Zustimmung zur Datenschutzerklärung bei Kontaktformularen

Auf nahezu allen Websites gibt es die Möglichkeit, via Formular personenbezogene Daten zu übermitteln, sei es zwecks Kontaktaufnahme, Newsletter oder Gewinnspiel. In aller Regel findet man dort verlinkte Datenschutzhinweise und sehr häufig auch eine Checkbox, um die Kenntnisnahme zu bestätigen oder gar einzuwilligen. Warum dies häufig nicht nur falsch ist, sondern auch ein Risiko für den Betreiber darstellt, erfahren Sie in diesem Artikel. Darüber hinaus zeigen wir Ihnen ganz praktisch, wie eine rechtskonforme Umsetzung gelingt.

Rechtsnatur der Datenschutzerklärung

Bei der Datenschutzerklärung handelt es sich nicht um einen Vertrag. Sie dient lediglich der Erfüllung einer einseitigen Informationspflicht durch den Websitebetreiber und Verantwortlichen für die Datenerhebung. Ob ein Websitebesucher oder Dienstenutzer etwas bestätigt, akzeptiert, zur Kenntnis nimmt oder nicht, spielt keine Rolle für die Erfüllung der Informationspflicht und berührt gleichsam die Rechtmäßigkeit der Datenverarbeitungen, über die informiert wird, in keiner Weise. Die Informationspflicht richtet sich ausschließlich nach Art. 12 f. Datenschutz-Grundverordnung (DSGVO), worin alle Voraussetzungen abschließend festgeschrieben sind.

Risiko bei Bestätigungsvoraussetzung

Da sich die Verpflichtung für den Websitebetreiber in der bloßen Übermittlung der Informationen an den Adressaten erschöpft, beeinflusst die Verlinkung unter Hinweis auf die Erklärung nicht die Rechtmäßigkeit der Datenerhebung. Die Verlinkung dient ausschließlich dem Informationserfordernis.

Sollte gegenüber dem Websitebesucher allerdings der Eindruck erweckt werden, er müsse bestimmten Inhalten in der Datenschutzerklärung zustimmen oder deren Inhalt „absegnen“, ergeben sich gleich zweierlei Probleme.

Zum einen kann die Zustimmung durch den Websitebesucher leicht in eine datenschutzrechtliche Einwilligung uminterpretiert werden, dies insbesondere dann, wenn die fälschlicherweise angenommene Zustimmungsbedürftigkeit zu Datenschutzhinweisen mittels Opt-in umgesetzt ist. Zum anderen kann zu Lasten des Websitebetreibers unterstellt werden, die Inhalte der Datenschutzerklärung stünden zur Disposition des Besuchers und gelten damit als Vertragsbedingungen oder gar allgemeine Geschäftsbedingungen (AGB).

Die Voraussetzung der datenschutzrechtlichen Einwilligung allerdings betrifft einzig die Rechtmäßigkeit und ist nur dann notwendig, wenn die Verarbeitung auf keine andere Rechtsgrundlage, wie etwa auf einen Vertrag oder das berechtigte Interesse gestützt werden kann. Egal welche Rechtsgrundlage einschlägig ist, die Informationen nach Art. 12 ff. DSGVO müssen stets bereitgestellt werden. Eine Verlinkung von Datenschutzhinweisen ist demnach auch dann umzusetzen, wenn kein Opt-in (Einwilligung) notwendig ist.

Folgeprobleme ergeben sich auch bei durch den Besucher anzukreuzenden Sätzen wie:

  • „Ich willige in die Datenverarbeitung gemäß der Datenschutzerklärung ein“,
  • „Ja, ich wurde hinreichend über die Verarbeitung meiner Daten informiert und bin damit einverstanden“ oder
  • „die Kenntnisnahme der Datenschutzhinweise wird bestätigt und akzeptiert“.

Geht der Websitebesucher aufgrund der unscharfen Formulierung davon aus, es handle sich bei der aktiv vorausgesetzten Zustimmung um eine Einwilligung, hat er die Möglichkeit, diese jederzeit zu widerrufen!

Ebenso läuft man als Websitebetreiber Gefahr, dass der Betroffene davon ausgeht, der Inhalt sei verhandelbar oder es besteht gar die Möglichkeit Teile abzulehnen. Im Zweifel resultieren daraus rechtliche Konsequenzen, die dem Interesse des Websitebetreibers zuwiderlaufen. Denn neben Datenschutzverstößen droht dann eine zivilrechtliche Haftung für Inhalte, die eigentlich ausschließlich zur einseitigen Information dienen.

Zustimmung zur Datenschutzerklärung unvereinbar mit Datenschutzrecht

Auch die Datenschutzkonferenz bestehend aus den Aufsichtsbehörden der Länder (DSK) hat sich zu diesem Thema bereits positioniert. Im Ausgangsfall ging es um Ärzte, die die Akzeptanz ihrer Datenschutzerklärung zur Voraussetzung für die Behandlung machten. Der Fall ist insbesondere dann übertragbar, wenn die Zustimmung zu den Datenschutzhinweise mittels Pflichtfeld eingeholt wird. Die DSK äußerst sich hierzu:

„Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“

Selbst ein Pflichtfeld im Sinne eines „Ich habe die Datenschutzerklärung zur Kenntnis genommen“ steht der Verordnung entgegen und ist mit dem Datenschutzrecht unvereinbar.

Achtung bei Informationen zu Cookies in der Datenschutzerklärung

Viele Datenschutzerklärungen auf Websites behandeln auch das Setzen von Cookies und die im Anschluss erhobenen personenbezogenen Daten. Der Einsatz von Cookies bedarf der Einwilligung des Websitebesuchers (siehe die Urteile von EuGH und BGH).

Hier sollten jedoch zwei Dinge nicht vermischt werden: Die Einwilligung oder auch Ablehnung für das Setzen von Cookies muss so erfolgen, dass dies vor dem Besuch der Website passiert. In aller Regel geschieht dies über ein Cookie-Consent-Banner. Wenn keine gesonderte Seite zum Thema Cookies besteht, kann auch in der Datenschutzerklärung die Möglichkeit geboten werden, eine gegebene Einwilligung zu Cookies jederzeit zu widerrufen. Das hat aber keinen Einfluss auf die Datenschutzerklärung als solches.

Fazit: Risiko bei Datenschutzerklärungen ist leicht vermeidbar!

Websitebetreiber oder allgemein Verantwortliche sollten also im eigenen Interesse nicht den Eindruck erwecken, die Voraussetzung einer Zustimmungspflicht sei rechtlich notwendig. Neben dem vermiedenen Risiko ist die technische Umsetzung ohne Checkbox in den meisten Fällen auch noch einfacher. Alle damit verbundenen Risiken lassen sich leicht mit folgenden Tipps vermeiden:

  • Kein Opt-in, wo keines benötigt wird! Das Opt-in ist die technisch umgesetzte Einwilligung. Benötigen Sie für die Datenerhebung über ein Formular keine Einwilligung mittels aktiver Handlung in Form des Anklickens, benötigen Sie auch kein Kästchen zum Ankreuzen. So zum Beispiel der Fall bei Anbieten einer bloßen Kontaktaufnahmemöglichkeit über ein Anfrageformular.
  • Ein bloßer Hinweis auf die Datenschutzerklärung reicht aus. Bestenfalls klammern Sie den Verweis oder Link auf die Datenschutzhinweise komplett aus einem etwaigen Opt-in-Text aus. Formulierungsbeispiel: „Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzhinweise/-erklärung.“
  • Lassen Sie sich das Lesen oder die Kenntnisnahme der Datenschutzhinweise nicht bestätigen. Eine Pflicht zur Kenntnisnahme gibt es nicht. Die informationelle Selbstbestimmung des Einzelnen setzt freilich auch voraus, dass sich der Betroffene Datenschutzhinweise nicht durchlesen muss. Allerdings muss er die Möglichkeit haben, an alle Informationen – und zwar die für Ihn relevanten – transparent und einfach zu gelangen. Dies geschieht über eine unmittelbare Erreichbarkeit der Datenschutzhinweise, bestenfalls nur über einen Mausklick. Dies muss über alle Unterseiten des Internetauftritts gewährleistet werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

2 Kommentare

  1. Cora Profilbild
    Cora

    Hallo,

    wie ist es bei einem Bewerbungsformular oder einem Formular zur Eintragungen in den Talentpool?
    Sollten man in diesem Fall ein Einwilligung per checkbox (Pflichtfeld) benutzen?

    z.B. Hiermit akzeptiere ich die Datenschutzerklärung und trage mich in den Talentpool ein/ bzw. bewerbe mich auf die Stelle xy.

    1. Martin Röleke Profilbild
      Martin Röleke

      Gerne antworten wir auf Ihren Kommentar.

      Die Datenverarbeitung im Zuge der Bewerbung erfolgt für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Die Rechtsgrundlage ist spezialgesetzlich in § 26 Abs. 1 Bundesdatenschutz geregelt. Sie benötigen daher keine Einwilligung und ergo kein Opt-In. Freilich muss aber die Datenschutzerklärung verlinkt sein, dass sich der Bewerber/die Bewerberin vorzeitig über alle betreffenden Verarbeitungsdetails informieren kann.

      Im Normalfall entfällt der Zweck für die Speicherung der Bewerberdaten, wenn Entscheidung über die Besetzung getroffen ist. Hiernach müssen die Daten gelöscht werden. Soll der Bewerber im Talentpool, etwa für spätere Vakanzen, landen, benötigen Sie hierfür dessen/deren Einwilligung und demgemäß auch ein optionales (nicht vorangekreuztes) Opt-In. Die Bewerbung darf nicht mit Talentpool verknüpft werden. Beides muss separat ermöglicht werden.

      Viele Grüße
      Martin Röleke
      activeMind

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.