DSGVO Einwilligung richtig einholen – Muster und häufige Fehler

Newsletter verschickt, Kundendaten für eine Umfrage genutzt, Fotos von Mitarbeitenden auf der Website veröffentlicht — und keine wirksame Einwilligung eingeholt. Das passiert täglich in deutschen Unternehmen. Die Folge: Beschwerden bei der Aufsichtsbehörde, Bußgelder und im schlimmsten Fall Schadensersatzforderungen.

Dabei ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Richtig eingesetzt, gibt sie Ihnen Rechtssicherheit. Falsch umgesetzt, wird sie zum Risiko.

Dieser Artikel zeigt Ihnen die fünf Pflicht-Anforderungen an eine wirksame DSGVO Einwilligung, liefert Muster-Formulierungen und deckt die häufigsten Fehler auf.

Wann brauchen Sie überhaupt eine Einwilligung?

Die Einwilligung ist nicht immer die richtige Rechtsgrundlage. Die DSGVO kennt sechs Rechtsgrundlagen nach Art. 6 Abs. 1. In vielen Fällen können Sie Daten auf Basis eines Vertrags, einer rechtlichen Pflicht oder eines berechtigten Interesses verarbeiten — ganz ohne Einwilligung.

Faustregel: Prüfen Sie immer zuerst, ob eine andere Rechtsgrundlage greift. Die Einwilligung sollte nicht die Standardlösung sein — denn sie kann jederzeit widerrufen werden, und dann müssen Sie die Verarbeitung sofort einstellen.

Die 5 Pflicht-Anforderungen an eine wirksame DSGVO Einwilligung

Art. 4 Nr. 11 und Art. 7 DSGVO definieren die Anforderungen klar. Fehlt auch nur eine davon, ist die Einwilligung unwirksam — und damit die gesamte Datenverarbeitung rechtswidrig.

• 1. Freiwilligkeit — Die Einwilligung muss ohne Druck oder Zwang erfolgen. Besonders wichtig: Das sogenannte Kopplungsverbot nach Art. 7 Abs. 4 DSGVO. Sie dürfen den Abschluss eines Vertrags nicht davon abhängig machen, dass jemand in eine Datenverarbeitung einwilligt, die für den Vertrag nicht erforderlich ist.
• 2. Informiertheit — Die betroffene Person muss vor der Einwilligung wissen: Wer verarbeitet die Daten? Welche Daten? Zu welchem Zweck? An wen werden die Daten weitergegeben? Wie lange werden sie gespeichert?
• 3. Bestimmtheit — Die Einwilligung muss sich auf einen konkreten Verarbeitungszweck beziehen. Pauschaleinwilligungen (“Ich stimme der Datenverarbeitung zu”) sind unwirksam. Bei mehreren Zwecken brauchen Sie separate Einwilligungen.
• 4. Unmissverständlichkeit — Es braucht eine eindeutige, bestätigende Handlung: ein Häkchen setzen, eine Unterschrift, ein Klick auf “Ja, ich stimme zu”. Schweigen, Untätigkeit oder vorausgefüllte Felder reichen nicht.
• 5. Widerrufbarkeit — Sie müssen vor der Einwilligung darauf hinweisen, dass der Widerruf jederzeit möglich ist. Der Widerruf muss so einfach sein wie die Erteilung. Ein Abmelde-Link in der E-Mail, ein Formular auf der Website oder eine kurze E-Mail an den Datenschutzbeauftragten genügen.

Zusätzlich: Sie tragen die Beweislast. Art. 7 Abs. 1 DSGVO verpflichtet Sie, die Einwilligung nachweisen zu können. Dokumentieren Sie daher immer: wer, wann, worüber informiert, welcher Wortlaut, auf welchem Weg.

Die 5 häufigsten Fehler bei der DSGVO Einwilligung

Fehler 1: Vorangekreuzte Checkboxen

Fehler 2: Kopplungsverbot missachten

“Ja, ich möchte den kostenlosen Ratgeber herunterladen und stimme der Verarbeitung meiner Daten zu Werbezwecken zu.” — Solche Formulierungen koppeln eine Leistung an eine Einwilligung, die für die Leistung nicht nötig ist. Die Einwilligung ist nach Art. 7 Abs. 4 DSGVO unwirksam.

Fehler 3: Pauschaleinwilligung ohne konkreten Zweck

“Ich bin mit der Verarbeitung meiner Daten einverstanden.” Zu welchem Zweck? Von wem? Wie lange? Ohne diese Informationen ist die Einwilligung nicht “bestimmt” und nicht “informiert” — also unwirksam.

Fehler 4: Kein Hinweis auf Widerrufsmöglichkeit

Viele Einwilligungsformulare enthalten keinen Hinweis auf das Widerrufsrecht. Das macht die Einwilligung nicht automatisch unwirksam, verstößt aber gegen Art. 7 Abs. 3 DSGVO und kann zu Bußgeldern führen.

Fehler 5: Einwilligungen nicht dokumentiert

Die Einwilligung wurde mündlich erteilt, das Formular nicht archiviert, der Zeitstempel fehlt. Im Beschwerdefall können Sie nichts nachweisen. Ohne Nachweis gilt: keine Einwilligung.

DSGVO Einwilligung Muster: Formulierungen für die Praxis

Muster 1: Newsletter-Einwilligung (Double-Opt-in)

Ich möchte den Newsletter der [Firma] erhalten. Der Newsletter informiert [Häufigkeit] über [Themen]. Meine E-Mail-Adresse wird ausschließlich für den Newsletterversand verwendet und nicht an Dritte weitergegeben. Die Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über den Abmeldelink in jeder E-Mail. Weitere Informationen finden Sie in unserer [Datenschutzerklärung].

