Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

04. Juni 2025

Einwilligung im Licht der Datenschutz-Grundverordnung (DSGVO)

Bei der Verarbeitung personenbezogener Daten fordert die DSGVO eine Einwilligung der betroffenen Personen.
Bild: vladwel / iStock / Thinkstock
4,50 (2)
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Was fordert die DSGVO zur Einwilligung?

Die Einwilligung ist eine von mehreren Rechtsgrundlagen, auf die Verantwortliche sich bei ihrer Datenverarbeitung stützen können.

Sie ist allerdings nicht die beste, da eine betroffene Person ihre Einwilligung jederzeit widerrufen kann. Findet sich jedoch keine andere rechtliche Grundlage, gilt es, die folgenden Punkte zu beachten.

Informierte Einwilligung

Die Datenschutz-Grundverordnung (DSGVO) schreibt eine informierte Einwilligung vor, die sich auf eine ganz konkrete Verarbeitung von personenbezogenen Daten bezieht (Artikel 6 Absatz 1 Buchstabe a DSGVO).

Eindeutige bestätigende Handlung

Die Schriftform ist nicht notwendig. Jedoch eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Dies ist in Form einer Erklärung möglich, die auch elektronisch erfolgen kann.

Dabei müssen Verantwortliche beachten: Erst wenn der Nutzer seine  Einwilligung(en) durch eine aktive Handlung abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich stattfinden. Das müssen technische Maßnahmen gewährleisten.

Eine aktive Handlung ist im Online-Bereich etwa das Setzen von Häkchen in einem Cookie-Banner oder der Klick auf eine Schaltfläche.

Anforderungen an die Einwilligung gemäß TDDDG beim Einsatz von Cookies und bei der Einbindung von Drittdiensten

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz) verweist bezüglich der Informationspflichten gegenüber den Nutzerinnen und -nutzern und den formalen und inhaltlichen Anforderungen einer Einwilligung auf die DSGVO. Für die Beurteilung der Wirksamkeit einer Einwilligung gemäß TDDDG sind demnach dieselben Bewertungsmaßstäbe anzulegen, wie bei einer Einwilligung DSGVO.

Für Anbieter von digitalen Diensten gibt es eine Ausnahmeregelung: Danach ist keine Einwilligung notwendig, wenn der Einsatz der Cookies oder die Einbindung von Drittdiensten unbedingt erforderlich sind, damit Anbieter eines digitalen Dienstes einen vom jeweiligen Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen können.

Dienste zur Einwilligungsverwaltung

Anstatt auf jeder einzelnen Webseite mit Einwilligungs-Bannern konfrontiert zu werden, sollen Nutzerinnen und Nutzer über Dienste zur Einwilligungsverwaltung (https://www.bfdi.bund.de/DE/Fachthemen/Themen-Positionen/Einwilligungsverwaltung/Einwilligungsverwaltung_node.html) ihre Grundeinstellungen differenziert festlegen können. Diese sind dann bei jedem Aufruf einer Webseite automatisch zu berücksichtigen. Über Dienste zur Einwilligungsverwaltung sollen die Nutzerinnen und Nutzer alle Einwilligungen, die sie im Zusammenhang mit der Nutzung von Webseiten abgeben, zentral verwalten können.

Nachweispflicht

Wichtig ist in jedem Fall, dass der Verantwortliche imstande ist, die Einwilligung nachzuweisen. Ebenso muss er Widerrufe und Widersprüche zu Einwilligungen dokumentieren.

Unternehmen sollten also an entsprechende Datenfelder z.B. für Sperrkennzeichen, Einwilligungen und Widersprüche jeweils mit Datum in den betroffenen Datenbanken und Systemen denken.

Ebenso muss die Einwilligungserklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache abgefasst sein. Das ist natürlich leichter gesagt als getan.

Wo finde ich Beispiele für Einwilligungen?

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Einwilligung verabschiedet, die ursprünglich die Artikel 29 Datenschutzgruppe veröffentlicht hatte.

Dort finden sich auch hilfreiche Beispiele für Einwilligungen in eine Datenverarbeitung.

Was passiert, wenn jemand seine Einwilligung widerruft?

  • Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen.
  • Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der Datenverarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgte, nicht. Diese Datenverarbeitung bleibt also rechtmäßig.
  • Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht informieren, bevor sie die Einwilligung erteilt.
  • Eine Einwilligung zu widerrufen, muss so einfach sein wie sie zu erteilen.

Widerrufen betroffene Personen also ihre Einwilligung, berührt dies nicht die bis zu diesem Zeitpunkt erfolgte Verarbeitung. Wohl aber die zukünftige, die ohne andere Rechtsgrundlage nicht mehr stattfinden darf.

Fazit: informiert, freiwillig und nachweisbar

Die informierte und freiwillig erteilte Einwilligung ist also von zentraler Bedeutung.

Verantwortliche müssen allerdings darauf achten, dass sie die Einwilligung auch nachweisen können. Die Praxis zeigt, dass bei dieser Nachweispflicht bei vielen Unternehmen noch Handlungsbedarf besteht.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.