Einwilligung (DSGVO)
Die Einwilligung nach Art. 4 Nr. 11 DSGVO bildet eine der zentralen Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten. Es handelt sich dabei um eine Willensbekundung, die in informierter Weise und unmissverständlich abgegeben werden muss. Damit eine Einwilligung wirksam ist, muss die betroffene Person aktiv handeln – etwa durch das Anklicken einer Checkbox. Schweigen, bereits vorab angekreuzte Kästchen oder reine Untätigkeit stellen keine wirksame Zustimmung dar. Zudem ist die Freiwilligkeit essenziell, was bedeutet, dass der Nutzer keine nennenswerten Nachteile erleiden darf, wenn er die Zustimmung verweigert.
Für deutsche Unternehmen und IT-Entscheider ist die Einwilligung vor allem aufgrund der strengen Nachweispflicht nach Art. 7 Abs. 1 DSGVO von hoher Relevanz. Das Unternehmen trägt die Beweislast und muss jederzeit technisch dokumentieren können, wann, wie und worüber ein Nutzer aufgeklärt wurde und wie die Zustimmung erfolgte. Da die Aufsichtsbehörden bei Fehlern hohe Bußgelder verhängen können, ist die saubere Integration von Consent-Management-Plattformen (CMP) in die IT-Infrastruktur geschäftskritisch. Besonders bei der Nutzung von US-basierten Cloud-Diensten oder KI-Tools dient die explizite Einwilligung oft als rechtlicher Anker, wenn andere Grundlagen wie das berechtigte Interesse nicht ausreichen.
Ein praxisnahes Beispiel ist der Einsatz eines KI-gestützten Chatbots auf einer Unternehmenswebsite, der Nutzeranfragen analysiert, um Profile für personalisiertes Marketing zu erstellen. Da diese Analyse über den reinen Kundensupport hinausgeht, muss vor dem Laden des Skripts eine explizite Einwilligung eingeholt werden. Der Nutzer muss dabei klar darüber informiert werden, dass seine Eingaben zu Analysezwecken verarbeitet und gegebenenfalls an Drittanbieter übertragen werden. Erst nach dem aktiven Klick auf „Zustimmen“ darf die technische Initialisierung des Tools erfolgen, wobei der Nutzer diese Entscheidung jederzeit mit Wirkung für die Zukunft widerrufen können muss.
Aktuell rücken sogenannte Dark Patterns verstärkt in den Fokus der Rechtsprechung. IT-Leiter sollten darauf achten, dass das Interface zur Einwilligung nicht manipulativ gestaltet ist, etwa indem der Ablehnen-Button farblich versteckt wird. Zudem entwickelt sich der Trend hin zu granularen Einwilligungen: Nutzer möchten immer häufiger detailliert steuern, welche Datenflüsse sie erlauben und welche nicht. Eine statische Alles-oder-Nichts-Lösung entspricht oft nicht mehr den aktuellen Compliance-Anforderungen und technischen Standards, weshalb eine dynamische Ansteuerung von Tags und APIs über das Consent-Tool mittlerweile zum Standard im deutschen Mittelstand gehört.