Einwilligungserklärungen

Eine Einwilligung im Sinne der DSGVO ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."

Sie ist eine von sechs gleichrangigen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO – nicht die Standardgrundlage, sondern nur eine unter mehreren. Wenn die Verarbeitung bereits auf einer anderen Rechtsgrundlage zulässig ist (Vertragserfüllung, rechtliche Verpflichtung, öffentliches Interesse, berechtigtes Interesse), ist die zusätzliche Einholung einer Einwilligung häufig problematisch und häufig irreführend – sie suggeriert Wahlfreiheit, wo die Verarbeitung tatsächlich unabhängig von der Zustimmung erfolgt, und schwächt damit die Position des Verantwortlichen.

Eine Einwilligung ist nur wirksam, wenn sie alle vier Anforderungen des Art. 4 Nr. 11 DSGVO erfüllt. Fehlt eines, trägt die Einwilligung als Rechtsgrundlage in der Regel nicht – die darauf gestützte Verarbeitung erscheint dann in Bezug auf ihre Rechtsgrundlage klärungsbedürftig.

1. Freiwilligkeit Die Einwilligung muss ohne Zwang oder Druck zustande kommen. Bestehen erhebliche Machtungleichgewichte (Behörde – Bürger, Arbeitgeber – Beschäftigter), ist die Freiwilligkeit nach Erwägungsgrund 43 DSGVO in aller Regel zu verneinen. Auch Kopplung der Einwilligung mit Vertragserfüllung (Art. 7 Abs. 4 DSGVO) ist nur in engen Grenzen zulässig. Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO; ErwGr 42, 43
2. Bestimmtheit Die Einwilligung muss sich auf einen oder mehrere konkret benannte Verarbeitungszwecke beziehen. Pauschale Generaleinwilligungen („für alle Datenverarbeitungen") sind unzulässig. Für jeden eigenständigen Zweck ist eine eigene Einwilligungserklärung erforderlich (Granularitätsprinzip). Art. 4 Nr. 11 DSGVO; ErwGr 32, 42, 43
3. Informiertheit Die betroffene Person muss vor Abgabe der Einwilligung über Identität des Verantwortlichen, Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer und das Widerrufsrecht informiert werden – in klarer, einfacher Sprache (Art. 7 Abs. 2 DSGVO). Art. 7 Abs. 2 DSGVO; Art. 13/14 DSGVO
4. Unmissverständlichkeit Die Einwilligung muss durch eine eindeutig bestätigende Handlung erfolgen. Stillschweigen, vorausgewählte Ankreuzfelder oder Untätigkeit reichen nicht (Erwägungsgrund 32 DSGVO). Klassisch: aktiv anzukreuzendes Kästchen, Klick auf einen Bestätigungs-Button, schriftliche Unterschrift. Art. 4 Nr. 11 DSGVO; ErwGr 32

Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) kommt die Anforderung der ausdrücklichen Einwilligung hinzu (Art. 9 Abs. 2 lit. a DSGVO) – sie muss explizit benennen, welche besonderen Kategorien für welche Zwecke verarbeitet werden.

Die Freiwilligkeit ist die anspruchsvollste der vier Voraussetzungen – und sie scheitert in der Praxis am häufigsten. Zwei Konstellationen sind besonders kritisch:

Klares Machtungleichgewicht

Erwägungsgrund 43 Satz 1 DSGVO formuliert ausdrücklich: „Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern."

Im Klartext: Wenn eine öffentliche Stelle (Hochschule, Behörde) von einer Person eine Einwilligung verlangt, ist die Freiwilligkeit vermutet zu verneinen. Die Beweislast für die Freiwilligkeit trägt die Stelle. In der Praxis führt das dazu, dass Einwilligungen durch öffentliche Stellen nur in eng begrenzten Konstellationen tragen – etwa dort, wo die betroffene Person tatsächlich frei zwischen mehreren gleichwertigen Alternativen wählen kann und keine Nachteile bei Ablehnung entstehen.

Kopplungsverbot

Art. 7 Abs. 4 DSGVO formuliert ausdrücklich: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind."

Wer eine Dienstleistung nur erbringt, wenn die betroffene Person in eine darüber hinausgehende Datenverarbeitung einwilligt, koppelt die Einwilligung mit dem Vertrag – und zerstört damit die Freiwilligkeit. Klassisches Beispiel: Newsletter-Pflicht zur Nutzung eines kostenlosen Dienstes.

Mit Umsetzung der Digitale-Inhalte-Richtlinie (EU) 2019/770 durch das Gesetz zur Regelung des Verbraucherschutzes bei Telekommunikationsverträgen sowie das Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (BGBl. I 2021, S. 2123) hat der deutsche Gesetzgeber das BGB um Regelungen zu Verträgen über digitale Produkte ergänzt, bei denen die betroffene Person personenbezogene Daten als Entgelt zur Verfügung stellt. Maßgeblich sind insbesondere § 312 Abs. 1a BGB und § 327 Abs. 3 BGB.

Damit liegt eine doppelte rechtliche Verankerung vor: Die DSGVO regelt die Voraussetzungen und Folgen der datenschutzrechtlichen Einwilligung, das BGB regelt die schuldrechtliche Einbettung der Bereitstellung der Daten in einen entgeltlichen Vertrag. Beide Rechtsregime greifen parallel.

Für öffentliche Stellen und insbesondere für Hochschulen ist die Konstellation von eher untergeordneter Bedeutung – sie schließen keine entgeltlichen Verträge auf Datenbasis mit Studierenden oder Beschäftigten. Bedeutung gewinnt die Frage gleichwohl bei kostenlosen Drittangeboten, die im Hochschulalltag genutzt werden (etwa kostenfreie Cloud-Tools, Lerntools, Communities), und bei der Beratung von Beschäftigten und Studierenden im Verbraucherkontext. §§ 312 Abs. 1a, 327 Abs. 3 BGB; Art. 7 Abs. 3 und 4, Erwägungsgrund 42 DSGVO; EDSA Leitlinien 05/2020

Im Beschäftigtenverhältnis ist die Einwilligung als Rechtsgrundlage besonders kritisch zu sehen. Das strukturelle Über-Unterordnungs-Verhältnis zwischen Arbeitgeber und Beschäftigtem führt häufig dazu, dass die Freiwilligkeit nicht gewahrt ist – die Beschäftigten sind in ihrer wirtschaftlichen Existenz vom Arbeitgeber abhängig und können eine Einwilligung kaum ohne Sorge vor Nachteilen ablehnen.

Diese Linie ist durch Art. 88 DSGVO und nationales Beschäftigtendatenschutzrecht anerkannt. In den Aufsichtspraxen der deutschen Datenschutzbehörden ist die Position klar: Einwilligungen im Beschäftigtenkontext sind nur in eng begrenzten Konstellationen wirksam. Sie tragen vor allem dann, wenn:

• die Verarbeitung der oder dem Beschäftigten einen tatsächlichen rechtlichen oder wirtschaftlichen Vorteil bringt (z. B. private Nutzung eines Diensthandys, freiwillige Teilnahme an Mitarbeiterportraits),
• die Verarbeitung gleichgerichtete Interessen von Arbeitgeber und Beschäftigtem verfolgt (z. B. Verlinkung im Mitarbeiterverzeichnis bei Außenkontakt),
• keinerlei Nachteile bei Ablehnung entstehen (insbesondere keine karriere- oder leistungsbezogenen Konsequenzen),
• die Einwilligung jederzeit ohne Begründung widerrufen werden kann und der Widerruf gleich einfach ist wie die Erteilung.

Schon wenn eine dieser Bedingungen wackelt, ist die Einwilligung angreifbar. In der Praxis ist es deshalb klüger, im Beschäftigtenkontext zuerst andere Rechtsgrundlagen zu prüfen. Bei öffentlichen Stellen kommt in der Regel Art. 6 Abs. 1 lit. b oder lit. e DSGVO in Verbindung mit der jeweiligen bereichsspezifischen Aufgabennorm in Betracht. Eine allgemeine Generalklausel zum Beschäftigtendatenschutz auf Landesebene enthält das DSAG LSA nicht; § 26 DSAG LSA regelt nur spezifische Sachverhalte (Personalaktenführung, Eignungsuntersuchungen, GenDG-Anwendung). Im nicht-öffentlichen Bereich und in Bundesbehörden ist § 26 BDSG die einschlägige Norm – allerdings hat der EuGH mit Urteil vom 30. März 2023 (C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium) klargestellt, dass nationale Beschäftigtendatenschutzregelungen, die nicht im Sinne von Art. 88 Abs. 2 DSGVO besondere Schutzvorkehrungen enthalten, keinen eigenständigen Anwendungsbereich haben. Das Bundesarbeitsgericht hat die unionsrechtskonforme Auslegung von § 26 BDSG im Urteil vom 08. Mai 2025 (8 AZR 209/21 – Workday, konzerninterne Übermittlung von Beschäftigtendaten an die US-Konzernmutter im Rahmen eines Tests der HR-Software) konkretisiert und die Anforderungen des Art. 88 Abs. 2 DSGVO als Wirksamkeitsmaßstab geschärft. Dogmatisch ist zu beachten: Art. 88 DSGVO ist eine Öffnungsklausel, keine eigenständige Erlaubnisnorm; § 26 BDSG wirkt nur im Rahmen dieser Öffnungsklausel. Soweit § 26 BDSG die Anforderungen des Art. 88 Abs. 2 DSGVO nicht erfüllt, ist er unanwendbar – maßgeblich bleibt Art. 6 Abs. 1 DSGVO als unionsrechtliche Erlaubnisgrundlage. Wer sich in der Privatwirtschaft auf § 26 BDSG stützt, sollte die Erforderlichkeit der Verarbeitung deshalb zugleich an Art. 6 Abs. 1 lit. b DSGVO konkret begründen können. Strukturell betrifft der Workday-Maßstab auch § 26 DSAG LSA und vergleichbare Landesnormen, weil sie auf derselben Öffnungsklausel des Art. 88 Abs. 2 DSGVO beruhen; Aufsicht und Literatur diskutieren die Reichweite weiter.

Eine systematische Darstellung des Beschäftigtendatenschutzes an Hochschulen jenseits der Einwilligungsfrage – Rechtsgrundlagen-Tabelle, § 26 DSAG LSA mit den drei Sondertatbeständen, Personalaktenführung nach LBG LSA, BEM, Beschäftigten-Tracking, KI im HR-Bereich und Hinweisgeberschutz – findet sich auf der Themenseite Beschäftigtendatenschutz an Hochschulen.

Öffentliche Stellen verarbeiten personenbezogene Daten typischerweise zur Erfüllung gesetzlicher Aufgaben. Die einschlägige Rechtsgrundlage ist dann Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit der jeweiligen Aufgabennorm – nicht die Einwilligung. In klar abgrenzbaren, nicht-hoheitlichen Randbereichen (etwa Marketingfotos für die freiwillige Öffentlichkeitsarbeit oder die Aufnahme in ein optionales Alumni-Verzeichnis) kann eine Einwilligung ausnahmsweise das richtige Instrument bleiben; dort fehlt es an einer tragfähigen Aufgabennorm, und die Verarbeitung ist für die betroffene Person frei wählbar.

Eine Einwilligung als Rechtsgrundlage ist nur dort denkbar, wo die öffentliche Stelle außerhalb ihres gesetzlichen Auftrags handelt und die Datenverarbeitung für die betroffene Person frei wählbar ist. Selbst dann gilt die Vermutung des Erwägungsgrundes 43 DSGVO: Die Stelle muss aktiv beweisen, dass die Einwilligung freiwillig zustande kam. Hilfreich ist:

• klare Kommunikation, dass die Datenverarbeitung optional ist und keine Nachteile bei Ablehnung entstehen,
• räumliche und zeitliche Trennung der Einwilligungserklärung von Pflichtverarbeitungen,
• eindeutige Widerrufshinweise und ein einfacher Widerrufsweg.

Häufige Fehlkonstruktion: Eine Hochschule lässt sich von Studierenden bei der Immatrikulation eine Einwilligung in die Veröffentlichung ihres Bildes oder die Verwendung in Werbematerial unterzeichnen – verbunden mit Pflichtangaben oder im Pflichtformular der Einschreibung. Die Vermischung mit Pflichtdaten zerstört die Freiwilligkeit.

Art. 7 Abs. 3 DSGVO regelt: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf darf nicht schwieriger sein als die Erteilung. Über das Widerrufsrecht ist vor Abgabe der Einwilligung zu informieren.

Der Widerruf wirkt nur für die Zukunft – die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Nach dem Widerruf sind die auf Grundlage der Einwilligung verarbeiteten Daten zu löschen, soweit keine andere Rechtsgrundlage greift.

Sieben Konstellationen, an denen Einwilligungen in der Praxis häufig scheitern:

1. Einwilligung als Standardgrundlage: Eine Einwilligung wird eingeholt, obwohl eine andere Rechtsgrundlage tragen würde. Empfohlen wird, vorrangig zu prüfen, ob die Verarbeitung bereits auf eine andere Rechtsgrundlage gestützt werden kann.
2. Pauschale Generaleinwilligungen: Eine Einwilligung „für alle Verarbeitungen" genügt dem Bestimmtheitserfordernis in aller Regel nicht. Es wird empfohlen, je Verarbeitungszweck eine eigene Einwilligung vorzusehen.
3. Vorauskreuzung oder Untätigkeit: Eine Einwilligung durch Vorauskreuzung oder Schweigen ist mit dem Erfordernis der eindeutigen bestätigenden Handlung (Erwägungsgrund 32 DSGVO) in aller Regel nicht vereinbar.
4. Kopplung mit Pflichtleistungen: Wird die Vertrags- oder Leistungserfüllung von einer nicht erforderlichen Einwilligung abhängig gemacht, steht die Freiwilligkeit nach Art. 7 Abs. 4 DSGVO in Frage.
5. Verschachtelter Widerrufsweg: Eine Einwilligung mit einem Klick, deren Widerruf nur per Brief mit Identitätsnachweis möglich ist, entspricht dem Gebot der gleichen Einfachheit nach Art. 7 Abs. 3 DSGVO häufig nicht.
6. Fehlende Dokumentation: Wer Einwilligungen einsetzt, sollte Zeitpunkt, Inhalt und Form jeder einzelnen Einwilligung nach Art. 7 Abs. 1 DSGVO nachweisen können. Ein bloßer Verweis auf „üblicherweise wird informiert" reicht in aller Regel nicht aus.
7. Beschäftigtenkontext mit unzureichender Sorgfalt: Eine Routine-Einwilligung von Vorgesetzten gegenüber direkten Untergebenen kommt ohne ergänzende Vorkehrungen häufig nicht wirksam zustande. Empfohlen wird, vor jeder Einwilligungseinholung im Beschäftigtenkontext die Freiwilligkeit gesondert zu sichern.

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.

Mustertexte und Praxisvorlagen

Über den engen Bereich der Einwilligung hinaus stellt das Institut für Informations-, Telekommunikations- und Medienrecht (ITM) der Universität Münster unter der Leitung von Prof. Dr. Thomas Hoeren eine umfassende Muster-Datenschutzerklärung für Webseiten zur Verfügung. Sie behandelt die Informationspflichten nach Art. 13/14 DSGVO, den Cookie-/Tracking-Komplex nach § 25 TDDDG und ist in ihrer aktuellen Fassung vom Januar 2025 verfügbar. Die Verwendung und Anpassung ist nach Maßgabe des ITM gestattet.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 11 (Begriff Einwilligung); Art. 6 Abs. 1 lit. a; Art. 7 (Bedingungen); Art. 9 Abs. 2 lit. a (besondere Kategorien); ErwGr 32, 42, 43.
• § 25 TDDDG – Einwilligungsanforderungen für den Zugriff auf Endgeräte (Cookies u. ä.).

Rechtsprechung

• EuGH, Urteil v. 11.11.2020 – C-61/19 (Orange Romania) – Aktiv erteilte Einwilligung; vorangekreuzte Kästchen genügen nicht.
• EuGH, Urteil v. 01.10.2019 – C-673/17 (Planet49) – Anforderungen an Cookie-Einwilligungen; Maßstab für aktive Handlung.
• EuGH, Urteil v. 04.07.2023 – C-252/21 (Meta/Bundeskartellamt) – Maßstab der Freiwilligkeit bei marktbeherrschender Stellung.
• EuGH, Urteil v. 30.03.2023 – C-34/21 (Hauptpersonalrat Hessen) – Anforderungen des Art. 88 Abs. 2 DSGVO an nationale Beschäftigtendatenschutznormen.
• BAG, Urteil v. 08.05.2025 – 8 AZR 209/21 („Workday") – konzerninterne Übermittlung von Beschäftigtendaten an die US-Konzernmutter über eine Duldungs-Betriebsvereinbarung; Schadensersatz nach Art. 82 DSGVO i. H. v. 200 € wegen Kontrollverlusts.

Aufsichtspraxis

• EDPB, Leitlinien 05/2020 zur Einwilligung gemäß DSGVO – maßgebliche Auslegung der Einwilligungsvoraussetzungen.
• EDPB, Bericht der Cookie Banner Task Force (2023) – konsolidierte aufsichtsbehördliche Anforderungen an Einwilligungs-Banner.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Beschäftigtendatenschutz an Hochschulen – vertiefende Anker-Seite zur Einwilligung im Beschäftigtenkontext und zu den dort relevanten Sondernormen.
• Mailinglisten – Einwilligung als Hauptrechtsgrundlage für werbliche Newsletter.
• Fotos und Veranstaltungsdokumentation – Einwilligung neben kunsturheberrechtlichen Erlaubnistatbeständen.
• Forschungszweck – Einwilligung als eine mögliche Rechtsgrundlage neben Art. 6 Abs. 1 lit. e DSGVO.