Checkliste vor Einholung einer Einwilligung
- Kommt neben der Einwilligung eine gesetzliche Verarbeitungsbefugnis in Betracht?
- Überschreitet die Einwilligung die Grenzen der gesetzlichen Verarbeitungsbefugnis und ist die gesetzliche Verarbeitungsbefugnis abschließend? Einwilligung (-)
- Soll die Einwilligung ausnahmsweise neben der gesetzlichen Verarbeitungsbefugnis zur Anwendung kommen? Weshalb wird dies erwogen? Erfolgt die Einwilligung freiwillig und informiert?
- Bei Vorliegen entsprechender Anhaltspunkte (insbesondere bei Minderjährigen): Ist die betroffene Person einwilligungsfähig? Liegen im Fall einer Stellvertretung deren Voraussetzungen vor?
- Erfolgt die Einwilligung freiwillig (Machtungleichgewicht, Koppelungsverbot)?
- Wurde die einwilligende Person nachweislich informiert und bezieht sich die Einwilligung auf den bestimmten Fall?
Informiertheit/Bestimmtheit in Bezug auf den Verantwortlichen (Art. 4 Nr. 7 DSGVO),
die zu verarbeitenden personenbezogenen Daten (Art. 4 Nr. 1 DSGVO),
die Art der Verarbeitung (Art. 4 Nr. 2 DSGVO),
den Verarbeitungszweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO),
das Widerrufsrecht (Art. 7 Abs. 3 DSGVO),
die Freiwilligkeit der Einwilligung,
gegebenenfalls weitere Datenempfänger (Art. 4 Nr. 9 DSGVO), gegebenenfalls die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 Buchst. c DSGVO),
gegebenenfalls eine Datenübermittlung in Drittländer (Art. 49 Abs. 1 UAbs. 1 Buchst. a DSGVO),
gegebenenfalls mehrere (gemeinsame) Verantwortliche (vgl. Art. 26 DSGVO),
gegebenenfalls auf die Verarbeitung gemäß zusätzlichem gesetzlichem Verarbeitungstatbestand neben der Einwilligung. - Erfolgt die Einwilligung mittels aktiver Handlung der betroffenen Person?
(Quelle: Orientierungshilfe "Einwilligung" des Bayerischen Landesbeauftragten für Datenschutz, 2021, bearbeitet)
Wie lange muss eine Einwilligung aufbewahrt werden?
Es gibt in der DSGVO keine Vorgaben zur spezifischen Aufbewahrungsdauer.
Anhaltspunkte bietet die "Orientierungshilfe Einwilligung" des Bayer. Landesbeauftragten für Datenschutz:
Die Aufbewahrungsfrist endet, wenn die Daten beim Verantwortlichen nicht mehr vorhanden sind (Wegfall Zweck) und seitens des Verantwortlichen kein rechtliches Interesse mehr an der Aufbewahrung besteht. Das wäre beispielsweise der Fall, wenn die betroffene Person noch Schadensersatzansprüche stellen könnte.
Dieser Auffassung ist auch ZENDAS. Damit könnten sich u.U. auch Aufbewahrungsfristen bis zu 30 Jahren ergeben.