Daten dürfen nicht ohne Rechtsgrundlage erhoben werden. Eine Möglichkeit ist es, sich in geeigneten Fällen eine Einwilligungserklärung geben zu lassen. Diese Erklärung muss immer freiwillig und auf der Grundlage einer genauen Information über die beabsichtigte Datenverarbeitung erfolgen. Ein konkreter Zweck ist zum Beispiel die Verwendung von Kundendaten, um Werbung zu verschicken.

Die Erklärung sollte u.a.

• kenntlich machen, dass es sich um eine Einwilligungserklärung handelt,
• konkret und leicht verständlich formuliert sein,
• klar ausdrücken, zu welchem Zweck die Daten verarbeitet werden sollen und
• Hinweise zur Speicherdauer der Daten enthalten.

Was gar nicht fehlen sollte: der Hinweis, dass die Einwilligung jederzeit widerrufen werden kann.

Die Einwilligung muss nicht schriftlich gegeben werden, das Datenschutzrecht sieht vor, dass die Einwilligung auch in elektronischer und mündlicher Form erfolgen kann. Allerdings muss der Verantwortliche immer nachweisen können, dass die von der Verarbeitung betroffene Person tatsächlich eingewilligt hat.

Die DSK hat ein Kurzpapier zur Einwilligung erstellt (KP 20, "Einwilligung nach der DS-GVO"). Zudem befasst sich der Bundesdatenschutzbeauftragte (BfDI) auf seiner Homepage mit dem Thema der Einwilligung.