Einwilligungserklärung im Datenschutz: Muss ich unterschreiben?

Ob beim Arztbesuch, beim Online-Shopping, bei der Anmeldung im Fitnessstudio, beim Abschluss eines Mobilfunkvertrags, bei der Teilnahme an einem Gewinnspiel oder bei der Nutzung einer neuen App: Überall begegnen uns Einwilligungserklärungen zur Verwendung und Verarbeitung unserer personenbezogenen Daten. Die Formulare werden immer häufiger und allgegenwärtiger, die Texte werden immer länger und juristisch komplexer, und die Verunsicherung bei Verbraucherinnen und Verbrauchern wächst stetig. Bin ich wirklich verpflichtet, diese Einwilligung zu unterschreiben? Welche konkreten Konsequenzen hat eine Ablehnung? Und unter welchen Voraussetzungen ist eine datenschutzrechtliche Einwilligung überhaupt wirksam? Dieser umfassende Leitfaden beantwortet alle wichtigen Fragen rund um die datenschutzrechtliche Einwilligung nach dem aktuellen Rechtsstand des Jahres 2026.

Grundprinzip: Niemand kann zur Einwilligung gezwungen werden

Die zentrale und wichtigste Botschaft gleich zu Beginn: Eine Einwilligung in die Verarbeitung personenbezogener Daten muss immer und unter allen Umständen freiwillig erfolgen. Dieses fundamentale Prinzip der Freiwilligkeit ist unmissverständlich in Art. 7 Abs. 4 DSGVO verankert, der das sogenannte Kopplungsverbot normiert. Danach kann eine Einwilligung nicht als freiwillig angesehen werden, wenn die Erfüllung eines Vertrags, die Erbringung einer Dienstleistung oder die Gewährung eines sonstigen Vorteils von der Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Vertragserfüllung oder Leistungserbringung objektiv nicht erforderlich ist. Ein anschauliches und einprägsames Beispiel: Ein Einzelhändler verkauft Ihnen ein Paar Schuhe. Für die ordnungsgemäße Kaufabwicklung benötigt er möglicherweise Ihren Namen und Ihre Adresse, etwa für den Kassenbeleg, die Garantieabwicklung oder eine eventuelle Rechnungsstellung. Der Händler darf Ihnen den Kauf der Schuhe aber keinesfalls verweigern oder erschweren, nur weil Sie nicht zusätzlich und darüber hinaus in die Aufnahme Ihrer persönlichen Daten in seine Marketing-Datenbank für den regelmäßigen Versand von Werbe-E-Mails, Newslettern oder personalisierter Werbung einwilligen wollen. Denn diese weitergehende Datenverarbeitung zu Werbezwecken ist für die Erfüllung des Kaufvertrags objektiv nicht erforderlich. Werden Sie als Verbraucher dennoch unter Druck gesetzt oder wird Ihnen ein Nachteil angedroht, ist die unter diesen Umständen erteilte Einwilligung von Anfang an und rückwirkend unwirksam.

Nicht jede Datenverarbeitung erfordert eine Einwilligung

Ein weit verbreiteter und hartnäckiger Irrtum in der Praxis lautet, dass für jede Verarbeitung personenbezogener Daten zwingend eine Einwilligung der betroffenen Person benötigt wird. Das ist rechtlich falsch. Die DSGVO kennt in ihrem Art. 6 insgesamt sechs gleichwertige und voneinander unabhängige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Neben der Einwilligung nach Art. 6 Abs. 1 lit. a kommen als alternative Rechtsgrundlagen in Betracht: Die Vertragserfüllung nach lit. b, wonach Daten verarbeitet werden dürfen, wenn dies zur Erfüllung oder zur Anbahnung eines Vertrags mit der betroffenen Person objektiv erforderlich ist. Die rechtliche Verpflichtung nach lit. c, die eine Datenverarbeitung erlaubt, wenn ein Gesetz oder eine Verordnung die Verarbeitung ausdrücklich vorschreibt, wie beispielsweise die steuerrechtlichen Aufbewahrungspflichten der Abgabenordnung. Der Schutz lebenswichtiger Interessen nach lit. d, der in medizinischen Notfallsituationen zum Tragen kommen kann. Das öffentliche Interesse nach lit. e, das Behörden und öffentliche Stellen bei der Wahrnehmung ihrer gesetzlichen Aufgaben legitimiert. Und das berechtigte Interesse nach lit. f, das eine Datenverarbeitung zur Wahrung berechtigter und nachweisbarer Interessen des Verantwortlichen oder eines Dritten erlaubt, sofern die schutzwürdigen Interessen und Grundrechte der betroffenen Person im konkreten Einzelfall nicht überwiegen. Wenn eine dieser anderen fünf Rechtsgrundlagen einschlägig und anwendbar ist, ist eine Einwilligung der betroffenen Person weder rechtlich erforderlich noch datenschutzrechtlich sinnvoll.

Fünf zwingende Voraussetzungen für eine wirksame Einwilligung

Damit eine datenschutzrechtliche Einwilligungserklärung nach der DSGVO rechtswirksam ist und einer behördlichen oder gerichtlichen Überprüfung standhält, müssen fünf Voraussetzungen kumulativ, also alle gleichzeitig, erfüllt sein. Erstens die Freiwilligkeit: Die Einwilligung muss ohne jeden äußeren Zwang, ohne psychischen oder wirtschaftlichen Druck, ohne Drohung und ohne Täuschung über die Folgen erfolgen. Es darf kein unmittelbarer oder mittelbarer Nachteil drohen, wenn die Einwilligung verweigert wird, sofern die betreffende Datenverarbeitung für die eigentliche Leistung oder Vertragserfüllung nicht erforderlich ist. Zweitens die Informiertheit: Vor der Abgabe der Einwilligung muss die betroffene Person vollständig, verständlich und in klarer, einfacher Sprache darüber informiert werden, welche konkreten personenbezogenen Daten erhoben und verarbeitet werden, zu welchem genau bezeichneten Zweck die Datenverarbeitung erfolgt, wer als Verantwortlicher für die Verarbeitung zuständig ist, an welche Empfänger oder Kategorien von Empfängern die Daten gegebenenfalls weitergegeben werden, wie lange die Daten gespeichert werden und dass die erteilte Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann. Drittens die Bestimmtheit: Die Einwilligung muss sich auf einen oder mehrere konkrete, genau und eindeutig bezeichnete Verarbeitungszwecke beziehen. Pauschale und unbestimmte Einwilligungen für beliebige oder erst zukünftig zu definierende Zwecke sind rechtlich unwirksam. Werden mehrere verschiedene Verarbeitungszwecke verfolgt, muss die betroffene Person für jeden einzelnen Zweck gesondert und unabhängig einwilligen können. Viertens eine unmissverständliche bestätigende Handlung: Die Einwilligung muss zwingend durch eine eindeutige und aktive Handlung der betroffenen Person erteilt werden. Vorangekreuzte Kontrollkästchen, bloßes Stillschweigen, einfaches Weitersurfen auf einer Website oder die Nutzung eines Dienstes ohne ausdrückliche Zustimmung genügen den Anforderungen der DSGVO nicht. Der Europäische Gerichtshof hat dies in seinem wegweisenden Planet49-Urteil vom 1. Oktober 2019 in der Rechtssache C-673/17 unmissverständlich und für alle Mitgliedstaaten verbindlich klargestellt. Fünftens die Einwilligungsfähigkeit: Minderjährige unter 16 Jahren können nach Art. 8 DSGVO bei Diensten der Informationsgesellschaft, also insbesondere bei Online-Diensten, Apps und Social-Media-Plattformen, keine eigenständige wirksame Einwilligung abgeben. In diesen Fällen bedarf es der ausdrücklichen Zustimmung eines Sorgeberechtigten. Bei geschäftsunfähigen Personen ist eine Einwilligung grundsätzlich unwirksam.

Form der Einwilligung: Schriftlich, elektronisch oder mündlich

Die DSGVO schreibt für die datenschutzrechtliche Einwilligung bewusst keine bestimmte Form vor und lässt dem Verantwortlichen damit einen gewissen Gestaltungsspielraum. Die Einwilligung kann schriftlich mit eigenhändiger Unterschrift auf einem Papierdokument erfolgen, was den sichersten und gerichtlich am einfachsten verwertbaren Nachweis bietet. Sie kann elektronisch per bewussten Klick auf ein entsprechendes Kontrollkästchen auf einer Website oder in einer Applikation erteilt werden, wobei der gesamte Einwilligungsvorgang einschließlich Zeitstempel, IP-Adresse und dem konkreten Wortlaut der Einwilligungserklärung technisch lückenlos protokolliert werden muss. Oder sie kann grundsätzlich auch mündlich erteilt werden, was zwar rechtlich möglich, aber in der Praxis äußerst schwer nachweisbar ist und daher nur als absolute Notlösung in Betracht kommt. Da der Verantwortliche nach Art. 7 Abs. 1 DSGVO die volle und ausschließliche Beweislast für das Vorliegen einer wirksam erteilten Einwilligung trägt, empfiehlt sich in jedem Fall die schriftliche oder elektronische Form mit einer nachvollziehbaren, revisionssicheren und manipulationsgeschützten Dokumentation.

Das Widerrufsrecht: Jederzeit und ohne Begründung

Eines der wichtigsten und in der Praxis am häufigsten genutzten Rechte im Zusammenhang mit der datenschutzrechtlichen Einwilligung ist das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO. Jede betroffene Person kann eine einmal erteilte Einwilligung jederzeit, ohne Einhaltung einer Frist und ohne Angabe von Gründen für die Zukunft widerrufen. Der Widerruf muss vom Verantwortlichen mindestens so einfach ermöglicht werden wie die ursprüngliche Erteilung der Einwilligung. Wurde die Einwilligung mit einem einzigen Mausklick auf einer Website erteilt, muss auch der Widerruf mit vergleichbar wenigen und einfachen Schritten möglich sein. Über das bestehende Widerrufsrecht muss die betroffene Person bereits vor der erstmaligen Abgabe der Einwilligung klar und unmissverständlich informiert werden. Der erklärte Widerruf wirkt ausschließlich für die Zukunft. Die bis zum Zeitpunkt des Widerrufs auf Grundlage der Einwilligung vorgenommene Datenverarbeitung bleibt rechtmäßig und wird durch den Widerruf nicht rückwirkend rechtswidrig. Nach dem wirksamen Widerruf müssen die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern keine andere Rechtsgrundlage die weitere Verarbeitung und Speicherung der Daten legitimiert.

Häufige Fehler bei Einwilligungserklärungen in der Praxis

In unserer langjährigen Beratungspraxis begegnen uns regelmäßig fehlerhafte Einwilligungserklärungen, die bei einer behördlichen Überprüfung durch die Datenschutzaufsichtsbehörde oder bei einer gerichtlichen Auseinandersetzung nicht bestehen würden. Zu den am häufigsten vorkommenden Fehlern und Mängeln gehören vorausgefüllte oder vorangekreuzte Kontrollkästchen, bei denen der Nutzer aktiv abwählen müsste, um die Einwilligung zu verweigern. Unverständliche, juristisch überladene oder unnötig komplizierte Einwilligungstexte, die kein durchschnittlicher Verbraucher ohne juristische Vorbildung verstehen und in ihrer Tragweite erfassen kann. Eine unzulässige Kopplung der Einwilligung in die Datenverarbeitung an den Abschluss oder die Erfüllung eines Vertrags. Ein gänzlich fehlender, schwer auffindbarer oder nur unzureichend formulierter Hinweis auf das jederzeit bestehende Widerrufsrecht. Keine konkrete oder nur vage Angabe der eigentlichen Verarbeitungszwecke. Und sogenannte Sammeleinwilligungen oder Pauschaleinwilligungen, die dem Nutzer keine individuelle Wahlmöglichkeit für einzelne Verarbeitungszwecke einräumen. Ein regelmäßig durchgeführter Datenschutz-Audit deckt solche Schwachstellen und Mängel zuverlässig auf und schafft die Grundlage für die Etablierung rechtskonformer Einwilligungsprozesse. Unternehmen, die Zweifel haben, ob ihre verwendeten Einwilligungsformulare den aktuellen und sich stetig weiterentwickelnden Anforderungen der DSGVO und der einschlägigen Rechtsprechung entsprechen, sollten eine fachkundige Überprüfung und gegebenenfalls Überarbeitung durch einen externen Datenschutzbeauftragten in Betracht ziehen.

Fazit: Freiwillig, informiert und jederzeit widerrufbar

Zusammenfassend lässt sich festhalten: Sie sind niemals und unter keinen Umständen verpflichtet, eine Einwilligungserklärung zur Verarbeitung Ihrer personenbezogenen Daten zu unterschreiben. Dennoch kann es in bestimmten Situationen durchaus sinnvoll und in Ihrem eigenen Interesse sein, eine Einwilligung bewusst und informiert zu erteilen, wenn Sie den konkreten Zweck der Datenverarbeitung nachvollziehen können und damit tatsächlich einverstanden sind. Achten Sie dabei stets und aufmerksam darauf, dass die Einwilligung alle fünf genannten Voraussetzungen vollständig erfüllt, und behalten Sie immer im Hinterkopf: Sie können jede einmal erteilte Einwilligung jederzeit, ohne Einhaltung einer Frist und ohne Angabe von Gründen für die Zukunft widerrufen.