Einige Unternehmen lassen ihre Kunden in die Datenschutzhinweise einwilligen. So möchte man alles richtig machen. Auf der sicheren Seite sein. Gesetzlich ist das aber gar nicht erforderlich. Die Datenschutzhinweise können dann sogar als Allgemeine Geschäftsbedingungen (AGB) gewertet werden, mit negativen Konsequenzen. Wir zeigen Ihnen die Fallstricke.
Der Inhalt im Überblick
Datenschutzhinweise nur als Beipackzettel
Entgegen dem Vorgehen vieler Unternehmen (und anderer Verantwortlicher) müssen die Datenschutzhinweise nicht aktiv bestätigt werden. Es genügt, wenn Sie den Nutzerinnen zum Zeitpunkt der Erhebung der Daten die Möglichkeit der Kenntnisnahme geben, so heißt es Art. 12 Abs. 1 DSGVO:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;“
Kurz gesagt, es muss die Transparenz gewahrt werden. Es sollte also keine Hürden aufgestellt werden, d.h. die Datenschutzhinweise sollten nicht versteckt auf der Webseite platziert werden.
Nicht ausreichend ist der Verweis auf die allgemeinen Geschäftsbedingungen. Das gleiche gilt übrigens für Apps (mehr dazu finden Sie in unserem Beitrag Datenschutzerklärung in Apps – Inhalt, Form und Muster). Schon vor deren Installation müssen im App Store die Datenschutzhinweise zur Verfügung gestellt werden. In der App sollten die Hinweise nicht mehr als zwei Klicks vom Hauptmenü zur Verfügung gestellt werden (sog. Zwei-Klick-Regel). Auch in der „echten“ Welt müssen die Hinweise gut sichtbar zur Verfügung gestellt werden, z.B. als Aushang oder Aufsteller.
Die Überschrift ist zugleich Vorbedeutung
Für die leichte Auffindbarkeit sollten die Hinweise zudem auch aussagekräftig bezeichnet werden, z.B. als Datenschutzinformationen, Datenschutzhinweise oder schlicht unter einem Link „Datenschutz“. Nicht ausreichend ist der Verweis auf die allgemeinen Geschäftsbedingungen.
Aber Achtung, so hat das Kammergericht Berlin in einem Verfahren des Bundesverband der Verbraucherzentrale (VZBV) gegen Apple (Urteil vom 27.12.2018 – 23 U 196/13) wegen der Verwendung des Begriffs „Datenschutzrichtlinie“ diese als AGB bewertet:
„Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden.“
Seitdem wird empfohlen, nicht von Datenschutzrichtlinie oder Datenschutzerklärung, sondern Datenschutzhinweisen oder Datenschutzinformationen zu sprechen.
Schadet eine Einwilligung?
Eventuell ja, so hat das Landgericht Berlin in einem vom Kammergericht bestätigten Urteil zwischen Facebook und dem VZBV darauf hingewiesen, dass auf Datenschutzhinweise AGB-Recht Anwendung finden kann (Urteil vom 20.12.2019 – 5 U 9/18). Es ging um Voreinstellungen zur Privatsphäre wie vorangekreuzte Häkchen zur Aktivierung von Ortungsdienste in den alten AGB von Facebook. Entsprechende Einwilligungen der Nutzer sah das Kammergericht als unwirksam an. Das Gericht ging aber auch darauf ein, dass Datenschutzhinweise AGB sein können:
„Der Senat stimmt der diesbezüglichen Begründung zu, dass und warum diesen Passagen [Anm.: Die Datenschutzhinweise] für sich genommen die Eigenschaft allgemeiner Geschäfts “bedingungen” abgeht, weil sie insoweit nicht regelnden, sondern rein informatorischen Charakters sind […]. Auf einem anderen Blatt steht, ob an anderer Stelle im Internetauftritt der Beklagten eine Zustimmung des Nutzers zur Datenschutzrichtlinie oder einzelnen dort dargestellten Verfahrensweisen vorgesehen ist, was durchaus eine vertragsregelnde, an den §§ 307 ff. BGB zu messende, AGB darstellen kann, worum es an dieser Stelle laut Klageanträgen und -begründung aber nicht geht.“
Datenschutzhinweise sind also keine AGB solange sie rein informatorischen Charakter haben. Sobald sie aber vertragsregelden Charakter haben, kann AGB Recht Anwendung finden.
Eine AGB-Kontrolle gefällig?
Weniger ist mehr
Es ist also Vorsicht geboten. Die Nutzerinnen in die Datenschutzhinweise einwilligen zu lassen, kann auch Nachteile haben. Es ist vollkommen ausreichend, wenn die Datenschutzhinweise in leicht zugänglicher Form zur Verfügung gestellt werden. Auch bei der Bezeichnung der Datenschutzhinweise sollte man eine Formulierung vermeiden, die einen verbindlichen Charakter nahelegt.
Die Datenschutzerklärung ist bildlich gesprochen nur ein Beipackzettel für Fragen zu Risiken und Nebenwirkungen der Datenverarbeitung. Nutzer können sie lesen, müssen es aber nicht. Sollten Sie Fragen zu Risiken und Nebenwirkung der Datenverarbeitung haben, steht Dr. Datenschutz immer gerne Rede und Antwort.
Hallo liebes Dr. Datenschutz Team,
müssen die Datenschutzinformationen neu erteilt werden, wenn ein Verantwortlicherer einen Auftragsverarbeiter für eine Tätigkeit beauftragt, die er vorher selber durchgeführt hat und somit die Betroffenen bisher nicht über den (neuen) Empfänger der Daten informiert worden sind?
Es kommt darauf an, ob die ursprüngliche Information ausreichend detailliert und richtig im Hinblick auf Auftragsverarbeitungen waren. Auftragsverarbeitung ist nicht im selben Maß informationspflichtig wie eine Datenübertragung an eigenverantwortliche Dritte, allerdings muss korrekt über Art und Umfang einer existierenden Auftragsverarbeitung informiert werden. Daher kommt es vollumfänglich darauf an, wie genau die bisherige Information gestaltet ist, um zu beurteilen, ob eine erneute Information erforderlich ist.