Einwilligung nach DSGVO: Anforderungen an gültige Consent-Mechanismen

Einwilligung als Rechtsgrundlage: Mächtiges Werkzeug mit hohen Hürden

Art. 6 Abs. 1 DSGVO definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die Einwilligung (lit. a) ist die bekannteste, aber keineswegs die einfachste. Im Gegenteil: Die Anforderungen an eine wirksame Einwilligung sind so hoch, dass viele Unternehmen besser beraten wären, eine andere Rechtsgrundlage zu nutzen, sofern eine verfügbar ist.

Warum ist das so? Weil die Einwilligung jederzeit widerrufbar ist. Wenn du deine gesamte Datenverarbeitung auf Einwilligungen stützt und ein nennenswerter Anteil der Betroffenen widerruft, stehst du plötzlich ohne Rechtsgrundlage da. Und weil die Nachweispflicht bei dir liegt: Du musst im Streitfall belegen, dass die Einwilligung wirksam erteilt wurde. Das erfordert eine lückenlose Dokumentation.

Trotzdem gibt es Verarbeitungen, bei denen die Einwilligung die einzig passende Rechtsgrundlage ist: Newsletter-Versand, Tracking zu Marketingzwecken, Verarbeitung besonderer Datenkategorien ohne anderweitige Rechtsgrundlage, Weitergabe von Daten an Dritte zu Werbezwecken.

Die sieben Wirksamkeitsvoraussetzungen

Eine wirksame Einwilligung nach DSGVO muss kumulativ sieben Voraussetzungen erfüllen. Fehlt eine davon, ist die Einwilligung unwirksam, und die darauf gestützte Verarbeitung rechtswidrig.

1. Freiwilligkeit

Die Einwilligung muss frei erteilt werden. Das klingt selbstverständlich, ist aber in der Praxis das Kriterium, an dem die meisten Einwilligungen scheitern. Freiwilligkeit bedeutet, dass die betroffene Person eine echte Wahl hat und die Einwilligung ohne Nachteile verweigern kann.

Kein Machtungleichgewicht ausnutzen: Im Verhältnis Arbeitgeber zu Arbeitnehmer ist die Freiwilligkeit besonders kritisch. Wenn der Arbeitgeber um Einwilligung bittet, kann der Arbeitnehmer faktisch schlecht nein sagen, auch wenn er theoretisch könnte. Deshalb akzeptieren die Aufsichtsbehörden Einwilligungen im Arbeitsverhältnis nur in Ausnahmefällen als wirksam, etwa bei einer freiwilligen Gehaltsumwandlung, bei der der Arbeitnehmer einen echten Vorteil hat.

Koppelungsverbot (Art. 7 Abs. 4): Du darfst eine Leistung nicht davon abhängig machen, dass die betroffene Person in eine Datenverarbeitung einwilligt, die für die Erbringung der Leistung nicht erforderlich ist. Klassisches Beispiel: Ein Online-Shop darf den Kaufabschluss nicht davon abhängig machen, dass der Kunde dem Newsletter-Versand zustimmt. Der Kauf funktioniert ohne Newsletter, also darf die Einwilligung zum Newsletter keine Voraussetzung für den Kauf sein.

Keine Nachteile bei Verweigerung: Die betroffene Person darf durch die Verweigerung der Einwilligung keine Nachteile erleiden. "Wenn du nicht einwilligst, kannst du unsere Grundfunktionen nicht nutzen" ist nur zulässig, wenn die Datenverarbeitung für die Grundfunktionen tatsächlich erforderlich ist. Dann brauchst du aber keine Einwilligung, sondern stützt dich auf Art. 6 Abs. 1 lit. b (Vertragserfüllung).

2. Informiertheit

Die betroffene Person muss wissen, worin sie einwilligt. Das erfordert, dass du vor der Einwilligung klar und verständlich informierst über:

• Die Identität des Verantwortlichen (Wer verarbeitet die Daten?)
• Den Zweck der Verarbeitung (Wofür werden die Daten genutzt?)
• Die Art der Daten, die verarbeitet werden
• Das Recht auf jederzeitigen Widerruf
• Gegebenenfalls: Risiken einer Datenübermittlung in Drittstaaten ohne Angemessenheitsbeschluss

Die Information muss in klarer, einfacher Sprache verfasst sein (Art. 7 Abs. 2). Juristendeutsch auf kleinster Schriftgröße versteckt in den AGB erfüllt diese Anforderung nicht. Die Information muss so gestaltet sein, dass ein durchschnittlicher Nutzer sie versteht und wahrnimmt.

3. Unmissverständlichkeit

Die Einwilligung muss durch eine "unmissverständlich abgegebene Willensbekundung" erfolgen. Das bedeutet: Es muss eindeutig erkennbar sein, dass die betroffene Person einwilligt und was sie damit meint. Keine Einwilligung durch Schweigen, keine Einwilligung durch Untätigkeit, keine vorangekreuzten Checkboxen.

Der Europäische Gerichtshof (EuGH) hat in seinem Planet49-Urteil (C-673/17) klargestellt: Ein voreingestelltes Häkchen, das der Nutzer aktiv abwählen muss (Opt-out), ist keine wirksame Einwilligung. Nur ein aktives Setzen des Häkchens durch den Nutzer (Opt-in) erfüllt die Anforderung.

4. Bestimmtheit (für den bestimmten Fall)

Die Einwilligung muss sich auf einen bestimmten Verarbeitungszweck beziehen. Eine Pauschaleinwilligung ("Ich willige in die Verarbeitung meiner Daten ein") ist unwirksam. Du musst jeden Zweck separat benennen und, wenn du mehrere Zwecke verfolgst, für jeden Zweck eine separate Einwilligung einholen (Granularität).

Beispiel: Wenn du sowohl einen Newsletter versenden als auch personalisierte Werbung ausspielen möchtest, brauchst du zwei separate Einwilligungen, nicht eine Sammeleinwilligung für beides. Die betroffene Person muss die Möglichkeit haben, dem Newsletter zuzustimmen, aber die personalisierte Werbung abzulehnen.

5. Eindeutige bestätigende Handlung

Die Einwilligung muss durch eine aktive Handlung erteilt werden: ein Häkchen setzen, einen Button klicken, eine mündliche Erklärung abgeben, eine Unterschrift leisten. Bloßes Weitersurfen auf einer Website ist keine aktive Handlung und damit keine wirksame Einwilligung. Auch das bloße Schließen eines Cookie-Banners durch Klick auf "X" wird von den meisten Aufsichtsbehörden nicht als Einwilligung gewertet.

6. Widerrufbarkeit

Art. 7 Abs. 3 DSGVO verlangt, dass die Einwilligung jederzeit widerrufen werden kann und dass der Widerruf genauso einfach sein muss wie die Erteilung. Dieser Grundsatz wird in der Praxis massiv verletzt.

Häufige Verstöße:

• Einwilligung per Klick, Widerruf nur per Brief an die Geschäftsführung
• Einwilligung auf der Website, Widerruf nur telefonisch zu Bürozeiten
• Einwilligung mit einem Klick, Widerruf über ein dreiseitiges Formular
• Newsletter-Anmeldung in Sekunden, Abmeldung erfordert Login und Navigation durch fünf Unterseiten

Richtig umgesetzt: Wenn die Einwilligung per Klick auf einer Website erteilt wird, muss der Widerruf ebenfalls per Klick auf derselben Website möglich sein. Ein Abmelde-Link in jeder Newsletter-E-Mail ist das Minimum.

Wirkung des Widerrufs: Der Widerruf wirkt nur für die Zukunft. Die Verarbeitung, die vor dem Widerruf auf Basis der Einwilligung erfolgt ist, bleibt rechtmäßig (Art. 7 Abs. 3 Satz 2).

7. Form und Nachweisbarkeit

Die DSGVO schreibt keine bestimmte Form für die Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Aber: Du trägst die Nachweispflicht (Art. 7 Abs. 1). Im Streitfall musst du belegen können:

• Wer hat eingewilligt (Identität der betroffenen Person)?
• Wann wurde eingewilligt (Zeitstempel)?
• Worin wurde eingewilligt (exakter Wortlaut der Einwilligungserklärung)?
• Wie wurde eingewilligt (Mechanismus: Checkbox, Button, Unterschrift)?
• Welche Informationen lagen zum Zeitpunkt der Einwilligung vor?

Bei elektronischen Einwilligungen bedeutet das: Speichere nicht nur das Ergebnis ("eingewilligt: ja"), sondern den gesamten Kontext: Zeitstempel, IP-Adresse, User-Agent, Versionsnummer der Einwilligungserklärung, Versionsnummer der Datenschutzerklärung. In ISMS Lite lässt sich der Einwilligungsstatus pro Zweck und Person revisionssicher dokumentieren, inklusive Versionshistorie und Widerrufsnachweis.

Besondere Kategorien: Ausdrückliche Einwilligung nach Art. 9

Für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, biometrische Daten, Daten zur sexuellen Orientierung, zur Gewerkschaftszugehörigkeit etc.) reicht eine "einfache" Einwilligung nicht aus. Art. 9 Abs. 2 lit. a verlangt eine "ausdrückliche" Einwilligung.

Was bedeutet "ausdrücklich" im Unterschied zu "unmissverständlich"? Die herrschende Meinung geht davon aus, dass eine ausdrückliche Einwilligung einen höheren Bestimmtheitsgrad erfordert. Die betroffene Person muss sich bewusst sein, dass sie in die Verarbeitung besonders sensibler Daten einwilligt. Das bedeutet:

• Die besonderen Kategorien müssen explizit benannt werden
• Die Risiken der Verarbeitung sollten hervorgehoben werden
• Die Einwilligung sollte separat von anderen Einwilligungen eingeholt werden
• Eine Schriftform oder ein vergleichbar dokumentiertes Verfahren ist empfehlenswert

Einwilligung von Minderjährigen

Art. 8 DSGVO regelt die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaft (z. B. Social Media, Online-Spiele, Apps). Die Altersgrenze liegt bei 16 Jahren, wobei die Mitgliedstaaten sie auf bis zu 13 Jahre absenken können. Deutschland hat von dieser Möglichkeit keinen Gebrauch gemacht und die Grenze bei 16 Jahren belassen.

Für Kinder unter 16 Jahren muss der Träger der elterlichen Verantwortung die Einwilligung erteilen oder ihr zustimmen. Du musst "unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen", um zu überprüfen, ob die Zustimmung tatsächlich vom Träger der elterlichen Verantwortung erteilt wurde.

In der Praxis ist das eine der schwierigsten Anforderungen der DSGVO, weil eine zuverlässige Altersverifikation im Internet technisch kaum umsetzbar ist.

Typische Fehler bei Einwilligungen

Einwilligung als Standard-Rechtsgrundlage

Viele Unternehmen setzen reflexartig auf Einwilligung, obwohl eine andere Rechtsgrundlage tragfähiger wäre. Für die Verarbeitung von Kundendaten zur Vertragserfüllung brauchst du keine Einwilligung. Dein Verarbeitungsverzeichnis sollte für jede Tätigkeit die passende Rechtsgrundlage dokumentieren. Für die Verarbeitung von Mitarbeiterdaten zur Lohnabrechnung brauchst du keine Einwilligung. Für die Verarbeitung auf Basis berechtigter Interessen brauchst du keine Einwilligung. Prüfe immer zuerst, ob eine andere Rechtsgrundlage einschlägig ist. Die Einwilligung ist das Auffangnetz, nicht die erste Wahl.

Sammeleinwilligung für alles

"Ich willige in die Verarbeitung meiner personenbezogenen Daten gemäß der Datenschutzerklärung ein." Dieser Satz steht noch immer auf zahllosen Formularen und ist als Einwilligung wertlos. Er benennt keinen bestimmten Zweck, er verweist nur pauschal auf die Datenschutzerklärung, und er bietet keine Granularität.

Vorangekreuzte Checkboxen

Nach dem Planet49-Urteil des EuGH sollte das eigentlich jedem klar sein, aber vorangekreuzte Checkboxen finden sich weiterhin in der Praxis. Sie sind keine wirksame Einwilligung. Das gilt auch für Slider, die standardmäßig auf "an" stehen.

Einwilligung im Kleingedruckten

Die Einwilligungserklärung versteckt in einem langen Fließtext, den niemand liest, erfüllt die Anforderung der Informiertheit nicht. Die Einwilligung muss von anderen Erklärungen (AGB, Nutzungsbedingungen) klar unterscheidbar sein (Art. 7 Abs. 2).

Widerruf erschweren

Ein Abmelde-Link ganz unten in der E-Mail, in 6-Punkt-Schrift, grau auf hellgrau? Ein Widerrufsprozess, der Login, Passwort-Reset, Navigation durch drei Untermenüs und Bestätigung per E-Mail erfordert? Das sind keine zulässigen Widerrufsmechanismen. Der Widerruf muss genauso einfach sein wie die Erteilung.

Kein Nachweis der Einwilligung

"Der Kunde hat am Telefon zugestimmt." Ohne Aufzeichnung, ohne Zeuge, ohne Dokumentation? Das reicht nicht. Wenn du keine Nachweise hast, hast du keine Einwilligung. Die Nachweispflicht liegt bei dir, und die Aufsichtsbehörde wird im Zweifelsfall davon ausgehen, dass keine wirksame Einwilligung vorliegt.

Einwilligung und Consent Management Platforms (CMP)

Für die Einholung und Verwaltung von Einwilligungen auf Websites und in Apps haben sich Consent Management Platforms (CMPs) etabliert. Sie steuern die Cookie-Banner und Einwilligungsdialoge und dokumentieren die erteilten und verweigerten Einwilligungen.

Eine gute CMP erfüllt folgende Anforderungen:

• Granularität: Separate Einwilligung für jeden Zweck (funktional, Analyse, Marketing)
• Kein Nudging: Der "Ablehnen"-Button ist genauso prominent wie der "Akzeptieren"-Button
• Vollständige Information: Name und Zweck jedes Cookies und Tracking-Dienstes werden offengelegt
• Einfacher Widerruf: Die Einstellungen lassen sich jederzeit ändern, idealerweise über ein dauerhaft sichtbares Icon
• Lückenlose Dokumentation: Jede Einwilligung und jede Ablehnung wird mit Zeitstempel und Kontext gespeichert
• TCF-Kompatibilität: Unterstützung des Transparency and Consent Framework des IAB Europe (für programmatische Werbung relevant)

Die Auswahl und Konfiguration der CMP ist ein eigenständiges Thema, das im Artikel zum Cookie-Banner und Consent Management vertieft wird.

Einwilligung im E-Mail-Marketing

Das E-Mail-Marketing ist der Bereich, in dem die Einwilligung am häufigsten zum Einsatz kommt. Neben der DSGVO ist hier auch das Gesetz gegen den unlauteren Wettbewerb (UWG) und die ePrivacy-Richtlinie relevant.

Double Opt-in als Standard: Im deutschen Rechtsraum hat sich das Double-Opt-in-Verfahren als Best Practice etabliert. Der Nutzer gibt seine E-Mail-Adresse ein (erster Opt-in), erhält eine Bestätigungs-E-Mail und klickt auf den Bestätigungslink (zweiter Opt-in). Erst nach dem zweiten Opt-in ist die Einwilligung wirksam. Das Double-Opt-in schützt vor Missbrauch (jemand trägt eine fremde E-Mail-Adresse ein) und liefert gleichzeitig einen belastbaren Nachweis der Einwilligung.

Was du dokumentieren musst:

• Zeitpunkt der Anmeldung (erster Opt-in)
• IP-Adresse bei der Anmeldung
• Zeitpunkt der Bestätigung (zweiter Opt-in)
• IP-Adresse bei der Bestätigung
• Wortlaut der Einwilligungserklärung zum Zeitpunkt der Anmeldung
• Wortlaut der Bestätigungs-E-Mail

Abmeldung: Jede Marketing-E-Mail muss einen funktionierenden Abmeldelink enthalten. Die Abmeldung muss mit einem Klick möglich sein, ohne Login oder weitere Hürden. Seit 2024 verlangen Gmail und Yahoo zusätzlich die Unterstützung des List-Unsubscribe-Headers für Massen-E-Mails.

Einwilligung in der Mitarbeiterkommunikation

Im Arbeitsverhältnis ist die Einwilligung als Rechtsgrundlage besonders problematisch, weil die Freiwilligkeit aufgrund des Abhängigkeitsverhältnisses regelmäßig infrage steht. Trotzdem gibt es Fälle, in denen eine Einwilligung im Arbeitsverhältnis wirksam sein kann:

• Veröffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite
• Teilnahme an einem freiwilligen Mitarbeiter-Bonusprogramm mit Gesundheitsdaten
• Nutzung eines privaten Endgeräts für dienstliche Zwecke (BYOD)

Voraussetzung ist immer, dass die Verweigerung der Einwilligung tatsächlich nachteilsfrei bleibt. Wenn die Verweigerung der Foto-Einwilligung dazu führt, dass der Mitarbeiter beim nächsten Beförderungsgespräch schlechter bewertet wird, war die Einwilligung nicht freiwillig.

Checkliste: Wirksame Einwilligung prüfen

Bevor du eine Einwilligung einholst, prüfe jeden der folgenden Punkte:

• Gibt es eine alternative Rechtsgrundlage, die ohne Einwilligung auskommt?
• Ist die Einwilligung tatsächlich freiwillig und nachteilsfrei ablehnbar?
• Wird jeder Verarbeitungszweck separat und bestimmt benannt?
• Ist die Information über die Verarbeitung klar, verständlich und vollständig?
• Erfordert die Einwilligung eine aktive Handlung (kein Opt-out)?
• Ist der Widerruf genauso einfach wie die Erteilung?
• Wird die Einwilligung lückenlos und revisionssicher dokumentiert?
• Bei besonderen Datenkategorien: Wird eine ausdrückliche Einwilligung eingeholt?
• Bei Minderjährigen: Wird die Zustimmung des Erziehungsberechtigten geprüft?
• Wird die betroffene Person vor der Einwilligung über das Widerrufsrecht informiert?

Wenn du alle Punkte mit Ja beantworten kannst, ist deine Einwilligung auf einem soliden Fundament. Wenn nicht, überarbeite den Einwilligungsmechanismus, bevor du ihn einsetzt.

Weiterführende Artikel

• Betroffenenrechte umsetzen: Auskunft, Löschung und Datenportabilität
• Cookie-Banner und Consent Management: Rechtssichere Umsetzung
• Datenschutz-Folgenabschätzung (DSFA): Wann nötig und wie durchführen
• Verarbeitungsverzeichnis (VVA) nach Art. 30 DSGVO erstellen
• Löschkonzept nach DSGVO: Aufbewahrungsfristen, Löschregeln und Umsetzung

Die Einwilligung ist ein mächtiges Instrument, das mit Sorgfalt eingesetzt werden will. Richtig umgesetzt, gibt sie betroffenen Personen echte Kontrolle über ihre Daten und dir eine belastbare Rechtsgrundlage. Falsch umgesetzt, ist sie ein juristisches Risiko, das bei der nächsten Aufsichtsprüfung oder dem nächsten Beschwerdefall zum Problem wird.