Laut einer Datenschutz-Grundregel dürfen Unternehmen nur dann personenbezogene Daten erheben und verarbeiten, wenn eine gültige Rechtsgrundlage die Verarbeitung erlaubt. Eine dieser Rechtsgrundlagen ist die Einwilligung der betroffenen Person. Dabei muss die betroffene Person für die Einwilligung eine bestätigende Handlung durchführen. Das bedeutet, dass ein stilles Einverständnis oder Untätigkeit nicht als Einwilligung zur Datenverarbeitung angesehen werden kann.

Eine gültige Einwilligung muss:

• freiwillig, ausdrücklich und widerrufbar sein
• die Betroffenen in einfacher und verständlicher Sprache informieren
• den konkreten Zweck ausweisen
• auf das Widerrufsrecht hinweisen.

Die Verarbeitung personenbezogener Daten ist auch ohne Einwilligung der betroffenen Personen zulässig. Legitime Rechtfertigungsgründe können sein: vertragliche und rechtliche Verpflichtungen wie beispielsweise notwendige Angaben von Arbeitnehmern (Sozialversicherungsnummer, Bankverbindung). Aber auch Aufgaben, die im öffentlichem Interesse stehen oder lebenswichtige Interessen von Personen schützen. So kann beispielsweise die Verarbeitung von personenbezogenen Daten in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

Unternehmen können zudem ein berechtigtes Interesse geltend machen, um personenbezogene Daten auch ohne Einverständniserklärung zu verarbeiten. Als berechtigte Interessen gelten beispielsweise das Verhindern von Betrug und unter Umständen auch Direktwerbung. Unternehmen haben allerdings stets darauf zu achten, keine Grundrechte und –freiheiten der betroffenen Personen zu beschneiden. Zudem haben sie die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren.