Die Einwilligung nach Art. 6(1)(a) und Art. 7 DSGVO ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten – und zugleich die fehleranfälligste. Allein 2024 wurden europaweit über 178 Millionen Euro an Bußgeldern verhängt, die direkt mit unwirksamen Einwilligungen zusammenhingen. Die CNIL bußte Criteo mit 40 Millionen Euro, weil die Einwilligung der Nutzer für personalisierte Werbung weder frei noch informiert erteilt wurde.
Dieser Artikel liefert Einwilligung DSGVO Beispiele für die häufigsten Anwendungsfälle: Cookie-Banner, Newsletter-Anmeldungen, Kontaktformulare und Marketing-Einwilligungen. Jedes Beispiel ist auf die Anforderungen deutscher und österreichischer Aufsichtsbehörden abgestimmt und kann direkt übernommen werden.
Key Takeaways
- Art. 4 Nr. 11 DSGVO verlangt, dass eine Einwilligung freiwillig, informiert, bestimmt und unmissverständlich erteilt wird – durch eine eindeutige bestätigende Handlung.
- Vorangekreuzte Checkboxen, Koppelungsverbote und Nudging-Designs machen eine Einwilligung unwirksam (EuGH, Planet49, C-673/17).
- Die Einwilligung muss jederzeit genauso einfach widerrufbar sein, wie sie erteilt wurde (Art. 7(3) DSGVO).
- Jede Einwilligung muss dokumentiert werden (Rechenschaftspflicht, Art. 5(2) und Art. 7(1) DSGVO).
Die sechs Anforderungen an eine wirksame Einwilligung
Art. 4 Nr. 11 DSGVO definiert die Einwilligung als “jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung”. Der EDPB hat in seinen Leitlinien 05/2020 diese Definition in sechs Anforderungen aufgefächert.
1. Freiwilligkeit: Die betroffene Person muss eine echte Wahl haben. Ein Koppelungsverbot gilt nach Art. 7(4) DSGVO: Die Einwilligung darf nicht zur Bedingung einer Vertragserfüllung gemacht werden, die für die Verarbeitung nicht erforderlich ist. Das LfDI Baden-Württemberg hat 2023 ein Bußgeld gegen ein Fitnessstudio verhängt, weil die Mitgliedschaft an die Einwilligung in Werbe-E-Mails geknüpft war.
2. Bestimmtheit: Die Einwilligung muss sich auf einen konkreten Verarbeitungszweck beziehen. Pauschaleinwilligungen (“Ich stimme der Datenverarbeitung zu”) sind unwirksam. Für jeden Zweck ist eine gesonderte Einwilligung erforderlich – die sogenannte Granularität.
3. Informiertheit: Vor der Einwilligung muss die betroffene Person mindestens folgende Informationen erhalten: Identität des Verantwortlichen, Zweck der Verarbeitung, Art der verarbeiteten Daten, Hinweis auf das Widerrufsrecht. Die Datenschutzerklärung allein genügt nicht – die wesentlichen Informationen müssen zum Zeitpunkt der Einwilligung sichtbar sein.
4. Unmissverständlichkeit: Eine eindeutige bestätigende Handlung ist erforderlich. Der EuGH entschied in Planet49 (C-673/17, 1. Oktober 2019), dass vorangekreuzte Checkboxen keine wirksame Einwilligung darstellen. Schweigen, Untätigkeit oder das bloße Weitersurfen auf einer Website genügen ebenfalls nicht.
5. Widerrufbarkeit: Art. 7(3) DSGVO verlangt, dass der Widerruf genauso einfach ist wie die Erteilung. Ein “Abmelden”-Link in jeder E-Mail erfüllt dies für Newsletter-Einwilligungen. Bei Cookie-Einwilligungen muss ein dauerhaft zugänglicher Mechanismus zum Widerruf bereitstehen.
6. Nachweisbarkeit: Art. 7(1) DSGVO verpflichtet den Verantwortlichen, die Einwilligung nachweisen zu können. Dokumentiert werden müssen: wer eingewilligt hat, wann, wie, zu welchem Zweck und welche Informationen vorlagen.
Einwilligung DSGVO Beispiele: Cookie-Banner
Konformes Cookie-Banner
Wir verwenden Cookies
Diese Website nutzt technisch notwendige Cookies sowie optionale Analyse- und Marketing-Cookies. Technisch notwendige Cookies werden ohne Einwilligung gesetzt (Art. 6(1)(f) DSGVO, §25 Abs. 2 TDDDG).
Für Analyse- und Marketing-Cookies benötigen wir Ihre Einwilligung:
☐ Analyse-Cookies (z. B. Matomo): Wir analysieren die Nutzung unserer Website, um sie zu verbessern. [Mehr erfahren]
☐ Marketing-Cookies (z. B. Meta Pixel): Wir zeigen Ihnen relevante Werbung auf sozialen Netzwerken. [Mehr erfahren]
[Alle akzeptieren] [Auswahl bestätigen] [Alle ablehnen]
Sie können Ihre Einwilligung jederzeit in den [Cookie-Einstellungen] widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Warum ist dieses Beispiel konform? Es bietet gleichwertige Schaltflächen für Zustimmung und Ablehnung (keine Dark Patterns), separiert die Zwecke, enthält die erforderlichen Informationen und verweist auf den Widerruf. Die DSK hat in ihrer Orientierungshilfe 2022 betont, dass der Ablehnungs-Button nicht hinter einer zweiten Ebene versteckt werden darf.
Nicht konformes Cookie-Banner (Negativbeispiel)
✗ “Wir verwenden Cookies, um Ihr Erlebnis zu verbessern. Durch die Nutzung unserer Website stimmen Sie der Verwendung aller Cookies zu. [OK]”
Dies verstößt gegen Art. 7 DSGVO und §25 TDDDG: keine echte Wahl, keine Differenzierung nach Zweck, keine Widerrufsmöglichkeit, implizite Einwilligung durch Weitersurfen.
Einwilligung DSGVO Beispiele: Newsletter
Konforme Newsletter-Anmeldung
Newsletter abonnieren
☐ Ja, ich möchte den Newsletter der [Firmenname] GmbH mit Informationen zu [konkreter Inhalt, z. B. “DSGVO-Updates und Compliance-Tipps”] per E-Mail erhalten. Der Newsletter wird [Häufigkeit, z. B. “zweiwöchentlich”] versendet.
Verantwortlich: [Firmenname] GmbH, [Adresse]. Rechtsgrundlage: Art. 6(1)(a) DSGVO.
Sie können den Newsletter jederzeit durch Klick auf “Abmelden” am Ende jeder E-Mail oder per E-Mail an [datenschutz@firma.de] widerrufen.
[Jetzt anmelden]
Double-Opt-In: In Deutschland ist das Double-Opt-In-Verfahren nicht von der DSGVO selbst vorgeschrieben, wird aber von den Gerichten und Aufsichtsbehörden als Nachweis der Einwilligung anerkannt. Der BGH hat bestätigt, dass das Double-Opt-In als ausreichender Nachweis der Einwilligung gilt. Ohne Double-Opt-In tragen Sie die volle Beweislast.
Einwilligung DSGVO Beispiele: Kontaktformulare und Marketing
Kontaktformular mit optionaler Marketing-Einwilligung
Kontaktformular
Name: [] E-Mail: [] Nachricht: [________]
☐ Ja, ich möchte zusätzlich zu meiner Anfrage Informationen zu Produkten und Dienstleistungen der [Firmenname] GmbH per E-Mail erhalten. *
*Optional. Ihre Anfrage wird auch ohne diese Einwilligung bearbeitet.
[Absenden]
Entscheidend ist der Hinweis, dass die Einwilligung in Marketing optional ist und die Hauptfunktion (Kontaktanfrage) nicht beeinträchtigt. Dies erfüllt das Koppelungsverbot nach Art. 7(4) DSGVO. Die Rechtsgrundlage für die Bearbeitung der Anfrage selbst ist Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen).
Einwilligung für Veranstaltungsfotos
☐ Ich willige ein, dass Fotos, die während der Veranstaltung [Name] am [Datum] aufgenommen werden und meine Person zeigen, auf der Website und den Social-Media-Kanälen der [Firmenname] GmbH veröffentlicht werden dürfen.
Die Fotos werden maximal [Zeitraum] gespeichert. Sie können diese Einwilligung jederzeit per E-Mail an [datenschutz@firma.de] widerrufen. In diesem Fall werden die betreffenden Fotos innerhalb von [Frist] entfernt.
Häufige Fehler und wie Aufsichtsbehörden sie ahnden
Dark Patterns: Die CNIL verhängte 2022 gegen Microsoft Ireland 60 Millionen Euro, weil die Cookie-Ablehnung auf bing.com deutlich schwieriger war als die Zustimmung. Der BfDI und die DSK haben Dark Patterns ausdrücklich als Verstoß gegen die Freiwilligkeit der Einwilligung eingestuft.
Fehlende Granularität: Die spanische AEPD bußte CaixaBank mit 6 Millionen Euro, weil die Einwilligung für verschiedene Marketing-Kanäle (E-Mail, SMS, Telefon) gebündelt eingeholt wurde, anstatt separate Optionen anzubieten.
Kein Widerrufsmechanismus: Der Datenschutzbeauftragte muss sicherstellen, dass für jede erteilte Einwilligung ein funktionierender Widerrufsmechanismus existiert. In der Praxis scheitert dies häufig an technischen Mängeln – etwa wenn der Abmelde-Link im Newsletter defekt ist.
Legiscope automatisiert die Überwachung und Dokumentation von Einwilligungen und stellt sicher, dass Widerrufsmechanismen korrekt implementiert sind – ein kritischer Bestandteil der DSGVO-Compliance, der manuell kaum zu bewältigen ist.
FAQ
Ist eine Einwilligung für jeden Cookie erforderlich?
Nein. Technisch notwendige Cookies (z. B. Session-Cookies, Warenkorb-Cookies) dürfen nach §25 Abs. 2 TDDDG ohne Einwilligung gesetzt werden. Für alle anderen Cookies – insbesondere Analyse-, Marketing- und Tracking-Cookies – ist eine informierte Einwilligung nach §25 Abs. 1 TDDDG und Art. 6(1)(a) DSGVO erforderlich. Die DSGVO-Checkliste sollte eine vollständige Cookie-Inventur enthalten.
Kann eine Einwilligung mündlich erteilt werden?
Grundsätzlich ja – die DSGVO schreibt keine bestimmte Form vor. Allerdings muss der Verantwortliche die Einwilligung nach Art. 7(1) DSGVO nachweisen können. Eine mündliche Einwilligung ist daher nur dann verwertbar, wenn sie zuverlässig dokumentiert wird, etwa durch eine Tonaufzeichnung (mit Zustimmung) oder ein zeitnah erstelltes Protokoll.
Was passiert, wenn sich die Verarbeitungszwecke ändern?
Eine bestehende Einwilligung deckt nur die Zwecke ab, die zum Zeitpunkt der Erteilung angegeben wurden. Soll die Verarbeitung auf zusätzliche Zwecke ausgedehnt werden, ist eine neue Einwilligung erforderlich (Art. 6(4) DSGVO). Die betroffene Person muss über die geänderten Zwecke informiert und um eine gesonderte Einwilligung gebeten werden.
Wie lange ist eine Einwilligung gültig?
Die DSGVO legt keine feste Gültigkeitsdauer fest. Die Einwilligung bleibt so lange wirksam, wie sich die Umstände nicht wesentlich ändern. Die CNIL empfiehlt eine erneute Einholung alle zwei Jahre für Marketing-Einwilligungen. Die Speicherbegrenzung gilt auch für die auf Basis einer Einwilligung verarbeiteten Daten – nach Widerruf oder Zweckentfall müssen die Daten gelöscht werden.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