Muster 2: Foto-Einwilligung (Mitarbeitende)

Ich willige ein, dass die [Firma] die im Rahmen von [Anlass] erstellten Fotos, auf denen ich abgebildet bin, auf der Unternehmenswebsite und in sozialen Medien veröffentlicht. Die Einwilligung ist freiwillig. Ich kann sie jederzeit mit Wirkung für die Zukunft widerrufen, indem ich eine E-Mail an [DSB-E-Mail] sende. Bereits veröffentlichte Fotos werden nach dem Widerruf entfernt.

Muster 3: Einwilligung für Kundenbefragung

Ich willige ein, dass die [Firma] meine E-Mail-Adresse nutzt, um mich einmalig per E-Mail zu einer Kundenzufriedenheitsumfrage einzuladen. Meine Antworten werden anonymisiert ausgewertet. Ich kann die Einwilligung jederzeit widerrufen unter [Kontaktdaten/DSB-E-Mail].

Wichtig: Diese Muster sind Orientierungshilfen. Passen Sie die Texte an Ihren konkreten Verarbeitungszweck an. Im Zweifel lassen Sie Ihre Einwilligungstexte von einem Datenschutzbeauftragten prüfen.

Einwilligung bei Kindern und besonderen Datenkategorien

Zwei Sonderfälle verdienen besondere Aufmerksamkeit:

Kinder (Art. 8 DSGVO): Bei Diensten der Informationsgesellschaft (z. B. Online-Plattformen, Apps) ist die Einwilligung eines Kindes unter 16 Jahren nur wirksam, wenn die Eltern zustimmen oder die Zustimmung genehmigen. In Deutschland liegt die Altersgrenze bei 16 Jahren.

Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit — für diese Daten brauchen Sie eine ausdrückliche Einwilligung. Die Anforderungen sind strenger: Die betroffene Person muss explizit und separat für diese sensiblen Daten einwilligen.

So setzen Sie eine DSGVO-konforme Einwilligungsstrategie um

1. Bestandsaufnahme: Listen Sie alle Verarbeitungen auf, die auf Einwilligung basieren. Prüfen Sie, ob die Einwilligung überhaupt die richtige Rechtsgrundlage ist.
2. Texte prüfen: Vergleichen Sie Ihre Einwilligungstexte mit den fünf Pflicht-Anforderungen. Fehlt eine, müssen Sie nachbessern.
3. Prozesse aufsetzen: Double-Opt-in für Newsletter, Zeitstempel und Archivierung für jede Einwilligung, einfacher Widerrufsprozess.
4. Dokumentation: Protokollieren Sie für jede Einwilligung: Zeitpunkt, Wortlaut, Weg der Einholung, IP-Adresse (bei Online-Einwilligungen).
5. Regelmäßige Überprüfung: Prüfen Sie mindestens jährlich, ob Ihre Einwilligungsprozesse noch aktuell und rechtssicher sind.

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden.

Nils OehmichenDatenschutzberater bei frag.hugo

Einwilligungen in Hamburg: Worauf die Aufsichtsbehörde achtet

Die HmbBfDI erhält jedes Jahr hunderte Beschwerden von Hamburger Verbrauchern — ein großer Teil davon betrifft unerwünschte Werbemails und fehlerhafte Cookie-Banner. Gerade Hamburger Online-Shops und Startups unterschätzen, wie genau die Behörde bei Einwilligungen hinschaut. Ein Double-Opt-in ohne korrekte Protokollierung oder ein Newsletter-Formular ohne Widerrufshinweis reicht für ein Verfahren. Wer seine Einwilligungsprozesse auf sichere Beine stellen will, kann das im Rahmen unserer Datenschutzberatung in Hamburg direkt mitklären lassen.

Häufige Fragen zur DSGVO Einwilligung

Muss die Einwilligung schriftlich erfolgen?

Nein. Die DSGVO verlangt keine bestimmte Form. Die Einwilligung kann mündlich, schriftlich oder elektronisch erfolgen. Aber: Sie müssen die Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO). In der Praxis empfiehlt sich daher immer eine dokumentierte Form — schriftlich oder per Double-Opt-in.

Kann ich eine Einwilligung nachträglich einholen?

Grundsätzlich nein. Die Einwilligung muss vor der Datenverarbeitung vorliegen. Eine nachträgliche Einwilligung heilt eine zuvor rechtswidrige Verarbeitung nicht rückwirkend. Sie können aber für die zukünftige Verarbeitung eine neue Einwilligung einholen.

Wie lange gilt eine einmal erteilte Einwilligung?

Die DSGVO nennt keine Frist. Eine Einwilligung gilt grundsätzlich unbefristet, solange sich der Zweck nicht ändert. Trotzdem empfehlen die EDPB-Leitlinien zur Einwilligung eine regelmäßige Erneuerung — besonders bei Online-Diensten und E-Mail-Marketing.

Was passiert bei Widerruf der Einwilligung?

Sie müssen die betroffene Verarbeitung sofort einstellen. Die bisherige Verarbeitung bleibt rechtmäßig — der Widerruf gilt nur für die Zukunft (Art. 7 Abs. 3 Satz 2 DSGVO). Prüfen Sie, ob Sie die Daten löschen müssen oder ob eine andere Rechtsgrundlage greift.

Weiterführende Informationen: DSGVO Art. 7 – Bedingungen für die Einwilligung | EDPB-Leitlinien zur Einwilligung

Verwandte Artikel: Cookie-Banner DSGVO-konform gestalten · DSGVO-Bußgelder vermeiden · Datenschutz im Online-Shop · Externer Datenschutzbeauftragter Hamburg