Datenschutzerklärungen ohne vertragliche Bindung – rechtliche Fallstricke für Webseitenbetreiber
In der heutigen digitalen Welt sind Datenschutzerklärungen auf Websites allgegenwärtig. Doch was passiert, wenn diese Erklärungen den Anschein erwecken, von nutzenden Personen bestätigt werden zu müssen (z.B. durch Verwendung einer Checkbox)? Dieser scheinbare Zusatz kann nicht nur zu rechtlichen Problemen führen, sondern auch die Einwilligung in die Datenverarbeitung in Frage stellen.
Keine vertragliche Bindung, sondern Informationspflicht
Datenschutzerklärungen dienen in erster Linie dazu, die Informationspflicht des Websitebetreibers und der für die Datenerhebung Verantwortlichen zu erfüllen. Sie haben jedoch keine vertragliche Bindung und sollen lediglich den Nutzerinnen und Nutzern Informationen über den Umgang mit ihren Daten bereitstellen. Die Zustimmung oder das Akzeptieren dieser Erklärungen hat keinen Einfluss auf die Erfüllung dieser Informationspflicht und beeinträchtigt nicht die Rechtmäßigkeit der Datenverarbeitung.
Die Gefahr der irrtümlichen Zustimmung
Wird der Eindruck erweckt, dass Personen bestimmten Inhalten in der Datenschutzerklärung zustimmen müssen, z.B. indem sie ein Kontrollkästchen aktivieren, ergeben sich zwei Hauptprobleme:
- Zum einen kann diese Zustimmung fälschlicherweise als datenschutzrechtliche Einwilligung interpretiert werden, insbesondere wenn sie durch eine Opt-in-Methode (z.B. Anklicken einer Checkbox) eingeholt wird. Dies kann zu einem Verstoß gegen Datenschutzgesetze führen.
- Zum anderen kann angenommen werden, dass die Inhalte der Datenschutzerklärung verhandelbar sind und als Vertragsbedingungen oder sogar als Allgemeine Geschäftsbedingungen (AGB) gelten. Dies kann zu rechtlichen Haftungsproblemen führen, die eigentlich vermieden werden sollten.
Datenschutzbehörden und Datenschutzrecht
Die Datenschutzkonferenz (DSK) und der Europäische Datenschutzausschuss (EDSA) haben zu diesem Thema klare Standpunkte. Die DSK betont, dass die Informationspflicht nach der Datenschutz-Grundverordnung (DSGVO) lediglich die Bereitstellung von Informationen ermöglichen soll, ohne, dass eine Zustimmung erzwungen wird. Die Verwendung eines Pflichtfelds zur Zustimmung widerspricht dieser Vorgabe.
Der EDSA hebt den Fairness-Grundsatz in der DSGVO hervor, der eine klare und informierte Einwilligung erfordert. Wenn Nutzerinnen und Nutzer nicht ausreichend über die Konsequenzen ihrer Zustimmung informiert werden, kann dies zu Unsicherheiten führen.
Fazit und Empfehlungen
Die Risiken im Zusammenhang mit Datenschutzerklärungen lassen sich leicht vermeiden. Websitebetreiber sollten darauf achten, nicht den Eindruck zu erwecken, dass die Zustimmung zwingend erforderlich ist. Das Hinzufügen von Kontrollkästchen zur Einholung einer Zustimmung sollte vermieden werden, wenn sie nicht notwendig sind. Eine einfache Erwähnung der Datenschutzerklärung mit einem Link genügt oft. Durch diese Maßnahmen können rechtliche Probleme und mögliche Haftungsfragen vermieden werden.
Daher empfehlen wir die Zustimmung zur Datenschutzerklärung nicht durch Kontrollkästchen zu erzwingen, es sei denn, es ist gesetzlich erforderlich. Stattdessen sollten den nutzenden Personen klare Informationen zur Verfügung stehen und auf die Datenschutzerklärung verweisen, um einen transparenten Umgang mit persönlichen Daten sicherzustellen.
Praktische Informationen dazu sowie zu weiteren Themen erhalten Sie in unserem Workshop Datenschutzrecht im digitalen Marketing.