Einwilligungserklärung Datenschutz

Was ist eine Einwilligungserklärung nach DSGVO?

Eine Einwilligungserklärung Datenschutz ist die freiwillige, informierte und unmissverständliche Zustimmung einer betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten. Sie bildet eine der sechs Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO und ist immer dann erforderlich, wenn keine andere Rechtsgrundlage — etwa ein Vertrag, eine rechtliche Verpflichtung oder ein berechtigtes Interesse — die Datenverarbeitung legitimiert.

Die Datenschutz-Grundverordnung definiert die Einwilligung in Art. 4 Nr. 11 DSGVO als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Diese Definition zeigt bereits: Eine wirksame Einwilligung DSGVO muss mehrere Voraussetzungen gleichzeitig erfüllen.

In der Praxis spielt die Einwilligungserklärung eine zentrale Rolle — vom Newsletter-Versand über die Nutzung von Fotos bis hin zum Einsatz von Tracking-Cookies auf Websites. Fehlerhafte oder unwirksame Einwilligungen können zu empfindlichen Bußgeldern führen und das Vertrauen von Kunden und Mitarbeitern nachhaltig beschädigen.

Wann ist eine Einwilligung erforderlich?

Nicht jede Datenverarbeitung erfordert eine Einwilligung. Art. 6 Abs. 1 DSGVO nennt insgesamt sechs Rechtsgrundlagen. Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO kommt insbesondere dann zum Einsatz, wenn:

• Newsletter und E-Mail-Marketing: Der Versand werblicher E-Mails erfordert grundsätzlich eine vorherige Einwilligung (zusätzlich nach § 7 UWG).
• Tracking und Cookies: Nicht technisch notwendige Cookies und Tracking-Tools benötigen eine aktive Einwilligung gemäß TTDSG und DSGVO.
• Foto- und Videoaufnahmen: Die Veröffentlichung von Bildern und Videos, auf denen Personen erkennbar sind, setzt regelmäßig eine Einwilligung voraus.
• Besondere Kategorien personenbezogener Daten: Gesundheitsdaten, biometrische Daten oder Daten zur ethnischen Herkunft dürfen nach Art. 9 Abs. 2 lit. a DSGVO nur mit ausdrücklicher Einwilligung verarbeitet werden.
• Profiling und automatisierte Einzelentscheidungen: Soweit diese erhebliche Auswirkungen auf die betroffene Person haben (Art. 22 DSGVO).
• Datenübermittlung in Drittländer: Wenn kein Angemessenheitsbeschluss oder andere Garantien vorliegen (Art. 49 DSGVO).

Wichtig: Die Einwilligung ist nicht die bevorzugte Rechtsgrundlage. Wenn ein Vertrag, eine rechtliche Pflicht oder ein berechtigtes Interesse die Verarbeitung rechtfertigt, sollte vorrangig darauf abgestellt werden. Die Einwilligung kann jederzeit widerrufen werden — was bei laufenden Geschäftsprozessen problematisch sein kann.

Anforderungen an eine wirksame Einwilligung

Art. 7 DSGVO konkretisiert die Bedingungen für eine rechtswirksame Einwilligung. Die folgenden fünf Voraussetzungen müssen kumulativ vorliegen:

1. Freiwilligkeit

Die Einwilligung muss ohne Zwang erteilt werden. Ein sogenanntes „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO verhindert, dass die Erfüllung eines Vertrags von einer Einwilligung abhängig gemacht wird, die für die Vertragserfüllung nicht erforderlich ist. Beispiel: Ein Online-Shop darf die Bestellung nicht davon abhängig machen, dass der Kunde dem Newsletter zustimmt.

Auch ein Machtungleichgewicht — etwa zwischen Arbeitgeber und Arbeitnehmer oder zwischen Behörde und Bürger — kann die Freiwilligkeit in Frage stellen. In solchen Konstellationen ist besondere Vorsicht geboten.

2. Informiertheit

Die betroffene Person muss vor Abgabe der Einwilligung vollständig informiert werden über:

• Die Identität des Verantwortlichen (Name, Kontaktdaten)
• Den konkreten Zweck der Datenverarbeitung
• Welche Daten verarbeitet werden
• Ob und an wen Daten weitergegeben werden
• Das Recht auf jederzeitigen Widerruf
• Gegebenenfalls die Übermittlung in Drittländer

Die Informationen müssen in klarer und einfacher Sprache formuliert sein — juristische Fachsprache oder verschachtelte Sätze genügen nicht den DSGVO-Anforderungen.

3. Bestimmtheit

Eine Pauschaleinwilligung für sämtliche Verarbeitungszwecke ist unwirksam. Die Einwilligung muss sich auf einen bestimmten, konkret benannten Zweck beziehen. Sollen Daten für mehrere Zwecke verarbeitet werden, ist für jeden Zweck eine gesonderte Einwilligung einzuholen (Granularität).

4. Unmissverständliche bestätigende Handlung

Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit stellen keine wirksame Einwilligung dar. Der EuGH hat dies in seinem wegweisenden Urteil „Planet49″ (C-673/17, Oktober 2019) ausdrücklich klargestellt. Erforderlich ist eine aktive Handlung — etwa:

• Ankreuzen eines leeren Kästchens (Opt-in)
• Klicken eines deutlich beschrifteten Buttons
• Mündliche Erklärung (mit entsprechender Dokumentation)
• Unterschrift auf einem Formular

5. Widerrufbarkeit

Die betroffene Person muss ihre Einwilligung jederzeit und ohne Angabe von Gründen widerrufen können. Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Auf das Widerrufsrecht muss vor Abgabe der Einwilligung hingewiesen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Double-Opt-In Verfahren — Standard im E-Mail-Marketing

Das Double-Opt-In (DOI) hat sich als Best Practice für die Einholung von Einwilligungen im digitalen Bereich etabliert, insbesondere beim Newsletter-Versand und E-Mail-Marketing. Der Ablauf:

1. Schritt 1 — Anmeldung: Der Nutzer trägt seine E-Mail-Adresse in ein Formular ein und bestätigt aktiv (leeres Checkbox-Feld).
2. Schritt 2 — Bestätigungs-E-Mail: Eine automatische E-Mail mit einem Bestätigungslink wird versendet.
3. Schritt 3 — Bestätigung: Erst durch Klick auf den Link wird die Einwilligung wirksam.

Das DOI-Verfahren bietet wichtige Vorteile: Es stellt sicher, dass die angegebene E-Mail-Adresse tatsächlich der einwilligenden Person gehört, und es schafft einen lückenlosen Nachweis der Einwilligung — inklusive Zeitstempel, IP-Adresse und konkretem Einwilligungstext. Dies ist im Streitfall vor Aufsichtsbehörden oder Gerichten von unschätzbarem Wert.

Einwilligung bei Minderjährigen — Art. 8 DSGVO

Bei Angeboten der Informationsgesellschaft, die sich direkt an Kinder richten, gelten besondere Regeln. Art. 8 DSGVO bestimmt, dass die Einwilligung eines Kindes unter 16 Jahren nur dann rechtmäßig ist, wenn sie durch den Träger der elterlichen Verantwortung erteilt oder genehmigt wird.

Die Mitgliedstaaten können diese Altersgrenze auf bis zu 13 Jahre herabsetzen. Deutschland hat von dieser Öffnungsklausel keinen Gebrauch gemacht — die Altersgrenze liegt somit bei 16 Jahren.

In der Praxis bedeutet das: Betreiber von Apps, Social-Media-Plattformen oder Online-Spielen müssen unter Berücksichtigung der verfügbaren Technologie angemessene Anstrengungen unternehmen, um zu überprüfen, ob die Einwilligung durch die Eltern erteilt wurde.

Einwilligung für Fotos und Videos — KUG vs. DSGVO

Die Veröffentlichung von Fotos und Videos, auf denen Personen erkennbar sind, ist ein häufiger Anwendungsfall der Einwilligungserklärung. Seit Inkrafttreten der DSGVO ist das Verhältnis zum Kunsturhebergesetz (KUG) umstritten.

Die herrschende Meinung und die Praxis der Aufsichtsbehörden gehen davon aus, dass das KUG im nicht-journalistischen Bereich weitgehend durch die DSGVO verdrängt wird. Für Unternehmen bedeutet das:

• Vor dem Fotografieren: Schriftliche Einwilligung einholen mit Angabe des konkreten Verwendungszwecks
• Bei Veranstaltungen: Informationsaushang und opt-in Möglichkeit
• Bei Mitarbeitern: Gesonderte Einwilligung, die nicht an den Arbeitsvertrag gekoppelt ist
• Veröffentlichungsmedien konkret benennen (Website, Social Media, Printmedien)
• Hinweis auf jederzeitiges Widerrufsrecht

Tipp: Verwenden Sie keine Pauschaleinwilligung für „alle Medien“, sondern listen Sie die geplanten Kanäle konkret auf. Dies erhöht die Rechtssicherheit erheblich.

Einwilligung im Beschäftigungsverhältnis

Die Einwilligung von Beschäftigten ist ein besonders sensibles Thema. Das Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer stellt die Freiwilligkeit regelmäßig in Frage. § 26 Abs. 2 BDSG konkretisiert daher die Anforderungen:

• Die Einwilligung muss schriftlich erteilt werden (soweit nicht wegen besonderer Umstände eine andere Form angemessen ist).
• Der Arbeitgeber muss den Beschäftigten über den Zweck der Datenverarbeitung und das Widerrufsrecht in Textform aufklären.
• Die Freiwilligkeit ist insbesondere dann gegeben, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Praxisbeispiele für zulässige Einwilligungen im Beschäftigungsverhältnis sind unter anderem die Veröffentlichung von Mitarbeiterfotos auf der Firmenwebsite, die Teilnahme an betrieblichen Gesundheitsprogrammen oder die Nutzung von Mitarbeiter-Apps. Weitere Informationen finden Sie auf unserer Seite zum Beschäftigtendatenschutz.

Dokumentationspflichten des Verantwortlichen

Der Verantwortliche trägt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO — er muss nachweisen können, dass eine wirksame Einwilligung vorliegt. Art. 7 Abs. 1 DSGVO verpflichtet ihn ausdrücklich dazu, die Einwilligung nachweisen zu können.

Eine ordnungsgemäße Dokumentation umfasst:

• Wer hat eingewilligt? (Name oder Kennung der betroffenen Person)
• Wann wurde die Einwilligung erteilt? (Datum, Uhrzeit, ggf. Zeitstempel)
• Wie wurde die Einwilligung erteilt? (Formular, Online-Checkbox, mündlich)
• Worin genau wurde eingewilligt? (Exakter Wortlaut der Einwilligungserklärung)
• Welche Informationen lagen der betroffenen Person zum Zeitpunkt der Einwilligung vor?

Besonders wichtig: Die Dokumentation muss auch die Version der Einwilligungserklärung umfassen. Wird der Text geändert, ist eine neue Einwilligung erforderlich — und die alte Version muss archiviert werden.

Muster-Einwilligungserklärung — Vorlage

Die folgende Opt-in Erklärung dient als Orientierung und muss an den jeweiligen Anwendungsfall angepasst werden:

Wichtiger Hinweis: Diese Vorlage ersetzt keine individuelle Rechtsberatung. Je nach Verarbeitungszweck, Branche und betroffenen Daten können zusätzliche Angaben erforderlich sein. Lassen Sie Ihre Einwilligungserklärungen von einem Datenschutzexperten prüfen.

Typische Fehler und wie man sie vermeidet

In der Praxis begegnen uns als Datenschutzbeauftragte immer wieder die gleichen Fehler bei Einwilligungserklärungen:

1. Vorangekreuzte Checkboxen: Seit dem EuGH-Urteil „Planet49″ eindeutig unzulässig. Jedes Kästchen muss leer sein.
2. Kopplung von Einwilligungen: „Ich stimme den AGB zu und willige in den Newsletter ein“ — unzulässig. Jeder Zweck braucht eine separate Checkbox.
3. Fehlender Hinweis auf das Widerrufsrecht: Ohne diesen Hinweis ist die Einwilligung unwirksam.
4. Zu allgemeine Zweckbeschreibung: „Zu Marketingzwecken“ reicht nicht — der konkrete Zweck muss benannt werden.
5. Keine Dokumentation: Wer die Einwilligung nicht nachweisen kann, steht im Streitfall ohne Beweis da.
6. Erschwerter Widerruf: Der Widerruf muss genauso einfach sein wie die Einwilligungserteilung — kein Anruf bei einer Hotline, wenn die Einwilligung per Klick erfolgte.
7. Veraltete Einwilligungstexte: Ändern sich Zweck oder Umfang der Verarbeitung, muss eine neue Einwilligung eingeholt werden.
8. Keine Altersverifikation: Bei Angeboten, die sich an Minderjährige richten, wird die Elterneinwilligung vergessen.
9. Stillschweigende Verlängerung: Eine Einwilligung verlängert sich nicht automatisch auf neue Zwecke.
10. Fehlende Transparenz bei Drittlandtransfers: Werden Daten in Länder außerhalb der EU übermittelt, muss darauf ausdrücklich hingewiesen werden.

Einwilligungsmanagement-Tools (Consent Management Platforms)

Für Websites und digitale Angebote haben sich Consent Management Platforms (CMP) als Standard etabliert. Diese Tools verwalten die Einwilligungen der Nutzer systematisch und rechtskonform. Bekannte Lösungen sind unter anderem:

• Complianz: WordPress-Plugin mit automatischer Cookie-Erkennung und TCF-2.0-Unterstützung
• Cookiebot: Cloud-basierte Lösung mit automatischem Cookie-Scan
• OneTrust: Enterprise-Lösung für vollständiges Consent- und Privacy-Management
• Usercentrics: Deutsches Tool mit starker IAB-TCF-Integration

Ein professionelles CMP sollte folgende Funktionen bieten:

• Granulare Einwilligungsoptionen (nach Zweck und Anbieter)
• Lückenlose Protokollierung aller Einwilligungen und Widerrufe
• Einfache Widerrufsmöglichkeit für Nutzer
• Automatische Blockierung von Skripten vor Einwilligung
• Regelmäßige Cookie-Scans zur Aktualitätsprüfung
• Exportfunktion für Nachweiszwecke

Warum professionelle Beratung sinnvoll ist

Die rechtssichere Gestaltung von Einwilligungserklärungen ist komplex und fehleranfällig. Unwirksame Einwilligungen können weitreichende Konsequenzen haben: Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, Abmahnungen durch Wettbewerber, Schadensersatzansprüche betroffener Personen und ein nachhaltiger Vertrauensverlust.

Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen als externer Datenschutzbeauftragter bei allen Fragen rund um die Einwilligung nach DSGVO:

• Erstellung und Prüfung individueller Einwilligungserklärungen
• Implementierung von Einwilligungsmanagement-Prozessen
• Schulung von Mitarbeitern zum Umgang mit Einwilligungen
• Audit bestehender Einwilligungsprozesse
• Beratung zu Consent Management Platforms
• Laufende Betreuung als externer Datenschutzbeauftragter

Häufig gestellte Fragen zur Einwilligungserklärung

Muss eine Einwilligung immer schriftlich erfolgen?

Nein, die DSGVO schreibt keine bestimmte Form vor. Eine Einwilligung kann schriftlich, elektronisch oder sogar mündlich erteilt werden. Allerdings liegt die Beweislast beim Verantwortlichen — eine schriftliche oder elektronisch dokumentierte Einwilligung (z. B. per Double-Opt-In) ist daher dringend zu empfehlen.

Kann eine einmal erteilte Einwilligung verfallen?

Die DSGVO kennt keine automatische Verfallsfrist für Einwilligungen. Allerdings kann eine Einwilligung „veralten“, wenn sich die Umstände wesentlich ändern oder die Datenverarbeitung über einen sehr langen Zeitraum nicht stattfindet. Aufsichtsbehörden empfehlen, Einwilligungen regelmäßig — etwa alle zwei Jahre — zu erneuern.

Was passiert nach einem Widerruf mit den bereits verarbeiteten Daten?

Der Widerruf wirkt nur für die Zukunft (ex nunc). Die bis zum Zeitpunkt des Widerrufs erfolgte Datenverarbeitung bleibt rechtmäßig. Nach dem Widerruf müssen die Daten gelöscht werden, sofern keine andere Rechtsgrundlage die weitere Verarbeitung rechtfertigt — etwa gesetzliche Aufbewahrungspflichten.

Gilt eine Einwilligung auch für Subunternehmer und Auftragsverarbeiter?

Wenn in der Einwilligungserklärung ausdrücklich auf die Weitergabe an bestimmte Auftragsverarbeiter oder Dritte hingewiesen wird, umfasst die Einwilligung auch diese. Andernfalls muss für jede Datenweitergabe eine gesonderte Rechtsgrundlage vorliegen. Auftragsverarbeiter nach Art. 28 DSGVO benötigen grundsätzlich keine eigene Einwilligung, da sie im Auftrag des Verantwortlichen handeln.

Wie unterscheidet sich eine Einwilligung von einer Schweigepflichtentbindung?

Eine datenschutzrechtliche Einwilligung nach DSGVO erlaubt die Verarbeitung personenbezogener Daten. Eine Schweigepflichtentbindung bezieht sich dagegen auf die berufliche Verschwiegenheitspflicht bestimmter Berufsgruppen (Ärzte, Anwälte, Steuerberater) nach § 203 StGB. Beide können in einem Dokument kombiniert werden, sind aber rechtlich voneinander zu unterscheiden.