Zustimmung zur Datenschutzerklärung bei Kontaktformularen

Auf nahezu allen Websites gibt es die Möglichkeit, via Formular personenbezogene Daten zu übermitteln, sei es zwecks Kontaktaufnahme, Newsletter oder Gewinnspiel. In aller Regel findet man dort verlinkte Datenschutzhinweise und sehr häufig auch eine Checkbox, um die Kenntnisnahme zu bestätigen oder gar einzuwilligen. Warum dies häufig nicht nur falsch ist, sondern auch ein Risiko für den Betreiber darstellt, erfahren Sie in diesem Artikel. Darüber hinaus zeigen wir Ihnen ganz praktisch, wie eine rechtskonforme Umsetzung gelingt.

Rechtsnatur der Datenschutzerklärung

Bei der Datenschutzerklärung handelt es sich nicht um einen Vertrag. Sie dient lediglich der Erfüllung einer einseitigen Informationspflicht durch den Websitebetreiber und Verantwortlichen für die Datenerhebung. Ob ein Websitebesucher oder Dienstenutzer etwas bestätigt, akzeptiert, zur Kenntnis nimmt oder nicht, spielt keine Rolle für die Erfüllung der Informationspflicht und berührt gleichsam die Rechtmäßigkeit der Datenverarbeitungen, über die informiert wird, in keiner Weise. Die Informationspflicht richtet sich ausschließlich nach Art. 12 f. Datenschutz-Grundverordnung (DSGVO), worin alle Voraussetzungen abschließend festgeschrieben sind.

Risiko bei Bestätigungsvoraussetzung

Da sich die Verpflichtung für den Websitebetreiber in der bloßen Übermittlung der Informationen an den Adressaten erschöpft, beeinflusst die Verlinkung unter Hinweis auf die Erklärung nicht die Rechtmäßigkeit der Datenerhebung. Die Verlinkung dient ausschließlich dem Informationserfordernis.

Sollte gegenüber dem Websitebesucher allerdings der Eindruck erweckt werden, er müsse bestimmten Inhalten in der Datenschutzerklärung zustimmen oder deren Inhalt „absegnen“, ergeben sich gleich zweierlei Probleme.

Zum einen kann die Zustimmung durch den Websitebesucher leicht in eine datenschutzrechtliche Einwilligung uminterpretiert werden, dies insbesondere dann, wenn die fälschlicherweise angenommene Zustimmungsbedürftigkeit zu Datenschutzhinweisen mittels Opt-in umgesetzt ist. Letztlich stützt der Verantwortliche die Datenverarbeitung dann auf die falsche Rechtsgrundlage, was einen Verstoß gegen die Grundsätze von Treu und Glauben sowie der Rechtmäßigkeit nach Art. 5 Abs. 1 lit a) DSGVO zur Folge haben kann.

Zum anderen kann zu Lasten des Websitebetreibers unterstellt werden, die Inhalte der Datenschutzerklärung stünden zur Disposition des Besuchers und gelten damit als Vertragsbedingungen oder gar allgemeine Geschäftsbedingungen (AGB).

So legt auch der Oberste Gerichtshof in Österreich (OGH) in seinem Urteil vom 23. November 2022  dar, dass selbst die verpflichtende Bestätigung zur bloßen Kenntnisnahme bereits einer Klauselkontrolle nach dem AGB-Recht zu unterwerfen sei. Denn diese impliziere gleichsam eine Zustimmung zu dessen Inhalt.

Die Voraussetzung der datenschutzrechtlichen Einwilligung allerdings betrifft einzig die Rechtmäßigkeit und ist nur dann notwendig, wenn die Verarbeitung auf keine andere Rechtsgrundlage, wie etwa auf einen Vertrag oder das berechtigte Interesse gestützt werden kann. Egal welche Rechtsgrundlage einschlägig ist, die Informationen nach Art. 12 ff. DSGVO müssen stets bereitgestellt werden. Eine Verlinkung von Datenschutzhinweisen ist demnach auch dann umzusetzen, wenn kein Opt-in (Einwilligung) notwendig ist.

Folgeprobleme ergeben sich demnach bereits bei durch den Besucher zusätzlich anzukreuzenden Sätzen wie:

  • „Ich willige in die Datenverarbeitung gemäß der Datenschutzerklärung ein“,
  • „Ja, ich wurde hinreichend über die Verarbeitung meiner Daten informiert und bin damit einverstanden“ oder
  • „die Kenntnisnahme der Datenschutzhinweise wird bestätigt und akzeptiert“.
  • „Ich habe den Datenschutzhinweis zur Kenntnis genommen“.

Geht der Websitebesucher aufgrund der unscharfen Formulierung davon aus, es handle sich bei der aktiv vorausgesetzten Zustimmung um eine Einwilligung, hat er die Möglichkeit, diese jederzeit zu widerrufen!

Ebenso läuft man als Websitebetreiber Gefahr, dass der Betroffene davon ausgeht, der Inhalt sei verhandelbar oder es besteht gar die Möglichkeit Teile abzulehnen. Im Zweifel resultieren daraus rechtliche Konsequenzen, die dem Interesse des Websitebetreibers zuwiderlaufen. Denn neben Datenschutzverstößen droht dann eine zivilrechtliche Haftung für Inhalte, die eigentlich ausschließlich zur einseitigen Information dienen.

Zustimmung zur Datenschutzerklärung unvereinbar mit Datenschutzrecht

Auch die Datenschutzkonferenz bestehend aus den Aufsichtsbehörden der Länder (DSK) hat sich zu diesem Thema bereits positioniert. Im Ausgangsfall ging es um Ärzte, die die Akzeptanz ihrer Datenschutzerklärung zur Voraussetzung für die Behandlung machten. Der Fall ist insbesondere dann übertragbar, wenn die Zustimmung zu den Datenschutzhinweise mittels Pflichtfeld eingeholt wird. Die DSK äußerst sich hierzu:

„Die Informationspflicht nach Art. 13 DSGVO bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“

Selbst ein Pflichtfeld im Sinne eines „Ich habe die Datenschutzerklärung zur Kenntnis genommen“ steht der Verordnung entgegen und ist mit dem Datenschutzrecht unvereinbar. Auch der Europäische Datenschutzausschuss (EDSA) kommt in seinem verbindlichen Beschluss nach Art. 65 DSGVO zum gleichen Ergebnis. Denn der in Art. 5 Abs. 1 lit a) DSGVO verankerte Fairness-Grundsatz beinhaltet auch die Betrachtung der Rechtsfolgen, welche die Auswahl von Rechtsgrundlagen mit sich bringt. Der Nutzer weiß nicht, ob er im konkreten Fall seine Zustimmung zu in den Datenschutzhinweisen festgelegten Verarbeitungen abgegeben hat oder dies musste. Bzgl. der Zustimmung zu konkreten Zwecken wird der Nutzer gerade nicht hinreichend aufgeklärt. Er ist sich damit über den Inhalt und den Umfang seiner Erklärung naturgemäß im Unklaren.

Achtung bei Informationen zu Cookies in der Datenschutzerklärung

Viele Datenschutzerklärungen auf Websites behandeln auch das Setzen von Cookies und die im Anschluss erhobenen personenbezogenen Daten. Der Einsatz von Cookies bedarf der Einwilligung des Websitebesuchers (siehe die Urteile von EuGH und BGH).

Hier sollten jedoch zwei Dinge nicht vermischt werden: Die Einwilligung oder auch Ablehnung für das Setzen von Cookies muss so erfolgen, dass dies vor dem Besuch der Website passiert. In aller Regel geschieht dies über ein Cookie-Consent-Banner. Wenn keine gesonderte Seite zum Thema Cookies besteht, kann auch in der Datenschutzerklärung die Möglichkeit geboten werden, eine gegebene Einwilligung zu Cookies jederzeit zu widerrufen. Das hat aber keinen Einfluss auf die Datenschutzerklärung als solches.

Oft wird in den Bannern die Einwilligung für sämtliche Dienste und Cookies erteilt. In der Datenschutzerklärung findet man aber einen Hinweis auf eine andere Rechtsgrundlage. Auch hier gilt: Für Cookies und andere Dienste ist nur dann eine Zustimmung einzuholen, wenn im konkreten Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO eingeholt werden soll. Für alle anderen Verarbeitungen genügt der Hinweis in der Datenschutzerklärung.

Fazit: Risiko bei Datenschutzerklärungen ist leicht vermeidbar!

Websitebetreiber oder allgemein Verantwortliche sollten also im eigenen Interesse nicht den Eindruck erwecken, die Voraussetzung einer Zustimmungspflicht sei rechtlich notwendig. Neben dem vermiedenen Risiko ist die technische Umsetzung ohne Checkbox in den meisten Fällen auch noch einfacher. Alle damit verbundenen Risiken lassen sich leicht mit folgenden Tipps vermeiden:

  • Kein Opt-in, wo keines benötigt wird! Das Opt-in ist die technisch umgesetzte Einwilligung. Benötigen Sie für die Datenerhebung über ein Formular keine Einwilligung mittels aktiver Handlung in Form des Anklickens, benötigen Sie auch kein Kästchen zum Ankreuzen. So zum Beispiel der Fall bei Anbieten einer bloßen Kontaktaufnahmemöglichkeit über ein Anfrageformular oder einer Online-Bewerbung.
  • Ein bloßer Hinweis auf die Datenschutzerklärung reicht aus. Bestenfalls klammern Sie den Verweis oder Link auf die Datenschutzhinweise komplett aus einem etwaigen Opt-in-Text aus. Formulierungsbeispiel: „Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzhinweise/-erklärung.“
  • Lassen Sie sich das Lesen oder die Kenntnisnahme der Datenschutzhinweise nicht bestätigen. Eine Pflicht zur Kenntnisnahme durch den Betroffenen, gibt es weder für diesen selbst, noch für den Verantwortlichen. Die informationelle Selbstbestimmung des Einzelnen setzt freilich auch voraus, dass sich der Betroffene Datenschutzhinweise nicht durchlesen muss. Allerdings muss er die Möglichkeit haben, an alle Informationen – und zwar die für Ihn relevanten – transparent und einfach zu gelangen. Dies geschieht über eine unmittelbare Erreichbarkeit der Datenschutzhinweise, bestenfalls nur über einen Mausklick. Dies muss über alle Unterseiten des Internetauftritts gewährleistet werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

8 Comments

  1. Laura Profile Picture
    Laura

    Hallo,

    vielen Dank für den Artikel!
    Wie sieht es denn mit Kommentaren aus? Viele schreiben, dass man dort eine Checkbox mit “Ich akzeptiere die Datenschutzerklärung…” einfügen sollte.

    Reicht es dort auch aus, dass man einfach nur auf die Datenschutzerklärung verlinkt so wie hier?

    Viele Grüße :-)

    1. Martin Röleke Profile Picture
      Martin Röleke

      Danke für Ihre Anfrage.

      Richtig, Sie benötigen keine Einwilligung und ergo keine Checkbox. Es reicht eine Verlinkung der Datenschutzerklärung. Alle Daten die im Zuge der Kommentierung erhoben werden, dürfen nur zu diesem Zweck verarbeitet werden. Bspw. scheidet eine Weitergabe der E-Mail-Adressen an Dritte aus. Selbige dürfen ebenfalls nicht für Werbemailings etc. genutzt werden.

  2. Stefan Leistner Profile Picture
    Stefan Leistner

    Danke für die ausführlichen Informationen. Demzufolge ist wohl nicht notwendig eine Genehmigung zur Zusendung eines Newsletters mit Marketinginformationen explizit durch Setzen eines Hakens einzuholen (opt in), sondern es wäre auch möglich, den Haken bereits gesetzt zu haben (opt out). Dem Kunden müsste aber dann einfach zugänglich die Datenschutzerklärung zur Verfügung gestellt werden. Ist das richtig? Vielen Dank für eine kurze Antwort. Mit freundlichen Grüßen Stefan Leistner

    1. Martin Röleke Profile Picture
      Martin Röleke

      Danke für Ihre Anfrage.
      Sie verwechseln Informationspflicht und Rechtsgrundlage. Für einen Werbenewsletter benötigen Sie stets eine Einwilligung im Sinne einer ausdrücklichen Willensbetätigung des Empfängers. Diese kann nur mittels Opt-In oder durch eine andere aktive Handlung erfolgen. Das Opt-In verkörpert die Einwilligung und schafft die Rechtsgrundlage. Im Artikel geht es um die einseitige Informationspflicht des Verantwortlichen. Dieser Information bedarf es unabhängig von er Rechtsgrundlage. Auch bei einem Werbenewsletter.

  3. Timo H. Profile Picture
    Timo H.

    Vom Verantwortlichen (Auftragsverarbeiter) wurden bzw. werden alle Betroffenenrechte aus der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) ausgeschlossen.

    Der Verantwortliche hat nicht über das Widerrufsrecht informiert (Art. 7 Abs. 3 DSGVO informiert.

    Aufgrund der Verarbeitung wurde ich in meinen eigenen Grundrechten verletzt.

    Was kann man tun?

    1. Martin Röleke Profile Picture
      Martin Röleke

      Wenn Sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Datenschutzgesetze verstößt, können Sie sich bei der zuständigen Aufsichtsbehörde beschweren.
      Diese Landesbehörden finden Sie HIER

      Davon unabhängig kann Zivilklage erhoben werden.

  4. Cora Profile Picture
    Cora

    Hallo,

    wie ist es bei einem Bewerbungsformular oder einem Formular zur Eintragungen in den Talentpool?
    Sollten man in diesem Fall ein Einwilligung per checkbox (Pflichtfeld) benutzen?

    z.B. Hiermit akzeptiere ich die Datenschutzerklärung und trage mich in den Talentpool ein/ bzw. bewerbe mich auf die Stelle xy.

    1. Martin Röleke Profile Picture
      Martin Röleke

      Gerne antworten wir auf Ihren Kommentar.

      Die Datenverarbeitung im Zuge der Bewerbung erfolgt für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Die Rechtsgrundlage ist spezialgesetzlich in § 26 Abs. 1 Bundesdatenschutz geregelt. Sie benötigen daher keine Einwilligung und ergo kein Opt-In. Freilich muss aber die Datenschutzerklärung verlinkt sein, dass sich der Bewerber/die Bewerberin vorzeitig über alle betreffenden Verarbeitungsdetails informieren kann.

      Im Normalfall entfällt der Zweck für die Speicherung der Bewerberdaten, wenn Entscheidung über die Besetzung getroffen ist. Hiernach müssen die Daten gelöscht werden. Soll der Bewerber im Talentpool, etwa für spätere Vakanzen, landen, benötigen Sie hierfür dessen/deren Einwilligung und demgemäß auch ein optionales (nicht vorangekreuztes) Opt-In. Die Bewerbung darf nicht mit Talentpool verknüpft werden. Beides muss separat ermöglicht werden.

      Viele Grüße
      Martin Röleke
      activeMind

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.