Die Einwilligung zur Verarbeitung personenbezogener Daten gilt als komfortable Rechtsgrundlage unter der Datenschutz‑Grundverordnung (DSGVO). Doch nicht jede Zustimmung ist gleich wirksam. Besonders problematisch kann die sogenannte konkludente Einwilligung ("schlüssiges Verhalten" als Zustimmung) werden: Sie wird häufig verwendet, ist jedoch mit erheblichen Risiken verbunden. Der Fachbeitrag macht deutlich, warum Verantwortliche hier genau prüfen sollten.
Was ist eine wirksame Einwilligung nach der DSGVO?Damit eine Einwilligung wirksam ist, müssen drei zentrale Voraussetzungen erfüllt sein:
- Informiertheit: Die betroffene Person muss klar und verständlich über Zweck, Umfang und Verarbeitung ihrer Daten informiert werden.
- Freiwilligkeit und Eindeutigkeit: Es muss sich um eine freiwillige Entscheidung handeln – ohne Zwang, Aufforderung oder Benachteiligung bei Ablehnung. Eine eindeutige Bestätigung („deutliche Handlung") ist erforderlich.
- Nachweisbarkeit: Der Verantwortliche muss jederzeit nachweisen können, dass eine gültige Einwilligung erteilt wurde.
Erfüllt eine der Voraussetzungen nicht ausreichend, ist die Einwilligung unwirksam.
Warum ist die konkludente Einwilligung kritisch?Die konkludente Einwilligung basiert nicht auf einer ausdrücklichen Erklärung der betroffenen Person, sondern auf einer Handlung oder einem Verhalten, aus dem der Wille zur Einwilligung abgeleitet werden soll. Beispiele sind das automatische Setzen von Häkchen, implizites Weiterklicken nach Hinweismaßnahmen oder eine Nutzung, die als Zustimmung verstanden wird.
Die Risiken dabei:
- Die Nachweisbarkeit wird erschwert – weil keine schriftliche oder elektronische aktive Handlung eindeutig dokumentiert wurde.
- Die Freiwilligkeit ist häufig fraglich – insbesondere bei abhängigen Beziehungen (z. B. Arbeitnehmer gegenüber Arbeitgeber) oder voreingestellten Zustimmungen.
- Die Transparenz kann fehlen – wenn die Informationen versteckt sind oder nicht klar hervorstechen.
- Bei Verarbeitung besonders schützenswerter Daten (z. B. Gesundheitsdaten, Bewegungsprofile) reicht eine konkludente Einwilligung oft gar nicht aus – hier verlangt die DSGVO eine ausdrückliche eindeutige Erklärung.
Wenn Sie Datenverarbeitungen vornehmen, die eine Einwilligung erfordern, überlegen Sie: Kann eine aktive ausdrückliche Einwilligung genutzt werden? Ist eine passive Zustimmung („weiterklicken") ausreichend? Oft ist der sicherere Weg die ausdrückliche Option.
2. Einwilligungserklärungen klar gestalten- Trennung zwischen Pflichtinformationen und Einwilligungserklärung: keine Kopplung mit anderen Vertragsbestandteilen.
- Eingängige Sprache, kurze Absätze, verständlich für Betroffene.
- Aktive Handlung: z. B. „Ich stimme der Verarbeitung zu …" mit klarer Bestätigung.
- Widerrufsbelehrung: Hinweise darauf, dass die Einwilligung jederzeit und einfach widerrufen werden kann.
- Zeitpunkt der Einwilligung, Umfang und Zweck im Verarbeitungsverzeichnis aufführen.
- Systemprotokoll oder Log, wie eine Einwilligung erteilt wurde (z. B. Checkbox, Klick).
- Auch Ablehnungen sollten dokumentiert werden – insbesondere wenn sich daraus Verarbeitung ausschließt.
Wenn sensible Daten verarbeitet werden (z. B. Daten über Gesundheit, Sexualleben, Biometrie), reicht eine „gesetzliche" Einwilligung nicht aus – hier ist häufig eine ausdrückliche Einwilligung gefordert. Eine stillschweigende Zustimmung genügt in der Regel nicht.
Die Einwilligung bleibt eine wichtige Rechtsgrundlage – aber leider keine einfache Lösung. Insbesondere die konkludente Einwilligung birgt erhebliche Risiken: fehlender Nachweis, eingeschränkte Freiwilligkeit, mangelnde Transparenz. Verantwortliche tun gut daran, wenn sie auf ausdrückliche Einwilligungen setzen, klare Prozesse einführen und die Umsetzung penibel dokumentieren. So vermeiden Sie Fehler, Haftungsrisiken und stärken das Vertrauen der Betroffenen.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz