kostenlos starten

Die datenschutzrechtliche Einwilligung 

Ob Online-Shop, Newsletter oder Kundenumfrage – überall werden personenbezogene Daten verarbeitet. Damit dies rechtmäßig geschieht, braucht es eine klare Grundlage. Oft ist das die datenschutzrechtliche Einwilligung der betroffenen Person.

Im Unterschied zu anderen Rechtsgrundlagen verlangt die DSGVO bei einer Einwilligung eine freiwillige und informierte Zustimmung. Sie stellt damit hohe Anforderungen an die Gestaltung und Dokumentation. In diesem Beitrag erfahren Sie, worauf es dabei ankommt. 

Sie möchten sichergehen, dass Ihr Unternehmen die Anforderungen der DSGVO entspricht? Mit // PRIMA erhalten Sie ein sofort einsetzbares Tool, das alles für eine optimierte Datenschutzverwaltung bietet. Testen Sie unser All-in-One-Tool jetzt 14 Tage kostenlos

Was ist eine datenschutzrechtliche Einwilligung? 

Die Datenschutz-Grundverordnung definiert die Einwilligung in Art. 4 Nr. 11 DSGVO als eine freiwillige, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person. Sie kann in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung erfolgen. 

Rechtsgrundlage für die Verarbeitung auf Basis einer Einwilligung ist Art. 6 Abs. 1 lit. a DSGVO. Demnach ist eine Verarbeitung rechtmäßig, wenn die betroffene Person ihre Zustimmung für einen oder mehrere bestimmte Zwecke erteilt hat. 

Bei besonderen Kategorien personenbezogener Daten – etwa Gesundheitsdaten oder biometrischen Daten – gelten nochmals erhöhte Anforderungen. Hier fordert Art. 9 Abs. 2 lit. a DSGVO eine ausdrückliche Einwilligung, um die besondere Schutzwürdigkeit dieser Daten zu wahren. 

Im Vergleich zu anderen Rechtsgrundlagen wie Vertragserfüllung oder berechtigtem Interesse ist die Einwilligung freiwillig und jederzeit widerrufbar. Diese Besonderheit macht sie zugleich zu einer besonders sensiblen Grundlage, deren korrekte Einholung und Dokumentation große Bedeutung haben. 

Auch für die Durchführung einer automatisierten Einzelfallentscheidung einschließlich Profing kann die ausdrückliche Einwilligung gem. Art. 22 Abs. 2 lit. c DSGVO als Rechtsgrundlage dienen. Beispiele für eine automatisierte Entscheidungsfindung ist zum Beispiel ein automatisiertes Bewerbermanagement oder eine automatisierte Überprüfung der Kreditwürdigkeit mittels Scoring. 

Typische Anwendungsfälle 

  • Newsletter: Versand nur nach ausdrücklicher Einwilligung (z. B. Double-Opt-In). 
  • Cookies und Tracking: Erforderlich für nicht notwendige Cookies. 
  • Fotoveröffentlichungen: Zustimmung nötig, besonders bei Werbezwecken. 
  • Kundenbefragungen: Einwilligung bei Verarbeitung personenbezogener Angaben. 

Häufige Fehler 

  • Fehlende Transparenz: Wenn unklar bleibt, welche Daten verarbeitet werden oder zu welchem Zweck, ist die Einwilligung unwirksam. 
  • Vorausgewählte Häkchen: Einwilligungen dürfen nicht über bereits angekreuzte Checkboxen eingeholt werden. 
  • Kopplung an eine Leistung: Wenn die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird, ohne dass dies sachlich erforderlich ist, ist die Einwilligung nicht freiwillig. 
  • Keine Dokumentation: Wer eine Einwilligung einholt, aber den Nachweis im Streitfall nicht führen kann, riskiert Bußgelder. 

Voraussetzungen für eine wirksame Einwilligung 

Damit eine Einwilligung im Sinne der DSGVO wirksam ist, müssen mehrere Anforderungen erfüllt sein. Diese Vorgaben dienen dem Schutz der betroffenen Personen und verhindern, dass Einwilligungen unter Druck oder ohne ausreichende Information erteilt werden. 

