Die in Art. 6 Abs. 1 lit. a und Art. 7 DSGVO geregelte Einwilligung in Datenverarbeitungen personenbezogener Daten ist nur eine von insgesamt sechs Rechtsgrundlagen, die eine Datenverarbeitung erlauben. Im Folgenden wird auf die einzelnen Rechtsgrundlagen und insbesondere auf die Einwilligung eingegangen.
Systematik des Art. 6 DSGVO
Art. 6 DSGVO bestimmt ausdrücklich, dass mindestens eine der Rechtsgrundlagen für eine Datenverarbeitung vorliegen muss. Daraus folgt, dass die Voraussetzungen mehrerer Rechtsgrundlagen gleichzeitig vorliegen können. In der Praxis wird oft nur eine Rechtsgrundlage in Datenschutzhinweisen angegeben. Dies ist vor allem dem Umstand geschuldet, dass in vielen Fällen nur eine Rechtsgrundlage einschlägig ist. Das Vorliegen und die Angabe mehrerer Rechtsgrundlagen ist jedoch zulässig.
Rechtsgrundlagen
Gemäß Art. 6 Abs. 1 lit. b DSGVO ist die Datenverarbeitung zulässig, wenn sie zur Vertragserfüllung oder -anbahnung erforderlich ist, wenn die betroffene Person die Vertragspartei ist oder eine Anfrage zur Vertragsanbahnung gestellt hat.
Art. 6 Abs. 1 lit. c DSGVO regelt die Datenverarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche gem. Art. 4 Nr. 7 DSGVO unterliegt. Diese Verpflichtung ergibt sich grds. aus einem Spezialgesetz außerhalb der DSGVO.
Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, ist dies gem. Art. 6 Abs. 1 lit. d DSGVO zulässig. Beispielsweise können Notärzt*innen die personenbezogenen Daten einer ohnmächtigen Person verarbeiten, um Hilfe zu leisten, ohne dass eine Einwilligung oder eine andere Rechtsgrundlage erforderlich wäre.
Für öffentliche Stellen, z. B. Behörden, bestimmt Art. 6 Abs. 1 lit. e DSGVO, dass die Verarbeitung zulässig ist, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Eine oft verwendete Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Schließlich regelt Art. 6 Abs. 1 lit. a DSGVO die Einwilligung in die Datenverarbeitung. Die Bedingungen sind in Art. 7 DSGVO festgelegt, vor allem die Freiwilligkeit, transparente Datenschutzhinweise, die jederzeitige Widerruflichkeit und die Nachweispflicht des Verantwortlichen, dass eine Einwilligung erteilt wurde.
Fallkonstellationen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat sich im kürzlich veröffentlichten Tätigkeitsbericht für das Jahr 2024 mit Fallkonstellationen auseinandergesetzt, bei denen die Einwilligung gerade die falsche Rechtsgrundlage ist.
Eingegangen wird auf Registrierungs-, Anmelde- und Bestellformulare. Die Registrierung oder Bestellung eines Produkts oder einer Dienstleistung ist dort erst möglich, wenn man in die Datenverarbeitung einwilligt. Rechtsgrundlage ist die Vertragsanbahnung bzw. -erfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Laut HBDI und diesem zustimmend mangelt es an der Freiwilligkeit der Einwilligung und ein Einwilligungswiderruf würde zum Wegfall der Rechtsgrundlage führen, wenn die Daten nicht auch für die Vertragsanbahnung oder -erfüllung genutzt würden. Der Verantwortliche benötigt die Verarbeitung jedoch gerade für die Vertragsabwicklung gemäß Art. 6 Abs. 1 lit. b DSGVO.
Ähnlich verhält es sich bei Kontaktformularen, wo die Datenverarbeitung, insbesondere die Eingabe durch die betroffene Person und die Antwort des Verantwortlichen, laut HBDI auf die berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt wird. Nur wenn die Daten auch noch für andere Zwecke verwendet werden sollten, könne dies über eine gesonderte Einwilligung gestaltet werden, ansonsten sei sie überflüssig.
Der HBDI betont, dass das Ankreuzen eines Kästchens, dass man die Datenschutzhinweise gelesen hat und/oder ihnen zustimmt, falsch ist, da die bloße Möglichkeit der Kenntnisnahme genügt. Dem wird zugestimmt, zumal auch hier keine Freiwilligkeit der Nutzer*innen besteht und die Nutzer*innen – wie der HBDI angibt – nicht widersprechen können. Die Aspekte, über die die betroffenen Personen zum Erhebungszeitpunkt zu informieren sind, ergeben sich aus Art. 13 Abs. 1 und 2 DSGVO.
In einem weiteren Fall gibt der HBDI an, dass in den Pflichtinformationen nach Art. 13 DSGVO keine Einwilligungen „versteckt“ werden dürfen, da eine Einwilligung gem. Art. 7 Abs. 2 S. 1 DSGVO von anderen Sachverhalten unterschieden werden können muss. Somit ist eine Einwilligung transparent außerhalb von Datenschutzhinweisen einzuholen.
Fazit
Verantwortliche sollten vor Beginn der Datenverarbeitung prüfen, ob mindestens eine der Rechtsgrundlagen in Art. 6 DSGVO vorliegt. Oft ist eine andere Rechtsgrundlage als die Einwilligung einschlägig. Wenn man stattdessen die Einwilligung heranzieht, kann dies unzulässig sein, da sie insbesondere nicht freiwillig erteilt werden kann. Zudem kann ein jederzeitiger Widerruf erfolgen, sodass die Datenverarbeitung dann nur zulässig wäre, wenn eine andere Rechtsgrundlage vorläge. Ob eine andere Rechtsgrundlage vorliegt, ist jedoch vor der Datenverarbeitung zu ermitteln. Die relevante Rechtsgrundlage ist in den Datenschutzhinweisen anzugeben.
23. Dezember 2025 @ 13:15
das Thema trifft es allmählich…
stelle gerade eine Anfrage bei BANK und dazu eine Einwilligung zur DatenVerarbeitung .okay..Haken dran..
aber 2. Haken für Einwilligung WERBUNG ist NOTWENGIG, sonst geht es dort nicht weiter bei der Anfrage….
und da hört der Spass jetzt einfach auf..
ich werde mich deshalb dort massiv beschweren, dass auch ohne WerbeEinwilligung zukünftig notwendig wird.. ansonsten DSGVO – Verstoss.FERTIG. ICH MACH DAS NICHT MEHR MIT..
22. September 2025 @ 11:12
Schade, dass in den Kommentaren nicht beschrieben wurde, was genau man in Arztpraxen meint.
Ich vermute allerdings, es geht um die Weiterleitung der Daten an externe Zahlungsdienstleister; dort ist dann die Einwilligung erforderlich. Wenn diese nicht gegeben wird, rechnet der Arzt direkt mit dem Patienten ab.
Auch für die Erst-Befüllung der ePA wird eine Einwilligung seitens Patienten erforderlich. Würde mich tatsächlich sehr interssieren, wo die Einwilligung hier denn falsch eingeholt werden sollte? Danke!
7. August 2025 @ 11:41
Danke für diesen Artikel!!!
Leider wird das immer wieder anders gemacht. Aus meiner Sicht ist deshalb auch der Begriff „Datenschutzerklärung“ der bessere, weil ein Verantwortlicher einseitig erklärt, wie er personenbezogenen Datenverarbeitet.
Schön wäre noch, den Irrsinn in Arztpraxen zu beleuchten, auch diese Einwilligung ist aufwändig und falsch.
7. August 2025 @ 18:56
Genau, das Thema Arztpraxen ist ein gutes Beispiel für verbreiteten Einwilligungswahn.