≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Datenschutzreform 2018 > AKI 8: Aufbewahren von Einwilligungen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 16.09.2021

Aktuelle Kurz-Information 8: Aufbewahren von Einwilligungen

Stichwörter: Aufbewahrung - Einwilligung - Nachweispflicht | Stand: 1. September 2021

Die Einwilligung der betroffenen Person ist eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Das Gesetz nennt sie sogar an erster Stelle (Art. 6 Abs. 1 UAbs. 1 Buchst. a Datenschutz-Grundverordnung - DSGVO). Auch wenn bayerische öffentliche Stellen personenbezogene Daten oftmals auf der Grundlage von gesetzlich geregelten Befugnissen verarbeiten können (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO) und daher insoweit keine Einwilligung benötigen, kommen auch bei ihnen einwilligungsbasierte Verarbeitungen vor. Das ist beispielsweise beim Versand von Newslettern der Fall (dazu AKI 1: Versand von Newslettern durch bayerische öffentliche Stellen). Hat eine öffentliche Stelle eine Einwilligung für die Verarbeitung personenbezogener Daten eingeholt, stellt sich die Frage, wie lange diese Einwilligung aufgehoben werden muss.

1. Ausgangspunkt: Rechenschaftspflicht

Ausgangspunkt bei der Beantwortung dieser Frage ist die Rechenschaftspflicht, die Art. 5 Abs. 2 DSGVO dem Verantwortlichen - und damit der öffentlichen Stelle - auferlegt:

"Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht’)."

Diese allgemeine Pflicht hat der Gesetzgeber in Bezug auf Einwilligungen durch Art. 7 Abs. 1 DSGVO zu einer spezifischen Nachweispflicht verdichtet. Die Bestimmung lautet:

"Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."

Eine Aufbewahrungsfrist ist für die Einwilligung nicht geregelt. Sie muss daher im Einzelfall bemessen werden.

2. Verarbeitungen im Zusammenhang mit einer Einwilligung

Die Einwilligung ist Rechtsgrundlage für diejenige Verarbeitung, auf die sie sich bezieht. Das ist Regelungsgehalt von Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Hat die öffentliche Stelle beispielsweise eine Einwilligung für den Versand eines Newsletters eingeholt, so wird die Einwilligung - ihre Wirksamkeit vorausgesetzt - insbesondere die Speicherung und Nutzung des Datensatzes zulassen, den die einwilligende Bezieherin oder der einwilligende Bezieher des Newsletters dem Verantwortlichen zur Verfügung gestellt hat.

Die Einwilligung enthält aber auch selbst Daten der betroffenen Person, insbesondere die Angabe ihrer Identität sowie die mit dieser verbundene Aussage: "Ich bin mit einer näher bezeichneten Verarbeitung meiner näher bezeichneten Daten einverstanden." Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO.

3. Umfang der Nachweispflicht

Eine bayerische öffentliche Stelle muss in der Lage sein, die Nachweispflicht aus Art. 7 Abs. 1 DSGVO jedenfalls so lange zu erfüllen, wie noch Verarbeitungen stattfinden, die von der Einwilligung gedeckt sein sollen. Eine Einwilligung kann sich auf einen längeren Zeitraum beziehen, in dem eine andauernde Verarbeitung (z. B. eine Speicherung von personenbezogenen Daten) oder wiederkehrende Verarbeitungen stattfinden, so beim Versand von Newslettern. Da die Einwilligung grundsätzlich keine "Laufzeit" hat, ist vor einer vorschnellen Vernichtung der Unterlagen abzusehen. Andererseits wäre aber das dauerhafte Aufbewahren der Daten ohne konkreten Verarbeitungsbezug unzulässig. Maßgeblich sind die Tatbestände des Art. 17 Abs. 1 DSGVO. Bei der Prüfung, ob die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig und daher gemäß Art. 17 Abs. 1 Buchst. a DSGVO zu löschen sind, sind alle Umstände des Einzelfalls zu berücksichtigen.

Bei der Formulierung eines Einwilligungsformulars sollte daher immer darauf geachtet werden, dass die entsprechende Erklärung alle geplanten Verarbeitungen erfasst. Stellt sich heraus, dass der Text insofern unzureichend ist, dürfen nicht berücksichtigte Verarbeitungen nur durchgeführt werden, wenn eine ergänzende Einwilligung eingeholt wird oder eine andere Rechtsgrundlage zur Verfügung steht.

4. Widerruf der Einwilligung

Ein Widerruf der Einwilligung führt nicht zwingend zu deren sofortiger Löschung: Mit der Verarbeitung der Einwilligung selbst wird nämlich die Nachweispflicht aus Art. 7 Abs. 1 DSGVO erfüllt; diese Verarbeitung beruht aber gerade nicht auf der Einwilligung, über die Nachweis zu führen ist (siehe oben unter 2.). Vielmehr weist der Verantwortliche damit nach, dass mit der Einwilligung eine Rechtsgrundlage bestand und die darauf beruhende Verarbeitung personenbezogener Daten bis zum Widerruf der Einwilligung rechtmäßig war. Daher kann die betroffene Person die Herausgabe einer schriftlichen Einwilligung oder einen entsprechenden Löschungsnachweis bei einer elektronisch erteilten Einwilligung nicht verlangen. Allerdings muss der Verantwortliche im Rahmen seiner allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) den Widerruf der betroffenen Person dokumentieren. Eine widerrufene Einwilligung kann er selbstverständlich auch nicht mehr dazu verwenden, zeitlich nachgelagerte Verarbeitungen zu legitimieren.

Die in der Einwilligungserklärung und dem Widerruf enthaltenen personenbezogenen Daten unterliegen ihrerseits auch dem Recht auf Löschung. Sie sind insbesondere gemäß Art. 17 Abs. 1 Buchst. a DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn also Nachweis- und Rechenschaftspflichten eine weitere Aufbewahrung nicht mehr erfordern. Auch Nachweis- und Rechenschaftspflichten gelten nicht ewig, wenngleich eine gesetzliche Befristung nicht vorgesehen ist. Sie enden dann, wenn die Verarbeitung vollständig abgeschlossen ist, die aufgrund der Einwilligung verarbeiteten personenbezogenen Daten beim Verantwortlichen nicht mehr vorhanden sind und der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Schadensersatzprozesse, vgl. Art. 17 Abs. 3 Buchst. e DSGVO) mehr daran hat, den Nachweis noch führen zu können.

Verarbeiten bayerische öffentliche Stellen personenbezogene Daten auf der Grundlage von Einwilligungen, sollten sie das "Verarbeitungsprogramm" vorausschauend planen, Einwilligungsformulare entsprechend gestalten und auch von vornherein festlegen, auf welche Weise und für welche Dauer die erteilten Einwilligungen aufgehoben werden müssen. Nach Maßgabe dieser Planung sollten sie entscheiden, welche Ressourcen sie für die Erfüllung der gesetzlichen Rechenschafts- und Nachweispflichten einzusetzen haben.

  1. Zur Einwilligung ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Einwilligung“. [Zurück]
  2. Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 7 DSGVO Rn. 44. [Zurück]