Datenschutz HubEinzelthemenRechtsgrundlagen der Verarbeitung

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Einwilligung als Rechtsgrundlage der Verarbeitung: Bedeutung, Wirksamkeitsvoraussetzungen, Verhältnis zu den gesetzlichen Erlaubnistatbeständen und zu vertraglichen Zustimmungserklärungen.

Die Einwilligung steht an erster Stelle des Katalogs der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO. Sie ist Ausdruck informationeller Selbstbestimmung: Wer wirksam einwilligt, entscheidet eigenverantwortlich über die Preisgabe und Verwendung der ihn betreffenden Daten. Für Anforderungen und Rechtsfolgen verweist Art. 6 Abs. 1 lit. a DSGVO auf Art. 4 Nr. 11 und Art. 7 DSGVO, die den Begriff der Einwilligung definieren und konkretisieren.

Das Wichtigste in Kürze

  • Eine wirksame Einwilligung muss nach Art. 4 Nr. 11 DSGVO kumulativ freiwillig, zweckbezogen, informiert und unmissverständlich sein und durch eine eindeutige bestätigende Handlung erfolgen.
  • Die Einwilligung ist den gesetzlichen Erlaubnistatbeständen gleichrangig; ein nachträgliches Auswechseln der Rechtsgrundlage ist regelmäßig ausgeschlossen.
  • Den Nachweis der Einwilligung trägt der Verantwortliche (Art. 7 Abs. 1 DSGVO).
  • Die Einwilligung ist nach Art. 7 Abs. 3 DSGVO jederzeit widerrufbar; mit dem Widerruf entfällt die Rechtsgrundlage für künftige Verarbeitungen.
  • Wo eine gesetzliche Rechtsgrundlage einschlägig ist, ist sie wegen Freiwilligkeits-, Informiertheits- und Nachweisanforderungen regelmäßig robuster als die Einwilligung.

1 Überblick

1.1 Rechtsfolge

Eine wirksame Einwilligung trägt jede Verarbeitung, die sich im Rahmen der durch sie festgelegten Zwecke hält. Sie ersetzt eine gesetzliche Rechtsgrundlage und eröffnet dem Verantwortlichen Gestaltungsspielraum über den Kanon der gesetzlichen Erlaubnistatbestände hinaus.

1.2 Bedeutung in der Systematik des Art. 6 DSGVO

Die Einwilligung ist den gesetzlichen Erlaubnistatbeständen (lit. b-f) gleichrangig. Es besteht kein Vorrang zugunsten einer gesetzlichen Rechtsgrundlage, aber auch kein Vorrang zugunsten der Einwilligung. Der Verantwortliche muss sich vor Beginn der Verarbeitung festlegen, auf welcher Rechtsgrundlage er die Verarbeitung stützen will. Ein nachträgliches „Auswechseln" der Rechtsgrundlage ist wegen der damit verbundenen Folgen für Informationspflichten und Betroffenenrechte (insbesondere das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO und das Widerspruchsrecht nach Art. 21 DSGVO) regelmäßig ausgeschlossen.

1.3 Wirksamkeitsvoraussetzungen im Überblick

Eine wirksame Einwilligung muss nach Art. 4 Nr. 11 DSGVO kumulativ sein:

  • freiwillig,
  • für den bestimmten Fall (zweckbezogen),
  • in informierter Weise und
  • unmissverständlich abgegeben.

Hinzu tritt das Erfordernis einer eindeutigen bestätigenden Handlung, die eine ausdrückliche Willenserklärung darstellt. Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit genügen nicht (EuGH, Urt. v. 01.10.2019, C-673/17, Planet49, Rn. 62).

2 Wirksamkeitsvoraussetzungen im Einzelnen

2.1 Freiwilligkeit

Die Einwilligung muss auf einer echten Wahl der betroffenen Person beruhen. Art. 7 Abs. 4 DSGVO konkretisiert das Freiwilligkeitskriterium durch das Kopplungsverbot: Ist die Einwilligung an die Erfüllung eines Vertrages geknüpft, obwohl die Verarbeitung für die Vertragserfüllung nicht erforderlich ist, spricht dies gegen die Freiwilligkeit.

Besondere Vorsicht ist geboten, wo strukturelle Machtungleichgewichte bestehen. Das betrifft insbesondere das Verhältnis zwischen Behörde und Bürger sowie, so die Annahme des nationalen Gesetzgebers in § 26 Abs. 2 BDSG, das Arbeitsverhältnis. Auch im Online-Kontext stellt sich die Frage der Freiwilligkeit, wenn der Zugang zu einem Dienst ohne Alternative von der Einwilligung in weitreichende Verarbeitungen abhängig gemacht wird. So-genannte „Cookie-Walls", bei denen der Zugang zu Diensten und Funktionen vom Einverständnis mit der Speicherung oder dem Auslesen von Informationen auf dem Endgerät abhängig gemacht wird, widersprechen nach Auffassung des EDSA regelmäßig dem Freiwilligkeitserfordernis (EDSA, Leitlinien 05/2020 zur Einwilligung, Rn. 39).

Die marktbeherrschende Stellung des Verantwortlichen schließt eine wirksame Einwilligung nicht automatisch aus, ist aber ein wichtiger Aspekt bei der Prüfung, ob die Einwilligung tatsächlich freiwillig erteilt wurde, wofür der Verantwortliche die Beweislast trägt (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 154).

2.2 Zweckbezug („für den bestimmten Fall")

Die Einwilligung muss sich auf einen oder mehrere konkrete Verarbeitungszwecke beziehen. Pauschale Einwilligungen in „alle denkbaren Verarbeitungen" sind unwirksam. Will der Verantwortliche Daten für mehrere Zwecke nutzen, muss er für jeden Zweck gesondert um Einwilligung ersuchen und der betroffenen Person die Wahl lassen, welche Zwecke sie akzeptiert.

Der EDSA hat für die Zweckfestlegung eine Trias aus drei kumulativen Anforderungen entwickelt: Festlegung eines bestimmten Zwecks, Granularität beim Einholen der Einwilligung (gesonderte Einwilligungen für verschiedene Verarbeitungsvorgänge) und klare Trennung der Einwilligungsinformation von sonstigen Informationen (EDSA, Leitlinien 05/2020 zur Einwilligung nach der Verordnung 2016/679, Version 1.1, Rn. 55 ff.). Erwägungsgrund 33 lässt für wissenschaftliche Forschungszwecke eine weitere Zweckfestlegung zu; im Umkehrschluss folgt daraus, dass außerhalb der Forschung die Anforderungen an die Bestimmtheit der Zweckfestlegung eng zu verstehen sind. Eine vorformulierte Einwilligungserklärung, die nicht klar von den übrigen Vertragsklauseln abgegrenzt ist, genügt diesen Anforderungen nicht (EuGH, Urt. v. 11.11.2020, C-61/19, Orange România, Rn. 38 f.).

2.3 Informiertheit

Die betroffene Person muss die Einwilligung in Kenntnis der wesentlichen Umstände der Verarbeitung erteilen. Dazu zählen die Identität des Verantwortlichen, die konkreten Zwecke, die Kategorien der verarbeiteten Daten, etwaige Empfänger und das Bestehen des Widerrufsrechts. Inhaltlich und sprachlich müssen die Informationen so gestaltet sein, dass sie für einen durchschnittlich informierten Nutzer verständlich sind.

Speziell bei Cookies und vergleichbaren Tracking-Technologien hat der EuGH klargestellt, dass die Information auch die Funktionsdauer der Cookies und etwaige Empfänger umfassen muss (EuGH, Urt. v. 01.10.2019, C-673/17, Planet49, Rn. 78 f.).

2.4 Unmissverständlichkeit

Die Einwilligung muss durch eine eindeutige Handlung oder Erklärung zum Ausdruck kommen. Ein „Opt-out"-Modell, bei dem die Einwilligung unterstellt wird, solange die betroffene Person nicht widerspricht, genügt nicht. Ebenso wenig erfüllt die bloße Fortsetzung der Nutzung eines Dienstes („implizite Einwilligung") das Erfordernis einer bestätigenden Handlung.

2.5 Nachweis (Art. 7 Abs. 1 DSGVO)

Der Verantwortliche trägt die Beweislast dafür, dass die betroffene Person eingewilligt hat. Die Nachweisbarkeit ist praktisch von großer Bedeutung: Sie erfordert eine dokumentierte Willenserklärung, die die konkrete Formulierung des Einwilligungstextes, den Zeitpunkt und den technischen Ablauf belegt.

3 Verhältnis zu den gesetzlichen Erlaubnistatbeständen

3.1 Gleichrangigkeit statt Vorrang

Die Einwilligung und die gesetzlichen Erlaubnistatbestände stehen grundsätzlich gleichrangig nebeneinander. Der Verantwortliche ist weder verpflichtet, zuerst nach einer gesetzlichen Rechtsgrundlage zu suchen, noch darf er die Einwilligung als Verlegenheitslösung einsetzen, wenn eine gesetzliche Rechtsgrundlage ohnehin einschlägig ist. Entscheidend ist, dass die gewählte Rechtsgrundlage für die konkrete Verarbeitung passt.

3.2 Gefahr der Umgehung des Kopplungsverbots

Kritisch ist die Kombination mehrerer Rechtsgrundlagen, wenn damit das Erfordernis einer echten Wahlmöglichkeit unterlaufen werden soll. Der EuGH hat am Beispiel Meta betont, dass der Verantwortliche nicht frei zwischen den Rechtsgrundlagen wählen darf, wenn die tatsächlichen Voraussetzungen nicht vorliegen; die Erforderlichkeit einer Verarbeitung für die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO lässt sich nicht durch die Annahme einer hypothetischen Einwilligung ersetzen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 98 ff.).

3.3 Abgrenzung von Einwilligung und schuldrechtlicher Zustimmung

Von der datenschutzrechtlichen Einwilligung zu unterscheiden ist die schuldrechtliche Zustimmung zu Vertragsklauseln, in denen sich die betroffene Person zur Preisgabe bestimmter Daten bereit erklärt. Eine solche vertragliche Zustimmung ist keine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO, sondern Teil des Vertragsinhalts, der über Art. 6 Abs. 1 lit. b DSGVO zu rechtfertigen ist. Der Unterschied ist praktisch relevant: Während eine Einwilligung nach Art. 7 Abs. 3 DSGVO jederzeit widerrufen werden kann, entfaltet eine vertragliche Zustimmung vertragliche Bindungswirkung.

4 Einschränkungen der Einwilligung

4.1 Besondere Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verlangt Art. 9 Abs. 2 lit. a DSGVO eine ausdrückliche Einwilligung. Die Anforderungen gehen über die allgemeine Einwilligung hinaus, bleiben aber innerhalb des durch Art. 4 Nr. 11 und Art. 7 DSGVO gesetzten Rahmens.

4.2 Einwilligung von Kindern

Art. 8 DSGVO ordnet besondere Anforderungen an die Einwilligung von Kindern im Rahmen von Diensten der Informationsgesellschaft an. Die Altersgrenze liegt grundsätzlich bei 16 Jahren; die Mitgliedstaaten können sie auf bis zu 13 Jahre absenken. Deutschland hat von der Öffnungsklausel keinen Gebrauch gemacht, sodass die 16-Jahres-Grenze gilt.

4.3 Widerruf

Nach Art. 7 Abs. 3 DSGVO kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf muss genauso einfach möglich sein wie die Erteilung der Einwilligung. Mit dem Widerruf entfällt die Rechtsgrundlage für zukünftige Verarbeitungen; bereits durchgeführte Verarbeitungen bleiben rechtmäßig, soweit sie vor dem Widerruf abgeschlossen waren.

Die Einwilligung ist häufig nicht die „einfachste" Rechtsgrundlage. Wegen der Freiwilligkeits-, Informiertheits- und Nachweisanforderungen sowie des jederzeitigen Widerrufsrechts schafft sie eine strukturelle Unsicherheit. Wo eine gesetzliche Rechtsgrundlage einschlägig ist, ist sie in der Regel robuster.

Rechtsgrundlagen (Art. 6 DSGVO)

Systematik und Überblick.

Vertrag und vorvertragliche Maßnahmen

Art. 6 Abs. 1 lit. b DSGVO.

Berechtigte Interessen

Art. 6 Abs. 1 lit. f DSGVO.

Einwilligung (Begriff, Art. 4 Nr. 11 DSGVO)

Legaldefinition der Einwilligung.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Überblick über Art. 6 DSGVO: Verbot mit Erlaubnisvorbehalt, abschließender Katalog der Erlaubnistatbestände, Erforderlichkeitsprinzip, Verhältnis zu den Öffnungsklauseln und zum Zweckbindungsgrundsatz.

Vertrag und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Vertragliche Erlaubnisgrundlage nach Art. 6 Abs. 1 lit. b DSGVO: Anwendungsbereich, unionsrechtlicher Begriff der Erforderlichkeit, Abgrenzung zu Einwilligung und Nutzungsbedingungen, Kündigungsfolgen und typische Fallgruppen insbesondere bei Online-Diensten.

On this page

1 Überblick1.1 Rechtsfolge1.2 Bedeutung in der Systematik des Art. 6 DSGVO1.3 Wirksamkeitsvoraussetzungen im Überblick2 Wirksamkeitsvoraussetzungen im Einzelnen2.1 Freiwilligkeit2.2 Zweckbezug („für den bestimmten Fall")2.3 Informiertheit2.4 Unmissverständlichkeit2.5 Nachweis (Art. 7 Abs. 1 DSGVO)3 Verhältnis zu den gesetzlichen Erlaubnistatbeständen3.1 Gleichrangigkeit statt Vorrang3.2 Gefahr der Umgehung des Kopplungsverbots3.3 Abgrenzung von Einwilligung und schuldrechtlicher Zustimmung4 Einschränkungen der Einwilligung4.1 Besondere Kategorien personenbezogener Daten4.2 Einwilligung von Kindern4.3 Widerruf