In der Rechtssprache ist der Begriff der Einwilligung ganz klar definiert als "ausdrücklich vorher erteilte Zustimmung". Eine nachträgliche Zustimmung ist eine Genehmigung. In der DSGVO wird bewusst der Begriff "Einwilligung" verwendet, um klarzustellen, dass die betroffene Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten vor der Verarbeitung erteilen muss. Der betroffenen Person muss daher zuvor klar dargelegt werden, weshalb und inwiefern die Daten erhoben und verarbeitet werden sollen. Zusätzlich muss über das Bestehen eines Widerrufsrechts aufgeklärt werden und darüber, wie dieses ausgeübt werden kann. Die Befugnisse, die mit der Einwilligung erteilt werden sollen, dürfen kein "Blankoscheck" sein, sondern müssen sich in dem Rahmen bewegen, der von der Grundlage der Verarbeitung gesetzt wird.
Die Einwilligung ist darüber hinaus als Opt-In zu konzipieren (d.h. die betroffene Person muss aktiv der Verarbeitung/Erhebung zustimmen) und nicht als Opt-Out (die betroffene Person muss aktiv der Verarbeitung/Erhebung widersprechen). Stillschweigen oder Untätigkeit reicht nicht für eine gültige Zustimmung aus. Die betroffene Person muss also aktiv etwas unternehmen, womit man nachweisen kann, dass zugestimmt wurde.
Damit die Einwilligung gültig ist, muss sie zudem freiwillig erklärt werden (ohne Zwang). Außerdem ist zu beachten, dass es keine Kopplung geben darf. Das heißt, dass der betroffenen Person keine Nacheile entstehen dürfen, wenn sie die Einwilligung nicht erteilt (z.B. Ausschluss von einem Event o.ä.)
Neben der Einwilligung gibt es andere Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten (siehe Artikel 6 DSGVO). Die Einwilligung ist erforderlich, wenn keine andere Rechtsgrundlage anwendbar ist, wie z.B. die Aufgabenerfüllung der Universität, Erfüllung eines Vertrags oder rechtliche Verpflichtungen.
(s. Artikel 4 Nr. 11 DSGVO, Artikel 6 Abs. 1 lit. a DSGVO sowie Artikel 7 DSGVO)