Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 07/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
04. Juni 2025

Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)

Bei der Verarbeitung personenbezogener Daten fordert die DSGVO eine Einwilligung der betroffenen Personen.
Bild: vladwel / iStock / Thinkstock
4,50 (2)
drucken
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Was fordert die DSGVO zur Einwilligung?

Die Einwilligung ist eine von mehreren Rechtsgrundlagen, auf die Verantwortliche sich bei ihrer Datenverarbeitung stützen können.

Sie ist allerdings nicht die beste, da eine betroffene Person ihre Einwilligung jederzeit widerrufen kann. Findet sich jedoch keine andere rechtliche Grundlage, gilt es, die folgenden Punkte zu beachten.

Informierte Einwilligung

Die Datenschutz-Grundverordnung (DSGVO) schreibt eine informierte Einwilligung vor, die sich auf eine ganz konkrete Verarbeitung von personenbezogenen Daten bezieht (Artikel 6 Absatz 1 Buchstabe a DSGVO).

Eindeutige bestätigende Handlung

Die Schriftform ist nicht notwendig. Jedoch eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Dies ist in Form einer Erklärung möglich, die auch elektronisch erfolgen kann.

Dabei müssen Verantwortliche beachten: Erst wenn der Nutzer seine  Einwilligung(en) durch eine aktive Handlung abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich stattfinden. Das müssen technische Maßnahmen gewährleisten.

Eine aktive Handlung ist im Online-Bereich etwa das Setzen von Häkchen in einem Cookie-Banner oder der Klick auf eine Schaltfläche.

Anforderungen an die Einwilligung gemäß TDDDG beim Einsatz von Cookies und bei der Einbindung von Drittdiensten

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz) verweist bezüglich der Informationspflichten gegenüber den Nutzerinnen und -nutzern und den formalen und inhaltlichen Anforderungen einer Einwilligung auf die DSGVO. Für die Beurteilung der Wirksamkeit einer Einwilligung gemäß TDDDG sind demnach dieselben Bewertungsmaßstäbe anzulegen, wie bei einer Einwilligung DSGVO.

Für Anbieter von digitalen Diensten gibt es eine Ausnahmeregelung: Danach ist keine Einwilligung notwendig, wenn der Einsatz der Cookies oder die Einbindung von Drittdiensten unbedingt erforderlich sind, damit Anbieter eines digitalen Dienstes einen vom jeweiligen Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen können.

Dienste zur Einwilligungsverwaltung

Anstatt auf jeder einzelnen Webseite mit Einwilligungs-Bannern konfrontiert zu werden, sollen Nutzerinnen und Nutzer über Dienste zur Einwilligungsverwaltung (https://www.bfdi.bund.de/DE/Fachthemen/Themen-Positionen/Einwilligungsverwaltung/Einwilligungsverwaltung_node.html) ihre Grundeinstellungen differenziert festlegen können. Diese sind dann bei jedem Aufruf einer Webseite automatisch zu berücksichtigen. Über Dienste zur Einwilligungsverwaltung sollen die Nutzerinnen und Nutzer alle Einwilligungen, die sie im Zusammenhang mit der Nutzung von Webseiten abgeben, zentral verwalten können.

Nachweispflicht

Wichtig ist in jedem Fall, dass der Verantwortliche imstande ist, die Einwilligung nachzuweisen. Ebenso muss er Widerrufe und Widersprüche zu Einwilligungen dokumentieren.

Unternehmen sollten also an entsprechende Datenfelder z.B. für Sperrkennzeichen, Einwilligungen und Widersprüche jeweils mit Datum in den betroffenen Datenbanken und Systemen denken.

Ebenso muss die Einwilligungserklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sein. Das ist natürlich leichter gesagt als getan.

Wo finde ich Beispiele für Einwilligungen?

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Einwilligung verabschiedet, die ursprünglich die Artikel 29 Datenschutzgruppe veröffentlicht hatte.

Dort finden sich auch hilfreiche Beispiele für Einwilligungen in eine Datenverarbeitung.

Was passiert, wenn jemand seine Einwilligung widerruft?

  • Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen.
  • Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der Datenverarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgte, nicht. Diese Datenverarbeitung bleibt also rechtmäßig.
  • Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht informieren, bevor sie die Einwilligung erteilt.
  • Eine Einwilligung zu widerrufen, muss so einfach sein wie sie zu erteilen.

Widerrufen betroffene Personen also ihre Einwilligung, berührt dies nicht die bis zu diesem Zeitpunkt erfolgte Verarbeitung. Wohl aber die zukünftige, die ohne andere Rechtsgrundlage nicht mehr stattfinden darf.

Fazit: informiert, freiwillig und nachweisbar

Die informierte und freiwillig erteilte Einwilligung ist also von zentraler Bedeutung.

Verantwortliche müssen allerdings darauf achten, dass sie die Einwilligung auch nachweisen können. Die Praxis zeigt, dass bei dieser Nachweispflicht bei vielen Unternehmen noch Handlungsbedarf besteht.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
TDDDG
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
31. Januar 2025
Informationelles Selbstbestimmungsrecht: Was ist das?
Bild: iStock.com / scanrail

Informationelles Selbstbestimmungsrecht: Was ist das?

Hintergrund
TDDDG
02. Januar 2025
DP+
Push-Benachrichtigungen sind ein bequemer Weg, Nutzerinnen und Nutzer zu informieren. Dabei sind Vorgaben der DSGVO wie auch des TDDDG zu berücksichtigen.
Bild: iStock.com/patcharin innara

Datenschutz bei Push-Benachrichtigungen von Apps

Ratgeber
Checklisten TDDDG
02. Dezember 2024
DP+
Mit einer neuen Verordnung soll beim Aufruf von Websites eine anwenderfreundliche Alternative zu der Vielzahl der heutigen, teils irreführenden oder verwirrenden Cookie-Banner entstehen.
Bild: iStock.com/aoldman

Zerkrümeln jetzt die Cookie-Banner?

Ratgeber
Cookies TDDDG
22. Oktober 2024
DP+
Laptops, Smartphones und Tablets liegen im Kreis. Darüber sind geschlossene Vorhängeschlösser animiert, die Datenschutz symbolisieren sollen.
Bild: iStock/metamorworks

Aus TTDSG wird TDDDG und aus TMG wird DDG: Und jetzt?

Ratgeber
TDDDG
16. Oktober 2023
DP+
Der Google Tag Manager macht DSB das Leben nicht leichter
Bild: iStock.com / 400tmax

Der Google Consent Mode – ein datenschutzrechtlicher Kraftakt

Ratgeber
Cookies TDDDG Tracking
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.