Einwilligung nach DSGVO: Anforderungen, Beispiele & Praxiswissen

Kaum ein datenschutzrechtlicher Begriff ist in der Praxis so präsent wie die Einwilligung. Ob beim Besuch einer Website, beim Abonnieren eines Newsletters oder beim Betreten eines Unternehmensgebäudes mit Videokameras – immer wieder werden Sie um Ihre Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten gebeten. Doch was steckt rechtlich hinter diesem „Ja“ zur Datennutzung?

Die Einwilligung ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO), weil sie es dem Betroffenen ermöglicht, selbst über die Verwendung seiner Daten zu entscheiden. Sie ist ein Ausdruck der informationellen Selbstbestimmung – also des Rechts, über die Preisgabe und Verwendung persönlicher Daten eigenverantwortlich zu bestimmen. Allerdings ist sie nicht immer notwendig und auch nicht in jeder Situation die rechtlich beste Wahl. Gerade im unternehmerischen Alltag wird oft vorschnell zur Einwilligung gegriffen – dabei gibt es oft andere Erlaubnistatbestände, die besser passen.

Praxisbeispiele: Wann wird überhaupt eine Einwilligung eingeholt?

Einige typische Fälle, in denen eine Einwilligung erforderlich oder üblich ist:

• Ein Unternehmen möchte einem Kunden regelmäßig Werbe-E-Mails zusenden – dafür braucht es eine ausdrückliche Zustimmung.
• Eine Arztpraxis verarbeitet besonders sensible Gesundheitsdaten – das geht in vielen Fällen nur mit Einwilligung.
• Auf Websites werden Cookies zu Marketing- oder Analysezwecken gesetzt – auch hier ist eine vorherige Zustimmung Pflicht.
• Ein Fitnessstudio möchte Fotos von Mitgliedern auf Social Media posten – ohne Einwilligung? Problematisch.

Aber: Nicht jede Datenverarbeitung muss auf einer Einwilligung beruhen. Und nicht jede Einwilligung ist automatisch wirksam.

Abgrenzung: Einwilligung vs. Vertragserfüllung und berechtigtes Interesse

Neben der Einwilligung kennt die DSGVO noch weitere rechtliche Grundlagen für die Verarbeitung personenbezogener Daten. Zwei davon spielen in der Praxis eine besonders wichtige Rolle:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn Daten notwendig sind, um einen Vertrag zu erfüllen, braucht es keine gesonderte Einwilligung. Beispiel: Ihre Adresse wird beim Online-Shopping verarbeitet, um das Paket zuzustellen – das ist durch den Vertrag abgedeckt.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Unternehmen dürfen Daten auch dann verarbeiten, wenn sie ein berechtigtes Interesse daran haben – etwa zur Betrugsprävention oder zur Verbesserung ihrer Dienstleistungen. Voraussetzung: Es dürfen keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Gerade diese Abgrenzung ist in der Praxis oft entscheidend: Eine Einwilligung sollte nicht aus reiner Vorsicht eingeholt werden, wenn eigentlich eine andere rechtliche Grundlage greift. Denn eine Einwilligung kann widerrufen werden – das macht sie rechtlich weniger stabil.

Übersicht: 

Rechtlicher Rahmen: Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
Voraussetzungen für eine wirksame Einwilligung
Wann ist eine Einwilligung nicht freiwillig?
Widerruf der Einwilligung
Informationspflichten im Zusammenhang mit der Einwilligung
Beweislast und Dokumentation
Einwilligung vs. berechtigtes Interesse
Praxis-Tipps für Unternehmen
Fazit

Rechtlicher Rahmen: Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Wo ist die Einwilligung geregelt?

Die wichtigste Rechtsgrundlage für die datenschutzrechtliche Einwilligung finden Sie in Art. 6 Abs. 1 lit. a DSGVO. Dort heißt es sinngemäß:

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben hat.

Diese Regelung stellt klar: Eine Einwilligung ist kein Selbstzweck, sondern eine von mehreren möglichen Rechtsgrundlagen für die Datenverarbeitung. Sie schafft aber nur dann eine rechtmäßige Grundlage, wenn sie bestimmten Anforderungen genügt – insbesondere hinsichtlich Freiwilligkeit, Informiertheit und Nachweisbarkeit.

Zusätzlich ist die Einwilligung in Art. 4 Nr. 11 DSGVO legal definiert. Dort steht, dass eine Einwilligung jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung ist. Sie kann schriftlich, elektronisch oder in anderer Weise erfolgen – entscheidend ist, dass der Wille eindeutig erkennbar ist.

Weitere wichtige Regelungen zur Einwilligung finden sich in:

• Art. 7 DSGVO (Form, Nachweis, Widerruf),
• Art. 8 DSGVO (Einwilligung von Kindern bei Diensten der Informationsgesellschaft),
• Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei besonderen Kategorien personenbezogener Daten, z. B. Gesundheitsdaten).

Bedeutung im Zusammenspiel mit anderen Erlaubnistatbeständen

Die DSGVO enthält insgesamt sechs gleichrangige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 DSGVO). Die Einwilligung ist dabei nur eine Möglichkeit unter mehreren. In der Praxis sollte daher stets geprüft werden, ob eine Einwilligung überhaupt notwendig oder sinnvoll ist.

Hier ein Überblick zum Zusammenspiel:

• Einwilligung (lit. a): Wenn keine andere Rechtsgrundlage greift oder wenn besonders sensible Daten verarbeitet werden sollen. Sie ist flexibel, aber widerruflich.
• Vertragserfüllung (lit. b): Liegt vor, wenn die Datenverarbeitung zur Durchführung eines Vertrags oder zur Anbahnung notwendig ist – etwa bei Online-Bestellungen oder Dienstleistungsverträgen.
• Rechtliche Verpflichtung (lit. c): Betrifft etwa die Pflicht zur Aufbewahrung von Rechnungen nach Steuerrecht.
• Lebenswichtige Interessen (lit. d): Nur in Ausnahmefällen relevant, etwa bei medizinischen Notfällen.
• Wahrnehmung öffentlicher Aufgaben (lit. e): Relevant für Behörden und öffentliche Stellen.
• Berechtigtes Interesse (lit. f): Gilt häufig für wirtschaftliche Interessen, aber nur, wenn keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Ein häufiger Fehler in der Praxis ist es, vorschnell auf die Einwilligung zu setzen, obwohl z. B. ein Vertrag oder ein berechtigtes Interesse die Datenverarbeitung tragen könnte. Das Problem: Wird eine Einwilligung eingeholt, obwohl sie rechtlich gar nicht notwendig wäre, unterwerfen Sie sich freiwillig den strengeren Regeln – etwa der jederzeit möglichen Widerrufsmöglichkeit.

Daher lautet eine zentrale Empfehlung im Datenschutzrecht:

Prüfen Sie immer zuerst, ob eine andere Rechtsgrundlage tragfähig ist – die Einwilligung sollte die „letzte Option“ sein, nicht die erste.

nach oben

Voraussetzungen für eine wirksame Einwilligung

Damit eine Einwilligung nach der Datenschutz-Grundverordnung (DSGVO) überhaupt als gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten dient, muss sie bestimmte Mindestanforderungen erfüllen. Diese Voraussetzungen ergeben sich im Wesentlichen aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a und Art. 7 DSGVO. Liegt nur ein einziger Mangel vor, ist die gesamte Einwilligung unwirksam – mit weitreichenden Folgen für die Zulässigkeit der Datenverarbeitung.

1. Freiwilligkeit

Die Einwilligung muss freiwillig erfolgen. Das bedeutet: Die betroffene Person muss eine echte Wahlfreiheit haben. Es darf kein Zwang, keine Abhängigkeit und kein übermäßiger Druck bestehen.

Ein typisches Problem in der Praxis ist das sogenannte Kopplungsverbot: Wenn Sie z. B. ein Gewinnspiel nur dann durchführen dürfen, wenn der Nutzer gleichzeitig der Verarbeitung seiner Daten zu Werbezwecken zustimmt, kann die Einwilligung unter Umständen (siehe hierzu auch OLG Frankfurt, 27.06.2019 - 6 U 6/19) nicht mehr als freiwillig gelten – denn der Nutzer „willigt ein“, um am Gewinnspiel teilnehmen zu dürfen.

Auch im Arbeitsverhältnis ist die Freiwilligkeit problematisch. Aufgrund des bestehenden Machtgefälles zwischen Arbeitgeber und Arbeitnehmer wird häufig angezweifelt, ob die Einwilligung tatsächlich ohne Druck erfolgt ist. In solchen Fällen empfiehlt es sich, auf andere Rechtsgrundlagen wie z. B. berechtigte Interessen oder die Vertragserfüllung auszuweichen.

2. Informiertheit

Die betroffene Person muss vollständig informiert sein, bevor sie ihre Einwilligung erteilt. Das bedeutet: Sie müssen alle relevanten Informationen in klarer, verständlicher und zugänglicher Form zur Verfügung stellen.

Zu den Mindestangaben gehören insbesondere:

• Wer ist Verantwortlicher?
• Welche Daten werden verarbeitet?
• Für welchen Zweck?
• Besteht eine Weitergabe an Dritte oder eine Übermittlung ins Ausland?
• Besteht ein Widerrufsrecht?

Nur wenn die betroffene Person versteht, worauf sie sich einlässt, kann sie eine wirksame Einwilligung abgeben. Und: Die Informationen müssen vor der Abgabe der Einwilligung erfolgen – nicht danach.

3. Eindeutige Handlung / Unmissverständlichkeit

Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen. Das bedeutet: Schweigen, Inaktivität oder bereits angekreuzte Kästchen reichen nicht aus.

Zulässig ist z. B.:

• das aktive Anklicken eines Kästchens („Opt-in“),
• das Tippen auf einen Zustimmungsbutton („Ich bin einverstanden“),
• das Unterschreiben einer Einwilligungserklärung.

Nicht zulässig ist z. B.:

• das vorangekreuzte Kästchen,
• die Annahme der Einwilligung durch bloßes Weiterlesen auf einer Website,
• eine automatische Zustimmung durch Nutzung eines Dienstes, ohne dass zuvor aktiv etwas bestätigt wurde.

4. Nachweisbarkeit

Nach Art. 7 Abs. 1 DSGVO trägt der Verantwortliche die Beweislast für die wirksame Einwilligung. Das bedeutet: Sie müssen jederzeit nachweisen können, wann, wie und unter welchen Umständen eine Person eingewilligt hat.

In der Praxis empfiehlt sich deshalb:

• eine systematische Dokumentation der Einwilligung (z. B. durch Zeitstempel und IP-Adresse),
• die Speicherung der konkreten Einwilligungserklärung im Wortlaut,
• eine Versionierung bei Änderungen der Erklärung.

Ohne ausreichenden Nachweis können Aufsichtsbehörden im Fall einer Kontrolle Bußgelder verhängen – selbst wenn eine Einwilligung inhaltlich eigentlich vorlag.

5. Schriftlichkeit vs. elektronische Einwilligung

Eine Einwilligung muss nicht zwingend schriftlich erfolgen. Auch elektronische Formen sind nach der DSGVO ausdrücklich erlaubt – wichtig ist allein, dass die oben genannten Anforderungen eingehalten werden.

Typische zulässige Formen sind:

• Checkboxen bei Online-Formularen,
• Touchscreen-Bestätigungen,
• E-Mail-Einwilligungen mit Verifizierungslink („Double Opt-in“),
• digitale Unterschriften.

Achtung: Die gewählte Form muss es ermöglichen, die Einwilligung nachvollziehbar zu dokumentieren und bei Bedarf auch wiederzufinden.

6. Besondere Anforderungen bei Kindern (Art. 8 DSGVO)

Wenn es um Dienste der Informationsgesellschaft (z. B. soziale Netzwerke, Apps, Spieleplattformen) geht, die sich gezielt an Kinder richten, gelten zusätzliche Anforderungen.

Nach Art. 8 DSGVO ist eine Einwilligung nur wirksam, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind jünger, bedarf es der Zustimmung der Eltern bzw. der Erziehungsberechtigten.

Der Verantwortliche muss angemessene Anstrengungen unternehmen, um sicherzustellen, dass die Einwilligung tatsächlich von den Eltern erteilt wurde. Das kann z. B. durch Altersabfragen, Verifizierungsmethoden oder Kontroll-E-Mails geschehen.

nach oben

Wann ist eine Einwilligung nicht freiwillig?

Die Freiwilligkeit ist eine der zentralen Voraussetzungen für eine wirksame Einwilligung nach der DSGVO. Fehlt sie, ist die gesamte Einwilligung unwirksam – und die Datenverarbeitung rechtswidrig.

Doch was bedeutet „freiwillig“ konkret? Und wann ist diese Voraussetzung nicht erfüllt? Die Antwort hängt stark von den konkreten Umständen des Einzelfalls ab, insbesondere davon, ob ein erkennbares Ungleichgewicht zwischen den Beteiligten besteht oder die betroffene Person faktisch keine echte Wahl hat.

Kopplungsverbot und wirtschaftlicher Druck

Ein Einwilligungserfordernis wird dann problematisch, wenn es an einer echten Entscheidungsfreiheit fehlt, weil die Einwilligung an eine Leistung oder ein Angebot gekoppelt ist. Dies wird als Kopplungsverbot bezeichnet.

Die DSGVO selbst spricht das Thema in Erwägungsgrund 43 an:

„Die Einwilligung gilt nicht als freiwillig erteilt, wenn keine echte oder freie Wahl besteht oder die Möglichkeit zur Verweigerung oder zum Widerruf der Einwilligung nicht ohne Nachteile besteht.“

Typisch ist z. B. die folgende Konstellation:
Ein Unternehmen bietet ein kostenloses E-Book an, allerdings nur, wenn Sie zugleich der Nutzung Ihrer Daten zu Werbezwecken zustimmen. In diesem Fall ist fraglich, ob die Einwilligung wirklich freiwillig ist – insbesondere dann, wenn das E-Book nicht auch alternativ ohne Werbeeinwilligung erhältlich ist.

Noch deutlicher wird es bei kostenpflichtigen Leistungen:
Wenn ein Anbieter etwa den Abschluss eines Vertrags über eine kostenpflichtige Dienstleistung davon abhängig macht, dass die Nutzer zusätzlich der weiteren Nutzung ihrer Daten zu anderen Zwecken (z. B. Profilbildung oder Datenweitergabe) zustimmen, fehlt es regelmäßig an Freiwilligkeit. Die Einwilligung ist dann nicht wirksam.

Beispiel: Einwilligung zur Datenverarbeitung bei Gewinnspielen oder Vertragsabschlüssen

Ein Klassiker aus der Praxis:
Ein Nutzer nimmt an einem Online-Gewinnspiel teil – aber nur, wenn er zuvor der Nutzung seiner Daten zu Werbezwecken zustimmt. Auch hier stellt sich die Frage:
Wird hier eine echte Wahl geboten? Oder nutzt der Veranstalter das Interesse am Gewinnspiel aus, um Daten für ganz andere Zwecke zu sammeln?

Nach Ansicht vieler Aufsichtsbehörden ist in solchen Fällen die Einwilligung nicht freiwillig, weil ein wirtschaftlicher Anreiz („Chance auf Gewinn“) gegen den Datenschutz abgewogen wird (siehe hierzu aber Gegenansicht des OLG Frankfurt, 27.06.2019 - 6 U 6/19). Wenn der Zweck der Datenverarbeitung nicht unmittelbar mit der Teilnahme am Gewinnspiel verknüpft ist, liegt häufig ein Verstoß gegen das Kopplungsverbot vor.

Anderes gilt dagegen, wenn die Einwilligung tatsächlich notwendig für die Durchführung des Gewinnspiels ist – etwa zur Kontaktaufnahme im Gewinnfall. Hier wäre die Einwilligung ausnahmsweise zulässig, aber sie darf sich dann nur auf diesen konkreten Zweck beschränken.

Arbeitsverhältnis und Abhängigkeitsverhältnis

Ein besonders sensibler Bereich ist das Arbeitsverhältnis. Aufgrund des strukturellen Machtungleichgewichts zwischen Arbeitgeber und Arbeitnehmer wird die Freiwilligkeit einer Einwilligung hier besonders kritisch betrachtet.

Beispiel:
Ein Arbeitgeber bittet seine Beschäftigten um Einwilligung, damit er Fotos von der Weihnachtsfeier auf der Firmenhomepage veröffentlichen darf. Auch wenn es freundlich gefragt wird – viele Mitarbeiter könnten sich unter Druck gesetzt fühlen, weil sie Nachteile befürchten, wenn sie „Nein“ sagen.

Die DSGVO erkennt dieses Problem an: Erwägungsgrund 43 stellt klar, dass in „Fällen eines eindeutigen Ungleichgewichts zwischen der betroffenen Person und dem Verantwortlichen“ eine Einwilligung in der Regel nicht als freiwillig gilt.

Deshalb gilt im Arbeitsverhältnis:

• Eine Einwilligung muss besonders sorgfältig formuliert und eingeholt werden.
• Sie darf nicht Voraussetzung für die Beschäftigung oder Vergütung sein.
• Es sollten Alternativen angeboten werden („Wer nicht einwilligt, wird nicht benachteiligt“).
• Die Arbeitnehmer müssen jederzeit ohne negative Folgen widerrufen können.

In vielen Fällen ist es daher besser, auf eine Einwilligung zu verzichten und die Datenverarbeitung auf andere Rechtsgrundlagen wie § 26 BDSG oder Art. 6 Abs. 1 lit. f DSGVO zu stützen – insbesondere, wenn ein legitimes Interesse des Arbeitgebers vorliegt und die Rechte der Beschäftigten gewahrt bleiben.

nach oben

Widerruf der Einwilligung

Die Datenschutz-Grundverordnung gibt betroffenen Personen nicht nur die Kontrolle darüber, ob ihre Daten verarbeitet werden, sondern auch die Möglichkeit, eine einmal erteilte Einwilligung jederzeit wieder zurückzunehmen. Das ist ein wesentlicher Bestandteil des Grundsatzes der Selbstbestimmung, auf dem das moderne Datenschutzrecht aufbaut.

Rechtlicher Hintergrund (Art. 7 Abs. 3 DSGVO)

Die zentrale Norm für den Widerruf einer Einwilligung findet sich in Art. 7 Abs. 3 DSGVO. Dort heißt es wörtlich:

„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf Grundlage der Einwilligung bis zum Widerruf erfolgt ist.“

Das bedeutet:

• Der Widerruf ist jederzeit und ohne Begründung möglich.
• Es darf keine Nachteile für die betroffene Person geben.
• Der Verantwortliche muss vorab auf das Widerrufsrecht hinweisen – in klarer und einfacher Sprache.
• Der Widerruf muss so einfach wie die Einwilligung sein.

Wenn Sie z. B. auf einer Website über eine Checkbox in die Verarbeitung Ihrer Daten zu Werbezwecken eingewilligt haben, darf der Widerruf nicht komplizierter sein – etwa durch das Ausfüllen eines umfangreichen Formulars oder durch das Senden eines Schreibens per Post. Ein Klick muss genügen, wenn auch der ursprüngliche Klick zur Einwilligung ausreichte.

Form und Folgen des Widerrufs

Die DSGVO schreibt keine bestimmte Form für den Widerruf vor. Er kann

• schriftlich,
• elektronisch (z. B. per E-Mail oder Online-Formular),
• oder sogar mündlich erfolgen – wobei die Beweissituation dann unklar sein kann.

Für die Praxis empfiehlt sich:

• Bereitstellung eines klar sichtbaren Widerrufs-Links (z. B. in E-Mails oder Benutzerkonten),
• eine automatisierte Widerrufsfunktion (z. B. im Cookie-Banner oder Newsletter),
• eine dokumentierte Verarbeitung des Widerrufs zur Absicherung im Falle von Beschwerden oder Prüfungen durch Datenschutzbehörden.

Die Folgen des Widerrufs sind eindeutig:
Die betroffene Person verliert ab dem Zeitpunkt des Widerrufs ihre Einwilligung – und die Verarbeitung, die sich auf diese stützt, wird unzulässig. Es gibt keine Übergangsfrist.

Aber:
Der Widerruf wirkt nicht rückwirkend. Die Verarbeitung, die bis zum Widerruf aufgrund einer gültigen Einwilligung erfolgte, bleibt rechtmäßig.

Muss eine Verarbeitung dann sofort gestoppt werden?

Ja – sofern es keine andere Rechtsgrundlage gibt.
Ab dem Moment des Widerrufs darf die Datenverarbeitung nicht mehr fortgesetzt werden, wenn sie allein auf der Einwilligung beruhte. Der Verantwortliche muss die Datenverarbeitung unverzüglich beenden, ggf. gespeicherte Daten löschen, sofern keine andere Rechtsgrundlage oder Aufbewahrungspflicht besteht.

Beispiel:

• Ein Nutzer widerruft seine Einwilligung zum Erhalt eines Newsletters → Sie dürfen ihm ab sofort keine weiteren Mails mehr senden.
• Ein Besucher widerruft seine Zustimmung zu Tracking-Cookies → Sie müssen Tracking sofort deaktivieren und ggf. gesetzte Cookies löschen oder blockieren.

In der Praxis ist es daher wichtig, dass Unternehmen und Organisationen:

• technisch-organisatorische Prozesse für den Widerruf implementieren,
• sicherstellen, dass alle relevanten Systeme den Widerruf zeitnah umsetzen,
• und klare Zuständigkeiten definieren, damit kein Datenmissbrauch im Nachgang erfolgt.

nach oben

Informationspflichten im Zusammenhang mit der Einwilligung

Eine Einwilligung ist nur dann wirksam, wenn sie informiert erfolgt – das verlangt die Datenschutz-Grundverordnung ausdrücklich. Das bedeutet: Die betroffene Person muss genau wissen, in welche Verarbeitung sie einwilligt und was mit ihren Daten geschieht. Diese Informationspflicht ergibt sich nicht nur aus Art. 7 und Art. 4 DSGVO, sondern hängt eng mit dem allgemeinen Transparenzgebot der Verordnung zusammen.

Transparenzgebot (Art. 5 Abs. 1 lit. a DSGVO)

Die Pflicht zur Information gründet sich vor allem auf das Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO. Dort heißt es sinngemäß:

„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.“

Das Ziel ist klar: Jeder Mensch soll selbstbestimmt über seine Daten entscheiden können – und dazu muss er den Zweck, Umfang und Risiken der Datenverarbeitung verstehen. Eine Einwilligung ohne klare Information ist daher rechtlich bedeutungslos – selbst wenn sie formal erteilt wurde.

Transparenz bedeutet in der Praxis vor allem:

• klare, einfache Sprache (keine Juristensprache oder versteckte Klauseln),
• optisch gut lesbare Darstellung (kein „Kleingedrucktes“),
• keine missverständlichen Formulierungen oder Ablenkung vom eigentlichen Zweck.

Inhalte einer datenschutzkonformen Einwilligungserklärung

Damit eine Einwilligung informiert ist, muss sie bestimmte Mindestangaben enthalten. Diese Anforderungen ergeben sich aus einer Zusammenschau der DSGVO, insbesondere Art. 4 Nr. 11, Art. 7 und Art. 13 DSGVO sowie den Leitlinien der Datenschutzaufsichtsbehörden.

Folgende Punkte müssen in einer Einwilligungserklärung enthalten sein:

1. Identität des Verantwortlichen
   Wer verarbeitet die Daten? Name und Kontaktdaten des Unternehmens oder der Organisation.
2. Zweck der Verarbeitung
   Wofür werden die Daten benötigt? (z. B. Versand von Newslettern, Durchführung eines Gewinnspiels)
3. Art der verarbeiteten Daten
   Welche Daten werden konkret erhoben und genutzt? (z. B. E-Mail-Adresse, Standortdaten)
4. Hinweis auf Widerrufsmöglichkeit
   Wie kann die Einwilligung widerrufen werden? (inkl. Information, dass der Widerruf die bisherige Rechtmäßigkeit nicht berührt)
5. Drittlandübermittlung (falls relevant)
   Werden Daten außerhalb der EU/des EWR verarbeitet? Dann sind weitere Hinweise zur Übermittlung und zu geeigneten Garantien erforderlich.
6. Empfänger oder Kategorien von Empfängern
   Wer bekommt die Daten ggf. weitergeleitet?

Wichtig: Diese Informationen müssen vor Abgabe der Einwilligung zur Verfügung gestellt werden. Und sie müssen so gestaltet sein, dass die betroffene Person die Entscheidung zur Einwilligung bewusst und informiert treffen kann.

Unterschied zu den Informationspflichten nach Art. 13 DSGVO

Oft wird die Einwilligung mit den allgemeinen Informationspflichten nach Art. 13 DSGVO verwechselt. Tatsächlich ergänzen sich beide Regelungskomplexe, verfolgen aber unterschiedliche Ziele:

Ein Beispiel zur Unterscheidung:
Wenn Sie bei einem Online-Kauf Ihre Adresse angeben, müssen Sie nach Art. 13 DSGVO über die Datenverarbeitung informiert werden – auch wenn keine Einwilligung notwendig ist (denn die Verarbeitung erfolgt zur Vertragserfüllung).
Wenn Sie jedoch zusätzlich einen Newsletter abonnieren möchten, braucht der Händler eine Einwilligung – inklusive der zusätzlichen Information, worin diese Einwilligung besteht.

Fazit: Beide Informationspflichten bestehen nebeneinander. Wenn eine Einwilligung eingeholt wird, müssen die Informationen aus Art. 13 DSGVO vollständig integriert sein – andernfalls ist die Einwilligung nicht wirksam.

nach oben

Beweislast und Dokumentation

Die Datenschutz-Grundverordnung (DSGVO) stellt nicht nur Anforderungen an die Einwilligung selbst – sie verpflichtet den Verantwortlichen auch dazu, die Wirksamkeit einer Einwilligung jederzeit nachweisen zu können. Gerade bei Beschwerden durch Betroffene oder Prüfungen durch Datenschutzbehörden ist die Frage der Beweisbarkeit entscheidend.

Wer muss was nachweisen?

Nach Art. 7 Abs. 1 DSGVO gilt:

„Macht die Verarbeitung auf eine Einwilligung gestützt, so muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“

Das bedeutet:
Nicht die betroffene Person, sondern Sie als datenverarbeitende Stelle müssen im Zweifel belegen, dass die Einwilligung:

• tatsächlich erteilt wurde,
• sich auf einen klar definierten Zweck bezog,
• informiert, freiwillig und eindeutig war,
• jederzeit widerrufbar war.

Ein einfacher Satz wie „Der Nutzer hat zugestimmt“ reicht dabei nicht aus. Es braucht konkrete Nachweise – etwa in Form von Zeitstempeln, Logdateien oder archivierten Formularen. Je risikoreicher die Datenverarbeitung, desto höher ist die Anforderung an die Dokumentation.

Technische und organisatorische Anforderungen

Ein funktionierendes Einwilligungsmanagement braucht mehr als nur juristisch saubere Formulierungen. Es muss auch technisch und organisatorisch sichergestellt sein, dass:

• Einwilligungen korrekt erfasst und gespeichert werden,
• Widerrufe jederzeit möglich und sofort wirksam sind,
• aktuelle Versionen der Einwilligungstexte archiviert werden,
• und alle Systeme, die auf diese Daten zugreifen, entsprechend reagieren.

Praktische Maßnahmen sind z. B.:

• Einsatz eines Consent-Management-Tools (z. B. für Cookies oder Newsletter),
• Versionierung der Einwilligungstexte, um im Streitfall nachweisen zu können, was zum Zeitpunkt der Einwilligung galt,
• Protokollierung des Einwilligungsprozesses (z. B. wann, wie und über welches Endgerät die Zustimmung erfolgte),
• Implementierung von Schnittstellen, damit auch Drittsysteme (z. B. E-Mail-Tools, CRM-Systeme) über Widerrufe automatisch informiert werden.

Wichtig: Alle organisatorischen Prozesse müssen dokumentiert sein – etwa in einem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO oder einem internen Datenschutzkonzept.

Checkliste zur Einwilligungsdokumentation

Damit Sie auf der sicheren Seite sind, können Sie sich an der folgenden Checkliste orientieren. Sie dient der strukturierten Kontrolle Ihrer Einwilligungsvorgänge:

✅ Einwilligungstext gespeichert

• Ist der genaue Wortlaut der Einwilligung archiviert (inkl. Zweckangabe, Widerrufshinweis etc.)?

✅ Zeitpunkt der Einwilligung dokumentiert

• Wurde die Einwilligung mit einem genauen Zeitstempel gespeichert?

✅ Identität der betroffenen Person nachvollziehbar

• Ist dokumentiert, wer die Einwilligung abgegeben hat (z. B. durch Nutzer-ID oder E-Mail-Adresse)?

✅ Art der Zustimmung eindeutig belegt

• Gibt es einen klaren Nachweis der aktiven Handlung (z. B. Klick auf Opt-in-Button, Double-Opt-in-Bestätigung)?

✅ Widerrufsmöglichkeiten eingerichtet und dokumentiert

• Können betroffene Personen ihre Einwilligung jederzeit und einfach widerrufen?
• Wird ein Widerruf systemseitig erkannt, gespeichert und umgesetzt?

✅ Technischer Zugriff auf die Einwilligungsdaten geregelt

• Wer hat intern Zugriff auf die Einwilligungsdaten? Ist dieser Zugriff dokumentiert und geschützt?

✅ Systemübergreifende Umsetzung gewährleistet

• Wird die Einwilligung bzw. der Widerruf auch an angebundene Systeme (z. B. Newsletter-Dienstleister) automatisch übermittelt?

✅ Aufbewahrungsfrist geregelt

• Gibt es eine klare Regelung, wie lange Einwilligungen gespeichert werden?

Tipp aus der Praxis:
Nutzen Sie automatisierte Lösungen zur Einwilligungsverwaltung, insbesondere bei größeren Nutzerzahlen. Ein manuelles Verfahren ist fehleranfällig – und im Streitfall sind fehlende Nachweise oft teurer als die technische Investition in ein gutes Consent-Tool.

nach oben

Einwilligung vs. berechtigtes Interesse

Nicht jede Verarbeitung personenbezogener Daten erfordert eine Einwilligung. Die Datenschutz-Grundverordnung (DSGVO) stellt mit Art. 6 Abs. 1 lit. f DSGVO eine eigenständige Rechtsgrundlage bereit: das berechtigte Interesse. In der Praxis ist es oft die rechtlich stabilere und zugleich flexiblere Alternative zur Einwilligung – vorausgesetzt, sie wird korrekt angewendet.

Die Abgrenzung zwischen Einwilligung und berechtigtem Interesse ist nicht immer einfach, aber entscheidend. Denn: Wenn Sie unnötig auf eine Einwilligung setzen und diese nicht korrekt eingeholt oder später widerrufen wird, droht die gesamte Datenverarbeitung unzulässig zu werden.

Wann reicht das berechtigte Interesse?

Nach Art. 6 Abs. 1 lit. f DSGVO ist eine Datenverarbeitung zulässig, wenn:

1. der Verantwortliche oder ein Dritter ein berechtigtes Interesse an der Verarbeitung hat,
2. die Verarbeitung zur Wahrung dieses Interesses erforderlich ist,
3. und keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen.

Diese Abwägung muss dokumentiert und begründet erfolgen – z. B. in einem internen Vermerk oder Datenschutz-Folgenabschätzung (DSFA). Die DSGVO nennt einige Beispiele für berechtigte Interessen, etwa:

• Betrugsprävention,
• Direktwerbung (Erwägungsgrund 47 DSGVO),
• IT-Sicherheit,
• interne Verwaltungszwecke innerhalb eines Konzerns.

Wichtig: Es muss immer ein konkretes, legitimes und nachvollziehbares Interesse bestehen – reine Bequemlichkeit oder wirtschaftliche Vorteile reichen nicht aus.

Abgrenzung anhand von Beispielen

Einige typische Szenarien aus der Praxis zeigen, wann eine Einwilligung notwendig ist – und wann das berechtigte Interesse genügt:

Merke:
Einwilligungen sind immer dann erforderlich, wenn die Verarbeitung nicht notwendig, besonders invasiv oder für den Betroffenen unerwartet ist. Wenn hingegen ein sachliches, legitimes Interesse vorliegt und die Verarbeitung verhältnismäßig ist, kann auch das berechtigte Interesse ausreichen.

Typische Fehlerquellen

In der Praxis passieren regelmäßig Fehler bei der Einschätzung, welche Rechtsgrundlage einschlägig ist. Zu den häufigsten zählen:

1. Einwilligung eingeholt, obwohl gar nicht nötig
Beispiel: Sie fragen Ihre Kundinnen und Kunden bei einem Online-Kauf nach einer Einwilligung zur Speicherung der Lieferadresse – obwohl dies zur Vertragserfüllung bereits rechtmäßig ist.
→ Folge: Die Verarbeitung hängt unnötig vom Bestand der Einwilligung ab und wird angreifbar.

2. Berechtigtes Interesse ohne Abwägung angenommen
Ein häufiger Fehler ist, pauschal „berechtigtes Interesse“ als Grundlage anzunehmen, ohne eine echte Interessenabwägung durchzuführen.
→ Folge: Fehlt eine dokumentierte Abwägung, kann die Verarbeitung bei Prüfungen beanstandet werden.

3. Wechsel der Rechtsgrundlage nachträglich
Die DSGVO erlaubt keinen beliebigen „Rechtsgrundlagentausch“. Wenn Sie sich einmal auf die Einwilligung gestützt haben, können Sie nicht nachträglich auf ein berechtigtes Interesse „umschalten“, nur weil ein Nutzer widerrufen hat.
→ Folge: Die Datenverarbeitung muss ggf. vollständig eingestellt werden.

4. Kein Opt-out bei berechtigtem Interesse
Auch wenn keine Einwilligung erforderlich ist, müssen betroffene Personen nach Art. 21 DSGVO der Verarbeitung widersprechen können – etwa bei Werbung auf Grundlage berechtigter Interessen.

Praxistipp:
Prüfen Sie bei jeder Datenverarbeitung zunächst, ob das berechtigte Interesse tragfähig ist. Wenn ja, vermeiden Sie die Einholung einer Einwilligung – sie schafft zusätzliche Anforderungen und Risiken. Nur wenn keine andere Rechtsgrundlage greift, ist die Einwilligung die richtige Wahl.

nach oben

Praxis-Tipps für Unternehmen

Die rechtlichen Anforderungen an eine Einwilligung nach der DSGVO sind hoch – aber nicht unüberwindbar. Mit einer klaren Struktur, durchdachter Technik und interner Organisation lässt sich das Thema gut in den Griff bekommen. Die folgenden Praxis-Tipps helfen Unternehmen, Einwilligungen rechtskonform, effizient und sicher umzusetzen.

Gestaltung wirksamer Einwilligungen

Bei der Formulierung und Darstellung von Einwilligungen kommt es nicht nur auf den juristischen Inhalt, sondern auch auf die Benutzerfreundlichkeit an. Eine gute Einwilligung ist klar, verständlich und technisch sauber umgesetzt.

Das sollten Sie beachten:

• Verwenden Sie eine klare, einfache Sprache, die auch für Laien verständlich ist.
• Formulieren Sie konkret, für welchen Zweck die Daten verwendet werden – vermeiden Sie Pauschalformulierungen wie „zur Verbesserung unseres Services“.
• Machen Sie die Einwilligung aktiv erforderlich – z. B. durch Ankreuzen einer Checkbox (kein vorangekreuztes Häkchen!).
• Trennen Sie mehrere Zwecke in separate Einwilligungen (z. B. Werbung per E-Mail, Telefon, SMS).
• Stellen Sie sicher, dass die Einwilligung freiwillig erfolgt – insbesondere bei Gewinnspielen, Vertragsschlüssen oder im Arbeitsverhältnis.

Tipp:
Nutzen Sie bei Online-Angeboten bewährte Consent-Management-Plattformen (CMP), um Einwilligungen nachvollziehbar und rechtssicher zu verwalten.

Umgang mit Widerrufen

Ein zentrales Merkmal der Einwilligung ist das jederzeitige Widerrufsrecht. Für Unternehmen bedeutet das: Sie müssen organisatorisch und technisch darauf vorbereitet sein, schnell und vollständig auf Widerrufe zu reagieren.

So setzen Sie Widerrufe richtig um:

• Bieten Sie einen einfachen und auffindbaren Weg zum Widerruf an – z. B. einen Link in jeder E-Mail („Newsletter abbestellen“).
• Verarbeiten Sie Widerrufe zeitnah und automatisiert – idealerweise sofort.
• Stellen Sie sicher, dass alle betroffenen Systeme und Abteilungen (z. B. Marketing, Vertrieb) über den Widerruf informiert werden.
• Löschen Sie personenbezogene Daten, sofern keine andere Rechtsgrundlage oder gesetzliche Aufbewahrungspflicht besteht.
• Dokumentieren Sie den Widerruf – auch um gegenüber der Aufsichtsbehörde Rechenschaft ablegen zu können.

Wichtig:
Ein Widerruf betrifft nur die Verarbeitung ab dem Zeitpunkt des Widerrufs. Frühere Verarbeitung bleibt rechtmäßig – dies sollte auch in der Einwilligung transparent kommuniziert werden.

Umsetzung im Datenschutzmanagementsystem

Einzelne Einwilligungstexte und Checkboxen reichen nicht – Einwilligungen müssen als Bestandteil eines umfassenden Datenschutzmanagementsystems behandelt werden. Das bedeutet: Sie benötigen klare Prozesse, Zuständigkeiten und technische Lösungen.

So integrieren Sie Einwilligungen nachhaltig:

• Führen Sie ein zentrales Register aller Einwilligungen, z. B. als Teil des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
• Entwickeln Sie Vorlagen für Einwilligungstexte und stimmen Sie diese regelmäßig mit der Rechtsabteilung oder dem Datenschutzbeauftragten ab.
• Schulen Sie Mitarbeiter im Umgang mit Einwilligungen und Widerrufen – insbesondere im Kundenkontakt, Marketing und IT.
• Überprüfen Sie regelmäßig, ob die eingeholten Einwilligungen noch aktuell sind (z. B. bei Änderungen der Datenverarbeitung oder Wechsel des Verarbeitungszwecks).
• Dokumentieren Sie jede erteilte und widerrufene Einwilligung – vollständig und nachvollziehbar, z. B. mit Zeitstempel, Nutzer-ID, verwendeter Textversion.

Empfehlung:
Setzen Sie auf automatisierte Tools zur Einwilligungsverwaltung – insbesondere bei größeren Nutzerzahlen oder komplexen digitalen Geschäftsmodellen. So lassen sich Fehlerquellen minimieren und gesetzliche Anforderungen effizient erfüllen.

nach oben

Fazit

Die Einwilligung nach der DSGVO ist weit mehr als nur ein formaler Haken in einem Online-Formular. Sie ist ein zentrales Instrument des Datenschutzrechts, das den betroffenen Personen Kontrolle über ihre Daten gibt – aber gleichzeitig auch hohe Anforderungen an Unternehmen stellt, die personenbezogene Daten auf dieser Grundlage verarbeiten möchten.

Die wichtigsten Punkte in Kürze:

• Eine Einwilligung ist nur dann wirksam, wenn sie freiwillig, informiert, eindeutig und nachweisbar ist.
• Sie muss vor der Datenverarbeitung eingeholt werden und sich auf einen klar benannten Zweck beziehen.
• Die Einwilligung kann jederzeit widerrufen werden – ab diesem Moment ist eine weitere Verarbeitung unzulässig, sofern keine andere Rechtsgrundlage besteht.
• Besonders sensibel sind Konstellationen wie Tracking, Gesundheitsdaten, Social Media oder das Arbeitsverhältnis – hier ist besondere Vorsicht geboten.
• In vielen Fällen reicht das berechtigte Interesse als Rechtsgrundlage – eine Einwilligung sollte deshalb nicht vorschnell eingeholt werden.
• Unternehmen müssen jederzeit beweisen können, dass die Einwilligung wirksam eingeholt wurde – technische und organisatorische Maßnahmen zur Dokumentation sind daher unerlässlich.

Warum Sorgfalt bei der Einwilligung so entscheidend ist

Eine unzureichend gestaltete oder nicht korrekt dokumentierte Einwilligung kann schwerwiegende Folgen haben: Bußgelder, Abmahnungen, Datenlöschungen oder Imageverluste. Gleichzeitig bietet eine sauber eingeholte Einwilligung eine verlässliche Grundlage, um z. B. Werbemaßnahmen, Nutzungsanalysen oder neue Geschäftsmodelle rechtssicher umzusetzen.

Wer sich mit der Thematik gewissenhaft auseinandersetzt, schafft nicht nur Rechtssicherheit, sondern beweist auch Respekt vor dem Datenschutz und der Autonomie der Nutzer. Und genau das wird – sowohl von Verbrauchern als auch von Aufsichtsbehörden – zunehmend eingefordert.

nach oben