Mit dem Einholen einer Einwilligung wird der Person ermöglicht, selbst darüber zu entscheiden, ob ihre Daten verarbeitet werden. Wird eine Einwilligung verweigert oder später widerrufen, entfällt die Rechtmäßigkeit der Datenverarbeitung.

In vielen Situationen ist es allerdings weder gewünscht, noch notwendig, die Zustimmung der Person zur Datenverarbeitung einzuholen (so z.B. bei Überwachungsmaßnahmen des Arbeitgebers oder der Erbringung eines von Kunden gebuchten Services. Die Einwilligung sollte daher nur dann eingeholt werden, wenn sie auch wirklich benötigt wird - etwa bei Telefonwerbung, Newsletter und Onlinetracking.

Bei der Einholung ist dagauf zu achten, dass ausreichend Informationen zum Zweck und zum Gegenstand der Einwilligung gegeben werden. Der Person muss möglichst transparent gemacht werden, worin sie einwilligt. Auch auf ihr jederzeitiges Widerrufsrecht ist die Person vorab hinzuweisen.

Um rechtswirksam zu sein, muss eine Einwilligung zudem aktiv erteilt werden (keine vorangekreuzten Kästchen) und freiwillig sein. Letzteres ist im Beschäftigtenverhältnis aufgrund des Abhängigkeitsverhältnisses vom Arbeitgeber regelmäßig nicht der Fall.

Last but not least muss das Unternehmen nachweisen können, dass die Person auch wirklich eingewilligt hat. Trotz der Möglichkeit einer "ungeschriebenen" Einwilligung (z. B. mündlich) ist daher stets eine dokumentierte Einwilligung zu empfehlen. Hierfür - und für die automatisierte Entgegennahme von Widersprüchen - bietet es sich oftmals an, ein Consent Management System zu implementieren.