Einwilligung (Art. 4 Nr. 11 DSGVO)
Art. 4 Nr. 11 DSGVO definiert die Einwilligung als freiwillige, bestimmte, informierte und unmissverständliche Willensbekundung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten.
Art. 4 Nr. 11 DSGVO gibt der Einwilligung eine eigenständige Legaldefinition: Sie ist jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Das Wichtigste in Kürze
- Die Einwilligung setzt vier Merkmale kumulativ voraus: Freiwilligkeit, Bestimmtheit, Information und eine unmissverständliche Handlung.
- Stillschweigen, vorausgefüllte Kästchen und bloße Untätigkeit genügen nicht (Erwägungsgrund 32 DSGVO).
- Die Einwilligung ist jederzeit ohne Nachteil widerrufbar (Art. 7 Abs. 3 DSGVO); eine rückwirkende Heilung bereits begonnener Verarbeitung ist ausgeschlossen.
- Der Verantwortliche trägt die Beweislast für das Vorliegen einer wirksamen Einwilligung (Art. 7 Abs. 1 DSGVO).
- Diese Seite behandelt den Definitionsbegriff. Die Wirksamkeitsvoraussetzungen, das Verhältnis zu anderen Rechtsgrundlagen und praktische Anforderungen sind ausführlich auf der Seite 1.3.2.1 Einwilligung als Rechtsgrundlage dargestellt.
1. Überblick
1.1 Einordnung in die DSGVO-Systematik
Die Einwilligung ist eine der sechs Rechtsgrundlagen, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann (Art. 6 Abs. 1 lit. a DSGVO). Sie erlaubt dem Verantwortlichen Verarbeitungen, für die keine gesetzliche Erlaubnisgrundlage besteht. Sie kann jedoch zwingende gesetzliche Anforderungen der DSGVO nicht abbedingen und kein gesetzliches Verbot überwinden.
Die Einwilligung muss vor Beginn der Verarbeitung vorliegen. Eine Einwilligung, die erst nach Aufnahme der Verarbeitung eingeholt wird, heilt die bis dahin rechtswidrige Verarbeitung nicht rückwirkend.
1.2 Abgrenzung: Definition und Anwendung
Art. 4 Nr. 11 DSGVO legt fest, welche Merkmale eine Willensbekundung erfüllen muss, um als Einwilligung zu gelten. Die Vorschrift beantwortet die Frage: Was ist eine Einwilligung? Die Folgefragen, ob eine konkrete Einwilligung wirksam ist, wie sie dokumentiert werden muss und welche Grenzen sie hat, regeln Art. 7 und Art. 8 DSGVO sowie besondere Vorschriften für spezifische Konstellationen.
2. Die vier Begriffsmerkmale
Die folgende Tabelle fasst die vier kumulativen Merkmale der Legaldefinition zusammen:
| Merkmal | Kerninhalt | Abgrenzung |
|---|---|---|
| Freiwilligkeit | Die betroffene Person hat eine echte Wahl; es darf kein Zwang oder erheblicher Druck bestehen. | Keine Freiwilligkeit, wenn die Verweigerung mit einem unzumutbaren Nachteil verbunden ist oder die Teilnahme am sozialen Leben faktisch vereitelt. |
| Bestimmtheit | Die Einwilligung bezieht sich auf einen konkreten Verarbeitungszweck; Inhalt, Zweck und Tragweite müssen hinreichend klar sein. | Bei mehreren voneinander unabhängigen Zwecken ist für jeden Zweck eine gesonderte Einwilligung erforderlich (Erwägungsgrund 32 DSGVO). |
| Informiertheit | Die betroffene Person muss vor der Einwilligung über den Verantwortlichen, den Verarbeitungszweck, geplante Datenweitergaben sowie die Möglichkeit und die Folgen einer Verweigerung aufgeklärt worden sein. | Unvollständige oder irreführende Information führt zur Unwirksamkeit; die Information muss in verständlicher Sprache erfolgen. |
| Unmissverständlichkeit | Die Willensbekundung muss durch eine aktive Handlung erfolgen, z.B. Anklicken eines Kästchens oder Auswahl einer technischen Einstellung (Erwägungsgrund 32 DSGVO). | Stillschweigen, vorausgewählte Kästchen und Untätigkeit erfüllen das Merkmal nicht. |
2.1 Freiwilligkeit
Freiwilligkeit setzt voraus, dass die betroffene Person zwischen Zustimmung und Ablehnung wählen kann, ohne dabei einen unangemessenen Nachteil zu erleiden. Ist der einzige Weg zur Nutzung eines Dienstleistungsangebots oder zur Teilnahme an einem Gewinnspiel die Erteilung der Einwilligung, fehlt es an der echten Wahlmöglichkeit.
Ob eine Einwilligung im Beschäftigungsverhältnis freiwillig erteilt werden kann, ist wegen des strukturellen Machtgefälles gesondert zu prüfen. § 26 Abs. 2 BDSG gibt hierfür besondere Maßstäbe vor und verlangt für die Einwilligung im Beschäftigungskontext grundsätzlich die Schrift- oder elektronische Form.
2.2 Bestimmtheit (für den bestimmten Fall)
Das Merkmal schließt Blanko-Einwilligungen aus, die eine unüberschaubare Vielzahl künftiger Verarbeitungen abdecken sollen. Die betroffene Person muss zum Zeitpunkt der Einwilligung erkennen können, worauf sie sich einlässt. Bei mehreren Verarbeitungszwecken muss die Einwilligung für jeden dieser Zwecke gesondert eingeholt werden (Erwägungsgrund 32 DSGVO), damit die betroffene Person selektiv zustimmen kann.
2.3 Informiertheit (in informierter Weise)
Die Einwilligung setzt eine vorherige Aufklärung voraus. Die betroffene Person muss zumindest wissen, wer der Verantwortliche ist, zu welchem Zweck die Daten verarbeitet werden, ob eine Weitergabe an Dritte geplant ist und welche Konsequenzen eine Verweigerung oder ein Widerruf hat. Fehlt diese Aufklärung oder ist sie so unklar formuliert, dass die betroffene Person die Tragweite nicht einschätzen kann, liegt keine informierte Einwilligung vor.
2.4 Unmissverständlichkeit und aktive Handlung
Art. 4 Nr. 11 DSGVO nennt zwei gleichwertige Formen: eine Erklärung oder eine sonstige eindeutige bestätigende Handlung. Erwägungsgrund 32 DSGVO konkretisiert, dass darunter etwa das Anklicken eines Kästchens auf einer Website oder die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft fallen kann. Entscheidend ist stets eine aktive Handlung der betroffenen Person.
Nicht ausreichend sind Stillschweigen, bereits vor der Interaktion angekreuzte Kästchen und jede Form der Untätigkeit (Erwägungsgrund 32 DSGVO). Der EuGH hat in der Rechtssache Planet49 ausdrücklich bestätigt, dass vorausgefüllte Checkboxen keine wirksame Einwilligung begründen (EuGH, Urt. v. 01.10.2019, C-673/17, Planet49).
3. Beweislast und Nachweispflicht
Dass eine den Anforderungen des Art. 4 Nr. 11 DSGVO entsprechende Einwilligung vorlag, muss der Verantwortliche nachweisen können (Art. 7 Abs. 1 DSGVO i.V.m. Art. 5 Abs. 2 DSGVO). Die Beweislast liegt vollständig beim Verantwortlichen; die betroffene Person muss ihre fehlende Einwilligung nicht beweisen.
Der EuGH hat in der Rechtssache Orange România klargestellt, welche Anforderungen an eine vorformulierte Einwilligungserklärung und an deren Dokumentation zu stellen sind: Die Umstände des Einwilligungsvorgangs müssen nachvollziehbar aufgezeichnet werden, sodass der Verantwortliche im Streitfall belegen kann, dass die betroffene Person aktiv zugestimmt hat (EuGH, Urt. v. 11.11.2020, C-61/19, Orange România).
4. Widerruflichkeit
Die Einwilligung kann von der betroffenen Person jederzeit widerrufen werden, ohne dass ihr daraus Nachteile entstehen dürfen (Art. 7 Abs. 3 DSGVO). Der Widerruf wirkt nicht zurück; er beendet die Zulässigkeit der Verarbeitung für die Zukunft. Auf den Widerruf muss die betroffene Person vor der Einwilligung hingewiesen werden, und der Widerruf muss genauso einfach möglich sein wie die Einwilligung selbst.
Nach einem wirksamen Widerruf besteht in der Regel ein Löschungsanspruch nach Art. 17 Abs. 1 lit. b DSGVO, wenn keine andere Rechtsgrundlage die Verarbeitung trägt. Ein vertraglicher oder anderweitiger Ausschluss des Widerrufsrechts ist nicht möglich.
5. Besondere Konstellationen
5.1 Ausdrückliche Einwilligung
Für bestimmte Verarbeitungen verlangt die DSGVO eine ausdrückliche Einwilligung, die über die allgemeinen Anforderungen des Art. 4 Nr. 11 DSGVO hinausgeht:
- Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. a DSGVO)
- Automatisierte Einzelentscheidungen einschließlich Profiling (Art. 22 Abs. 2 lit. c DSGVO)
- Drittlandübermittlungen in bestimmten Fällen (Art. 49 Abs. 1 lit. a DSGVO)
5.2 Einwilligung von Kindern
Bei Diensten der Informationsgesellschaft, die sich an Kinder richten, ist die Einwilligung ab dem vollendeten 16. Lebensjahr selbst wirksam; für jüngere Kinder ist die Einwilligung der Träger der elterlichen Verantwortung erforderlich (Art. 8 DSGVO). Mitgliedstaaten können die Altersgrenze auf bis zu 13 Jahre absenken.
5.3 Beschäftigtenverhältnis
Im Beschäftigungskontext gelten nach § 26 Abs. 2 BDSG besondere Anforderungen. Wegen des typischen Machtgefälles zwischen Arbeitgeber und Arbeitnehmer ist die Freiwilligkeit besonders sorgfältig zu prüfen. Die Einwilligung ist grundsätzlich schriftlich oder in elektronischer Form einzuholen, sofern keine besonderen Umstände eine andere Form rechtfertigen.
5.4 Cookies und Tracking
Der Zugriff auf Informationen in Endeinrichtungen der Nutzer und die Speicherung solcher Informationen bedürfen nach § 25 Abs. 1 TDDDG einer Einwilligung, die den Anforderungen der DSGVO entsprechen muss. Ausgenommen sind nach § 25 Abs. 2 TDDDG lediglich technisch zwingend erforderliche Vorgänge für einen vom Nutzer ausdrücklich angeforderten Dienst.
Für die Anwendung der Einwilligung als Rechtsgrundlage, die Prüfung der Wirksamkeit im Einzelfall, das Kopplungsverbot und das Verhältnis zu den übrigen Erlaubnistatbeständen des Art. 6 DSGVO siehe die ausführliche Darstellung auf der Seite 1.3.2.1 Einwilligung als Rechtsgrundlage.
Einwilligung als Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO: Wirksamkeitsvoraussetzungen, Kopplungsverbot, praktische Anforderungen.
Personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Gegenstand der Einwilligung.
EuGH Planet49
C-673/17: Vorausgefüllte Checkboxen und Einwilligung in Cookies.
EuGH Orange România
C-61/19: Anforderungen an vorformulierte Einwilligungserklärungen und Beweislast.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Dritter (Art. 4 Nr. 10 DSGVO)
Wer Dritter im Sinne der DSGVO ist, warum es keinen Konzerndatenschutz gibt und wie sich Dritte von Beschäftigten, Auftragsverarbeitern und Zweigstellen abgrenzen.
Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)
Was eine Datenpanne im Sinne der DSGVO ist, welche drei Verletzungsarten unterschieden werden und welche Meldepflichten an Aufsichtsbehörde und betroffene Personen ausgelöst werden.