Checkbox bei Datenschutzerklärung

Nach den Art. 12 ff. DSGVO müssen die Betroffenen über die Verarbeitung personenbezogener Daten informiert werden. Das nennt man landläufig „Datenschutzerklärung“ (oder „Datenschutzinformationen bzw. „Datenschutzhinweise“).

In der Praxis stelle ich fest, dass auf Webseiten oft eine Checkbox, also ein Haken zur Zustimmung oder Bestätigung der Kenntnisnahme der Datenschutzerklärung, verwendet wird.

Das hat wohl den Hintergrund, dass man damit später den Nachweis erbringen will die Informationen auch zur Verfügung gestellt zu haben.

Manchmal wird auch über dem Absende-Button von Daten ein Satz verwendet, wie

„Ich habe die Datenschutzerklärung gelesen und mit damit einverstanden“

oder so ähnlich.

Ist das aber schlau? Sollte man ein solches Vorgehen empfehlen? Oder gibt es vielleicht Gründe genau das nicht zu tun?

Wie muss die Informationspflicht erfüllt werden?

Bei der Frage, wie genau die Datenschutzinformationen zu erteilen sind, hilft ein Blick in die DSGVO. In Artikel 12 DSGVO steht:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln…“

Hier ist also von einer „Übermittlung“ die Rede. Aber wie?
Zwei Sätze später heißt es:

„Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.“

Bei „Übermittlung“ denkt man zuerst an eine aktive Übergabe der Informationen. Das ist bei einer „Offline“-Erhebung der Daten auch so erforderlich („schriftlich“) und bei einer Kommunikation per E-Mail oder eben auf andere elektronische Art kann die Information auf diesem Weg erfolgen („elektronisch“), also bspw. als PDF-Anhang o.ä.

In Artikel 13 DSGVO wird aber eine andere Formulierung verwendet. Genauer gesagt sogar zwei.

Artikel 13 Absatz 1 Satz 1 sagt:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:“

Und in Absatz 2 wiederum steht:

„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:“

„Mitteilen“ und „zur Verfügung stellen“ ist aber meiner Meinung nach nicht dasselbe, wie „übermitteln“. Denn ich kann auch passiv etwas „mitteilen“ oder „zur Verfügung stellen“, wohingegen ich nur aktiv etwas „übermitteln“ kann.

Die herrschende Meinung sieht es so, dass der Verantwortliche dem Betroffenen in leicht zugänglicher Art die Möglichkeit zur Kenntnisnahme der Informationen geben muss. Daher kommt dann auch auf Webseiten die Empfehlung unter einem sprechenden Link („Datenschutz“, „Datenschutzhinweise“, „Datenschutzerklärung“ o.ä.) die notwendigen Informationen vorzuhalten.

Solange also leicht erkennbar ist, wo die Informationen verfügbar sind („leicht zugänglich“), reicht das, um die Informationspflicht zu erfüllen.

Das wird unterstützt von Erwägungsgrund 60, der auch „nur“ von einem „zur Verfügung stellen“ spricht:

„1 Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. 2 Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“

Zwischenergebnis: Zustimmung unnötig 

Als Zwischenergebnis können wir also festhalten, dass es dem Verantwortlichen egal sein kann und darf, ob die Informationen gelesen wurden und vor allem auch, ob der Betroffene sie verstanden hat (denn das ist eine Frage, die das Gericht anhand der Transparenz-Grundsätze klären würde).

Es ist also nicht erforderlich beim Betroffenen die Kenntnisnahme oder gar das Verständnis der Informationen zu erfragen.

Warum ist die Zustimmung sogar gefährlich?

Es geht aber noch weiter. Nicht nur, dass die Einholung einer Zustimmung nicht erforderlich ist. Es ist sogar gefährlich eine Einwilligung zu verlangen.

Denn es gibt gute Gründe dann die Datenschutzerklärung insgesamt an den strengen Regeln des AGB-Rechts zu messen. Das wiederum kann dazu führen, dass bestimmte Informationen als unwirksame Klauseln unbeachtlich sind (Folge: Falsche oder unvollständige Information des Betroffenen) und, dass die Datenschutzerklärung sogar als unlautere geschäftliche Handlung nach dem Wettbewerbsrecht (UWG – Gesetz gegen den unlauteren Wettbewerb) abgemahnt werden können (Lassen wir die hoch umstrittene Frage, ob Verstöße gegen die DSGVO von Wettbewerbern abgemahnt werden können, hier mal kurz Außen vor).

Genau das hat zum Beispiel jetzt das Kammergericht Berlin entschieden (Urteil vom 27.12.2018, Aktenzeichen 23 U 196/13). Dort ging es um einen Webshop. Im Bestellprozess wurde per Checkbox eine Zustimmung des Kunden zu der „Datenschutzvereinbarung“ des Anbieters verlangt. 

Das Kammergericht urteilte, dass ein Großteil der Datenschutzbestimmungen gegen das AGB-Recht verstoßen, weil sie mit wesentlichen Grundgedanken der DSGVO nicht zu vereinbaren seien.

Für die Unterscheidung, ob es sich um allgemein verbindliche Vertragsbedingungen handelt oder, um unverbindliche Bitten, Empfehlungen und Hinweise sei auf das Verständnis des „rechtlich nicht vorgebildeten Durchschnittskunden“ abzustellen. Diesem erschienen die AGB des Anbieters und die getrennt davon zu akzeptierende „Datenschutzvereinbarung“ aufgrund der Formulierungen des Anbieters und der Zustimmungspflicht als „Vertragsbedingungen“, die er akzeptieren müsse, wenn er bestellen will.

Also hat das Gericht den ganzen Text einer AGB-Kontrolle unterzogen.

Mein Fazit und Empfehlung

Die Informationen über die Datenverarbeitung nach den Artikeln 12 ff. DSGVO müssen bei Datenerhebung erteilt werden. ABER: Es gibt keine rechtliche Verpflichtung eine Zustimmung vom Betroffenen darin einzuholen. Es gibt auch keinerlei Grund warum man den Betroffenen bestätigen lassen müsste, dass er die Hinweise verstanden hat.

Es reicht also und ist damit auch meine ausdrückliche Empfehlung bei der Datenerhebung deutlich und unmissverständlich auf die Datenschutzinformationen (Datenschutzerklärung, Datenschutzhinweise oder, wie auch immer man den Text nenne möchte) hinzuweisen. Ob der Betroffene den Text liest kann dem Verantwortlichen egal sein.

Anders wäre es natürlich, wenn der Betroffene eine Einwilligung nach Artikel 6 Absatz 1 Buchstabe a) DSGVO erteilen muss. Aber diese muss ja ohnehin getrennt von den Informationen eingeholt werden.

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man

Urheberangabe für das Foto für diesen Beitrag: