Einwilligung nach Art. 7 DSGVO und technische Anforderungen

Theoretisch lässt die DSGVO die Form der Einwilligung offen, was bedeutet, dass eine mündliche Zustimmung rechtlich wirksam sein kann. Allerdings scheitert diese Praxis fast immer an der in Art. 7 Abs. 1 DSGVO festgeschriebenen Rechenschaftspflicht des Verantwortlichen. Wenn ein Betroffener behauptet, er habe nie zugestimmt, muss das Unternehmen den Gegenbeweis antreten. In einem Streitfall vor Gericht oder gegenüber einer Aufsichtsbehörde ist eine mündliche Zusage ohne unabhängige Zeugen oder eine Audio-Aufzeichnung (die wiederum eigene datenschutzrechtliche Hürden hat) kaum zu belegen. Daher raten Experten im geschäftlichen Kontext dringend von rein mündlichen Einwilligungen ab, sofern diese nicht unmittelbar schriftlich oder elektronisch bestätigt werden.

In der Praxis sollte jede mündliche Einwilligung, etwa bei einem Telefonat oder auf einer Messe, durch ein anschließendes Bestätigungsverfahren (z.B. eine E-Mail mit einem Bestätigungslink) verifiziert werden. Erst durch diese technische Protokollierung entsteht ein belastbarer Beweiswert. Wer sich rein auf mündliche Zusagen verlässt, steht bei einer behördlichen Prüfung mit leeren Händen da. Dies kann nicht nur zu Bußgeldern führen, sondern auch dazu, dass die gesamte darauf basierende Datenverarbeitung für unzulässig erklärt wird und alle erhobenen Daten gelöscht werden müssen, was oft einen erheblichen wirtschaftlichen Schaden für Marketing-Datenbanken bedeutet.

Das Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO besagt, dass die Erfüllung eines Vertrags nicht von einer Einwilligung in die Verarbeitung von Daten abhängig gemacht werden darf, die für diesen Vertrag nicht erforderlich sind. Bei Gewinnspielen wird oft argumentiert, dass die Teilnahme “kostenlos” ist und der Nutzer dafür lediglich seine Marketing-Zustimmung gibt. Hier ist die Rechtslage differenziert: Wenn das Gewinnspiel klar als “Tauschgeschäft” (Daten gegen Gewinnchance) deklariert ist, kann dies unter Umständen zulässig sein. Problematisch wird es jedoch, wenn die Einwilligung in den Newsletter als “notwendige Bedingung” für die Gewinnspielteilnahme getarnt wird, ohne dass dies für die Durchführung des Gewinnspiels technisch oder rechtlich nötig wäre.

In realen Streitfällen prüfen Gerichte, ob der Nutzer eine echte Wahlmöglichkeit hatte. Eine unzulässige Koppelung liegt meist vor, wenn der Eindruck erweckt wird, die Datenverarbeitung sei für den Hauptzweck (das Gewinnspiel) funktional zwingend. Um dieses Risiko zu umgehen, sollten Unternehmen die Marketing-Einwilligung stets als separate, optionale Checkbox gestalten. Alternativ muss das Geschäftsmodell transparent als werbefinanziertes Angebot gestaltet sein, wobei der Nutzer genau wissen muss, dass seine Daten die “Währung” sind. Dennoch bleibt dies eine juristische Grauzone, in der viele Aufsichtsbehörden eine sehr restriktive Haltung einnehmen und im Zweifel gegen die Koppelung entscheiden, um den Schutz der Privatsphäre zu priorisieren.

Die DSGVO sieht kein festes Ablaufdatum für eine Einwilligung vor. Grundsätzlich gilt eine Einwilligung so lange, wie der Zweck der Datenverarbeitung besteht und die betroffene Person ihren Consent nicht widerrufen hat. Dennoch ist Vorsicht geboten: Wenn eine Einwilligung über viele Jahre nicht genutzt wurde, kann ihre Wirksamkeit erlöschen, da die Erwartungshaltung des Nutzers nicht mehr mit der tatsächlichen Verarbeitung korrespondiert. Die Aufsichtsbehörden empfehlen häufig, bei langjährigen Bestandsdaten regelmäßig zu prüfen, ob die Einwilligung noch den aktuellen rechtlichen Standards entspricht. Insbesondere nach großen Gesetzesänderungen oder wegweisenden Urteilen (wie Planet49) können alte Einwilligungen schlagartig unwirksam werden.

Ein typisches Szenario ist die Reaktivierung von “schlafenden” Leads. Wenn ein Nutzer vor fünf Jahren zugestimmt hat und seither nie kontaktiert wurde, ist eine plötzliche Werbe-Mail rechtlich riskant. Das Risiko liegt hier in der mangelnden “Aktualität” der Informiertheit. In der Praxis hat sich bewährt, Einwilligungen nach etwa zwei Jahren Inaktivität als veraltet zu betrachten oder den Nutzer proaktiv um eine Erneuerung zu bitten. Dies dient nicht nur der Rechtssicherheit, sondern verbessert auch die Datenqualität. Wer auf Basis uralter Einwilligungen massenhaft kontaktiert, provoziert Beschwerden bei den Landesdatenschutzbeauftragten, was wiederum Audits und Prüfprozesse auslösen kann, die weitaus teurer sind als eine saubere Datenpflege.

Diese Frage war besonders zum Inkrafttreten der DSGVO im Jahr 2018 brisant, beschäftigt Unternehmen aber auch heute noch bei der Migration von Altsystemen. Grundsätzlich bleiben Einwilligungen, die vor dem 25. Mai 2018 nach dem alten Bundesdatenschutzgesetz (BDSG-alt) eingeholt wurden, gültig, sofern sie den Bedingungen der DSGVO entsprechen. Das Problem dabei ist, dass die DSGVO deutlich strengere Anforderungen an die Nachweisbarkeit und die Informationspflichten stellt als das alte Recht. Viele Alt-Einwilligungen enthalten beispielsweise keine ausreichenden Hinweise auf das Widerrufsrecht oder wurden über vorangekreuzte Kästchen eingeholt, was sie nach heutigem Standard unwirksam macht.

Unternehmen, die noch mit Altdaten arbeiten, sollten eine gründliche Inventur durchführen. Wenn die Protokollierung der Einwilligung aus dem Jahr 2015 lückenhaft ist oder der damalige Text nicht mehr auffindbar ist, ist die Weiternutzung dieser Daten hochgefährlich. In solchen Fällen ist es strategisch klüger, eine neue, DSGVO-konforme Einwilligung über eine Opt-In-Kampagne einzuholen. Dabei darf jedoch die Aufforderung zur Einwilligung selbst keine unzulässige Werbung enthalten. Es ist eine Gratwanderung: Wer Altdaten ohne sauberen Nachweis nutzt, handelt fahrlässig und setzt sich dem vollen Sanktionsrahmen der DSGVO aus. Eine saubere “Heilung” durch Neueinholung ist oft der einzige Weg zur langfristigen Compliance.

Interessanterweise erwähnt die DSGVO das Double-Opt-In-Verfahren nicht explizit. Dennoch hat es sich als der “Goldstandard” und de facto als einzige rechtssichere Methode in Deutschland etabliert. Der Grund liegt in der Beweislast gemäß Art. 7 Abs. 1 DSGVO. Bei einem einfachen Opt-In kann jeder eine beliebige E-Mail-Adresse in ein Formular eintragen. Das Unternehmen könnte im Streitfall nicht beweisen, dass tatsächlich der Inhaber der Adresse die Einwilligung erteilt hat. Durch das Versenden einer Bestätigungsmail mit einem individuellen Link (DOI) wird sichergestellt, dass derjenige, der die Einwilligung gibt, auch Zugriff auf das Postfach hat. Erst der Klick auf diesen Link schließt den rechtssicheren Einwilligungsprozess ab.

In der Rechtsprechung zum Wettbewerbsrecht (UWG) und Datenschutzrecht wird das DOI-Verfahren daher als notwendiger Beweis für die Zustimmung gewertet. Wer auf das DOI verzichtet, kann im Falle einer Abmahnung wegen “Spam” kaum nachweisen, dass eine rechtmäßige Einwilligung vorlag. Dies führt regelmäßig zu verlorenen Unterlassungsprozessen und Ordnungsgeldern. Technisch gesehen müssen bei der Protokollierung des DOI sowohl der Zeitstempel der ersten Anmeldung als auch der Zeitpunkt des Bestätigungsklicks sowie die IP-Adresse gespeichert werden. Nur dieses vollständige Datenpaket bildet ein ausreichendes Beweismittel, um behördliche Zweifel an der Rechtmäßigkeit der Datenverarbeitung auszuräumen.

Art. 7 Abs. 2 DSGVO stellt hier eine sehr klare Forderung auf: Wenn die Einwilligung in einer schriftlichen Erklärung erfolgt, die auch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in “verständlicher und leicht zugänglicher Form” und in einer “klaren und einfachen Sprache” so erfolgen, dass es von den anderen Sachverhalten deutlich unterscheidbar ist. Das bedeutet in der Praxis, dass eine Einwilligungsklausel, die tief in den allgemeinen Geschäftsbedingungen (AGB) vergraben ist, schlichtweg unwirksam ist. Der Betroffene muss explizit erkennen können, worin er einwilligt, ohne den gesamten Vertragstext studieren zu müssen.

Um diese Trennung sicherzustellen, arbeiten rechtssichere Formulare meist mit einer optischen Abgrenzung. Das bedeutet eine eigene Überschrift, ein eigener Textabschnitt und vor allem eine separate Checkbox für die Einwilligung. Wer versucht, die Zustimmung zur Datenverarbeitung durch eine Formulierung wie “Mit dem Akzeptieren der AGB willigen Sie auch in unsere Marketinganalysen ein” zu erschleichen, verstößt gegen das Transparenzgebot. Solche kombinierten Klauseln werden von Gerichten regelmäßig als überraschend und damit unwirksam eingestuft. Das Risiko für das Unternehmen ist fatal: Nicht nur die Einwilligung ist weg, sondern oft gerät die gesamte Vertragsgestaltung unter den Verdacht der Unzulässigkeit, was die Reputation massiv beschädigen kann.

Sobald ein Nutzer seine Einwilligung widerruft, ist die weitere Verarbeitung seiner Daten für diesen Zweck mit sofortiger Wirkung unzulässig. Wichtig ist hierbei Art. 7 Abs. 3 DSGVO: Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Das Unternehmen muss jedoch sicherstellen, dass der Widerruf technisch unverzüglich umgesetzt wird. Dies bedeutet, dass die Daten aus den entsprechenden Werbeverteilern entfernt oder für diesen Zweck gesperrt werden müssen. Eine “Schonfrist” von mehreren Tagen für die Synchronisation von Datenbanken wird von Aufsichtsbehörden heute kaum noch akzeptiert, sofern keine gravierenden technischen Gründe vorliegen.

Ein häufiger Fehler ist die vollständige Löschung aller Daten nach einem Widerruf. Tatsächlich muss das Unternehmen oft eine sogenannte “Werbesperrliste” (Robinson-Liste) führen. Wenn der Name und die E-Mail-Adresse komplett gelöscht werden, könnte das System den Nutzer bei der nächsten Lead-Kampagne versehentlich wieder als Neukunden identifizieren und erneut kontaktieren. Um den Widerruf dauerhaft zu respektieren, ist es rechtlich geboten, die Identifikationsmerkmale in einer Sperrliste zu speichern, um eine künftige Ansprache auszuschließen. Dabei ist zu beachten, dass diese Sperrliste selbst wiederum datenschutzkonform nach dem Prinzip der Datenminimierung geführt werden muss, was eine feine Abstimmung zwischen CRM-Logik und Rechtspflicht erfordert.

Ja, das Widerrufsrecht ist ein elementarer Bestandteil der informationellen Selbstbestimmung. Wenn beispielsweise ein Mitarbeiter in die Veröffentlichung seines Fotos auf der Unternehmenswebseite eingewilligt hat, kann er diese Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Nach dem Widerruf muss der Arbeitgeber das Foto unverzüglich entfernen. Die Schwierigkeit entsteht bei bereits gedruckten Medien oder im Internet archivierten Inhalten. Während digitale Inhalte auf der eigenen Seite schnell gelöscht sind, kann das Unternehmen für Drittseiten (z.B. Google-Cache oder Social Media Shares) oft nur begrenzt verantwortlich gemacht werden, sofern es seinen eigenen Löschpflichten nachgekommen ist.

Unternehmen müssen in solchen Fällen nachweisen, dass sie alle zumutbaren Schritte unternommen haben, um die Daten zu entfernen. Bei Printmedien (Broschüren, Flyern) führt ein Widerruf nicht zwingend dazu, dass bereits verteilte Exemplare zurückgerufen werden müssen, sofern dies unverhältnismäßig wäre. Allerdings darf eine Neuauflage oder eine weitere Verteilung der restlichen Bestände nicht mehr erfolgen. Dies zeigt, wie riskant Einwilligungen für langfristige Projekte sind. Rechtlich gesehen trägt der Verantwortliche das Risiko, dass eine teure Werbekampagne durch einen einzigen Widerruf unbrauchbar wird. Daher sollte in solchen Fällen immer geprüft werden, ob eine alternative Rechtsgrundlage oder eine vertragliche Vereinbarung mit angemessener Vergütung und Kündigungsfristen die stabilere Lösung darstellt.

Die DSGVO regelt in Art. 8 spezifische Anforderungen für Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden. In Deutschland liegt die Altersgrenze für eine eigenständige Einwilligung bei 16 Jahren. Unterhalb dieser Grenze ist die Einwilligung nur wirksam, wenn die Träger der elterlichen Verantwortung zugestimmt haben oder die Einwilligung des Kindes autorisiert haben. Dies stellt Online-Plattformen vor enorme technische Herausforderungen, da sie das Alter ihrer Nutzer verifizieren und im Zweifelsfall die Zustimmung der Eltern einholen müssen. Eine bloße Checkbox “Ich bin über 16” reicht nach Ansicht vieler Behörden für eine rechtssichere Verifizierung nicht aus.

Werden Dienste angeboten, die sich explizit an Kinder richten (z.B. Lern-Apps oder Spiele), muss der Prozess der Elterneinwilligung besonders sorgfältig gestaltet sein. Dabei müssen die Eltern über die spezifischen Risiken der Datenverarbeitung ihres Kindes aufgeklärt werden. Verstöße gegen den Jugenddatenschutz werden von den Aufsichtsbehörden mit besonders hohen Bußgeldern geahndet, da Kinder als besonders schutzwürdige Gruppe gelten. Unternehmen sollten daher im Zweifel eher auf datensparsame Geschäftsmodelle ohne Profiling setzen, wenn Minderjährige zur Zielgruppe gehören. Eine unwirksame Einwilligung eines Minderjährigen führt dazu, dass die gesamte Datenbasis illegal erhoben wurde, was nicht nur rechtliche, sondern auch massive Imageschäden zur Folge haben kann.

Das Anbieten von Belohnungen für eine Einwilligung – wie Rabattcodes oder exklusive Inhalte – ist eine gängige Praxis im E-Commerce. Rechtlich ist dies zulässig, solange die Freiwilligkeit gewahrt bleibt. Das bedeutet, dass die Verweigerung der Einwilligung nicht zu einem unverhältnismäßigen Nachteil führen darf. Wenn ein Nutzer einen 10%-Gutschein für die Newsletter-Anmeldung erhält, ist dies in der Regel unbedenklich, da er den Kauf auch zum regulären Preis ohne Einwilligung tätigen kann. Problematisch wird es jedoch, wenn essenzielle Dienste nur gegen Datenfreigabe zugänglich sind, ohne dass ein sachlicher Zusammenhang besteht.

In der juristischen Bewertung spricht man hier von der “Angemessenheit des Anreizes”. Ist die Belohnung so übermäßig hoch, dass ein durchschnittlicher Nutzer sich genötigt fühlt, seine Privatsphäre aufzugeben, könnte die Freiwilligkeit verneint werden. Auch hier spielt die Transparenz eine Schlüsselrolle: Der Nutzer muss klar erkennen, dass der Gutschein die Gegenleistung für die Einwilligung in das Marketing-Profiling ist. In Deutschland wird dies oft über das Modell des “Datenkaufs” gelöst. Werden die Bedingungen klar kommuniziert, akzeptieren die Aufsichtsbehörden solche Incentives meist als Teil der Vertragsfreiheit. Dennoch sollte jedes Incentive-Programm juristisch geprüft werden, um nicht den Vorwurf der “erschlichenen Einwilligung” zu riskieren.