Personenbezogene Daten dürfen von verarbeitenden Stellen in Deutschland nur unter zwei alternativen Bedingungen verarbeitet werden: Entweder es gibt eine gesetzliche Erlaubnis für den konkreten Fall oder der Betroffene hat eingewilligt. Die Einwilligung ist im §4a BDSG normiert – für Telemedien durch §13 II TMG ergänzt – und lässt sich ganz grob zusammenfassen wie folgt: Die Einwilligung muss freiwillig erfolgen, der Einwilligende muss genau wissen in was er einwilligt wobei die Einwilligungserklärung hinreichend bestimmt sein muss und zu guter Letzt gibt es mitunter Formvorschriften zur Hervorhebung. Das OLG Frankfurt a.M. (19 W 33/10) hat zwei Interessante Dinge dabei entschieden:
- Eine Referenzklausel ist grundsätzlich möglich. Wir kennen das: Vertragswerke sind selten eine halbe Din-A4-Seite lang, manchmal gehen Sie über 20 oder mehr Seiten. Im konkreten Fall wurde auf Seite 1 in „Fettschrift“ darauf verwiesen, dass man mit seiner Unterschrift in die Datenverarbeitung einwilligt, wobei die genauen Umstände auf Seite X zu finden sind. Eine solche Referenzierung begegnete keinen grundsätzlichen Bedenken.
- Umstritten ist die Handhabung der Einwilligung im Verhältnis zur gesetzlichen Ermächtigung: Eine starke Meinung ist der Auffassung, wer eine Einwilligung einholt (die dann unwirksam ist), darf sich nicht hinterher auf evt. vorhandene gesetzliche Ermächtigungen berufen. Das OLG Frankfurt sieht das anders.
Was heisst das für die Praxis? Auch wenn es ein OLG ist, ist es eine Einzelfallentscheidung, insofern bleiben die üblichen Ungewissheiten. Dringend ist davor zu warnen, mit laienhaft zusammengeschusterten Einwilligungserklärungen Datenverarbeitungen legitimieren zu wollen – das Thema ist hochsensibel und äusserst kompliziert. Die Erfahrung zeigt bisher, dass diejenigen, die datenschutzrechliche Belehrungen sowie Formalien der Einwilligungserklärung nicht als puren Formalismus, sondern als Aufgabe mit Funktion betrachten und ernst nehmen, kaum Probleme im Alltag haben – insofern sollte man sich weniger auf Einzelfallentscheidungen berufen, als vielmehr den Sinn verstehen, den Betroffenen ernst nehmen und auf Augenhöhe vertragliche Formulierungen entwickeln. Das Ergebnis wird quasi automatisch ein besseres sein, zumal es sich hinterher auch leichter vertreten lässt. Spätestens aber, wenn es um wirtschaftliche Interessen geht, wird professioneller rechtlicher Rat unabdingbar sein.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
