Für viele Datenverarbeitungen ist eine rechtskonforme Einwilligung die notwendige Grundlage. Doch wie lange ist eine einmal erteilte Einwilligung gültig? Können Daten auf dieser Basis unbegrenzt gespeichert werden? Und wo setzt der Grundsatz der Speicherbegrenzung die Grenze? Dieser Artikel gibt Auskunft.
Der Inhalt im Überblick
Ewige Gültigkeit vs. Verlust durch Inaktivität?
Die Antworten auf die Frage, ob eine einmal erteilte Einwilligung ewig gültig bleibt oder bei Inaktivität erlischt, fallen unterschiedlich aus. Manche vertreten die Auffassung, dass eine Einwilligung so lange wirksam bleibt, bis sie widerrufen wird. Andere sind der Ansicht, dass eine Einwilligung nach längerer Untätigkeit ihre Aktualität verliert. Und selbst innerhalb dieser zweiten Aussage gibt es keine einheitliche Grenze: Die angenommenen Zeiträume reichen von wenigen Wochen bis hin zu mehreren Jahren.
BGH: Eine Einwilligung erlischt nicht mit der Zeit
Die Rechtsprechung, allen voran der Bundesgerichtshof (BGH), hat hierzu eine klare Position: Eine datenschutzrechtliche Einwilligung erlischt grundsätzlich nicht allein durch Zeitablauf. Sie besitzt also kein festes Verfallsdatum:
„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlisch.“ (vgl. BGH, Urteil vom 01.02.2018, Az.: III ZR 196/17)
Ähnlich urteilten bereits das OLG Stuttgart (Urteil vom 22.03.2007 – 2 U 159/06) und das OLG Köln (Urteil vom 07.12.2012 – 6 U 69/12). Nach dieser Rechtsprechung behält eine Einwilligung ihre Wirksamkeit grundsätzlich so lange, bis sie von der betroffenen Person widerrufen wird.
Aufsichtsbehörden: Keine Einwilligung für die Ewigkeit
Die Aufsichtsbehörden äußern sich teilweise zurückhaltender.
Der Artikel-29-Datenschutzgruppe empfahl in ihrer Stellungnahme 15/2011 (WP 187) als „Best Practice“, eine erteilte Einwilligung „nach einer Weile“ nochmals zu überprüfen und ggf. „aufzufrischen“ — auch wenn sie wohl im Grundsatz nicht von einem „Verfall“ ausgeht:
„Deshalb sollten die für die Datenverarbeitung Verantwortlichen im Rahmen der bewährten Praktiken danach streben, die Wahl der Einzelpersonen nach einer Weile zu überprüfen. Hierzu können sie diese beispielsweise über ihre aktuelle Wahl informieren und ihnen die Möglichkeit anbieten, sie entweder zu bestätigen oder zu widerrufen.“ (Stellungnahme 15/2011 zur Definition von Einwilligung (WP 187), S. 24)
Auch der LDA Brandenburg stellte in seinem Tätigkeitsbericht 2015 klar, dass eine erteilte Einwilligung zur werblichen Nutzung personenbezogener Daten keine unbegrenzte Gültigkeit hat. Wird sie über lange Zeit nicht genutzt, verliert sie ihre Wirksamkeit.
„Widersprüche gegen die Verwendung personenbezogener Daten zu Werbezwecken sind strikt zu beachten. Aber auch eine in diesem Zusammenhang erteilte Einwilligung hat keine zeitlich unbegrenzte Gültigkeit. Wird hiervon lange Zeit kein Gebrauch gemacht, erlischt sie.“ (Tätigkeitsbericht der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg zum 31. Dezember 2015, S. 163)
Gerichte: Ab wann die Einwilligung ihre Wirkung verliert
Mehrere Instanzgerichte haben konkrete Zeiträume benannt, nach denen eine Einwilligung nicht mehr wirksam sei.
Das Landgericht München I entschied, dass eine Einwilligung in E-Mail-Werbung nach 17 Monaten ohne Nutzung ihre „Aktualität“ verliert (Urteil v. 08.04.2010 – 17 HK O 138/10). Das Landgericht Berlin sah die Wirksamkeitsgrenze bei Inaktivität bereits nach zwei Jahren als überschritten an. (LG Berlin Urt. v. 2.7.2004 – 15 O 653/03). Das Landgericht Hamburg urteilte 2004, dass eine zehn Jahre alte und nicht genutzte Einwilligung unwirksam geworden sei (LG Hamburg, Urteil vom 17.2.2004, Az. 312 O 645/02). Das LG Stuttgart nahm bei Fax-Werbung sogar eine maximale Gültigkeit von nur vier Wochen an (Urteil vom 31.08.2006, 38 O 17/06 KfH).
