Zum Hauptinhalt springen
Datenschutz / DSGVO

Einwilligungsmanagement

Einwilligungsmanagement umfasst alle Prozesse, mit denen Verantwortliche datenschutzrechtliche Einwilligungen rechtskonform einholen, dokumentieren, nachweisen und einen jederzeitigen Widerruf ermöglichen.

Einwilligungsmanagement bezeichnet die Gesamtheit organisatorischer und technischer Maßnahmen, mit denen ein Verantwortlicher die nach Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO erforderlichen Einwilligungen betroffener Personen erhebt, verwaltet und über den gesamten Lebenszyklus der Verarbeitung steuert. Eine wirksame Einwilligung setzt nach Art. 4 Nr. 11 DSGVO voraus, dass sie freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich durch eine eindeutige bestätigende Handlung abgegeben wird; vorangekreuzte Kästchen oder Stillschweigen genügen nicht.Kern des Einwilligungsmanagements ist die Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 in Verbindung mit Art. 7 Abs. 1 DSGVO: Der Verantwortliche muss jederzeit nachweisen können, dass, wann, auf welcher Informationsgrundlage und für welche Zwecke eine betroffene Person eingewilligt hat. Dazu sind die eingesetzten Einwilligungstexte, der jeweilige Zeitstempel, die abgefragten Zwecke und die jeweils gültige Version der Datenschutzinformation revisionssicher zu protokollieren. Bei besonderen Kategorien personenbezogener Daten gelten erhöhte Anforderungen an die Ausdrücklichkeit der Einwilligung.Untrennbar mit der Einwilligung verbunden ist das Recht auf jederzeitigen Widerruf nach Art. 7 Abs. 3 DSGVO. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein und berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Ein professionelles Einwilligungsmanagement bildet deshalb auch die Folgeprozesse ab: die unverzügliche Beendigung der betroffenen Verarbeitung, die Berücksichtigung des Koppelungsverbots aus Art. 7 Abs. 4 DSGVO sowie die Abstimmung mit Löschkonzept und Verarbeitungsverzeichnis.

Rechtliche Grundlage

Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7, Art. 9 Abs. 2 lit. a DSGVO

Praxisbeispiel

Ein Online-Händler versendet einen Newsletter und stützt diesen auf die Einwilligung der Empfänger. Die Datenschutzkoordinatorin richtet ein Double-Opt-in ein, bei dem jede Anmeldung mit Zeitstempel, IP-Adresse, abgefragtem Zweck und der zum Zeitpunkt gültigen Einwilligungstext-Version protokolliert wird. Als ein Empfänger der Aufsichtsbehörde gegenüber bestreitet, eingewilligt zu haben, legt der Händler den vollständigen Einwilligungsnachweis vor und weist die Rechtmäßigkeit nach. Über einen Abmeldelink in jeder E-Mail kann jeder Empfänger seine Einwilligung mit einem Klick widerrufen; der Widerruf stoppt den Versand sofort und wird ebenfalls dokumentiert.

Häufige Fragen

Nach Art. 7 Abs. 1 DSGVO trägt der Verantwortliche die Nachweislast. Er muss dokumentieren, wann, durch wen, auf welcher Informationsgrundlage und für welche Zwecke die Einwilligung erteilt wurde. Bewährt haben sich revisionssichere Protokolle mit Zeitstempel und der jeweils gültigen Version des Einwilligungstextes.
Ja. Nach Art. 7 Abs. 3 DSGVO kann die betroffene Person ihre Einwilligung jederzeit widerrufen, und zwar so einfach, wie sie erteilt wurde. Der Widerruf wirkt für die Zukunft und lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt.
Das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO verlangt, dass die Erfüllung eines Vertrags nicht von einer Einwilligung in eine dafür nicht erforderliche Datenverarbeitung abhängig gemacht wird. Andernfalls gilt die Einwilligung in der Regel nicht als freiwillig und damit nicht als wirksam.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Einwilligung (Consent) Rechenschaftspflicht (Accountability) Rechtsgrundlage Widerspruchsrecht Koppelungsverbot
Zurück zum Glossar