir vor einigen Tagen berichteten, hat sich der Düsseldorfer Kreis die Frage gestellt, ob bisher erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten. Der dazu veröffentlichte Beschluss gerät nun in die Schusslinie von Datenschützern, die damit nicht einverstanden sind.
KEINE WIDERRUFSMÖGLICHKEIT?!
Jurist und Datenschutzberater Stephan Hansen-Oest, beispielsweise kritisiert das Fehlen einer Widerrufsmöglichkeit. Der Beschluss legt fest, dass bestehende Einwilligungen grundsätzlich gültig bleiben, sofern lediglich zwei Punkte beachtet werden: Die Freiwilligkeit und die Altersgrenze. Was aber wohl keine Voraussetzung mehr für eine gültige Einwilligung zu sein scheint, ist die Widerrufsmöglichkeit: „Der Hinweis auf das Widerrufsrecht ist nach Art. 7 Abs. 3 Satz 3 DSGVO Voraussetzung für eine wirksame Einwilligung. Das außer acht zu lassen, ist sehr mutig vom Düsseldorfer Kreis. Ich als Anwalt würde mich zu so einer Empfehlung schon aus Haftungsgründen nicht hinreißen lassen.“
AUGENWISCHEREI
Als besonders problematisch wird der Tenor des Beschlusses aufgefasst. Er suggeriere, dass Unternehmen keinerlei Handlungsbedarf in Sachen Einwilligungen hätten. Tatsächlich schwirren jedoch immer noch etliche Einwilligungserklärungen herum, die keinerlei Hinweis zum Widerrufsrecht beinhalten. Hansen-Oest dazu: „Meiner Meinung nach sitzen hier eine Reihe von Unternehmen sprichwörtlich auf einem Pulverfass von Haftungsrisiko. Wenn wir uns nämlich überlegen, dass eine Datenverarbeitung auf Basis einer nach der DSGVO nicht zulässigen Einwilligungserklärung basiert, drohen hier Bußgelder in Höhe von bis zu 20 Millionen Euro (bzw. bis zu 4 % des Jahresumsatzes weltweit bei Unternehmensgruppen). Ich befürchte, dass viele Unternehmen (und deren Berater) sich auf Basis des Beschlusses des Düsseldorfer Kreises zur „Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung“ nicht hinreichend mit der Prüfung alter Einwilligungserklärungen bezüglich des Vorliegens eines Hinweises zum Widerrufsrecht beschäftigen.“
FAUX-PAS?
Ob es sich hierbei nur um einen Faux-Pas der Aufsichtsbehörden handelt oder hier Dinge impliziert wurden, die nicht für Jedermann klar sind, bleibt wohl erst mal offen. Möglicherweise wird sich der Düsseldorfer Kreis hierzu ja noch in irgendeiner Form äußern. In jedem Fall sind Unternehmen aber gut darin beraten, auch bestehende Einwilligungen noch ein mal auf fortbestehende Gültigkeit zu überprüfen. Der Arbeitsaufwand ist verglichen mit dem möglichen Strafmaß ja wohl eher als gering einzuschätzen.