Nicht nur dort, aber meistens auf Webseiten, und dort meistens bei Onlineshops, sehe ich häufig, dass Datenschutzhinweise akzeptiert werden müssen. Da lacht mich dann eine Checkbox an, die aktiviert werden muss; ohne geht es nicht weiter.

Dieses Vorgehen ist überflüssig und das ist auch schon der beste Fall. Im schlimmsten Fall riskierst du damit eine Abmahnung. Warum das so ist, erkläre ich dir in diesem Beitrag.

Information ist Pflicht

Wenn du personenbezogene Daten verarbeitest, musst du diese Personen über die Verarbeitung informieren. Deshalb benötigt jede Webseite Datenschutzhinweise. Das Ganze ergibt sich aus Art. 12, 13, 14 DSGVO. Danach musst du als Verantwortliche(r) (für die Datenverarbeitung auf der Webseite) die betroffene Person (die Besucherin deiner Webseite) über die Verarbeitung der personenbezogenen Daten auf der Webseite informieren. Worüber du informieren musst, steht in Art. 13 und 14 DSGVO.

Gesetz verlangt Information, nicht mehr

Bei genauem Lesen wirst du feststellen, dass in allen entsprechenden Normen immer nur von einer „Information“ die Rede ist. Es ist also völlig ausreichend, wenn du die betroffene Person informierst. Das Informieren ist ein einseitiger Vorgang, bei dem du bestimmte Informationen einfach zur Verfügung stellst. Die betroffene Person kann diese zur Kenntnis nehmen oder es lassen. Und schon gar nicht müssen diese Informationen formal akzeptiert werden. Der Schritt, bei dem die betroffene Person deine Datenschutzhinweise akzeptieren soll, ist also völlig unnötig. Es gibt dir auch nicht mehr Sicherheit, wenn du das Prozedere trotzdem beibehältst. Es bringt in diesem Zusammenhang auch nichts, wenn die betroffene Person die Kenntnisnahme bestätigen muss. Auch dieser Schritt ist unnötig. Es reicht absolut aus, wenn du deine Hinweise zur Kenntnisnahme zur Verfügung stellst.

Wenn deine Datenschutzhinweise zu AGB mutieren

Davon abgesehen, dass das Akzeptieren unnötig ist, kann es auch gefährlich sein. Warum? Wenn die betroffene Person deine Hinweise „akzeptiert“ verlässt du unter Umständen Bereich der reinen Information und begibst dich in die dunkle Welt der AGB. Durch das Akzeptieren geht ihr also du und die betroffene Person ggf. eine vertragliche Bindung. Deine „Informationen“ werden so ggf. zu Regelungen und weil du diese Regelung für eine unbestimmte Anzahl von Fällen nutzt, sind es im Zweifel AGB. Damit unterliegen diese Regelungen ggf. der strengen AGB-Kontrolle. Sollte dann etwas in den AGB rechtlich nicht passen, droht eine Abmahnung. Mir sind zwar bis dato keine Fälle bekannt, in denen wirklich mal abgemahnt wurde. Aber sind wir ehrlich: Datenschutz ist kompiliert genug. Warum solltest du dir dann noch mehr Baustellen aufhalsen, als es so schon gibt?

Einwilligung

Unabhängig von der Problematik mit den AGB könnte man in dem Akzeptieren auch eine Einwilligung im Sinne des Datenschutzes sehen. Das führt dann wieder zu der Problematik, dass auch hier strenge Anforderung bestehen, die vermutlich mit einer einfachen Checkbox nicht erfüllt werden. Also noch eine Baustelle, die du nicht benötigst.

Datenschutzerklärung

Aus diesem Grund solltest du deine Datenschutzhinweise auch nicht Datenschutzerklärung nennen oder gar Datenschutzrichtlinie. Die beiden Begriffe lassen ebenfalls eine gewisse Verbindlichkeit vermuten. Zur Datenschutzrichtlinie hatte sogar schon das Kammergericht entschieden (KG, Urteil vom 27.12.2018 – 23 U 196/13). Dort kamen zwar noch andere Punkte hinzu. Das Gericht sagt aber auch: „Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten.“ Also nenne das Kind beim Namen. Datenschutzhinweise reicht aus.

Fazit

Mach es dir nicht unnötig schwer und mache, was gefordert ist: Informiere über die Datenverarbeitung, nicht mehr, nicht weniger. Den Schnickschnack mit der Checkbox lässt du am besten weg. Das gilt, nur falls das nicht klar wurde, nicht nur für Webseiten und Shops, sondern für alle Fälle, in denen jemand die Zustimmung zur Datenschutzerklärung fordert.