In einem Satz. DSGVO Artikel 7 legt vier Bedingungen fest, die die Einwilligung (definiert in Artikel 4 Nr. 11) zu einer wirksamen Rechtsgrundlage erheben: (1) der Verantwortliche muss die Einwilligung nachweisen können, (2) die Einwilligungsaufforderung muss verständlich und von anderen Sachverhalten klar zu unterscheiden sein, (3) die betroffene Person muss die Einwilligung so einfach widerrufen können wie sie sie gegeben hat, und (4) die Einwilligung muss freiwillig sein — nicht gebündelt, nicht erzwungen, nicht Voraussetzung für die Dienstleistung.
Artikel 7 macht Artikel 6 Absatz 1 Buchstabe a operativ. Die meisten BfDI- und CNIL-Sanktionen wegen “ungültiger Einwilligung” zitieren tatsächlich Artikel 7-Bedingungen: fehlender Einwilligungsnachweis, Widerrufsmechanismus schwieriger als das Opt-in, AGB mit Marketing-Einwilligung gebündelt, oder Dienstzugang von Einwilligung abhängig.
Für praktische Wortlaut-Beispiele siehe Einwilligung DSGVO Beispiele. Für den breiteren Rechtsgrundlagen-Rahmen, DSGVO Artikel 6 Rechtsgrundlagen.
Wichtige Punkte
- Artikel 7 erhebt die Einwilligung von “jeder Zustimmung” zu nachweisbarer, unterscheidbarer, widerrufbarer und freiwilliger Einwilligung.
- Die Beweislast liegt beim Verantwortlichen — zeitgestempelte Aufzeichnungen jeder Einwilligung aufbewahren.
- Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung — gleiche Friktion, gleiche Anzahl von Klicks.
- “Freiwillig” schließt gebündelte Einwilligung aus (AGB + Marketing in einer Box), Einwilligung im Arbeitnehmer-Arbeitgeber-Verhältnis (Machtungleichgewicht), und Einwilligung als Voraussetzung für die Dienstleistung.
- Artikel 7-Verstöße werden nach Artikel 83 Absatz 5 sanktioniert — bis zu 4 % des weltweiten Umsatzes.
1. Artikel 7 Text — die vier Bedingungen
Artikel 7 — Bedingungen für die Einwilligung
-
Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat.
-
Erfolgt die Einwilligung im Rahmen einer schriftlichen Erklärung, die auch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
-
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
-
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss berücksichtigt werden, ob die Erfüllung eines Vertrags von der Einwilligung zur Verarbeitung von personenbezogenen Daten abhängig gemacht wird, die nicht zur Erfüllung dieses Vertrags erforderlich sind.
2. Bedingung 1 — Nachweisbarkeit (Artikel 7 Absatz 1)
Der Verantwortliche muss den Einwilligungsnachweis aufbewahren.
Was “nachweisbar” in der Praxis bedeutet:
- Wer eingewilligt hat (Benutzer-ID, E-Mail, Hash)
- Wann die Einwilligung gegeben wurde (Zeitstempel)
- Wozu sie eingewilligt haben (spezifischer Zweck + Version des Einwilligungstextes)
- Wie sie eingewilligt haben (Kanal: Webformular, In-App, Papier)
3. Bedingung 2 — Verständlich und unterscheidbar (Artikel 7 Absatz 2)
Die Einwilligungsaufforderung muss:
- Klar unterscheidbar sein von anderen Sachverhalten
- Verständlich — ein typischer Benutzer versteht, womit er einverstanden ist
- Leicht zugänglich — nicht versteckt
- Klare und einfache Sprache — kein Juristendeutsch
Der EuGH in Planet49 (Rechtssache C-673/17, Oktober 2019) hat vorangekreuzte Einwilligungskästchen speziell aus Artikel 7 Absatz 2-Gründen für ungültig erklärt.
4. Bedingung 3 — Widerruf so einfach wie die Einwilligung (Artikel 7 Absatz 3)
Dies ist die am häufigsten verletzte Bedingung.
Konforme Widerrufsmechanismen:
- Ein-Klick-Abmeldelink in jeder Marketing-E-Mail
- “Cookie-Einstellungen”-Link im Footer
- “Deaktivieren”-Schalter in Kontoeinstellungen, wirkt innerhalb von 24 Stunden
Nicht konforme Mechanismen (BfDI/CNIL-sanktioniert):
- Postalische Anfrage erforderlich
- Anruf an kostenpflichtige Kundenservicelinie
- Kontolöschung als einziger Weg
- Widerruf, der 30+ Tage in Kraft tritt
5. Bedingung 4 — Freiwillig (Artikel 7 Absatz 4)
Die Einwilligung ist nicht freiwillig, wenn:
- Dienst von Einwilligung abhängig ist (für nicht-essenzielle Verarbeitung)
- Machtungleichgewicht besteht — typischerweise Arbeitgeber-Arbeitnehmer
- Mehrere Zwecke gebündelt sind
- Nachteilige Konsequenzen aus der Ablehnung folgen
Cookie-Walls: BfDI und EDPB haben eine differenzierte Position. Eine Cookie-Wall ist nicht automatisch ungültig, wenn eine bezahlte Alternative zu einem angemessenen Preis angeboten wird.
6. Durchsetzungslandschaft
| Jahr | Sanktion | Artikel 7-Verstoß |
|---|---|---|
| 2019 | Google (CNIL) — 50 Mio. € | Unzureichende Einwilligung für personalisierte Werbung |
| 2020 | 1&1 (BfDI) — 9,55 Mio. € | Authentifizierungsmängel bei Einwilligung |
| 2021 | WhatsApp Ireland (DPC, EDPB) — 225 Mio. € | Transparenz bei Einwilligung |
| 2023 | Meta Platforms Ireland (DPC) — 390 Mio. € | Rechtsgrundlage bei verhaltensbasierter Werbung |
| 2024-2025 | Mehrere DACH-Sanktionen | Widerrufs-Asymmetrie, Bündelung, Dark Patterns |
7. Implementierungs-Checkliste
- ☐ Einwilligung aufgezeichnet mit: Benutzer-ID, Zeitstempel, Zweck, Version der Datenschutzerklärung
- ☐ Einwilligungs-UI unterscheidet die Einwilligungsaufforderung von AGB
- ☐ Ein Zweck = eine Einwilligung (keine Bündelung)
- ☐ Vorangekreuzte Kästchen überall entfernt
- ☐ Widerrufsmechanismus dokumentiert und getestet (funktioniert in <24h)
- ☐ Benutzer wird über den Widerrufsmechanismus vor der Einwilligung informiert
- ☐ Dienstzugang nicht von optionaler Einwilligung abhängig
- ☐ Arbeitnehmer-Arbeitgeber-Einwilligung vom DSB überprüft (selten gültig)
8. Werkzeuge
Legiscope führt ein Einwilligungsprotokoll pro Benutzer, alarmiert bei erkannten gebündelten Einwilligungen in Sammelformularen und prüft Cookie-Banner gegen BfDI/CNIL-Kriterien.
Für verwandte Leitfäden: Einwilligung DSGVO Beispiele, DSGVO Artikel 6 Rechtsgrundlagen, berechtigtes Interesse DSGVO.
Fazit
Artikel 7 ist die operative Disziplin hinter der Einwilligung. Die vier Bedingungen — Nachweisbarkeit, Verständlichkeit, Widerrufbarkeit, Freiwilligkeit — lesen sich kurz, erfordern aber jeweils ein System: ein Einwilligungsprotokoll, ein UI-Design, einen Widerrufsfluss und eine architektonische Entscheidung gegen Bündelung.
FAQ
Was ist DSGVO Artikel 7?
Artikel 7 legt vier Bedingungen für die Wirksamkeit der Einwilligung als Rechtsgrundlage fest: Sie muss nachweisbar, verständlich und klar unterscheidbar, so einfach widerrufbar wie erteilt und freiwillig gegeben sein.
Gilt Artikel 7 für alle Einwilligungen nach DSGVO?
Ja — wann immer die Einwilligung als Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe a oder als ausdrückliche Einwilligungsbedingung nach Artikel 9 Absatz 2 Buchstabe a geltend gemacht wird, gelten die Bedingungen des Artikels 7.
Kann ich die Einwilligung zur Voraussetzung für die Nutzung meines Dienstes machen?
Nur wenn die Einwilligung eine Verarbeitung abdeckt, die strikt erforderlich für den Dienst ist. Die Konditionierung des Dienstes auf die Einwilligung zu optionaler Verarbeitung verletzt Artikel 7 Absatz 4.
Wie lange muss ich Einwilligungsaufzeichnungen aufbewahren?
Für die Dauer der Einwilligung + eine angemessene Beweisspeicherungsfrist nach dem Widerruf. Die CNIL-Praxis schlägt 24-36 Monate nach Widerruf als verteidigbaren Standard vor.
Können Arbeitnehmer eine gültige Einwilligung abgeben?
Der EDPB hat festgestellt, dass die Einwilligung in einem Arbeitnehmer-Arbeitgeber-Verhältnis aufgrund des Machtungleichgewichts fast nie gültig ist.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial