Die Einwilligung ist eine der bekanntesten, aber zugleich am häufigsten missverstandenen Rechtsgrundlagen der DSGVO. Sie ist in Artikel 6 als eine von sechs möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten genannt und in Artikel 7 näher ausgestaltet. Eine wirksame Einwilligung gibt der betroffenen Person die Kontrolle darüber, ob ihre Daten zu einem bestimmten Zweck verarbeitet werden. Damit sie wirksam ist, müssen jedoch strenge Voraussetzungen erfüllt sein — eine pauschale oder erzwungene Zustimmung genügt nicht.
Die vier Voraussetzungen
Eine wirksame Einwilligung muss vier Merkmale erfüllen. Sie muss freiwillig sein, das heisst ohne Zwang und ohne dass Nachteile drohen, wenn sie verweigert wird. Sie muss für den bestimmten Fall, also spezifisch für einen konkreten Zweck erteilt werden — eine Sammeleinwilligung für unbestimmte Zwecke ist unwirksam. Sie muss informiert sein, das heisst die Person muss wissen, wer ihre Daten zu welchem Zweck verarbeitet. Und sie muss unmissverständlich durch eine eindeutige bestätigende Handlung erfolgen, etwa durch aktives Anklicken — vorausgefüllte Kästchen oder Stillschweigen genügen nicht. Fehlt auch nur eines dieser Merkmale, ist die Einwilligung und damit die darauf gestützte Verarbeitung unwirksam.
Freiwilligkeit und das Koppelungsverbot
Die Freiwilligkeit ist die anspruchsvollste Voraussetzung. Eine Einwilligung ist nicht freiwillig, wenn die Person keine echte Wahl hat oder Nachteile fürchten muss. Besonders relevant ist das Koppelungsverbot: Die Erfüllung eines Vertrags darf grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, die für die Vertragserfüllung nicht erforderlich ist. Ein Dienst darf also nicht verlangen, dass Nutzer in die Verarbeitung ihrer Daten zu Werbezwecken einwilligen, um den Dienst überhaupt nutzen zu können, wenn diese Verarbeitung für den Dienst nicht nötig ist. Auch ein erhebliches Machtungleichgewicht, etwa zwischen Arbeitgeber und Beschäftigten, kann die Freiwilligkeit in Frage stellen.
Die Informiertheit
Damit eine Einwilligung informiert ist, muss die betroffene Person vor der Abgabe klar und verständlich darüber aufgeklärt werden, wer der Verantwortliche ist, zu welchen Zwecken die Daten verarbeitet werden, welche Daten betroffen sind und dass die Einwilligung jederzeit widerrufen werden kann. Diese Information muss in klarer, einfacher Sprache erfolgen, nicht in unverständlichem Juristendeutsch. Eine Einwilligung, die in einer langen, undurchschaubaren Datenschutzerklärung versteckt ist, erfüllt die Anforderung nicht. Die Kunst besteht darin, die nötige Information präzise und zugleich verständlich zu vermitteln, sodass die Person eine echte, informierte Entscheidung treffen kann.
Die Nachweispflicht
Artikel 7 verlangt, dass der Verantwortliche nachweisen kann, dass eine Einwilligung erteilt wurde. Das bedeutet, dass Unternehmen dokumentieren müssen, wer wann unter welchen Bedingungen in was eingewilligt hat. Diese Dokumentation ist im Streitfall entscheidend: Wer eine Verarbeitung auf eine Einwilligung stützt, aber nicht belegen kann, dass eine wirksame Einwilligung vorlag, steht ohne Rechtsgrundlage da. In der Praxis werden Einwilligungen daher revisionssicher protokolliert, etwa mit Zeitstempel, dem konkreten Wortlaut der Einwilligungserklärung und der Art der bestätigenden Handlung. Diese Nachweisfähigkeit ist ein zentraler Grund, Einwilligungen technisch sauber zu erfassen.
Der Widerruf
Eine Einwilligung ist jederzeit widerrufbar, und der Widerruf muss so einfach sein wie die Erteilung. Wer per Klick eingewilligt hat, muss auch per Klick widerrufen können. Nach dem Widerruf darf die Verarbeitung, soweit sie auf der Einwilligung beruhte, nicht fortgesetzt werden; die bis dahin erfolgte Verarbeitung bleibt jedoch rechtmässig. Unternehmen müssen die betroffene Person vor der Einwilligung über das Widerrufsrecht informieren und einen praktikablen Widerrufsweg bereitstellen. Die jederzeitige Widerrufbarkeit ist ein wesentliches Merkmal, das die Einwilligung von anderen Rechtsgrundlagen unterscheidet und ihre Eignung für dauerhafte Verarbeitungen einschränkt.
Wann eine andere Rechtsgrundlage besser passt
Ein verbreiteter Fehler ist, für jede Verarbeitung reflexhaft eine Einwilligung einzuholen. Oft ist eine andere Rechtsgrundlage tragfähiger. Daten, die zur Erfüllung eines Vertrags nötig sind, beruhen auf Artikel 6 Absatz 1 Buchstabe b und brauchen keine Einwilligung. Verarbeitungen im berechtigten Interesse können auf Buchstabe f gestützt werden. Diese Grundlagen sind oft stabiler als die Einwilligung, weil sie nicht jederzeit widerrufbar sind. Die Einwilligung sollte daher gezielt dort eingesetzt werden, wo sie wirklich passt — etwa bei Marketing, Tracking-Cookies oder der Verarbeitung sensibler Daten —, nicht als pauschale Lösung für alles.
Einwilligung bei Cookies und Tracking
Ein besonders wichtiges Anwendungsfeld der Einwilligung sind Cookies und Tracking-Technologien. Für nicht zwingend erforderliche Cookies, etwa zu Analyse- und Werbezwecken, ist eine vorherige Einwilligung erforderlich, die den DSGVO-Anforderungen genügt. Das hat zur Verbreitung von Cookie-Bannern geführt, die jedoch oft fehlerhaft gestaltet sind — etwa wenn die Ablehnung schwieriger ist als die Zustimmung oder wenn Cookies bereits vor der Einwilligung gesetzt werden. Ein rechtskonformes Consent-Management gibt Nutzern eine echte, gleichwertige Wahl zwischen Zustimmung und Ablehnung und setzt nicht erforderliche Cookies erst nach erteilter Einwilligung. Innopulse setzt solche konformen Consent-Lösungen in seinen Produkten ein.
Besonderheiten bei sensiblen Daten
Bei besonderen Datenkategorien nach Artikel 9 — etwa Gesundheits-, biometrischen oder Daten über die Weltanschauung — gelten verschärfte Anforderungen. Hier ist in vielen Fällen eine ausdrückliche Einwilligung erforderlich, die über die normale Einwilligung hinausgeht und besonders klar und eindeutig sein muss. Diese erhöhte Schwelle trägt der besonderen Sensibilität dieser Daten Rechnung. Für Produkte, die mit sensiblen Daten arbeiten — etwa Gesundheits-Apps —, ist die Gestaltung einer wirksamen ausdrücklichen Einwilligung daher ein zentrales und anspruchsvolles Thema, das sorgfältige Aufmerksamkeit verlangt.
Das revDSG und die Einwilligung
Auch das Schweizer revDSG kennt die Einwilligung, stellt aber teilweise andere Anforderungen als die DSGVO. Grundsätzlich ist die Bearbeitung von Personendaten in der Schweiz auch ohne Einwilligung zulässig, solange sie nach Treu und Glauben und verhältnismässig erfolgt und der Betroffene nicht überrascht wird; eine Einwilligung ist vor allem bei besonders schützenswerten Daten und beim Persönlichkeitsprofil bedeutsam. Für DACH-Unternehmen, die beide Märkte bedienen, lohnt es sich, die Einwilligungsgestaltung an der strengeren DSGVO auszurichten, die dann in der Regel auch die Schweizer Anforderungen erfüllt. So entsteht eine einheitliche, rechtssichere Praxis für beide Rechtsräume.
Fazit
Granulare Einwilligung statt Alles-oder-nichts
Eine wirksame Einwilligung sollte granular sein: Die betroffene Person sollte für unterschiedliche Zwecke getrennt entscheiden können, statt pauschal allem oder nichts zustimmen zu müssen. Wer etwa einen Newsletter abonniert, willigt damit nicht automatisch in Tracking zu Werbezwecken ein — beides sind verschiedene Zwecke, die getrennt einzuholen sind. Diese Granularität ist nicht nur rechtlich geboten, sondern stärkt auch das Vertrauen: Nutzer, die echte, differenzierte Wahlmöglichkeiten erhalten, erleben den Anbieter als respektvoll. Ein gut gestaltetes Consent-Management bildet diese Granularität ab und dokumentiert für jeden Zweck separat, ob und wann eine Einwilligung erteilt oder widerrufen wurde.
Die Einwilligung ist ein mächtiges, aber anspruchsvolles Instrument des Datenschutzes. Ihre vier Voraussetzungen — Freiwilligkeit, Spezifität, Informiertheit und Unmissverständlichkeit — müssen vollständig erfüllt sein, und ihre Erteilung ist nachweisbar zu dokumentieren sowie jederzeit widerrufbar zu gestalten. Wer Einwilligungen gezielt dort einsetzt, wo sie passen, sie sauber gestaltet und dokumentiert und für die übrigen Verarbeitungen tragfähigere Rechtsgrundlagen wählt, schafft eine rechtssichere und zugleich nutzerfreundliche Datenschutzpraxis.