In einer aktuellen Entscheidung aus dem Jahr 2023 stellte schließlich das Amtsgericht München klar, dass eine Newsletter-Einwilligung nach vier Jahren ohne Versand ihre Wirksamkeit verloren habe (AG München, Endurteil vom 14.02.2023, Az. 161 C 12736/22).
Die rechtlichen Begründungen für diese Fristen unterscheiden sich, und die gewählten Zeitspannen wirken zum Teil beliebig. Ein roter Faden ist aber erkennbar: Maßgeblich ist die Erwartungshaltung der betroffenen Person. Rechnet diese nach einer längeren Phase der Untätigkeit nicht mehr mit einer Verarbeitung, verliert die Einwilligung ihre Aktualität – und damit ihre Grundlage.
Speicherbegrenzung als parallele Prüfung
Neben der Frage nach der Gültigkeit oder Aktualität einer Einwilligung ist stets auch der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO zu berücksichtigen. Dieser verlangt, dass personenbezogene Daten nur so lange aufbewahrt werden, wie sie für den Zweck, zu dem sie erhoben wurden, erforderlich sind.
Die Einwilligung bildet zwar die Rechtsgrundlage für die Verarbeitung, beantwortet jedoch nicht unmittelbar die Frage nach der Aufbewahrungsdauer. Während es bei der Einwilligung vor allem um ihre Reichweite und Aktualität geht – etwa ob Betroffene nach längerer Inaktivität noch mit einer Verarbeitung rechnen dürfen –, verlangt die Speicherbegrenzung eine zusätzliche Prüfung: Sind die Daten für den ursprünglichen Zweck tatsächlich noch brauchbar bzw. sinnvoll?
Damit ergibt sich ein Zusammenspiel zweier Prüfungen:
- Einerseits kann eine Einwilligung nach längerer Zeit aufgrund einer fehlenden Erwartungshaltung der betroffenen Person an Aktualität verlieren,
- andererseits kann der Zweck unabhängig davon entfallen.
Was das für die Praxis bedeutet
Beispiel 1: Bewerberdaten im Talentpool
Unternehmen holen für einen Talentpool häufig die Einwilligung ein, um Bewerbungsunterlagen für spätere Stellenbesetzungen aufzubewahren. Doch es stellt sich die Frage, ob es sinnvoll ist, Bewerberdaten, die älter als zwei Jahre sind, weiterhin im Pool zu halten. Mit Blick auf die Qualifikationen bzw. „Skills“ der Bewerber können die Unterlagen in dieser Zeit bereits veraltet sein und sind damit für den ursprünglichen Zweck nur noch eingeschränkt brauchbar. Wenn das so ist, müssten sie dann wohl gelöscht werden.
Beispiel 2: Mitarbeiterfotos auf der Website
Ein weiteres Beispiel betrifft die Veröffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite. Unternehmen holen hierfür häufig eine Einwilligung ein, um das Team im Rahmen der Unternehmensdarstellung vorzustellen. Scheidet ein Mitarbeiter jedoch aus dem Unternehmen aus, stellt sich die Frage, ob eine weitere Veröffentlichung noch zweckmäßig ist. Auch wenn die Einwilligung nicht ausdrücklich widerrufen wurde, entfällt mit dem Austritt der ursprüngliche Zweck – nämlich die Präsentation des aktuellen Teams. In solchen Fällen spricht vieles dafür, die Fotos zeitnah zu entfernen.
Beispiel 3: Bonitätsauskünfte
Ein ähnliches Problem stellt sich bei Bonitätsauskünften, etwa von Auskunfteien wie der Schufa. Auch wenn eine Einwilligung in die Verarbeitung ursprünglich erteilt wurde, ist fraglich, ob eine Speicherung über viele Jahre hinweg sinnvoll ist. Bonitätsinformationen ändern sich mit der Zeit, sodass Daten aus länger zurückliegenden Jahren die tatsächliche finanzielle Situation oft nicht mehr zuverlässig widerspiegeln. Spätestens dann ist zu prüfen, ob die Speicherung noch erforderlich ist.
Zwei Aspekte, die zusammengedacht werden müssen
Ob eine erteilte Einwilligung tatsächlich so lange gültig ist, bis sie widerrufen wird, ist derzeit noch umstritten. Klar ist jedoch: Der Grundsatz der Speicherbegrenzung muss stets beachtet werden.
Unternehmen sollten daher wohl beide Dimensionen im Blick behalten: Einerseits ist zu prüfen, ob die Erwartungshaltung der betroffenen Person nach längerer Zeit überhaupt noch eine tragfähige Rechtsgrundlage begründet; andererseits ist fortlaufend zu kontrollieren, ob die Daten für den Zweck, zu dem sie erhoben wurden, noch brauchbar sind.
Für Bonitätsabfragen ist die Einwilligung keine geeignete Rechtsgrundlage, laut DSK, da diese in aller Regel nicht freiwillig erteilt würden und somit unwirksam wären. Rechtsgrundlage für Bonitätsauskünfte von Mietern ist daher Art. 6 Abs. 1 lit. f DSGVO.
Vielen Dank für Ihren wertvollen Hinweis!
Sie haben völlig recht: Die deutschen Aufsichtsbehörden sehen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) im Mietkontext als passende Rechtsgrundlage für Bonitätsabfragen. Auch im Kreditbereich wird in der Praxis meist auf diese Grundlage zurückgegriffen.
Nach der herrschenden Meinung besteht ein berechtigtes Interesse an der Kenntnis von Bonitätsdaten jedoch nur, wenn diese Information für den jeweiligen Zweck tatsächlich erforderlich ist. Besonders interessant wäre in diesem Zusammenhang die Frage, ob beim Abschluss eines einfachen Online-Kaufs, etwa bei Zahlung per Kreditkarte, ein solches Interesse überhaupt noch besteht – oder ob in diesen Fällen auch eine Einwilligung des Kunden eine denkbare Grundlage sein könnte. Die Frage der Freiwilligkeit wäre dabei natürlich noch einmal gesondert zu betrachten.
Letztlich sollte das im Artikel erwähnte Beispiel jedoch weniger die Rechtsgrundlage beleuchten, sondern vielmehr den Aspekt der Speicherbegrenzung verdeutlichen – also die Überlegung, wie lange solche Daten, unabhängig von der jeweiligen Rechtsgrundlage, tatsächlich noch aussagekräftig und erforderlich bleiben.
Ewige Gültigkeit vs. Verlust durch Inaktivität? Diese Frage stellte ich mir neulich auch, als ich von einem Geschäftspartner eine Email mit folgendem Anliegen erhielt: „Um Ihre Daten weiterhin zu speichern, brauchen wir Ihr Einverständnis. Bitte klicken Sie dafür hier und entscheiden Sie selbst, welche Daten Sie uns auch künftig zur Verfügung stellen wollen.“ Damit schafft man sicher Klarheit und Transparenz und räumt mit der Eingangs erwähnten Frage auf. Kontakte sind wertvoll und man gibt sie nicht gerne auf. Wenn ein CRM bei maximal ermittelter Inaktivität solche Erinnerungen versendet, ist das Thema fein automatisiert.
Vielen Dank für Ihren Hinweis – ein sehr praxisnaher und wertvoller Punkt!
Der Begriff der Werbung wird vom BGH bekanntermaßen weit ausgelegt und umfasst grundsätzlich alle Maßnahmen, die der Absatzförderung dienen. In der Praxis können daher auch solche Reaktivierungsmails im weiteren Sinne in diesen Bereich fallen. Welche Rechtsgrundlage dafür letztlich einschlägig ist, hängt – wie so oft – von den Umständen des Einzelfalls ab.
Bei solchen Erinnerungsmails sollte man daher die datenschutzrechtliche Einordnung und die jeweils passende Rechtsgrundlage stets im Blick behalten – insbesondere dann, wenn die ursprüngliche Geschäftsbeziehung bereits länger zurückliegt. Gerade deshalb kommt es darauf an, wie und wann man solche Prozesse technisch und organisatorisch gestaltet – das macht oft den kleinen, aber entscheidenden Unterschied.
Ich kann die vier Wochen im erwähnten Urteil vom 22.3.2007, Az. 2 U 159/06 OLG Stuttgart nicht finden.
Vielen Dank für den aufmerksamen Hinweis!
Die Angabe einer Ablaufzeit von bis zu 4 Wochen geht tatsächlich auf die erstinstanzliche Entscheidung des LG Stuttgart vom 31.08.2006 (Az. 38 O 17/06 KfH) zurück. Das Gericht führte damals aus: “Grundsätzlich kann jedoch dann nicht mehr von einer wirksamen Zustimmung ausgegangen werden, wenn seit den zustimmenden Erklärungen von Kanzleiangestellten zur Entgegennahme eines Telefaxschreiben bereits mehr als vier Wochen vergangen sind.“
Das OLG Stuttgart hat die Berufung gegen dieses Urteil zwar zurückgewiesen, dies jedoch mit einer anderen Begründung: Die Beklagte konnte den Nachweis einer wirksamen Einwilligung nicht erbringen. Der Senat stellte im Gegenteil klar, dass eine Einwilligung nicht automatisch durch Zeitablauf erlischt (OLG Stuttgart, Urteil vom 22.03.2007 – 2 U 159/06).
Wir haben den Artikel inzwischen entsprechend angepasst, um die Quellenangabe präziser wiederzugeben.