Anleitung: Datenschutzhinweise auf Websites richtig einbinden

Fachbeitrag

Einige Unternehmen lassen ihre Kunden in die Datenschutzhinweise einwilligen. So möchte man alles richtig machen. Auf der sicheren Seite sein. Gesetzlich ist das aber gar nicht erforderlich. Die Datenschutzhinweise können dann sogar als Allgemeine Geschäftsbedingungen (AGB) gewertet werden, mit negativen Konsequenzen. Wir zeigen Ihnen die Fallstricke.

Datenschutzhinweise nur als Beipackzettel

Entgegen dem Vorgehen vieler Unternehmen (und anderer Verantwortlicher) müssen die Datenschutzhinweise nicht aktiv bestätigt werden. Es genügt, wenn Sie den Nutzerinnen zum Zeitpunkt der Erhebung der Daten die Möglichkeit der Kenntnisnahme geben, so heißt es Art. 12 Abs. 1 DSGVO:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;“

Kurz gesagt, es muss die Transparenz gewahrt werden. Es sollte also keine Hürden aufgestellt werden, d.h. die Datenschutzhinweise sollten nicht versteckt auf der Webseite platziert werden.

Nicht ausreichend ist der Verweis auf die allgemeinen Geschäftsbedingungen. Das gleiche gilt übrigens für Apps (mehr dazu finden Sie in unserem Beitrag Datenschutzerklärung in Apps – Inhalt, Form und Muster). Schon vor deren Installation müssen im App Store die Datenschutzhinweise zur Verfügung gestellt werden. In der App sollten die Hinweise nicht mehr als zwei Klicks vom Hauptmenü zur Verfügung gestellt werden (sog. Zwei-Klick-Regel). Auch in der „echten“ Welt müssen die Hinweise gut sichtbar zur Verfügung gestellt werden, z.B. als Aushang oder Aufsteller.

Die Überschrift ist zugleich Vorbedeutung

Für die leichte Auffindbarkeit sollten die Hinweise zudem auch aussagekräftig bezeichnet werden, z.B. als Datenschutzinformationen, Datenschutzhinweise oder schlicht unter einem Link „Datenschutz“. Nicht ausreichend ist der Verweis auf die allgemeinen Geschäftsbedingungen.

Aber Achtung, so hat das Kammergericht Berlin in einem Verfahren des Bundesverband der Verbraucherzentrale (VZBV) gegen Apple (Urteil vom 27.12.2018 – 23 U 196/13) wegen der Verwendung des Begriffs „Datenschutzrichtlinie“ diese als AGB bewertet:

„Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden.“

Seitdem wird empfohlen, nicht von Datenschutzrichtlinie oder Datenschutzerklärung, sondern Datenschutzhinweisen oder Datenschutzinformationen zu sprechen.

Schadet eine Einwilligung?

Eventuell ja, so hat das Landgericht Berlin in einem vom Kammergericht bestätigten Urteil zwischen Facebook und dem VZBV darauf hingewiesen, dass auf Datenschutzhinweise AGB-Recht Anwendung finden kann (Urteil vom 20.12.2019 – 5 U 9/18). Es ging um Voreinstellungen zur Privatsphäre wie vorangekreuzte Häkchen zur Aktivierung von Ortungsdienste in den alten AGB von Facebook. Entsprechende Einwilligungen der Nutzer sah das Kammergericht als unwirksam an. Das Gericht ging aber auch darauf ein, dass Datenschutzhinweise AGB sein können:

„Der Senat stimmt der diesbezüglichen Begründung zu, dass und warum diesen Passagen [Anm.: Die Datenschutzhinweise] für sich genommen die Eigenschaft allgemeiner Geschäfts “bedingungen” abgeht, weil sie insoweit nicht regelnden, sondern rein informatorischen Charakters sind […]. Auf einem anderen Blatt steht, ob an anderer Stelle im Internetauftritt der Beklagten eine Zustimmung des Nutzers zur Datenschutzrichtlinie oder einzelnen dort dargestellten Verfahrensweisen vorgesehen ist, was durchaus eine vertragsregelnde, an den §§ 307 ff. BGB zu messende, AGB darstellen kann, worum es an dieser Stelle laut Klageanträgen und -begründung aber nicht geht.“

Datenschutzhinweise sind also keine AGB solange sie rein informatorischen Charakter haben. Sobald sie aber vertragsregelden Charakter haben, kann AGB Recht Anwendung finden.

Eine AGB-Kontrolle gefällig?

Werden Datenschutzhinweise als AGB bewertet, ist das größte Problem, dass man diese nur sehr schwer ändern kann. Also mal eben ein neues Marketingtool auf der Website einsetzen, geht dann nur mit erneuter Einwilligung.
Außerdem können Klauseln nach der AGB-Inhaltskontrolle der §§ 307-309 BGB je nach Formulierung unwirksam sein. Zudem können fehlerhafte AGB von Vereinen und/oder Wettbewerbern abgemahnt werden.

Weniger ist mehr

Es ist also Vorsicht geboten. Die Nutzerinnen in die Datenschutzhinweise einwilligen zu lassen, kann auch Nachteile haben. Es ist vollkommen ausreichend, wenn die Datenschutzhinweise in leicht zugänglicher Form zur Verfügung gestellt werden. Auch bei der Bezeichnung der Datenschutzhinweise sollte man eine Formulierung vermeiden, die einen verbindlichen Charakter nahelegt.

Die Datenschutzerklärung ist bildlich gesprochen nur ein Beipackzettel für Fragen zu Risiken und Nebenwirkungen der Datenverarbeitung. Nutzer können sie lesen, müssen es aber nicht. Sollten Sie Fragen zu Risiken und Nebenwirkung der Datenverarbeitung haben, steht Dr. Datenschutz immer gerne Rede und Antwort.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.