Aktuelle Kurz-Information 8 – Aufbewahren von Einwilligungen

Die Einwilligung der betroffenen Person ist eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Das Gesetz nennt sie sogar an erster Stelle (Art. 6 Abs. 1 UAbs. 1 Buchst. a Datenschutz-Grundverordnung – DSGVO). Auch wenn bayerische öffentliche Stellen personenbezogene Daten oftmals auf der Grundlage von gesetzlich geregelten Befugnissen verarbeiten können (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO) und daher insoweit keine Einwilligung benötigen, kommen auch bei ihnen einwilligungsbasierte Verarbeitungen vor. Das ist beispielsweise beim Versand von Newslettern der Fall (dazu AKI 1: Versand von Newslettern durch bayerische öffentliche Stellen). Hat eine öffentliche Stelle eine Einwilligung für die Verarbeitung personenbezogener Daten eingeholt, stellt sich die Frage, wie lange diese Einwilligung aufgehoben werden muss.

Ausgangspunkt: Rechenschaftspflicht

Ausgangspunkt bei der Beantwortung dieser Frage ist die Rechenschaftspflicht, die Art. 5 Abs. 2 DSGVO dem Verantwortlichen – und damit der öffentlichen Stelle – auferlegt:

"Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht’)."

Diese allgemeine Pflicht hat der Gesetzgeber in Bezug auf Einwilligungen durch Art. 7 Abs. 1 DSGVO zu einer spezifischen Nachweispflicht verdichtet. Die Bestimmung lautet:

"Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."

Eine Aufbewahrungsfrist ist für die Einwilligung nicht geregelt. Sie muss daher im Einzelfall bemessen werden.

Verarbeitungen im Zusammenhang mit einer Einwilligung

Die Einwilligung ist Rechtsgrundlage für diejenige Verarbeitung, auf die sie sich bezieht. Das ist Regelungsgehalt von Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Hat die öffentliche Stelle beispielsweise eine Einwilligung für den Versand eines Newsletters eingeholt, so wird die Einwilligung – ihre Wirksamkeit vorausgesetzt – insbesondere die Speicherung und Nutzung des Datensatzes zulassen, den der einwilligende Bezieher des Newsletters dem Verantwortlichen zur Verfügung gestellt hat.

Die Einwilligung enthält aber auch selbst Daten der betroffenen Person, insbesondere die Angabe ihrer Identität sowie die mit dieser verbundene Aussage: „Ich bin mit einer näher bezeichneten Verarbeitung meiner näher bezeichneten Daten einverstanden“. Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO.

Umfang der Nachweispflicht

Eine bayerische öffentliche Stelle muss in der Lage sein, die Nachweispflicht aus Art. 7 Abs. 1 DSGVO jedenfalls so lange zu erfüllen, wie noch Verarbeitungen stattfinden, die von der Einwilligung gedeckt sein sollen. Eine Einwilligung kann sich auf einen längeren Zeitraum beziehen, in dem eine andauernde Verarbeitung (z. B. eine Speicherung von personenbezogenen Daten) oder wiederkehrende Verarbeitungen stattfinden, so beim Versand von Newslettern.

Bei der Formulierung eines Einwilligungsformulars sollte daher immer darauf geachtet werden, dass die entsprechende Erklärung alle geplanten Verarbeitungen erfasst. Stellt sich heraus, dass der Text insofern unzureichend ist, dürfen nicht berücksichtigte Verarbeitungen nur durchgeführt werden, wenn eine ergänzende Einwilligung eingeholt wird oder eine andere Rechtsgrundlage zur Verfügung steht.

Widerruf der Einwilligung

Ein Widerruf der Einwilligung führt nicht zwingend zu deren sofortiger Löschung: Mit der Verarbeitung der Einwilligung selbst wird nämlich die Nachweispflicht aus Art. 7 Abs. 1 DSGVO erfüllt; diese Verarbeitung beruht aber gerade nicht auf der Einwilligung, über die Nachweis zu führen ist (siehe oben unter 2.). Daher kann die betroffene Person die Herausgabe einer schriftlichen Einwilligung oder einen entsprechenden Löschungsnachweis bei einer elektronisch erteilten Einwilligung nicht verlangen. Allerdings muss der Verantwortliche im Rahmen seiner allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) den Widerruf der betroffenen Person dokumentieren. Eine widerrufene Einwilligung kann er selbstverständlich auch nicht mehr dazu verwenden, zeitlich nachgelagerte Verarbeitungen zu legitimieren.

Verarbeiten bayerische öffentliche Stellen personenbezogene Daten auf der Grundlage von Einwilligungen, sollten sie das „Verarbeitungsprogramm“ vorausschauend planen, Einwilligungsformulare entsprechend gestalten und auch von vornherein festlegen, auf welche Weise und für welche Dauer die erteilten Einwilligungen aufgehoben werden müssen. Nach Maßgabe dieser Planung sollten sie entscheiden, welche Ressourcen sie für die Erfüllung der gesetzlichen Rechenschafts- und Nachweispflichten einzusetzen haben.

Quelle: datenschutz-bayern.de