Kurz gesagt: Wenn deine personenbezogenen Daten trotz eines Widerrufs weiterhin genutzt werden, verstößt das Unternehmen gegen die DSGVO. Du hast das Recht, die Verarbeitung zu stoppen, die Löschung der Daten zu verlangen und bei Bedarf eine Beschwerde einzureichen.
Deine nächsten Schritte:
- Widerruf erneut einreichen: Stelle sicher, dass dein Widerruf schriftlich dokumentiert ist (z. B. E-Mail, Formular).
- Beweise sichern: Speichere E-Mails, Screenshots oder andere Hinweise auf die weitere Datennutzung.
- Auskunftsanfrage stellen: Fordere Infos gemäß Artikel 15 DSGVO an, um zu klären, ob und warum Daten noch verarbeitet werden.
- Beschwerde einreichen: Wende dich an die zuständige Datenschutzbehörde, falls das Unternehmen nicht reagiert.
Wichtig zu wissen:
- Datenverarbeitungen, die auf anderen Rechtsgrundlagen (z. B. Vertragserfüllung) basieren, können auch nach dem Widerruf weitergeführt werden.
- Marketingdaten müssen jedoch sofort gelöscht werden.
- Unternehmen sind verpflichtet, alle Empfänger deiner Daten über den Widerruf zu informieren.
Falls das Unternehmen nicht handelt, kannst du rechtliche Schritte einleiten. Lies weiter, um zu erfahren, wie du deine Rechte durchsetzen kannst.
Datenrechte nach Widerruf: Deine Schritte gegen unerlaubte Datennutzung
Die rechtlichen Regeln zur Datennutzung nach dem Widerruf
Die wichtigsten DSGVO-Artikel und das deutsche BDSG
Die rechtlichen Grundlagen zur Datennutzung nach einem Widerruf basieren auf zentralen Regelungen der DSGVO sowie dem BDSG.
Nach einem Widerruf greifen mehrere Artikel der DSGVO. Artikel 5 schreibt vor, dass Unternehmen die Rechenschaftspflicht erfüllen müssen. Es muss dokumentiert werden, wer Daten gelöscht oder geändert hat und warum. Artikel 17 behandelt das „Recht auf Vergessenwerden“ und ermöglicht die Löschung personenbezogener Daten. Artikel 18 gibt Betroffenen das Recht, die Verarbeitung einzuschränken, wenn die Rechtmäßigkeit der Verarbeitung angezweifelt wird. Artikel 21 erlaubt es, der Verarbeitung zu widersprechen.
Das BDSG ergänzt diese Regelungen, insbesondere für Behörden und spezielle Arbeitsverhältnisse. Im Unternehmensalltag bleibt jedoch die DSGVO die zentrale Rechtsgrundlage.
Was sich nach dem Widerruf ändert
Ein Widerruf betrifft ausschließlich die Verarbeitung, die auf der Einwilligung basiert. Gibt es jedoch andere Rechtsgrundlagen, wie beispielsweise die Vertragserfüllung oder gesetzliche Aufbewahrungspflichten, kann die Datenverarbeitung für diese Zwecke fortgesetzt werden.
„Das Unternehmen darf deine Daten nicht mehr auf der Grundlage einer Einwilligung verarbeiten, kann dies aber dennoch tun, wenn es eine andere Rechtsgrundlage gibt, die eine weitere Verarbeitung rechtfertigt." – noyb.eu
Die folgende Tabelle zeigt, welche Rechtsgrundlagen weiterhin gelten können, am Beispiel einer Fahrzeugbegutachtung:
| Rechtsgrundlage (Art. 6 DSGVO) | Auswirkung des Widerrufs | Beispiel im Kfz-Gutachten |
|---|---|---|
| Einwilligung (lit. a) | Verarbeitung muss sofort stoppen. | Marketing-Newsletter oder optionale Kundenprofile. |
| Vertrag (lit. b) | Verarbeitung läuft weiter, soweit nötig. | Fahrzeugdaten zur Fertigstellung des Gutachtens. |
| Rechtliche Verpflichtung (lit. c) | Verarbeitung bleibt gesetzlich vorgeschrieben. | Aufbewahrung von Rechnungen für 10 Jahre (Finanzamt). |
| Berechtigte Interessen (lit. f) | Verarbeitung möglich, wenn Unternehmensinteressen überwiegen. | Abwehr von Haftungsansprüchen bei einem fehlerhaften Gutachten. |
Ein Wechsel der Rechtsgrundlage – etwa von Einwilligung zu berechtigten Interessen – ist nachträglich kaum durchsetzbar. Diese Regelungen gelten auch für Daten, die bereits an Dritte übermittelt wurden.
Datenweitergabe an Dritte nach dem Widerruf
Wurden Daten an Dritte weitergegeben, wie Versicherungen oder Werkstätten, muss der Widerruf auch an diese kommuniziert werden.
„Die Artikel 17 bis 19 DSGVO geben dir das Recht, allen Empfängern die Verarbeitung von Daten auf der Grundlage einer Einwilligung zu untersagen." – noyb.eu
Sollten diese Empfänger jedoch eine eigene Rechtsgrundlage für die Datenverarbeitung haben – etwa gesetzliche Aufbewahrungspflichten – dürfen sie die Daten weiterhin nutzen, soweit es erforderlich ist. Der ursprüngliche Verantwortliche bleibt jedoch in der Pflicht, den Widerruf zu dokumentieren und die betroffenen Empfänger zu informieren.
sbb-itb-d35113a
Wie man unerlaubte Datennutzung erkennt und dokumentiert
Anzeichen dafür, dass Daten noch genutzt werden
Wenn du deine Einwilligung widerrufen hast, muss die darauf basierende Datenverarbeitung sofort eingestellt werden. Doch das passiert nicht immer. Ein klares Warnsignal: Du bekommst weiterhin Marketing-E-Mails, Newsletter oder Werbeanrufe, obwohl du den Widerruf bereits erklärt hast.
Es gibt auch subtilere Hinweise, die auf eine unzulässige Nutzung deiner Daten hindeuten können. Dazu gehören personalisierte Werbeanzeigen, die auf früheren Angaben basieren, oder Kontaktaufnahmen durch Drittanbieter oder Partnerunternehmen. Solche Kontaktversuche lassen vermuten, dass dein Widerruf nicht korrekt weitergegeben wurde.
"Das Unternehmen muss die Verarbeitung deiner Daten einstellen, sobald du deine Einwilligung widerrufst." – noyb.eu
Wenn dir solche Hinweise auffallen, ist es wichtig, Beweise zu sammeln.
Beweise sammeln und sichern
Hast du den Verdacht, dass gegen deinen Widerruf verstoßen wird, solltest du alle relevanten Beweise sichern. Dazu gehört, dass du deinen Widerruf dokumentierst, etwa durch eine Kopie der E-Mail oder Screenshots eines Online-Formulars mit Datum und Uhrzeit.
Genauso wichtig ist es, alle weiteren Kontaktversuche zu dokumentieren. Speichere eingehende E-Mails mit vollständigem Header, notiere Datum und Absender von Werbeanrufen und mache Screenshots von personalisierten Anzeigen. Diese Beweise können später entscheidend sein, falls du eine Beschwerde einreichen möchtest.
Eine Auskunftsanfrage gemäß Art. 15 DSGVO kann dir helfen, herauszufinden, ob deine Daten noch gespeichert werden, wofür sie verwendet werden und an wen sie weitergegeben wurden. Wenn die Antwort zeigt, dass deine Daten weiterhin für den widerrufenen Zweck genutzt werden – ohne neue Rechtsgrundlage –, hast du einen klaren Nachweis für einen Verstoß.
Typische Datenkategorien bei Kfz-Gutachten
Bei Fahrzeugbewertungen werden unterschiedliche Daten erfasst, die nach einem Widerruf unterschiedlich behandelt werden müssen:
| Datenkategorie | Beispiele | Risiko nach Widerruf |
|---|---|---|
| Persönliche Identifikatoren | Name, Adresse, E-Mail, Telefonnummer | Hoch – Nutzung ohne neue Rechtsgrundlage unzulässig |
| Fahrzeugbezogene Daten | Kennzeichen, Fahrzeugidentifikationsnummer (FIN), Kilometerstand | Mittel – können bei laufenden Verträgen weiter benötigt werden |
| Marketing- und Profildaten | Cookie-Daten, Nutzungsverhalten, Werbeprofile | Sehr hoch – sofortige Löschung nach Widerruf erforderlich |
| Transaktions- und Vertragsdaten | Rechnungen, Gutachtenberichte | Gering – oft durch gesetzliche Aufbewahrungspflichten gedeckt |
Besonders Marketing- und Profildaten müssen nach einem Widerruf umgehend gelöscht werden, da sie keine gültige Rechtsgrundlage mehr haben. Hingegen können fahrzeugspezifische Daten wie die FIN weiterhin benötigt werden, wenn ein aktiver Vertrag besteht.
Was tun, wenn Daten trotz Widerruf weiterhin genutzt werden?
Widerruf erneut einreichen und Rechte geltend machen
Wenn deine Daten trotz eines eingereichten Widerrufs weiterhin verarbeitet werden, solltest du den Widerruf erneut schriftlich einreichen. Dabei ist es wichtig, dokumentierte Verstöße als Grundlage zu verwenden. Verweise dabei auf die Artikel 17, 18 und 21 der DSGVO, um die Löschung, Einschränkung oder Einstellung der Verarbeitung zu fordern. Diese rechtlichen Schritte helfen dir dabei, den Dialog mit dem Datenverantwortlichen klar und rechtssicher zu gestalten.
„Sobald die Einwilligung widerrufen wurde, muss Ihr Unternehmen/Ihre Organisation sicherstellen, dass die Daten gelöscht werden, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung […] besteht." – Europäische Kommission
So formulierst du ein rechtssicheres Schreiben
Ein rechtssicheres Schreiben sollte klar und strukturiert sein. Gib deinen vollständigen Namen, deine Kontaktdaten sowie das Datum des ursprünglichen Widerrufs an. Erkläre deutlich, welche Verarbeitungszwecke du widerrufst, und fordere, dass alle Drittempfänger deiner Daten ebenfalls benachrichtigt werden. Zudem solltest du um eine schriftliche Bestätigung der Löschung und der Mitteilung an Dritte bitten.
Versende das Schreiben per E-Mail, um einen Zeitstempel zu sichern. Laut DSGVO ist der Verantwortliche verpflichtet, innerhalb eines Monats zu antworten. Falls keine oder nur eine unzureichende Antwort erfolgt, kann dies als dokumentierbarer Verstoß gewertet werden.
Was sofort stoppen muss – und was weiterläuft
Nach deinem Widerruf sollten bestimmte Datenverarbeitungen sofort eingestellt werden, während andere, die auf einer alternativen Rechtsgrundlage basieren, fortgeführt werden dürfen. Es ist wichtig, hier zu unterscheiden:
| Verarbeitung | Nach Widerruf | Begründung |
|---|---|---|
| Marketing-E-Mails, Newsletter | Muss sofort eingestellt werden | Basiert ausschließlich auf Einwilligung |
| Werbeprofile, Cookie-Tracking | Muss sofort eingestellt werden | Keine alternative Rechtsgrundlage |
| Gutachtendokumentation für Versicherungen | Darf fortgeführt werden | Gesetzliche Aufbewahrungspflicht |
| Vertragsdaten bei laufendem Auftrag | Darf fortgeführt werden | Vertragserfüllung als Rechtsgrundlage |
Hinweis: Der Widerruf gilt nicht rückwirkend. Das bedeutet, dass alle Verarbeitungen, die vor dem Widerruf erfolgt sind, rechtmäßig bleiben. Dies ist besonders relevant in Fällen wie Kfz-Gutachten, wo zwischen vertraglich notwendigen Daten und optionalen Marketingdaten unterschieden werden muss. Erfahren Sie hier mehr über die [Schadensregulierung nach einem Unfall] und Ihre Rechte.
Für Kunden, die beispielsweise Kfz-Gutachten in Anspruch nehmen, ist es entscheidend, dass Anbieter wie CUBEE Sachverständigen AG DSGVO-konforme Prozesse gewährleisten. Nach einem Widerruf werden Marketing-Daten umgehend gelöscht, während vertragsrelevante Daten – etwa zur Erfüllung gesetzlicher Aufbewahrungspflichten – weiterhin sicher gespeichert bleiben.
Was tun, wenn der Verantwortliche nicht reagiert?
Interne Beschwerde und behördliche Eskalation
Falls der Verantwortliche nicht angemessen reagiert, solltest du eine formelle interne Beschwerde beim Datenschutzbeauftragten (DSB) einreichen. Diese Beschwerde stellt eine Willenserklärung dar, mit der du die Beendigung der Datenverarbeitung forderst. Außerdem kann sie später als wichtiger Nachweis bei einer Behörde dienen. Ergänze die Beschwerde mit Beweisen, die die fehlende Reaktion dokumentieren, um eine mögliche Eskalation zu erleichtern.
Wenn eine interne Klärung nicht erfolgreich ist, bleibt als nächster Schritt die Beschwerde bei der zuständigen Datenschutzbehörde.
Beschwerde bei einer Datenschutzbehörde einreichen
Nach Artikel 77 Abs. 1 DSGVO hast du das Recht, eine Beschwerde einzureichen, wenn du der Ansicht bist, dass deine Daten unrechtmäßig verarbeitet wurden. In Deutschland gibt es eine klare Zuständigkeitsaufteilung:
| Behörde | Zuständigkeit |
|---|---|
| BfDI (Bundesbeauftragter für Datenschutz) | Bundesbehörden, Telekommunikation, Post, gesetzliche Kranken- und Rentenversicherungen |
| Landesdatenschutzbehörden | Private Unternehmen, Vereine, Kfz-Dienstleister, lokale Behörden |
Für die meisten privaten Dienstleister, wie beispielsweise Kfz-Gutachter, ist die Landesdatenschutzbehörde zuständig. Du kannst die Beschwerde bei der Behörde deines Wohnorts, deines Arbeitsorts oder des Ortes einreichen, an dem der Verstoß stattgefunden hat. Viele Datenschutzbehörden stellen hierfür ein Online-Beschwerdeformular zur Verfügung.
„Die Datenschutzbehörde ist verpflichtet, der Beschwerde im angemessenen Umfang nachzugehen und Sie über den Stand und die Ergebnisse der Beschwerde... spätestens nach drei Monaten über den Verfahrensstand zu informieren." – BfDI
Diese Schritte helfen dir dabei, dein Recht auf Datenschutz auch auf behördlicher Ebene durchzusetzen.
Grenzüberschreitende Datenverarbeitung
Wenn deine Daten von Dienstleistern in anderen EU-Ländern verarbeitet werden, bleiben deine Rechte dennoch geschützt. In solchen Fällen bleibt die deutsche Datenschutzbehörde dein erster Ansprechpartner. Sie übernimmt die Koordination mit der zuständigen Behörde im EU-Ausland.
„Die deutsche Datenschutzbehörde, bei der Sie Ihre Beschwerde eingereicht haben, bleibt jedoch Ihr Ansprechpartner, sodass Sie sich nicht unmittelbar in fremder Sprache an die Datenschutzbehörde eines anderen EU-Mitgliedstaates wenden müssen." – BfDI
Das erleichtert dir den Zugang zum europäischen Datenschutzrecht, ohne dass du dich mit sprachlichen Barrieren auseinandersetzen musst.
Wie Unternehmen mit Fahrzeugdaten rechtskonform bleiben
Einwilligungsmanagement und interne Governance
Für jedes Fahrzeugdatenelement muss eine klare Rechtsgrundlage definiert werden. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist dabei unverzichtbar. Es dokumentiert, welche Daten auf welcher Grundlage verarbeitet werden – sei es durch Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Erfüllung eines Vertrags oder aufgrund gesetzlicher Vorgaben. Dieses Verzeichnis ist nicht nur hilfreich, sondern auch gesetzlich vorgeschrieben.
Ein wichtiger Punkt: Mitarbeitende sollten wissen, dass ein einfacher Widerruf – zum Beispiel per E-Mail – genauso rechtskräftig ist wie der Klick auf einen „Einwilligung widerrufen“-Button. Ohne klare interne Prozesse kann es passieren, dass solche Anfragen übersehen werden, was rechtliche Konsequenzen nach sich ziehen kann.
Diese internen Regelungen schaffen die Grundlage für automatisierte Prozesse, die im nächsten Abschnitt genauer beschrieben werden.
Technische und organisatorische Maßnahmen
Nach einem Widerruf muss die Verarbeitung der Daten unverzüglich gestoppt werden. Ohne automatisierte Workflows besteht jedoch die Gefahr, dass Daten weiterhin in verknüpften Systemen oder bei Drittanbietern genutzt werden. Deshalb sind systemübergreifende, automatisierte Lösch- und Sperrprozesse essenziell, um die DSGVO-Vorgaben einzuhalten. Solche Prozesse verhindern nicht nur Fehler, sondern sorgen auch für eine rechtssichere Umsetzung.
Zusätzlich müssen alle externen Empfänger der Daten, wie beispielsweise Werkstätten oder Versicherungen, aktiv darüber informiert werden, dass sie die Daten ebenfalls nicht mehr verwenden dürfen.
Ein Beispiel aus der Praxis: Die CUBEE Sachverständigen AG, die auf einen digitalen Begutachtungsprozess setzt, profitiert von ihrer strukturierten Datenverarbeitung. Durch einen gut durchdachten und digitalisierten Ansatz können Widerrufe effektiv und ohne manuelle Eingriffe in verschiedenen Systemen umgesetzt werden.
Datenschutz-Praxis für Kfz-Dienstleister
Neben automatisierten Prozessen ist auch die Datenaufbewahrung ein zentraler Punkt. Im Kfz-Bereich gibt es Fälle, in denen Daten trotz Widerrufs aufbewahrt werden müssen, etwa aus steuerrechtlichen Gründen. Unternehmen müssen solche Ausnahmen jedoch genau dokumentieren und dürfen sie nicht als Vorwand nutzen, um generell alle Daten zu behalten.
Konkret heißt das: Daten wie Schadensberichte, die für eine laufende Versicherungsabwicklung benötigt werden, dürfen weiterhin gespeichert bleiben. Marketingdaten oder freiwillig erhobene Zusatzinformationen hingegen müssen gelöscht werden. Eine klare Trennung zwischen notwendigen und freiwilligen Daten ist entscheidend, um spätere Verstöße gegen die DSGVO zu vermeiden. Regelmäßige Datenschutzaudits können dabei unterstützen, diese Trennung nachzuweisen und potenzielle Schwachstellen frühzeitig zu erkennen.
Fazit: Die wichtigsten Punkte im Überblick
Wer sich gegen unrechtmäßige Datenverarbeitung zur Wehr setzt, schützt seine Rechte effektiv. Sobald Sie Ihre Einwilligung widerrufen, muss die Datenverarbeitung sofort eingestellt werden. Ist die Einwilligung die einzige Rechtsgrundlage, greift das Recht auf Löschung gemäß Art. 17 DSGVO.
Falls Unklarheiten über die Nutzung Ihrer Daten bestehen, können Sie gemäß Art. 15 DSGVO eine Auskunft anfordern. Das Unternehmen ist verpflichtet, innerhalb eines Monats zu antworten. In komplexeren Fällen kann die Frist auf bis zu drei Monate verlängert werden, wobei die Verzögerung innerhalb des ersten Monats begründet werden muss. Diese Rechte sind zentral für den Schutz Ihrer persönlichen Daten.
„Unter den Betroffenenrechten ist das Recht auf Löschung oder das Recht auf Vergessenwerden eines der schärfsten Schwerter." – Dr. Datenschutz
Für Unternehmen ist eine sorgfältige Dokumentation unerlässlich. Ein Löschprotokoll, klare interne Abläufe und automatisierte Prozesse sind wesentliche Bestandteile eines funktionierenden Datenschutzmanagements. Sie helfen nicht nur, Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes zu vermeiden, sondern signalisieren auch Professionalität und Vertrauenswürdigkeit gegenüber Kunden und Partnern.
Besonders Unternehmen im Bereich der Fahrzeugbewertung profitieren von der konsequenten Einhaltung dieser Vorgaben. So sorgt die CUBEE Sachverständigen AG dafür, dass alle Datenprozesse transparent und rechtskonform gestaltet sind – ein entscheidender Schritt, um das Vertrauen der Kunden zu stärken.
Sollten all diese Maßnahmen nicht ausreichen, bleibt Ihnen die Möglichkeit, eine Beschwerde bei der zuständigen Datenschutzbehörde gemäß Art. 77 DSGVO einzureichen. Dieser Schritt ist kostenfrei und unkompliziert, und die Behörde ist verpflichtet, den Fall zu prüfen.
FAQs
Welche Fristen gelten nach meinem Widerruf?
Nach einem Widerruf der Einwilligung gemäß DSGVO müssen personenbezogene Daten in der Regel innerhalb eines Monats gelöscht werden. Diese Frist beginnt ab dem Datum, an dem der Widerruf eingeht, es sei denn, es bestehen andere rechtliche Verpflichtungen, die der Löschung entgegenstehen.
Welche Daten darf ein Unternehmen trotz Widerruf behalten?
Ein Unternehmen darf personenbezogene Daten auch nach einem Widerruf behalten, wenn eine andere rechtliche Grundlage vorliegt. Beispiele hierfür sind gesetzliche Aufbewahrungspflichten oder die Erforderlichkeit zur Erfüllung eines Vertrags. Liegt keine solche Grundlage vor, müssen die Daten unverzüglich gelöscht werden.
Wie kann ich nachweisen, dass meine Daten trotz Widerruf weiter genutzt werden?
Um im Falle eines Konflikts gut vorbereitet zu sein, sollten Sie alle relevanten Nachweise sichern, die Ihren Widerruf und die weitere Nutzung Ihrer Daten dokumentieren. Dazu gehören beispielsweise:
- Bestätigungen des Widerrufs, wie schriftliche Rückmeldungen oder E-Mails.
- Protokolle oder Dokumentationen zu den Datenverarbeitungsprozessen.
Diese Unterlagen können im Streitfall entscheidend sein, um klar darzulegen, dass Sie Ihre Einwilligung rechtzeitig widerrufen haben und die Daten dennoch verarbeitet wurden. Ein gut dokumentierter Nachweis stärkt Ihre Position erheblich.
Verwandte Blogbeiträge
- Checkliste: Transparente Datenquellen für KFZ-Gutachten
- Datenweitergabe bei KFZ-Gutachten: Was ist erlaubt?
- Wie beeinflusst GDPR die KFZ-Bewertung in Europa?
- Wer besitzt die Daten vernetzter Fahrzeuge?