DSGVO-Einwilligungsmanagement: Anforderungen und Best Practices

Die Einwilligung ist einer der am häufigsten missverstandenen Aspekte der DSGVO. Viele SaaS-Unternehmen verwenden die Einwilligung standardmäßig als Rechtsgrundlage für alles — jedes Formular, jede E-Mail, jede Datenverarbeitungstätigkeit bekommt ein Kontrollkästchen. Dieser Ansatz erzeugt unnötige Reibung für Nutzer und unnötiges Risiko für Ihr Unternehmen.

Die Realität ist, dass die Einwilligung nur eine von sechs Rechtsgrundlagen unter der DSGVO ist, und oft nicht die richtige. Vertragserfüllung, berechtigtes Interesse und rechtliche Verpflichtung decken den Großteil der Verarbeitung ab, die SaaS-Unternehmen durchführen müssen. Die Einwilligung sollte für Verarbeitungen reserviert sein, bei denen die Person tatsächlich eine freie Wahl hat — primär Marketingkommunikation und nicht-essentielle Cookies.

Aber wenn die Einwilligung die richtige Grundlage ist, setzt die DSGVO eine hohe Hürde. Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Vorangekreuzte Kästchen, gebündelte Einwilligungen und Dark Patterns gelten nicht. Und wenn Sie sich auf die Einwilligung stützen, müssen Sie darauf vorbereitet sein, dass Personen sie jederzeit widerrufen.

Dieser Leitfaden behandelt, wann die Einwilligung gilt, was sie gültig macht, wie Sie sie korrekt implementieren und wie Sie Einwilligungsaufzeichnungen über Ihre SaaS-Plattform verwalten.

Wann ist die Einwilligung die richtige Rechtsgrundlage?

Einwilligung verwenden für

Marketingkommunikation. E-Mails, SMS, Push-Benachrichtigungen und andere Direktwerbung an Personen erfordern in den meisten EU-Rechtsordnungen eine Einwilligung (die ePrivacy-Richtlinie verstärkt dies). Die Ausnahme: Sie können sich auf berechtigtes Interesse für Werbung an Bestandskunden über ähnliche Produkte stützen, unter bestimmten Bedingungen.

Nicht-essentielle Cookies und Tracking. Die ePrivacy-Richtlinie (und ihre nationalen Umsetzungen) verlangt eine Einwilligung für Cookies und ähnliche Technologien, die nicht streng notwendig für Ihren Dienst sind. Dies umfasst Analyse-Cookies, Werbetracker, A/B-Testing-Skripte und Social-Media-Plugins. Streng notwendige Cookies (Session-Cookies, Authentifizierungs-Cookies, Sicherheits-Cookies) erfordern keine Einwilligung.

Verarbeitung besonderer Datenkategorien. Wenn Sie sensible Daten verarbeiten — Gesundheitsdaten, biometrische Daten, Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung — ist die ausdrückliche Einwilligung eine der wenigen verfügbaren Rechtsgrundlagen. Die Hürde für eine ausdrückliche Einwilligung ist höher als für eine Standardeinwilligung.

Verarbeitung, die über das für den Vertrag Erforderliche hinausgeht. Wenn Sie Kundendaten für Zwecke verwenden möchten, die über die Erbringung Ihres Dienstes hinausgehen — Profile mit Drittanbieterdaten anreichern, Daten mit Partnerunternehmen teilen, Daten für Forschung verwenden — gibt die Einwilligung der betroffenen Person echte Kontrolle über diese optionalen Verwendungen.

Einwilligung nicht verwenden für

Verarbeitung, die zur Erbringung Ihres Dienstes erforderlich ist. Wenn sich jemand für Ihr SaaS-Produkt anmeldet, benötigen Sie keine Einwilligung zur Speicherung der Kontodaten — das ist Vertragserfüllung. Um eine Einwilligung zu bitten, wenn Sie die Daten ohnehin verarbeiten (weil der Dienst ohne sie nicht funktioniert), macht die Einwilligung ungültig. Sie ist nicht „freiwillig erteilt”, wenn ein Nein bedeutet, dass das Produkt nicht genutzt werden kann.

Verarbeitung, die Sie unabhängig von der Einwilligung durchführen würden. Wenn Sie planen, Daten zu verarbeiten, ob die Person einwilligt oder nicht, ist die Einwilligung die falsche Grundlage. Wählen Sie stattdessen berechtigtes Interesse oder eine andere Grundlage. Die Einwilligung als Fassade zu verwenden, während man sich in der Praxis auf eine andere Grundlage stützt, ist irreführend und nicht konform.

Arbeitgeber-Arbeitnehmer-Beziehungen. Wegen des Machtgefälles wird die Einwilligung von Arbeitnehmern selten als „freiwillig erteilt” angesehen. Verwenden Sie für die meisten Verarbeitungen von Mitarbeiterdaten Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse.

Was macht eine Einwilligung unter der DSGVO gültig?

Artikel 4(11) definiert die Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung.” Artikel 7 fügt Bedingungen zum Nachweis der Einwilligung hinzu. Lassen Sie uns jede Anforderung aufschlüsseln:

Freiwillig erteilt

Die Person muss eine echte Wahl haben. Die Einwilligung ist nicht freiwillig, wenn:

Die Verweigerung negative Konsequenzen hat. Wenn die Verweigerung der Einwilligung den Verlust des Zugangs zu einem Dienst bedeutet, der die eingewilligte Verarbeitung nicht benötigt, ist die Einwilligung nicht freiwillig. Beispiel: Einwilligung in Marketing-E-Mails als Voraussetzung für die Nutzung eines Projektmanagement-Tools — das Marketing hat nichts mit dem Dienst zu tun.
Es ein Machtgefälle gibt. Ein Arbeitgeber, der einen Mitarbeiter um Einwilligung zur Weitergabe seiner Daten an einen Dritten bittet — der Mitarbeiter könnte das Gefühl haben, nicht nein sagen zu können.
Die Einwilligung gebündelt ist. Die Anfrage einer einzelnen Einwilligung, die mehrere, nicht zusammenhängende Verarbeitungszwecke abdeckt. Jeder Zweck sollte separat einwilligungsfähig sein.

Best Practice für SaaS: Verwenden Sie granulare Einwilligungsoptionen. Lassen Sie Nutzer separat in Marketing und Analysen einwilligen. Binden Sie den Zugang zu Ihrem Produkt nicht an die Einwilligung in eine Verarbeitung, die für den Dienst nicht erforderlich ist.

Spezifisch

Die Einwilligung muss sich auf einen oder mehrere spezifische Verarbeitungszwecke beziehen. „Ich willige in die Verarbeitung meiner personenbezogenen Daten ein” ist nicht spezifisch. „Ich willige in den Erhalt monatlicher Produkt-Updates und DSGVO-Compliance-Tipps von GRCTrail ein” ist spezifisch.

Best Practice für SaaS: Erstellen Sie separate Einwilligungsmechanismen für jeden Zweck: Marketing-E-Mails, Produkt-Newsletter, Partner-Kommunikation, Analyse-Tracking, Forschungsteilnahme. Bündeln Sie sie nicht.

Informiert

Vor der Erteilung der Einwilligung muss die Person mindestens Folgendes wissen:

Wer um Einwilligung bittet (die Identität Ihrer Organisation)
Welche Daten verarbeitet werden
Zu welchem(n) Zweck(en)
Ihr Recht, die Einwilligung jederzeit zu widerrufen
Falls zutreffend, dass Daten für automatisierte Entscheidungsfindung verwendet werden
Falls zutreffend, dass Daten international übermittelt werden

Best Practice für SaaS: Platzieren Sie klare, prägnante Informationen neben jedem Einwilligungsmechanismus. Verlinken Sie auf Ihren vollständigen Datenschutzhinweis für Details, aber stellen Sie die wesentlichen Informationen inline bereit. Niemand sollte ein 10-seitiges Dokument lesen müssen, um zu verstehen, wozu er einwilligt.

Eindeutig

Die Einwilligung muss eine klare, bestätigende Handlung beinhalten. Das bedeutet:

Opt-in, nicht Opt-out. Vorangekreuzte Kontrollkästchen sind keine gültige Einwilligung. Das Kästchen muss leer beginnen, und der Nutzer muss es aktiv ankreuzen.
Schweigen ist keine Einwilligung. Inaktivität, Durchscrollen einer Seite oder weiteres Browsen auf einer Website stellen keine Einwilligung dar.
Keine Dark Patterns. Den „Akzeptieren”-Button groß und farbig zu gestalten, während die „Ablehnen”-Option in kleinem grauem Text versteckt wird, ist keine eindeutige Einwilligung — es ist Manipulation.

Implementierung von Einwilligungsmechanismen

Die Cookie-Einwilligung ist die sichtbarste Einwilligungsimplementierung für die meisten SaaS-Websites. Die Anforderungen:

Bevor Cookies gesetzt werden: Zeigen Sie ein klares Einwilligungsbanner an, das:

Die Kategorien von Cookies auflistet (funktional, Analyse, Marketing)
Erklärt, was jede Kategorie tut
Eine Möglichkeit bietet, jede Kategorie unabhängig zu akzeptieren oder abzulehnen
Keine nicht-essentiellen Cookies setzt, bis die Einwilligung erteilt ist (kein „Einwilligung durch Weiterbrowsen”)
Keine vorausgewählten Kategorien verwendet

Granulare Kontrollen: Nutzer sollten Analyse-Cookies akzeptieren, aber Marketing-Cookies ablehnen können, oder umgekehrt. Ein „Alle akzeptieren”-Button ist in Ordnung, solange granulare Optionen gleich gut zugänglich sind.

Persistenz und Widerruf: Speichern Sie die Einwilligungspräferenzen des Nutzers und respektieren Sie sie. Bieten Sie eine Möglichkeit, die Präferenzen jederzeit zu ändern (üblicherweise über einen „Cookie-Einstellungen”-Link im Footer).

Keine Cookie-Walls: Den Zugang zu Ihrer Website vollständig zu blockieren, wenn der Nutzer keine Cookies akzeptiert, ist in der EU generell nicht zulässig, da die unter solchen Bedingungen erteilte Einwilligung nicht „freiwillig erteilt” ist.

E-Mail-Marketing-Einwilligung

Double-Opt-in: Best Practice ist die Verwendung von Double-Opt-in (auch bestätigtes Opt-in genannt). Der Nutzer gibt seine E-Mail-Adresse ein, und Sie senden eine Bestätigungs-E-Mail mit einem Verifizierungslink. Erst nachdem der Link geklickt wurde, wird die Einwilligung erfasst. Dies liefert einen starken Nachweis, dass die Person tatsächlich eingewilligt hat und dass die E-Mail-Adresse ihr gehört.

Klare Beschreibung: Am Anmeldepunkt beschreiben Sie, was die Person erhalten wird: „Monatliche Produkt-Updates und DSGVO-Compliance-Tipps” — nicht „Mitteilungen von uns”.

Einfache Abmeldung: Jede Marketing-E-Mail muss einen klaren Ein-Klick-Abmeldemechanismus enthalten. Verlangen Sie nicht, dass sich der Nutzer einloggt, ein Formular ausfüllt oder erklärt, warum er sich abmeldet.

In-App-Einwilligung

Für Einwilligungen innerhalb Ihrer SaaS-Anwendung (Opt-in für Beta-Features, Aktivierung von Integrationen, die Daten mit Dritten teilen, Teilnahme an Forschung):

Verwenden Sie klare modale Dialoge oder Inline-Einwilligungsformulare
Erklären Sie, wozu der Nutzer sich anmeldet
Geben Sie eine sofortige Bestätigung der Wahl
Ermöglichen Sie den Widerruf über die Kontoeinstellungen

Verwaltung von Einwilligungsaufzeichnungen

Artikel 7(1) besagt: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.” Sie müssen Aufzeichnungen führen, die belegen:

Wer eingewilligt hat (identifizierbare Person, nicht nur eine Cookie-ID)
Wann die Einwilligung erteilt wurde (Zeitstempel)
Wozu eingewilligt wurde (der spezifische Zweck und der genaue Wortlaut, den die Person gesehen hat)
Wie die Einwilligung erteilt wurde (der Mechanismus — Kontrollkästchen, Double-Opt-in, Cookie-Banner)
Die Version des Einwilligungstextes zum Zeitpunkt der Erteilung (wenn Sie Ihren Einwilligungstext aktualisieren, müssen Sie wissen, welche Version jede Person gesehen hat)

Diese Aufzeichnungen müssen zugänglich und organisiert sein. Wenn eine Aufsichtsbehörde Sie auffordert nachzuweisen, dass eine bestimmte Person in Marketing-E-Mails eingewilligt hat, müssen Sie den Nachweis erbringen — nicht raten, ob sie in Ihrer Mailingliste ist.

Widerruf der Einwilligung

Artikel 7(3) besagt: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.” Dies wird häufig verletzt. Typische Verstöße:

Telefonanruf zum Abmelden erforderlich, während die Einwilligung mit einem Klick erteilt wurde
Mehrstufige Widerrufsprozesse, die Einloggen, Navigation zu den Einstellungen und mehrfache Bestätigung erfordern
Verarbeitungsverzögerungen, bei denen Daten Tage oder Wochen nach dem Widerruf weiter verarbeitet werden

Wenn jemand die Einwilligung widerruft:

Stoppen Sie die auf Einwilligung basierende Verarbeitung sofort
Nutzen Sie den Widerruf nicht als Gelegenheit, erneut um Einwilligung zu bitten
Bestrafen Sie die Person nicht (z. B. durch Reduzierung der Servicequalität)
Führen Sie eine Aufzeichnung, dass die Einwilligung widerrufen wurde (und wann)
Beachten Sie, dass der Widerruf die Rechtmäßigkeit der Verarbeitung vor dem Widerruf nicht berührt

Einwilligung vs. andere Rechtsgrundlagen

Eine häufige Frage: „Kann ich die Rechtsgrundlage wechseln, wenn jemand die Einwilligung widerruft?”

Die Antwort ist im Allgemeinen nein. Wenn Sie Daten auf Basis der Einwilligung verarbeitet haben und die Person sie widerruft, können Sie nicht rückwirkend behaupten, Sie hätten die ganze Zeit ein berechtigtes Interesse gehabt. Der Europäische Datenschutzausschuss hat klargestellt: Die Wahl der Einwilligung als Grundlage und dann einen Wechsel, wenn es unbequem wird, untergräbt die Integrität der Einwilligung als Mechanismus.

Deshalb ist es so wichtig, von Anfang an die richtige Rechtsgrundlage zu wählen. Wenn berechtigtes Interesse tatsächlich zutrifft, verwenden Sie es. Greifen Sie nicht zur Einwilligung, weil sie einfacher erscheint — Einwilligung kommt mit Bedingungen.

Wie GRCTrail beim Einwilligungsmanagement hilft

GRCTrail integriert das Einwilligungsmanagement in Ihr breiteres Compliance-Programm:

Einwilligungsverfolgung in Ihrem VVT. Jede Verarbeitungstätigkeit in Ihrem Verzeichnis der Verarbeitungstätigkeiten erfasst die anwendbare Rechtsgrundlage. Wenn die Einwilligung die Grundlage ist, verknüpft GRCTrail mit Ihren Einwilligungsaufzeichnungen und -mechanismen.

Nachweismanagement. Pflegen Sie auditfähige Aufzeichnungen über die Einwilligungserfassung, den verwendeten Einwilligungstext und Widerrufsereignisse. Weisen Sie gegenüber Aufsichtsbehörden Compliance mit strukturierten Nachweisen nach, nicht mit einem Haufen E-Mail-Screenshots.

Verknüpft mit Ihren Datenschutzhinweisen. Ihre Einwilligungsmechanismen sollten mit dem übereinstimmen, was Ihr Datenschutzhinweis sagt. GRCTrail hilft, Konsistenz zwischen dem, was Sie den Menschen sagen, und dem, was Sie tun, sicherzustellen.

Verwalten Sie Einwilligungen mit Zuversicht →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours