Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Warum Einwilligungen bei der Datenverarbeitung häufig falsch eingesetzt werden und wie Unternehmen echte DSGVO-Sicherheit erreichen
  • Datenschutz

Warum Einwilligungen bei der Datenverarbeitung häufig falsch eingesetzt werden und wie Unternehmen echte DSGVO-Sicherheit erreichen

Einwilligungen bei der Datenverarbeitung: Was Unternehmen wirklich wissen müssen

Die Vielfalt der Rechtsgrundlagen nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO) stellt häufig klar, dass für jede Verarbeitung personenbezogener Daten eine passende Rechtsgrundlage erforderlich ist. Ein häufiger Trugschluss im Alltag besteht jedoch darin, Einwilligungen als „Allzwecklösung“ zu sehen. Tatsächlich ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO lediglich eine von sechs möglichen Rechtsgrundlagen für die Datenverarbeitung. Dazu gehören unter anderem auch die Erfüllung eines Vertrags, rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Aufgaben und berechtigte Interessen.

Die Praxis zeigt: Verantwortliche geben oft nur eine einzige Rechtsgrundlage in Datenschutzhinweisen an, meist, weil diese am offensichtlichsten erscheint. Allerdings ist es durchaus zulässig und manchmal auch sinnvoll, mehrere mögliche Rechtsgrundlagen anzuführen oder zu prüfen, bevor die Verarbeitung startet.

Überblick über die wichtigsten Rechtsgrundlagen

Je nach Zweck der Datenverarbeitung kommen unterschiedliche Rechtsgrundlagen in Betracht. Für Unternehmen besonders relevant sind:

  • Vertragserfüllung und Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Werden personenbezogene Daten verarbeitet, um einen Vertrag zu erfüllen oder anzubahnen – etwa beim Anlegen eines Kundenkontos, bei Bestellungen oder der Kontaktaufnahme – ist diese Rechtsgrundlage einschlägig.
  • Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Müssen Organisationen Gesetze, etwa steuerliche oder arbeitsrechtliche Vorschriften einhalten, rechtfertigt dies die Verarbeitung personenbezogener Daten.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Viele alltägliche Prozesse im Unternehmen lassen sich auf diese Rechtsgrundlage stützen, sofern die Interessen der betroffenen Personen nicht überwiegen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Diese Grundlage ist nur dann zulässig, wenn die betroffene Person frei und informiert zustimmt – und diese Zustimmung jeder Zeit widerrufen kann.

Eine transparente Information der Betroffenen ist Pflicht: Welche Rechtsgrundlage angewendet wird, muss stets nachvollziehbar in den Datenschutzhinweisen auftauchen.

Typische Fehler bei der Einholung von Einwilligungen

Wann die Einwilligung überflüssig oder sogar unzulässig ist

Nicht in jedem Fall ist eine explizite Einwilligung die beste Wahl – im Gegenteil: Sie kann sogar rechtlich problematisch sein, wenn tatsächlich eine andere Rechtsgrundlage einschlägig ist. Ein häufiges Beispiel: Ein Kunde registriert sich auf einer Website oder bestellt ein Produkt. Unternehmen fordern hier oft eine Einwilligung zur Datenverarbeitung ein, obwohl die eigentliche Grundlage die Vertragserfüllung ist. Wird dann die Einwilligung widerrufen, droht der Wegfall der Rechtsgrundlage und die Geschäftsbeziehung gerät in Gefahr.

Gleiches gilt für Kontaktformulare im Internet: Hier erlaubt das berechtigte Interesse den Dialog. Eine Einwilligung ist in diesem Zusammenhang überflüssig und häufig unzulässig, es sei denn, die Daten werden zusätzlich zu Werbezwecken oder anderen darüber hinausgehenden Zwecken genutzt.

Formulare, Checkboxen und das Missverständnis mit Datenschutzhinweisen

Oft werden Checkboxen eingesetzt, die Nutzer dazu auffordern, „Datenschutzhinweise gelesen und akzeptiert“ zu bestätigen. Diese Praxis wird von Aufsichtsbehörden regelmäßig kritisiert. Warum? Weil es genügt, dass Nutzer die Datenschutzhinweise zur Kenntnis nehmen können – sie müssen diese nicht förmlich akzeptieren oder ihre Zustimmung geben. Gerade das führt zu Problemen mit der sogenannten „Freiwilligkeit“ der Einwilligung, denn diese ist vorausgesetzt, wenn Daten auf Basis einer Einwilligung verarbeitet werden sollen.

Darüber hinaus dürfen verpflichtende Informationen gemäß Art. 13 DSGVO nicht mit Einwilligungen vermischt oder gar „versteckt“ werden. Die Einwilligung muss stets klar als solche erkennbar und von anderen Sachverhalten abgrenzbar sein.

Praxisempfehlungen: So handeln Unternehmen DSGVO-konform

Schrittweise Prüfung der passenden Rechtsgrundlage

Unternehmen sollten sich vor jeder Datenverarbeitung gründlich überlegen, auf welcher Rechtsgrundlage sie die Verarbeitung stützen. Die Entscheidung für die Einwilligung ist nur dann richtig, wenn tatsächlich Alternativen ausscheiden. Prüfen Sie daher im ersten Schritt, ob nicht ein berechtigtes Interesse, die Erfüllung eines Vertrags oder eine gesetzliche Verpflichtung die bessere Grundlage bieten.

Insbesondere bei Prozessen wie Mitarbeiterverwaltung, Kundenbetreuung oder Anfragebearbeitung ist meist keine Einwilligung erforderlich. Erst wenn besondere Nutzungen geplant sind – etwa Newsletterversand oder Marketingaktionen – wird die explizite Zustimmung der Betroffenen relevant.

Transparenz und klare Kommunikation als Erfolgsfaktoren

Transparenz schafft Vertrauen: Betroffene müssen jederzeit nachvollziehen können, auf welcher Grundlage ihre Daten verarbeitet werden und zu welchem Zweck. Eine korrekte und verständlich formulierte Datenschutzerklärung ist hierbei das A und O.

Wird tatsächlich eine Einwilligung eingeholt, sollten Sie die Betroffenen umfassend informieren – inklusive der Möglichkeit, ihre Zustimmung jederzeit ohne Nachteile zu widerrufen. Stellen Sie sicher, dass Einwilligungen nicht vorformuliert oder automatisch vorausgewählt sind. Einwilligungsformulare gehören immer getrennt von anderen Informationen gestaltet, sodass sie für die Nutzer klar erkennbar und freiwillig sind.

Fazit: Einwilligungen richtig einsetzen und Fehler vermeiden

Die Auswahl der Rechtsgrundlage ist entscheidend

Die DSGVO bietet verschiedene Wege, personenbezogene Daten rechtmäßig zu verarbeiten. Nicht immer ist die Einwilligung der beste und rechtssichere Weg – häufig gibt es passendere Alternativen. Unternehmen müssen die Abwägung und Entscheidungsfindung dokumentieren und in ihrer Kommunikation offenlegen.

Vor Einführung neuer Prozesse oder Tools sollte geprüft werden, welche Rechtsgrundlage jeweils anwendbar ist. Eine überflüssige Einwilligungsabfrage schafft nicht nur einen höheren Arbeitsaufwand, sondern kann auch die Rechtmäßigkeit der Datenverarbeitung untergraben.

Ihr Weg zu rechtssicherem Datenschutz

Datenschutzkonforme Praxis bedeutet vor allem, den richtigen – und nachvollziehbar dokumentierten – Umgang mit personenbezogenen Daten zu wählen. Eine individuelle Prüfung der konkreten Abläufe und ein Perspektivwechsel hin zu den betroffenen Personen helfen, geeignete Maßnahmen zu ergreifen. Nur so lassen sich Risiken minimieren und das Vertrauen von Kunden, Mitarbeitern und Partnern sichern.

Sie sind unsicher, welche Rechtsgrundlage für Ihre Datenverarbeitung gilt oder möchten Ihre Prozesse auf den Prüfstand stellen? Wir unterstützen Sie gerne dabei, datenschutzkonforme Lösungen zu entwickeln und Ihre Organisation optimal aufzustellen. Nehmen Sie Kontakt zu uns auf – gemeinsam finden wir den besten Weg für einen sicheren und effizienten Umgang mit personenbezogenen Daten!

Zurück
© 2011–2025 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo