Zum Hauptinhalt springen
Datenschutz / DSGVO

Einwilligung (Consent)

Eine freiwillig, informiert, unmissverständlich und für den bestimmten Fall erteilte Willensbekundung gem. Art. 7 DSGVO.

Die Einwilligung ist eine der sechs möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. a DSGVO. Damit eine Einwilligung wirksam ist, muss sie freiwillig, für einen bestimmten Zweck, informiert und unmissverständlich abgegeben worden sein. Der Begriff „unmissverständlich" bedeutet, dass eine aktive Handlung der betroffenen Person erforderlich ist – vorausgefüllte Kästchen oder Schweigen gelten nicht als wirksame Einwilligung. Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) muss die Einwilligung ausdrücklich erfolgen.

Freiwilligkeit ist ein besonders kritisches Merkmal: Besteht ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen – etwa im Beschäftigungsverhältnis –, gilt eine Einwilligung in der Regel als nicht freiwillig erteilt. Außerdem muss die betroffene Person in der Lage sein, ihre Einwilligung jederzeit zu widerrufen, ohne dass ihr daraus Nachteile entstehen. Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat.

In der Praxis sollte die Einwilligung nicht als Standard-Rechtsgrundlage eingesetzt werden, wenn eine andere Rechtsgrundlage – etwa die Vertragserfüllung nach Art. 6 Abs. 1 lit. b oder das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO – geeigneter ist. Eine missbräuchlich oder leichtfertig eingeholte Einwilligung kann zur Rechtswidrigkeit der gesamten Verarbeitung führen. Compliance Officer müssen daher eine Dokumentation sämtlicher eingeholter Einwilligungen sicherstellen, einschließlich des Zeitpunkts, des Inhalts und des Wegs der Einwilligung.

Rechtliche Grundlage

Art. 7 DSGVO

Praxisbeispiel

Ihr Unternehmen betreibt einen Newsletter und möchte Abonnenten zukünftig auch personalisierte Produktempfehlungen auf Basis ihres Kaufverhaltens zusenden. Als Compliance Officer prüfen Sie, ob die bestehende Newsletter-Einwilligung diesen Zweck abdeckt. Sie stellen fest, dass die ursprüngliche Einwilligung nur allgemeine Newsletter-Inhalte umfasst, nicht aber die Profiling-basierte Personalisierung. Sie empfehlen, eine neue, spezifische Einwilligung einzuholen, die den Zweck des Profilings klar beschreibt und über das Widerrufsrecht informiert. Das Double-Opt-in-Verfahren stellt dabei sicher, dass die Einwilligung nachweisbar und freiwillig erfolgt.

Häufige Fragen

Eine gültige Einwilligung muss freiwillig, für einen bestimmten Zweck, informiert und unmissverständlich sein. Sie erfordert eine aktive Handlung der betroffenen Person – Stillschweigen oder vorausgefüllte Checkboxen reichen nicht aus. Zudem muss der Verantwortliche die Einwilligung dokumentieren und nachweisen können.
Ja, jede Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Nach dem Widerruf ist die weitere Verarbeitung der Daten auf Basis dieser Einwilligung unzulässig, bereits erfolgte Verarbeitungen bleiben jedoch rechtmäßig.
Nur eingeschränkt. Wegen des Machungleichgewichts zwischen Arbeitgeber und Arbeitnehmer wird Freiwilligkeit im Beschäftigungsverhältnis kritisch beurteilt. Eine Einwilligung ist nur dann wirksam, wenn der Arbeitnehmer einen echten Vorteil erhält oder keine Nachteile bei Verweigerung zu befürchten hat. Im Zweifel sollten andere Rechtsgrundlagen herangezogen werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Personenbezogene Daten Betroffenenrechte Rechenschaftspflicht (Accountability) Datenschutz-Compliance Datenpanne / Data Breach
Zurück zum Glossar