Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Zugriffe: 33

DSGVO-Gazette #44: Der Haken mit dem Haken (beim Webformular)

Liebe Leserinnen und Leser,

es gibt eine Eigenart bei Webagenturen, die stirbt einfach nicht aus. Die Rede ist von dem Haken bei Webformularen, bei Registrierungen, beim Abschluss eines Online-Kaufvertrages oder bei Newsletteranmeldungen. An vielen Stellen müssen Webseitenbesucher:

  • den Datenschutzhinweisen zustimmen,
  • die Datenschutzerklärung akzeptieren,
  • den Datenschutzinformationen einwilligen,
  • die Datenschutzbestimmungen bestätigen, wie am folgenden Beispiel klar wird.

Beispielhaken.png

Alle genannten Beispiele führen nicht zu einem Mehr an Rechtssicherheit - wie von dem Internetdiensteanbieter beabsichtigt. Vielmehr werden dadurch zwei voneinander zu trennende Datenschutzaspekte miteinander vermischt. Das eine ist die Information nach Art. 13 DSGVO in Bezug auf die Verarbeitung personenbezogener Daten und das andere ist eine Einwilligung gemäß Art. 7 DSGVO.

Da die meisten Datenschutzhinweise, Datenschutzerklärungen, Datenschutzinformationen oder Datenschutzbestimmungen in den oben genannten Beispiele mit einer URL hinterlegt sind, könnte der geneigte Webseitenbesucher darauf kommen, dass die Information durch eine Bereitstellung der URL erteilt wurde. Nur müsste es sich mittlerweile rumgesprochen haben, dass der österreichische Oberste Gerichtshof (Urteil vom 23.11.2022 – 7 Ob 112/22d) entschieden hat, dass Datenschutzhinweise selbst dann der Klauselkontrolle nach dem AGB-Recht unterliegen, wenn Betroffene diesen zwar nicht ausdrücklich „zustimmen“ müssen, jedoch im (Versicherungs-)Antrag bestätigen müssen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben.

Somit ist eine Formulierung wie "Zustimmung" oder "Einwilligung" nicht notwendig, um die Klauselkontrolle nach dem AGB-Recht zu unterliegen. Und dies ist defintiv zu vermeiden, denn die AGB-Klauselkontrolle für Datenschutzhinweise bedeutet, dass sie nicht nur den Vorschriften der DSGVO (bzw. des Datenschutzgesetzes) entsprechen müssen, sondern zusätzlich nach AGB-Recht auf Transparenz (klar und verständlich formuliert) und Fairness (keine unangemessene Benachteiligung) überprüft werden. Bei Verstößen droht die Unwirksamkeit oder Einschränkung dieser Klauseln.

Also eigentlich schon Grund genug, um keine Checkbox einzubauen, um die Datenschutzerklärung zu bestätigen. Doch: Der EDSA hat in seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 verdeutlicht, dass ein Zwang zur Zustimmung zu Datenschutzhinweisen gegen den Grundsatz der Verarbeitung nach Treu und Glauben („Fairness“) nach Art. 5 Abs. 1 a) DSGVO verstoßen kann. Im konkreten Fall wurde Nutzern durch die Formulierung und Einholung einer „Zustimmung“ suggeriert, sie würden durch das bloße „Akzeptieren“ der Datenschutzhinweise zugleich eine Einwilligung in sämtliche Datenverarbeitungen erteilen – obwohl tatsächlich (auch) andere Rechtsgrundlagen zur Anwendung kamen. Diese unklare Darstellung der Rechtsgrundlage bewertete der EDSA als Verstoß gegen den Fairness-Grundsatz.

Mein Tipp: Sorgen Sie dafür, dass die Hinweise zur Datenverarbeitung und eine mögliche Einwilligung immer klar voneinander getrennt sind. Nutzer sollen eindeutig erkennen können, wo sie die Datenschutzhinweise entnehmen können und wann sie in eine Verarbeitung einwilligen. Dies vermeidet Missverständnisse, fördert die Transparenz und entspricht dem Fairness-Grundsatz der DSGVO.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Scott Graham auf Unsplash. Vielen Dank!

Tags: , , , , , , , , , ,

Navigation