- Zustimmung muss sein: frei gegeben, konkret, informiert und eindeutig (Artikel 7)
- Vorgepflegte Boxen, stillschweigende Zustimmung und gebündelte Zustimmung sind alle ungültig nach DSGVO
- Die Zustimmung muss so leicht zurückgenommen werden, wie sie zu geben ist, und der Rücktritt muss sofort gewürdigt werden
- Verwenden Sie keine Einwilligung, wenn eine andere gesetzliche Grundlage (Vertrag, gesetzliche Verpflichtung) angemessener ist
Die Einwilligung nach DSGVO ist nicht dieselbe wie die Zustimmung in der Alltagssprache. Es ist ein gesetzlicher Standard mit spezifischen Anforderungen, und Organisationen, die auf die Zustimmung als ihre primäre gesetzliche Grundlage verlassen, entdecken oft, dass das, was sie gesammelt wurden, überhaupt keine gültige Zustimmung war. Die Leitlinien des EDPB über die Zustimmung des EDPB bieten umfassende Details; dieser Leitfaden umfasst die praktischen Grundlagen für regulierte Unternehmen.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Die vier Anforderungen an eine gültige Einwilligung
1. Frei gegeben
Die Einwilligung wird nicht freiwillig erteilt, wenn der Einzelne keine wirkliche Wahl hat oder ihm durch die Verweigerung ein Nachteil entstehen würde. Das heisst:
- Sie können die Einwilligung nicht zur Bedingung einer Dienstleistung machen (es sei denn, die Verarbeitung ist für diese Dienstleistung wirklich notwendig).
- Die Bündelung der Zustimmung für mehrere Verarbeitungsaktivitäten in einem einzigen Kontrollkästchen ist nicht gültig – jede muss separat genehmigt werden
- Bei einem klaren Machtungleichgewicht (Arbeitgeber-Arbeitnehmer) gilt die Einwilligung der Arbeitnehmer grundsätzlich als nicht freiwillig gegeben
2. Spezifisch
Die Einwilligung muss für jeden einzelnen Zweck spezifisch sein. Allgemeine Aussagen wie „Wir verwenden Ihre Daten möglicherweise für Marketing- und Analysezwecke“ erfüllen die Spezifitätsanforderung nicht. Jeder Zweck – E-Mail-Newsletter, Telefonanrufe, Profilerstellung, Weitergabe an Partner – erfordert eine eigene Zustimmung.
3. Informiert
Einzelpersonen müssen über ausreichende Informationen verfügen, um eine sinnvolle Entscheidung treffen zu können, bevor sie zustimmen. Sie müssen ihnen mindestens Folgendes mitteilen: wer Sie sind, welche Daten zu welchem Zweck verarbeitet werden, ob sie an Dritte weitergegeben werden und dass sie ihre Einwilligung jederzeit widerrufen können.
4. Eindeutige Angabe
Die Einwilligung erfordert eine positive, positive Handlung – ein Opt-in, kein Opt-out. Vorab angekreuzte Kästchen, durch Untätigkeit angenommene Einwilligungen oder in den Allgemeinen Geschäftsbedingungen verborgene Einwilligungen sind alle ungültig. Die Handlung muss klar und von anderen Angelegenheiten unterscheidbar sein.
Wenn Sie keine Einwilligung verwenden
Die Einwilligung ist oft die falsche Rechtsgrundlage. Wenn die Verarbeitung zur Erfüllung eines Vertrags mit der Einzelperson erforderlich ist, nutzen Sie die Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b). Wenn Sie gesetzlich zur Verarbeitung der Daten verpflichtet sind, nutzen Sie die gesetzliche Verpflichtung (Artikel 6 Absatz 1 Buchstabe c). Die Verwendung der Einwilligung für die Verarbeitung, die die Vertragserfüllung oder rechtliche Verpflichtung rechtfertigen würde, führt zu einem unnötigen Aufwand bei der Einwilligungsverwaltung und verleiht Einzelpersonen Rechte (einfacher Widerruf, mögliche Löschung), die die Situation nicht erfordert.
Häufiger Fehler: Einwilligung als rechtmäßige Grundlage für die KYC-Verarbeitung verwenden. KYC ist eine gesetzliche Verpflichtung im Rahmen der AML-Gesetzgebung – die Rechtsgrundlage ist Artikel 6(1)(c), nicht die Einwilligung. Wenn Sie eine Einwilligung für KYC einholen, können Einzelpersonen diese jederzeit widerrufen, was Sie daran hindern würde, Ihren gesetzlichen Verpflichtungen nachzukommen.
Verwaltung von Einwilligungsdaten
Gemäß Artikel 7 Absatz 1 müssen Sie nachweisen können, dass eine Person ihre Einwilligung gegeben hat. Das bedeutet, dass Ihr Einwilligungsmanagementsystem Folgendes erfassen muss:
- Wer hat zugestimmt (verknüpft mit einem individuellen Datensatz)
- Wann sie zugestimmt haben (Zeitstempel)
- Worin sie eingewilligt haben (spezifischer Zweck und Version der angezeigten Einwilligungserklärung)
- Wie sie zugestimmt haben (welcher Mechanismus – Formularübermittlung, Kontrollkästchen usw.)
Zurücknahme von Einwilligungen
Artikel 7 Absatz 3 besagt, dass der Widerruf so einfach sein muss wie die Erteilung der Einwilligung. Wurde die Einwilligung durch Anklicken einer Checkbox auf einer Website erteilt, muss auch ein Widerruf mit vergleichbarem Aufwand möglich sein – nicht über einen schriftlichen Brief an einen Compliance-Beauftragten. Bei Widerruf der Einwilligung:
- Die auf dieser Einwilligung beruhende Verarbeitung muss unverzüglich eingestellt werden
- Daten, die ausschließlich auf Grundlage dieser Einwilligung erhoben werden, müssen gelöscht werden (es sei denn, es liegt eine andere Rechtsgrundlage vor).
- Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt
Zustimmungs- und Marketingkommunikation
Für elektronische Marketingkommunikation (E-Mail, SMS) gilt neben der DSGVO auch die ePrivacy-Richtlinie (PECR im Vereinigten Königreich). Für die Vermarktung an Privatpersonen ist grundsätzlich eine vorherige Einwilligung erforderlich. B2B-Marketing an geschäftliche E-Mail-Adressen kann auf der „Soft-Opt-in“-Regel basieren, wenn der Empfänger ein bestehender Kunde ist und das Marketing für ähnliche Produkte oder Dienstleistungen erfolgt.
Wie lange dauert die Einwilligung?
Die DSGVO legt keinen Höchstzeitraum fest, der EDSA empfiehlt jedoch, die Einwilligung regelmäßig zu aktualisieren, wenn die Beziehung noch andauert. Wenn sich die Umstände seit der ursprünglichen Einwilligung geändert haben, sollten Sie die Einwilligung erneut einholen. Dokumentieren Sie Ihre Richtlinie zur Aktualisierung der Einwilligung.
Können Kinder nach der DSGVO ihre Einwilligung geben?
Artikel 8 der DSGVO beschränkt die Fähigkeit von Kindern, ihre Einwilligung für Dienste der Informationsgesellschaft zu erteilen, auf Personen ab 16 Jahren (Mitgliedstaaten können diese auf 13 Jahre herabsetzen). Für jüngere Kinder ist die Zustimmung der Eltern oder eines Erziehungsberechtigten erforderlich. Überprüfen Sie das Alter des Kindes und führen Sie Aufzeichnungen.
Verwalten Sie die Einwilligung parallel zu Ihren Kundenbeziehungen
HubSecure CRM zeichnet den Einwilligungsstatus, Zeitstempel und Widerrufsdaten für jeden Kunden auf – so sind Ihre Marketinglisten immer konform und prüfungsbereit.
Buchen Sie eine DemoOffizielle Quellen und weiterführende Literatur
Nutzen Sie diese öffentlichen Quellen, um den regulatorischen Hintergrund und die Terminologie zu überprüfen. Bei den Inhalten von HubSecure handelt es sich um Produkthinweise, nicht um Rechtsberatung.
Hinweise zur Glaubwürdigkeit
Dieser Leitfaden dient der Produkt- und Betriebsbewertung und stellt keine Rechtsberatung dar. Bestätigen Sie bei Compliance-Verpflichtungen die Anforderungen mit einem qualifizierten Berater oder der zuständigen Aufsichtsbehörde.
Verwandte HubSecure-Referenzen: Sicherheit · DPA · Unterauftragsverarbeiter · AML/KYC-Glossar · RBAC-Glossar
Überprüft für regulierte Teams
Vorbereitet vom HubSecure-Redaktionsteam für Betreiber, Compliance-Verantwortliche und IT-Prüfer, die sichere Client-Betriebssoftware bewerten.
Autoren · Rezensenten · Redaktionelle Richtlinien