Verarbeitung personenbezogener Daten bedarf aktiver Einwilligung

EuGH verschärft Anforderungen an Nachweis und Freiwilligkeit

Mit seinem Urteil vom 11. November 2020 hat der Europäische Gerichtshof (EuGH) erneut klargestellt: Eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten setzt ein aktives Verhalten der betroffenen Person voraus. Vorgekreuzte Kästchen, pauschale Vertragsklauseln oder „stillschweigende Zustimmung“ reichen hierfür nicht aus.

Hintergrund: Mobilfunkanbieter sammelt Ausweiskopien

Der rumänische Telekommunikationsanbieter Orange România verlangte beim Abschluss von Mobilfunkverträgen von seinen Kunden, dass diese Kopien ihres Ausweisdokuments anfertigen und dauerhaft speichern lassen. Die entsprechenden Verträge enthielten eine Standardklausel, die vorgab, dass die Kunden über die Datenverarbeitung informiert seien und darin eingewilligt hätten. Allerdings war das zugehörige Ankreuzfeld im Vertragsformular regelmäßig bereits durch Mitarbeitende des Unternehmens vorab markiert worden.

Die rumänische Datenschutzbehörde ANSPDCP sah hierin einen klaren Verstoß gegen das Datenschutzrecht, verhängte ein Bußgeld und ordnete die Vernichtung der gesammelten Ausweiskopien an. Orange România legte Rechtsmittel ein – woraufhin das zuständige rumänische Gericht den EuGH um Auslegung zentraler Bestimmungen der Richtlinie 95/46/EG sowie der Datenschutz-Grundverordnung (DSGVO) bat.

Rechtliche Leitlinien des EuGH

1. Anforderungen an die Einwilligung

Nach Ansicht des EuGH müssen Einwilligungen in die Datenverarbeitung folgende Voraussetzungen erfüllen:

freiwillig,
für den konkreten Fall,
in informierter Weise,
durch aktive Handlung.

Eine gültige Einwilligung erfordert eine eindeutige und bewusste Entscheidung des Betroffenen. Bereits angekreuzte Kästchen, unterschwellige Zustimmung („stillschweigend“) oder formularartige Bestätigungsklauseln genügen nicht. Die betroffene Person muss über alle maßgeblichen Informationen – insbesondere über den Zweck, Umfang und die Dauer der Verarbeitung sowie die Identität des Verantwortlichen – in klarer und verständlicher Sprache informiert werden.

2. Beweislast liegt beim Unternehmen

Der EuGH stellt klar: Es ist allein Sache des Verantwortlichen (Art. 7 Abs. 1 DSGVO), nachzuweisen, dass eine wirksame Einwilligung vorliegt. Dies umfasst:

die aktive Zustimmung durch die betroffene Person,
die ordnungsgemäße Information über alle relevanten Umstände.

Ein Vertrag mit einem vorangekreuzten Kästchen, das vom Anbieter selbst markiert wurde, erfüllt diesen Beweismaßstab nicht.

3. Einwilligung darf nicht erschlichen werden

Der EuGH nimmt zudem Bezug auf die Freiwilligkeit der Einwilligung. Diese ist nicht gegeben, wenn:

der Betroffene nicht darüber informiert wird, dass der Vertrag auch ohne Einwilligung abgeschlossen werden kann,
die Verweigerung der Einwilligung mit zusätzlichem Aufwand verbunden ist (etwa durch ein separates Weigerungsformular),
oder durch Gestaltung und Druckmittel („Nudging“) ein Einwilligungsdruck entsteht.

Die Entscheidung lehnt damit indirekt auch manipulative Einwilligungsmechanismen ab, wie sie etwa im Rahmen sogenannter „Dark Patterns“ oder durch unklare Gestaltung von Opt-in-Funktionen zum Einsatz kommen.

Auswirkungen für die Praxis

Für datenverarbeitende Unternehmen – nicht nur im Telekommunikationssektor – ergibt sich aus dem Urteil ein klarer Handlungsbedarf.
Insbesondere sind folgende Punkte zu beachten:

Einwilligungen müssen durch Nutzer selbst aktiv erfolgen – etwa durch das manuelle Anklicken eines zuvor leeren Feldes.
Der Einwilligungsvorgang darf nicht mit anderen Vertragselementen vermischt oder verborgen werden.
Es ist dringend davon abzuraten, Einwilligungen vorzuformulieren oder Bestätigungsklauseln ohne gesonderte Abfrage zu verwenden.
Unternehmen sollten Verfahrensanweisungen und interne Dokumentationen bereitstellen, um im Streitfall beweisen zu können, dass die Anforderungen erfüllt wurden.

Fazit

Mit dem Urteil in der Sache Orange România verschärft der EuGH den Maßstab für eine datenschutzrechtlich wirksame Einwilligung und bekräftigt die Position, die bereits in der Planet49-Entscheidung grundgelegt wurde. Die Entscheidung betont die hohe Bedeutung der individuellen Selbstbestimmung im Datenschutzrecht und fordert eine klare, transparente und dokumentierte Einwilligungspraxis.

Unternehmen sind gut beraten, ihre Verfahren und Dokumente entsprechend zu überprüfen – denn fehlende oder unwirksame Einwilligungen können nicht nur zur Unwirksamkeit der Datenverarbeitung führen, sondern auch erhebliche Bußgelder nach sich ziehen.

❓ FAQ: Einwilligung in die Verarbeitung personenbezogener Daten nach EuGH

1. Was hat der EuGH im Fall Orange România entschieden?

Der EuGH hat entschieden, dass eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten nur dann vorliegt, wenn die betroffene Person aktiv, freiwillig und informiert zustimmt. Ein vorab angekreuztes Kästchen in einem Vertrag – selbst wenn der Vertrag unterschrieben wird – genügt nicht als Nachweis für eine gültige Einwilligung.

2. Was bedeutet „aktive Einwilligung“ konkret?

Die betroffene Person muss die Einwilligung selbstständig und bewusst durch eine bestätigende Handlung abgeben. Typische Beispiele:

Manuelles Anklicken eines nicht vorangekreuzten Kästchens auf einem Bildschirm oder Formular,
Unterschrift unter eine separate Einwilligungserklärung, die klar von anderen Vertragsinhalten getrennt ist.

3. Ist eine vorformulierte Vertragsklausel zur Einwilligung zulässig?

Nein, nicht allein. Wenn eine Vertragsklausel lediglich pauschal erklärt, dass der Kunde „informiert wurde und einwilligt“, genügt das nicht, insbesondere dann nicht, wenn:

das entsprechende Kästchen schon vom Unternehmen angekreuzt wurde,
der Kunde nicht erkennen kann, dass er auch ohne Einwilligung einen Vertrag schließen könnte,
die Einwilligung nicht klar von anderen Vertragsbestandteilen getrennt ist.

4. Wer muss die Wirksamkeit der Einwilligung beweisen?

Die Beweislast liegt vollständig beim datenverarbeitenden Unternehmen (Art. 7 Abs. 1 DSGVO). Es muss dokumentieren, dass:

die Einwilligung freiwillig und aktiv erteilt wurde,
die betroffene Person vollständig und verständlich informiert wurde.

5. Gilt das Urteil auch außerhalb Rumäniens?

Ja. Das Urteil bezieht sich auf die Auslegung der Datenschutz-Grundverordnung (DSGVO), die in der gesamten EU unmittelbar gilt. Es ist daher für Unternehmen und Behörden in allen Mitgliedstaaten verbindlich.

6. Welche Konsequenzen drohen bei Verstößen?

Verstößt ein Unternehmen gegen die Vorgaben zur Einwilligung, drohen:

Unwirksamkeit der gesamten Datenverarbeitung,
Löschung der betroffenen Daten (in diesem Fall: Ausweiskopien),
Bußgelder nach Art. 83 DSGVO

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden.

Der Beitrag wurde am 11. September 2025 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Firma

Name(erforderlich)

Vorname * Nachname *

Telefon

E-Mail

Nachricht(erforderlich)

Nachricht *

CAPTCHA

Dieses Feld dient zur Validierung und sollte nicht verändert werden.