DSGVO: Einwilligung nicht per AGB gültig

Viele kleine Unternehmen gehen davon aus, dass sie ihre rechtlichen Grundlagen für die Nutzung personenbezogener Daten abgedeckt haben, sobald ein Kunde auf „Zustimmen" in den Allgemeinen Geschäftsbedingungen klickt. Laut dem niederländischen Internetrechtsblog Ius Mentis von Arnoud Engelfriet ist diese Annahme falsch.

Was das Gesetz tatsächlich verlangt

Laut Ius Mentis macht die DSGVO es rechtlich unmöglich, eine wirksame Einwilligung zur Nutzung personenbezogener Daten über AGB oder allgemeine Geschäftsbedingungen einzuholen. Der Grund ist einfach: Die DSGVO verlangt, dass eine Einwilligung spezifisch ist. Eine in einem Klauselwerk vergrabene Bestimmung erfüllt diesen Maßstab so gut wie nie.

Der Blogbeitrag, veröffentlicht am 2. April 2026, verweist ausdrücklich auf Artikel 7 Absatz 2 DSGVO. Laut Ius Mentis verlangt dieser Artikel, dass jedes Ersuchen um Einwilligung in klar verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen muss und von anderen Angelegenheiten getrennt sein muss. Eine Rechtsklausel, die in einer Seite mit Standardbedingungen versteckt ist, erfüllt diese Anforderung Berichten zufolge nie.

Die praktische Konsequenz ist laut dem Blog, dass man nicht umhinkommt, ein gesondertes Ankreuzfeld zu verwenden. Und dieses Ankreuzfeld muss spezifisch sein. Eine allgemeine Aussage wie „Wir dürfen Ihre Daten verwenden" reicht nicht aus. Zweck und Empfänger müssen klar erkennbar sein.

Was gilt für nicht-personenbezogene Daten?

Ius Mentis unterscheidet zwischen personenbezogenen und nicht-personenbezogenen Daten. Für nicht-personenbezogene Daten stellt der Blog fest, dass eine europäische Verordnung, der sogenannte Data Act aus dem Jahr 2025, bestimmte Grenzen für das setzt, was Dienstanbieter tun dürfen. Der Blogautor weist jedoch darauf hin, dass es zu diesen Bestimmungen noch keine Rechtsprechung gibt, sodass das praktische Bild für nicht-personenbezogene Daten weniger klar ist.

Dieser Artikel konzentriert sich auf personenbezogene Daten, wo die Regeln laut Ius Mentis klar und streng sind.

AGB können angefochten werden

Der Blog hebt auch einen Punkt hervor, der leicht übersehen wird. Im deutschen Recht können unangemessen benachteiligende Klauseln in AGB unwirksam sein. Laut Ius Mentis ist das rechtliche Grundprinzip in Europa nicht „Sie hätten die AGB lesen und den Dienst meiden sollen." Es ist eher so: Ungewöhnliche oder rechtswidrige Klauseln in AGB sind nicht bindend. Das ist ein bedeutsamer Schutz für Verbraucher und ein bedeutsames Risiko für Unternehmen, deren AGB zu weit gehen.

Einen tieferen Einblick in das, was die DSGVO von Ihrem Unternehmen verlangt, bieten die DSGVO-Compliance-Checkliste und der Leitfaden zu den Anforderungen an Datenschutzerklärungen.

Was bedeutet das für Ihre Website?

Wenn Ihre Website personenbezogene Daten erhebt und Sie sich auf Ihre AGB stützen, um die Einwilligung abzudecken, ist dieser Ansatz unter der DSGVO rechtlich nicht wirksam. Sie benötigen einen gesonderten, spezifischen Einwilligungsmechanismus, etwa ein klar beschriftetes Ankreuzfeld, das genau erklärt, wofür Sie um Erlaubnis bitten. Eine Überprüfung Ihrer aktuellen Einrichtung anhand der DSGVO-Anforderungen für kleine Unternehmen ist ein sinnvoller nächster Schritt.