Freiwilligkeit der Einwilligung 

Die Einwilligung muss freiwillig erfolgen. Das bedeutet, die betroffene Person darf nicht unter Zwang stehen oder erhebliche Nachteile befürchten, falls sie die Einwilligung verweigert. Eine echte Wahlfreiheit muss bestehen. Besonders kritisch wird es, wenn die Erteilung der Einwilligung an die Erbringung einer Leistung gekoppelt wird („Kopplungsverbot“). 

Informiertheit und Transparenz 

Eine Einwilligung ist nur dann wirksam, wenn die betroffene Person genau weiß, worin sie einwilligt. Nach Art. 7 Abs. 2 sowie Art. 13 und 14 DSGVO müssen mindestens folgende Informationen klar und verständlich mitgeteilt werden: 

  • wer der Verantwortliche ist, 
  • welche Daten verarbeitet werden, 
  • zu welchem Zweck die Verarbeitung erfolgt, 
  • ob eine Weitergabe an Dritte stattfindet, 
  • wie lange die Daten gespeichert werden, 
  • der Hinweis auf das Recht, die Einwilligung jederzeit zu widerrufen. 

Eindeutige und bestätigende Handlung 

Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen. Schweigen, bereits angekreuzte Kästchen oder Inaktivität reichen nicht aus. Zulässig sind: 

  • aktives Setzen eines Häkchens, 
  • schriftliche Erklärung, 
  • elektronische Bestätigung, 
  • mündliche Zustimmung bei persönlichem Kontakt (sofern nachweisbar). 

Form und Nachweispflicht 

Die DSGVO lässt sowohl schriftliche als auch elektronische und mündliche Einwilligungen zu. Wichtig ist in jedem Fall: Der Verantwortliche muss nachweisen können, dass eine wirksame Einwilligung erteilt wurde (Art. 7 Abs. 1 DSGVO). In der Praxis ist daher eine schriftliche oder elektronische Dokumentation empfehlenswert.  

Der Verantwortliche muss aber auch nachweisen können, dass die Einwilligung allen gesetzlichen Anforderungen entspricht. Dazu gehört eine sorgfältige Dokumentation

Einwilligung von Kindern und Jugendlichen: Das müssen Sie beachten 

Bei der Einholung einer Einwilligung von Minderjährigen gelten besondere Anforderungen. Nach Art. 8 DSGVO dürfen Kinder unter 16 Jahren bei Diensten der Informationsgesellschaft (z. B. Apps, soziale Netzwerke) ihre Einwilligung nur mit Zustimmung ihrer Erziehungsberechtigten wirksam erteilen.  

Verantwortliche müssen in geeigneter Weise sicherstellen, dass eine Zustimmung der Eltern tatsächlich vorliegt. Dazu reicht ein einfaches Ankreuzen einer Checkbox in der Regel nicht aus. Praktische Lösungen sind etwa unterschriebene Erklärungen oder eine Bestätigung per E-Mail. 

Besonders wichtig: Die Informationen über die Datenverarbeitung müssen für Kinder verständlich und klar formuliert sein, damit sie die Tragweite ihrer Einwilligung erfassen können. 

Widerruf der Einwilligung: Das steht Betroffenen zu 

Eine datenschutzrechtliche Einwilligung ist kein Freifahrtschein für unbegrenzte Datenverarbeitung. Die betroffene Person hat jederzeit das Recht, ihre Einwilligung ohne Angabe von Gründen zu widerrufen. Diese Möglichkeit ist ausdrücklich in Art. 7 Abs. 3 DSGVO geregelt. 

Recht auf Widerruf jederzeit 

Der Widerruf muss genauso einfach möglich sein wie die Erteilung der Einwilligung. Unternehmen sind verpflichtet, Betroffene schon vor der Einwilligung über das Widerrufsrecht zu informieren. Typisches Beispiel: Jeder Newsletter muss einen klar erkennbaren Abmeldelink enthalten. 

Auswirkungen des Widerrufs auf die Datenverarbeitung 

Wird eine Einwilligung widerrufen, darf die Verarbeitung der betreffenden personenbezogenen Daten ab diesem Zeitpunkt nicht mehr fortgesetzt werden. Der Widerruf wirkt jedoch nicht rückwirkend: Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. 

Pflichten des Verantwortlichen 

Nach dem Widerruf muss der Verantwortliche: 

  • die Datenverarbeitung für diese Zwecke sofort beenden, 
  • die Daten löschen, sofern keine andere Rechtsgrundlage greift, 
  • den Widerruf dokumentieren, um ihn später nachweisen zu können. 

In der Praxis sollten Unternehmen klare Prozesse einführen, um Widerrufe schnell und effizient umzusetzen und Bußgelder zu vermeiden. 

Weitere Informationen zu den Rechten der Betroffenen finde Sie in unserem Beitrag „Betroffenenrechte auf Knopfdruck beantworten

Besonderheiten der Einwilligung in Ausnahmefällen 

Besondere Kategorien personenbezogener Daten, wie Gesundheits- oder biometrische Daten, genießen einen erhöhten Schutz. Ihre Verarbeitung ist nach der DSGVO grundsätzlich verboten – es sei denn, eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift, insbesondere durch ausdrückliche Einwilligung der betroffenen Person. 

Was sind besondere Kategorien personenbezogener Daten? 

Laut Art. 9 Abs. 1 DSGVO gehören dazu: 

  • rassische oder ethnische Herkunft, 
    politische Meinungen, 
  • religiöse oder weltanschauliche Überzeugungen, 
  • Gewerkschaftszugehörigkeit, 
  • genetische und biometrische Daten, 
  • Gesundheitsdaten, 
  • Daten zum Sexualleben oder zur sexuellen Orientierung. 

Anforderungen an die ausdrückliche Einwilligung 

Die Einwilligung muss: 

  • ausdrücklich und klar formuliert sein, 
  • sich eindeutig auf die Verarbeitung dieser besonderen Daten beziehen, 
  • durch eine eindeutige, aktive Handlung erfolgen. 

In der Praxis wird oft eine separate, speziell auf diese Datenkategorie zugeschnittene Einwilligungserklärung verwendet.

Einwilligungserklärungen gestalten – das sollten Unternehmen wissen 

Eine datenschutzrechtliche Einwilligung ist nur wirksam, wenn sie klar, verständlich und transparent gestaltet ist. Die Anforderungen ergeben sich direkt aus der DSGVO. 

Die Erklärung muss einfach formuliert sein. Fachbegriffe und komplizierte juristische Formulierungen sollten vermieden werden. Die betroffene Person muss den Zweck der Verarbeitung auf Anhieb verstehen. Sie darf auch nicht „versteckt“ zwischen allgemeinen Geschäftsbedingungen oder anderen Texten stehen. Sie muss klar abgegrenzt und als eigenständige Erklärung erkennbar sein. 

Elektronische und schriftliche Einwilligungen 

Bei Online-Einwilligungen sollten: 

  • keine vorausgewählten Checkboxen verwendet werden, 
  • Nutzer aktiv eine Zustimmung erteilen (Opt-in), 
  • Widerrufsmöglichkeiten leicht erreichbar sein. 

Bei schriftlichen Einwilligungen empfiehlt sich eine eigenständige Passage am Ende eines Formulars, die separat unterschrieben wird. 

Zwar gibt es zahlreiche Muster, diese müssen aber individuell angepasst werden. Jede Einwilligungserklärung sollte enthalten: 

  • wer die Daten verarbeitet, 
  • welche Daten betroffen sind, 
  • zu welchem Zweck die Verarbeitung erfolgt, 
  • dass die Einwilligung freiwillig und widerruflich ist. 

Standardformulare ohne individuelle Anpassung bergen die Gefahr, dass die Einwilligung später als unwirksam angesehen wird. 

Datenschutzrechtliche Einwilligung im Verhältnis zu anderen Rechtsgrundlagen 

Die Einwilligung ist eine von mehreren Rechtsgrundlagen nach der DSGVO. Sie steht gleichberechtigt neben: 

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), 
  • gesetzlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), 
  • berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO). 

Wann ist eine Einwilligung erforderlich? 

Eine Einwilligung ist nur dann notwendig, wenn keine andere Rechtsgrundlage eingreift. Typische Beispiele sind: 

  • Versand von Newslettern, 
  • personalisierte Werbung, 
  • Veröffentlichung von Fotos. 

Liegt eine andere zulässige Grundlage vor – etwa die Erfüllung eines Vertrags – sollte keine Einwilligung eingeholt werden. Unnötige Einwilligungen erhöhen das Risiko späterer Widerrufe. 

Risiken bei unwirksamer Einwilligung 

Ist eine Einwilligung fehlerhaft oder fehlt eine ordnungsgemäße Information, kann die gesamte Verarbeitung unrechtmäßig sein. Gerade bei sensiblen Daten oder werblichen Maßnahmen sollte gut dokumentiert werden, auf welcher Grundlage die Verarbeitung beruht. 

Fazit  

Die datenschutzrechtliche Einwilligung ist ein wesentlicher Bestandteil der DSGVO und spielt eine zentrale Rolle beim Schutz personenbezogener Daten. Sie stärkt die Selbstbestimmung der betroffenen Personen und schafft Transparenz darüber, wie ihre Daten verwendet werden.

Damit eine Einwilligung wirksam ist, müssen zahlreiche Voraussetzungen erfüllt sein: Freiwilligkeit, Informiertheit, eine eindeutige Handlung und die Möglichkeit, die Einwilligung jederzeit widerrufen zu können. Auch die korrekte Dokumentation und ein klarer, verständlicher Text sind entscheidend.

Sie möchten Haftungs- und Bußgeldrisiken im Datenschutz vermeiden? // PRIMA bietet von Fachleuten erstellte Vorlagen und Anleitungen, die die Erstellung einer DSGVO-gerechten Dokumentation erleichtern. Jetzt 14 Tage kostenlos testen und Datenschutz professionell umsetzen! 

Weitere Beiträge

Die datenschutzrechtliche Einwilligung 

Ob Online-Shop, Newsletter oder Kundenumfrage – überall werden personenbezogene Daten verarbeitet. Damit dies rechtmäßig

10 Irrtümer über Datenschutz, die fast jedes Unternehmen glaubt

Einleitung Viele Unternehmen unterschätzen das Thema Datenschutz oft aus Unwissenheit oder Fehleinschätzungen. Aussagen wie

Das Barrierefreiheitsstärkungsgesetz (BFSG) jetzt unkompliziert umsetzen

Am 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft. Das BFSG soll das

EU Data Act Bild

Data Act: „Vernetzte Produkte“ und „Verbundene Dienste“ 

Haben Sie „Vernetzte Produkte“ und „Verbundene Dienste“? Nutzen Sie unsere Checklisten!  Die digitale Transformation

TOM Datenschutz: Diese technischen und organisatorischen Maßnahmen musst du kennen

Technische und organisatorische Maßnahmen nach DSGVO sind entscheidend, um personenbezogene Daten wirksam zu schützen.

Sicherheit im Unternehmen: Die Wichtigkeit von Mitarbeiterschulungen

Erfahren Sie mehr über die Wichtigkeit von regelmäßigen Mitarbeiterschulungen und warum Schulungen zu Datenschutz,

KI-Verordnung der EU: Unternehmen müssen handeln!

Am 1. August 2024 ist die neue KI-Verordnung (KI-VO) in Kraft getreten und bringt
Anschaffung von Software

Augen auf beim Software Kauf (und Miete): Diese Anforderungen muss deine Software erfüllen

Software ist das Rückgrat jedes modernen Unternehmens. Software bildet praktisch jeden Unternehmensprozess ab. Angefangen

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024