Auf nahezu allen Websites gibt es die Möglichkeit, via Formular personenbezogene Daten zu übermitteln, sei es zwecks Kontaktaufnahme, Newsletter oder Gewinnspiel. In aller Regel findet man dort verlinkte Datenschutzhinweise und sehr häufig auch eine Checkbox, um die Kenntnisnahme zu bestätigen oder gar einzuwilligen. Warum dies häufig nicht nur falsch ist, sondern auch ein Risiko für den Betreiber darstellt, erfahren Sie in diesem Artikel. Darüber hinaus zeigen wir Ihnen ganz praktisch, wie eine rechtskonforme Umsetzung gelingt.
Rechtsnatur der Datenschutzerklärung
Bei der Datenschutzerklärung handelt es sich nicht um einen Vertrag. Sie dient lediglich der Erfüllung einer einseitigen Informationspflicht durch den Websitebetreiber und Verantwortlichen für die Datenerhebung. Ob ein Websitebesucher oder Dienstenutzer etwas bestätigt, akzeptiert, zur Kenntnis nimmt oder nicht, spielt keine Rolle für die Erfüllung der Informationspflicht und berührt gleichsam die Rechtmäßigkeit der Datenverarbeitungen, über die informiert wird, in keiner Weise. Die Informationspflicht richtet sich ausschließlich nach Art. 12 f. Datenschutz-Grundverordnung (DSGVO), worin alle Voraussetzungen abschließend festgeschrieben sind.
Risiko bei Bestätigungsvoraussetzung
Da sich die Verpflichtung für den Websitebetreiber in der bloßen Übermittlung der Informationen an den Adressaten erschöpft, beeinflusst die Verlinkung unter Hinweis auf die Erklärung nicht die Rechtmäßigkeit der Datenerhebung. Die Verlinkung dient ausschließlich dem Informationserfordernis.
Sollte gegenüber dem Websitebesucher allerdings der Eindruck erweckt werden, er müsse bestimmten Inhalten in der Datenschutzerklärung zustimmen oder deren Inhalt „absegnen“, ergeben sich gleich zweierlei Probleme.
Zum einen kann die Zustimmung durch den Websitebesucher leicht in eine datenschutzrechtliche Einwilligung uminterpretiert werden, dies insbesondere dann, wenn die fälschlicherweise angenommene Zustimmungsbedürftigkeit zu Datenschutzhinweisen mittels Opt-in umgesetzt ist. Letztlich stützt der Verantwortliche die Datenverarbeitung dann auf die falsche Rechtsgrundlage, was einen Verstoß gegen die Grundsätze von Treu und Glauben sowie der Rechtmäßigkeit nach Art. 5 Abs. 1 lit a) DSGVO zur Folge haben kann.
Zum anderen kann zu Lasten des Websitebetreibers unterstellt werden, die Inhalte der Datenschutzerklärung stünden zur Disposition des Besuchers und gelten damit als Vertragsbedingungen oder gar allgemeine Geschäftsbedingungen (AGB).
So legt auch der Oberste Gerichtshof in Österreich (OGH) in seinem Urteil vom 23. November 2022 dar, dass selbst die verpflichtende Bestätigung zur bloßen Kenntnisnahme bereits einer Klauselkontrolle nach dem AGB-Recht zu unterwerfen sei. Denn diese impliziere gleichsam eine Zustimmung zu dessen Inhalt.
Die Voraussetzung der datenschutzrechtlichen Einwilligung allerdings betrifft einzig die Rechtmäßigkeit und ist nur dann notwendig, wenn die Verarbeitung auf keine andere Rechtsgrundlage, wie etwa auf einen Vertrag oder das berechtigte Interesse gestützt werden kann. Egal welche Rechtsgrundlage einschlägig ist, die Informationen nach Art. 12 ff. DSGVO müssen stets bereitgestellt werden. Eine Verlinkung von Datenschutzhinweisen ist demnach auch dann umzusetzen, wenn kein Opt-in (Einwilligung) notwendig ist.
Folgeprobleme ergeben sich demnach bereits bei durch den Besucher zusätzlich anzukreuzenden Sätzen wie:
- „Ich willige in die Datenverarbeitung gemäß der Datenschutzerklärung ein“,
- „Ja, ich wurde hinreichend über die Verarbeitung meiner Daten informiert und bin damit einverstanden“ oder
- „die Kenntnisnahme der Datenschutzhinweise wird bestätigt und akzeptiert“.
- „Ich habe den Datenschutzhinweis zur Kenntnis genommen“.
Geht der Websitebesucher aufgrund der unscharfen Formulierung davon aus, es handle sich bei der aktiv vorausgesetzten Zustimmung um eine Einwilligung, hat er die Möglichkeit, diese jederzeit zu widerrufen!
Ebenso läuft man als Websitebetreiber Gefahr, dass der Betroffene davon ausgeht, der Inhalt sei verhandelbar oder es besteht gar die Möglichkeit Teile abzulehnen. Im Zweifel resultieren daraus rechtliche Konsequenzen, die dem Interesse des Websitebetreibers zuwiderlaufen. Denn neben Datenschutzverstößen droht dann eine zivilrechtliche Haftung für Inhalte, die eigentlich ausschließlich zur einseitigen Information dienen.
Zustimmung zur Datenschutzerklärung unvereinbar mit Datenschutzrecht
Auch die Datenschutzkonferenz bestehend aus den Aufsichtsbehörden der Länder (DSK) hat sich zu diesem Thema bereits positioniert. Im Ausgangsfall ging es um Ärzte, die die Akzeptanz ihrer Datenschutzerklärung zur Voraussetzung für die Behandlung machten. Der Fall ist insbesondere dann übertragbar, wenn die Zustimmung zu den Datenschutzhinweise mittels Pflichtfeld eingeholt wird. Die DSK äußerst sich hierzu:
„Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“
Selbst ein Pflichtfeld im Sinne eines „Ich habe die Datenschutzerklärung zur Kenntnis genommen“ steht der Verordnung entgegen und ist mit dem Datenschutzrecht unvereinbar. Auch der Europäische Datenschutzausschuss (EDSA) kommt in seinem verbindlichen Beschluss nach Art. 65 DSGVO zum gleichen Ergebnis. Denn der in Art. 5 Abs. 1 lit a) DSGVO verankerte Fairness-Grundsatz beinhaltet auch die Betrachtung der Rechtsfolgen, welche die Auswahl von Rechtsgrundlagen mit sich bringt. Der Nutzer weiß nicht, ob er im konkreten Fall seine Zustimmung zu in den Datenschutzhinweisen festgelegten Verarbeitungen abgegeben hat oder dies musste. Bzgl. der Zustimmung zu konkreten Zwecken wird der Nutzer gerade nicht hinreichend aufgeklärt. Er ist sich damit über den Inhalt und den Umfang seiner Erklärung naturgemäß im Unklaren.
Achtung bei Informationen zu Cookies in der Datenschutzerklärung
Viele Datenschutzerklärungen auf Websites behandeln auch das Setzen von Cookies und die im Anschluss erhobenen personenbezogenen Daten. Der Einsatz von Cookies bedarf der Einwilligung des Websitebesuchers (siehe die Urteile von EuGH und BGH).
Hier sollten jedoch zwei Dinge nicht vermischt werden: Die Einwilligung oder auch Ablehnung für das Setzen von Cookies muss so erfolgen, dass dies vor dem Besuch der Website passiert. In aller Regel geschieht dies über ein Cookie-Consent-Banner. Wenn keine gesonderte Seite zum Thema Cookies besteht, kann auch in der Datenschutzerklärung die Möglichkeit geboten werden, eine gegebene Einwilligung zu Cookies jederzeit zu widerrufen. Das hat aber keinen Einfluss auf die Datenschutzerklärung als solches.
Oft wird in den Bannern die Einwilligung für sämtliche Dienste und Cookies erteilt. In der Datenschutzerklärung findet man aber einen Hinweis auf eine andere Rechtsgrundlage. Auch hier gilt: Für Cookies und andere Dienste ist nur dann eine Zustimmung einzuholen, wenn im konkreten Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO eingeholt werden soll. Für alle anderen Verarbeitungen genügt der Hinweis in der Datenschutzerklärung.
Fazit: Risiko bei Datenschutzerklärungen ist leicht vermeidbar!
Websitebetreiber oder allgemein Verantwortliche sollten also im eigenen Interesse nicht den Eindruck erwecken, die Voraussetzung einer Zustimmungspflicht sei rechtlich notwendig. Neben dem vermiedenen Risiko ist die technische Umsetzung ohne Checkbox in den meisten Fällen auch noch einfacher. Alle damit verbundenen Risiken lassen sich leicht mit folgenden Tipps vermeiden:
- Kein Opt-in, wo keines benötigt wird! Das Opt-in ist die technisch umgesetzte Einwilligung. Benötigen Sie für die Datenerhebung über ein Formular keine Einwilligung mittels aktiver Handlung in Form des Anklickens, benötigen Sie auch kein Kästchen zum Ankreuzen. So zum Beispiel der Fall bei Anbieten einer bloßen Kontaktaufnahmemöglichkeit über ein Anfrageformular oder einer Online-Bewerbung.
- Ein bloßer Hinweis auf die Datenschutzerklärung reicht aus. Bestenfalls klammern Sie den Verweis oder Link auf die Datenschutzhinweise komplett aus einem etwaigen Opt-in-Text aus. Formulierungsbeispiel: „Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzhinweise/-erklärung.“
- Lassen Sie sich das Lesen oder die Kenntnisnahme der Datenschutzhinweise nicht bestätigen. Eine Pflicht zur Kenntnisnahme durch den Betroffenen, gibt es weder für diesen selbst, noch für den Verantwortlichen. Die informationelle Selbstbestimmung des Einzelnen setzt freilich auch voraus, dass sich der Betroffene Datenschutzhinweise nicht durchlesen muss. Allerdings muss er die Möglichkeit haben, an alle Informationen – und zwar die für Ihn relevanten – transparent und einfach zu gelangen. Dies geschieht über eine unmittelbare Erreichbarkeit der Datenschutzhinweise, bestenfalls nur über einen Mausklick. Dies muss über alle Unterseiten des Internetauftritts gewährleistet werden.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.