Logo der Website-Check GmbH
Kundenkonto

Gültigkeitsdauer bei Einwilligungen und Speicherbegrenzung

Animation zur DSGVO: Datensicherheit, Einwilligungsgültigkeit, Speicherbegrenzung, Server.

Daten-Zustimmung mit Verfallsdatum: Gültigkeit der Einwilligung und Speicherbegrenzung nach DSGVO

Haben Sie einem Unternehmen vor langer Zeit erlaubt, Ihre Daten zu nutzen? Ob für einen Newsletter oder ein Kundenkonto – eine solche Zustimmung ist nicht für immer gültig. Die DSGVO verpflichtet Unternehmen, die Freiwilligkeit und Aktualität der Einwilligung ständig zu hinterfragen und Daten nur so lange zu speichern wie unbedingt nötig.

1. Die Einwilligung: Kein ewiger Freifahrtschein

Artikel 6 Absatz 1 Buchstabe a der DSGVO macht die Einwilligung zur Rechtsgrundlage für viele Datenverarbeitungen. Doch obwohl die DSGVO keine feste Gültigkeitsdauer nennt, ist klar: Eine Einwilligung muss jederzeit freiwillig, spezifisch, informiert und eindeutig sein. Verändert sich einer dieser Punkte, kann die ursprüngliche Zustimmung ihre Wirksamkeit verlieren.

Wann eine Einwilligung ihre Gültigkeit verlieren kann:

  • Zweckänderung: Wenn Daten für einen anderen Zweck genutzt werden sollen als ursprünglich vereinbart, ist eine neue Einwilligung nötig.
  • Veränderte Umstände: Eine erhebliche Änderung des Kontexts oder der Erwartungen der betroffenen Person kann die Einwilligung hinfällig machen.
  • Fehlende Informiertheit: Aktualisierte Datenschutzerklärungen oder geänderte Verarbeitungen erfordern gegebenenfalls eine erneute Information und Zustimmung.
  • Lange Zeitspanne: Eine alte, nie erneuerte Einwilligung kann als nicht mehr “aktuell” oder “informiert” gelten, insbesondere bei Inaktivität der Person. Gerade im E-Commerce sollte die Einwilligung für Marketingzwecke (z.B. Newsletter) bei langer Inaktivität (18-24 Monate) hinterfragt und neu eingeholt werden.

2. Das Prinzip der Speicherbegrenzung: Daten löschen, nicht horten

Artikel 5 Absatz 1 Buchstabe e der DSGVO schreibt vor: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies bedeutet: Sobald der ursprüngliche Zweck entfällt, müssen die Daten gelöscht oder anonymisiert werden.

Was “so lange wie erforderlich” heißt:

  • Zweckbindung: Die Speicherfrist ist direkt an den Verarbeitungszweck gekoppelt. Wird ein Newsletter abbestellt, endet der Zweck der E-Mail-Speicherung für den Versand.
  • Gesetzliche Aufbewahrungsfristen: Ausnahmen sind gesetzliche Vorgaben, z.B. aus dem Handels- oder Steuerrecht, die eine Aufbewahrungspflicht von sechs oder zehn Jahren vorschreiben.
  • Rechtsansprüche: Daten können auch länger gespeichert werden, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.

Die Speicherbegrenzung ist ein zentrales Element des Datenschutzes und der Datenminimierung. Unternehmen müssen Löschkonzepte implementieren und aktiv prüfen, welche Daten noch benötigt werden.

3. Wann Einwilligungen „verfallen“ – Praktische Empfehlungen

Da die DSGVO keine starren Fristen vorgibt, müssen Unternehmen selbst aktiv werden:

  • Newsletter & Kundenkonten im E-Commerce: Bei langer Inaktivität (z.B. 18-24 Monate bei Newslettern, 2-3 Jahre bei Kundenkonten) sollte die Einwilligung überprüft oder ggf. erneut eingeholt werden, bevor Daten gelöscht werden.
  • Cookie-Einwilligung: Consent Management Platforms (CMPs) speichern die Zustimmung oft für 6 Monate bis 2 Jahre. Wichtig ist, dass Nutzer ihre Einwilligung jederzeit widerrufen können und die Barrierefreiheit des Banners gewährleistet ist. Eine regelmäßige erneute Abfrage ist ratsam.
  • Bewerberdaten: Ungenutzte Bewerberdaten dürfen in der Regel nur 6 Monate nach Absage gespeichert werden. Eine längere Speicherung für zukünftige Stellen erfordert eine explizite Einwilligung und regelmäßige Prüfung.

Datenschutzbehörden empfehlen, Einwilligungen regelmäßig, beispielsweise alle zwei Jahre, zu überprüfen und bei Bedarf neu einzuholen.

4. Die Dokumentationspflicht: Nachweis ist alles

Unternehmen müssen beweisen können, dass eine gültige Einwilligung vorliegt (Art. 7 Abs. 1 DSGVO). Dokumentiert werden müssen:

  • Zeitpunkt: Datum und Uhrzeit der Einwilligung.
  • Methode: Wie wurde die Einwilligung erteilt (z.B. Klick, Double-Opt-In).
  • Inhalt: Der genaue Text der Datenschutzerklärung oder des Einwilligungstextes.
  • Identität: Wer hat eingewilligt (E-Mail, IP-Adresse).

Diese Dokumentationspflicht ist entscheidend, um im Streitfall rechtssicher zu sein.

5. Besondere Fälle und andere Rechtsgrundlagen

  • Kinder: Bei Online-Diensten für Kinder unter 16 Jahren ist die Zustimmung der Eltern erforderlich (Art. 8 DSGVO).
  • Archivierung/Forschung: Unter bestimmten Schutzmaßnahmen (Pseudonymisierung) dürfen Daten länger für Archiv-, Forschungs- oder Statistikzwecke gespeichert werden.
  • Alternative Rechtsgrundlagen: Die Einwilligung ist nur eine Option. Daten können auch aufgrund von Vertragserfüllung (z.B. Adressdaten für Versand im E-Commerce), rechtlicher Verpflichtung (z.B. Steuerrecht) oder einem berechtigten Interesse verarbeitet werden. Letzteres erfordert eine sorgfältige Abwägung.

Wo immer möglich, sollten Unternehmen stabilere Rechtsgrundlagen als die jederzeit widerrufbare Einwilligung nutzen.

6. Handlungsanweisungen für Unternehmen

Um DSGVO-konform zu bleiben, sollten Sie:

  1. Einwilligungen regelmäßig prüfen: Etablieren Sie Prozesse zur Überprüfung der Aktualität von Einwilligungen, z.B. alle 18-24 Monate bei Inaktivität.
  2. Löschkonzepte implementieren: Entwickeln und setzen Sie detaillierte Konzepte für die Löschung aller Datenkategorien um, basierend auf Zweck und gesetzlichen Fristen.
  3. Transparenz schaffen: Halten Sie Ihre Datenschutzerklärung und Ihr Impressum stets aktuell, leicht verständlich und gut auffindbar.
  4. CMPs nutzen: Verwenden Sie für Websites Consent Management Platforms, die Cookie-Einwilligungen datenschutzkonform einholen, dokumentieren und Widerrufsmöglichkeiten bieten. Achten Sie auf Barrierefreiheit.
  5. Mitarbeiter schulen: Sensibilisieren Sie Ihre Belegschaft für die Anforderungen der DSGVO.
  6. Datenschutzbeauftragten einbeziehen: Nutzen Sie das Know-how Ihres DPO – Data Protection Officers (falls vorhanden) zur Gestaltung und Überprüfung Ihrer Prozesse.

Fazit

Die DSGVO macht deutlich: Eine Einwilligung ist keine unbegrenzte Erlaubnis. Sie ist zweckgebunden und verlangt eine ständige Überprüfung ihrer Aktualität. Gepaart mit dem strikten Prinzip der Speicherbegrenzung fordert dies von Unternehmen ein proaktives und verantwortungsbewusstes Datenmanagement. Wer sich auf veraltete Einwilligungen verlässt oder Daten unnötig lange speichert, riskiert nicht nur hohe Bußgelder, sondern auch einen Vertrauensverlust bei Kunden. Transparenz, regelmäßige Überprüfung und konsequente Löschkonzepte sind der Schlüssel zu einem rechtssicheren und kundenfreundlichen Umgang mit personenbezogenen Daten im E-Commerce und darüber hinaus.

Tags :
Uncategorized

Autor:

Website-Check Redaktion

Teilen

Ähnliche Beiträge

Grafik Textdokument mit einem Haken für geprüft

Abmahnsicher online

Rechtstexte leicht gemacht mit Update-Service, Haftungsübernahme u.v.m.

Mehr erfahren
Grafik Barrierefreiheit im Web

Barrierefrei online

Mit wenigen Klicks ist der Webauftritt auf Barrierefreiheit geprüft. Ein Siegel schafft Vertrauen.

Mehr erfahren
Grafik Siegel und Haken für korrekt

Cybersischerheit ohne Chaos

Das Onlinebusiness ohne Aufwand auf Sicherheitslücken prüfen und Einfallstore schließen.

Mehr erfahren
Grafik eines Cookies symbolisch für Produkt Cookiebanner

Cookieeinwilligungen leicht gemacht

Gesetze ändern sich – dieses Consent-Tool passt sich an.

Mehr erfahren