Wie lange „gilt“ eine Einwilligung?

Folgende Frage kam von einem Datenschutz-Coaching-Mitglied:

Frage zur Einwilligung in die längerfristige Aufbewahrung von Bewerberdaten (Pool): für welchen Zeitraum sollte/kann die Einwilligung erfolgen? Ist eine Einwilligung in unbegrenzte Speicherung statthaft?

Meine Antwort

Ich möchte meine Antwort nicht auf die hier in Frage stehende Speicherung im „Bewerber-Pool“ beschränken, sondern eher allgemein auf die Frage eingehen, ob eine Einwilligung zeitlich „abläuft“.

Gerne wird hier z.B. von Aufsichtsbehörden vertreten, dass eine Einwilligung zeitlich ablaufe, also dem „Verfall“ unterliegen würde:

3.5 „Verfall“ der Einwilligung, Verwirkung

Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail- Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist
Quelle: Datenschutzkonferenz (DSK), Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), S. 10 (PDF)

Dass das nicht richtig ist, sollte eigentlich jeder Juristin schon vorher klar gewesen sein. Denn in rechtlicher Hinsicht handelt es sich bei einer Einwilligung um eine einseitige (empfangsbedürftige) Erklärung einer natürlichen Person.

Genauso wenig wie die Erklärung der Annahme eines Vertrages dem zeitlichen „Verfall“ unterliegt, kann dies bei einer Einwilligung der Fall sein. Gleichwohl habe einige Zivilgerichte dies zuvor so vertreten.

Glücklicherweise hat der BGH aber bereits mit Urteil vom 01.02.2018 (Az.: III ZR 196/17) klargestellt, dass eine erteilte Einwilligung nicht zeitlich abläuft:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Mir persönlich ist es ein Rätsel, warum diese Entscheidung des BGH aus dem Februar 2018 (BGH, Urteil vom 1.2.2018, Az.: III ZR 196/17)nicht von der DSK in der oben zitierten „Orientierungshilfe Direktwerbung“ herangezogen worden ist. Es ist einer der „Parade-Entscheidungen“ des BGH zu den Voraussetzungen an datenschutzrechtliche Einwilligungen und sollte der DSK „eigentlich“ bekannt sein. Stattdessen zitiert die DSK in ihrer Orientierungshilfe allein eine einzige Entscheidung und behauptet, dass „die Zivilgerichte“ das so sehen würden. Eine recht krasse Fehlbewertung, die viele Verantwortliche in die Irre führt. Aber nun ja…mit dem Einräumen und der Berichtigung von Fehlern ist es bei der DSK ja auch in anderen Dingen nicht immer allzu gut bestellt.
Wenn ich als Anwalt so beraten würde, könnte ich häufiger Kontakt mit meinem Haftpflichtversicherer aufnehmen.

Hier können die Aufsichtsbehörden in jedem Fall noch besser werden – soviel können wir wohl sagen.

Um auf die Ausgangsfrage zurückzukommen, ist es also nicht nur „statthaft“, sondern „normal“, dass eine Einwilligung unbegrenzt erteilt wird.

Es gibt nun aber ein „ABER“. Denn unabhängig von der unbeschränkten Dauer der Geltung einer Einwilligung kann ich ggf. aus anderen „Prinzipien“ ggf. gebunden sein, eine Verarbeitung irgendwann einzuschränken oder zu beenden.

Ich will hier auf die „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art. 5 DSGVO) hinaus. Dort gibt es das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Dieses Prinzip der Speicherbegrenzung besagt, dass personenbezogene Daten nur solange „nicht anonymisiert“ gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.

Wir müssen also schon schauen, ob der Zweck der Speicherung von Daten, die auf einer Einwilligung des Betroffenen beruht, irgendwann erreicht (oder aufgehoben) ist. Wenn dies der Fall, wären die Daten unabhängig von der unbeschränkten Dauer der Einwilligung zu löschen.

Bezogen auf den Bewerber-Pool würde ich mir als Unternehmen schon die Frage stellen, ob es Sinn macht, Bewerberdaten, die älter als zwei Jahre sind, noch im Bewerber-Pool zu halten. Die Daten sind mit Blick auf die noch vorhandenen „Skills“ der Bewerber möglicherweise schon veraltet und insoweit nicht mehr für den Zweck brauchbar. Wenn das so ist, müssten sie dann wohl gelöscht werden.

Sicher sind auch längere Fristen begründbar. Und genau da kommen wir dann zu einer Anforderung an Unternehmen, die manchmal etwas zu kurz kommt. Die handelnden Personen sollten wirklich einmal konkret nachdenken, wie lange denn eine Speicherung wirklich sinnvoll ist und dies idealerweise dokumentieren. Häufig zeigt sich dann, wie lange eine Speicherung im Hinblick auf den Zweck des Bewerber-Pools erforderlich ist.

Das Schöne daran ist, dass man diese Überlegungen dann zugleich in ein hoffentlich vorhandenes „Löschkonzept“ übertragen kann.