Die Allgemeine Datenschutzverordnung (DSGVO) ist ein Datenschutzgesetz, das für die Erhebung, Verwendung und Verarbeitung personenbezogener Daten in der Europäischen Union (EU) gilt. Die Einwilligung ist eine von mehreren Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO, aber nicht die einzige: Personenbezogene Daten können auch auf der Grundlage anderer Rechtsgrundlagen verarbeitet werden, wie z. B. berechtigtes Interesse, Vertrag oder rechtliche Verpflichtung.
Die GDPR-Zustimmung muss frei, spezifisch, informiert und unmissverständlich gegeben werden. Um eine gültige Einwilligung zu erhalten, müssen Organisationen Einzelpersonen klare und prägnante Informationen über die Zwecke geben, für die ihre personenbezogenen Daten verwendet werden, und sie müssen eine klare und bestätigende Angabe der Zustimmung der Einzelperson zur Verarbeitung ihrer Daten einholen. Dies kann durch ein Einwilligungsformular oder einen ähnlichen Mechanismus geschehen, z. B. durch ein Ankreuzfeld oder eine Schaltfläche, aber nicht durch Opt-out-Mechanismen. Im Gegensatz zu anderen Datenschutzgesetzen wird in der Datenschutz-Grundverordnung eine implizite Einwilligung nicht als gültig angesehen.