Datenschutzerklärung als Fallstrick – Wie macht man es richtig?

Aufgepasst beim Zustimmungsmechanismus zur Datenschutzerklärung

Urteil zur Datenschutzrichtlinie

Kürzlich durfte sich das Kammergericht Berlin mit der Datenschutzrichtlinie von Apple beschäftigen und hat im Ergebnis mehrere Klauseln für unzulässig erklärt. Es erachtete die Datenschutzrichtlinie für teilweise rechtswidrig(Urteil). Das Urteil ist noch nicht rechtskräftig.

Es ging hierbei um die Datenschutzrichtlinie, welche im Apple Store bis 2012 verwendet wurde. Es handelt sich somit um die Art von Datenschutzrichtlinie, welche man häufig auf Online Shops aber auch anderen Webseiten antrifft. Teilweise werden diese Richtlinien auch Datenschutzerklärung, Datenschutzbestimmungen oder auch Privacy Policy genannt. Die Bezeichnung spielt nur eine untergeordnete Rolle, da diese im Endeffekt alle dem gleichen Zweck dienen, nämlich den Besucher, Nutzer oder Kunden über den Datenschutz aufzuklären.

Das Urteil ist daher nicht nur für Apple interessant, da sich einige allgemeine Lehren aus dem Urteil ziehen lassen, welche alle Webseitenbetreiber betreffen können. Gerade in Anbetracht drohender Abmahnungen (Beispiel aus Deutschlandoder Österreich) oder Klagen aufgrund einer Datenschutzverletzung sollte der Datenschutzrichtlinie besondere Beachtung geschenkt werden.

Die Bestätigung der Datenschutzrichtlinie als ungenügende Einwilligungserklärung

Die Datenschutzrichtlinie enthielt zwar abschwächende Formulierungen wie «können» anstelle von «dürfen», das Gericht fand jedoch, dass der Durchschnittskunde dies trotzdem als verbindliche Regelungen auffassen würde und somit wurden diese auch den AGB zugerechnet. Gemäss Kammergericht wurde «die Möglichkeit, dass der Kunde die Praktiken der Beklagten auch ablehnen könnte», vollständig ausgeblendet. Es wurde somit der Eindruck vermittelt, Apple sei auch ohne Einwilligung zur Datenverarbeitung berechtigt. Die Notwendigkeit eine Einwilligung einzuholen wurde dadurch verletzt.

Es muss daher auf eine entsprechende Abgrenzung zu den AGB geachtet werden. Auf eine Verknüpfung oder eine gemeinsame Zustimmung sollte daher verzichtet werden. Die AGB und Datenschutzrichtlinie dürfen für einen Durchschnittskunden keine Einheit darstellen, welche dieser insgesamt akzeptieren muss, wenn er die Leistung in Anspruch nehmen möchte. Die Datenschutzrichtlinie darf nicht den Eindruck vermitteln, dass ein Verantwortlicher lediglich durch Mitteilung der Datenschutzrichtlinie berichtigt ist, ohne einer allfälligen Einwilligung, Daten zu verarbeiten. Ausserdem führt es dazu, dass die AGB-Inhaltskontrolle greift.

Zwei Negativbeispiele – Keine Trennung

AGB und Datenschutzhinweise in einem


Datenschutzbestimmungen und AGB getrenntNeben einer Trennung, ist heute bereits allgemein akzeptiert, dass die Kenntnisnahme durch eine Aktion der betroffenen Person zu erfolgen hat. Ein vorgängig angekreuztes Kästchen ist nicht zulässig. Dasselbe gilt für die Einwilligung zu einer Datenbearbeitung.

Ein Negativbeispiel – Vorauswahl

 

Negativbeispiel - AGB und Datenschutzhinweise mit bereits markiertem FeldFolgt man dem Urteil, sollte somit kein Einverständnisfeld («ich stimme zu» oder «ich akzeptiere») mehr verwendet werden, da dies als unwirksame Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) interpretiert werden könnte. Es sollte vielmehr eine Kenntnisnahme erfolgen.

Beispiel einer Umsetzungsmöglichkeit mit KlickAGB, Datenschutz und Newsletter getrennt

Alternativ könnte bei der Registrierung auch nur auf die Datenschutzrichtlinie hingewiesen werden. Ein Nachweis der Kenntnisnahme wird dann aber eher schwierig. Bei Webseiten, welche keine Registrierung erfordern kann natürlich ebenfalls weiterhin auf eine Klicklösung verzichtet werden. Die Datenschutzrichtlinie darf jedoch nicht mit dem Cookie Hinweisen verwechselt werden. Ausserdem muss die Datenschutzrichtlinie auf der Webseite gut auffindbar sein.

Der Rechtfertigungsgrund

Unbestritten war, dass eine Datenverarbeitung gestützt auf Art. 6 Abs 1 lit. b DSGVO im Rahmen der Vertragserfüllung zulässig ist und dafür auch keine Einwilligung bei der betroffenen Person eingeholt werden muss. Es muss lediglich über die Datenverarbeitung sowie die Rechte aufgeklärt werden. Bei der Abstützung auf die Vertragserfüllung ist immer sorgfältig zu prüfen, welche Datenverarbeitungen für die Vertragserfüllung effektiv notwendig sind. Zusatzdienste zu bewerben ist aus Kundensicht nicht notwendig und kann daher auch nicht mit einer Vertragserfüllung gerechtfertigt werden.

Das Gericht hielt ausserdem fest, dass eine Datenverarbeitung zu internen Zwecken, zur Produkteverbesserung oder zu Werbezwecken nicht zur Vertragserfüllung notwendig sind. Dieser Schlussfolgerung kann noch gefolgt werden. Im Anschluss stellte das Gericht in vorliegendem Fall jedoch ausschliesslich auf die Einwilligung ab und hielt weitere Rechtfertigungsgründe, wie ein berechtigtes Interesse, für nicht anwendbar, was im Ergebnis nicht sachgerecht erscheint.

Als Webseitenbetreiber muss man hier eine sorgfältige Abschätzung vornehmen und in der Datenschutzrichtlinie aufführen, welcher Zweck unter welchen Rechtfertigungsgründen verarbeitet wird. Es gibt durchaus einige Aufsichtsbehörden, welche eine «berechtigtes Interesse» nach Art. 6 Abs. 1 lit. f DSGVO als Rechtfertigungsgrund für Produkteverbesserung oder selbst für Marketingzwecke als zulässig betrachten. Es muss aber korrekt darüber informiert werden. Das Transparenzgebot spielt hier eine wesentliche Rolle.

Es müssen daher die verschiedenen Rechtsgrundlagen für die einzelnen Verarbeitungszwecke aufgeführt werden. Dies ist vielleicht nicht besonders leserfreundlich aber leider notwendig.

Kann sich ein Verantwortlicher auf keinen anderen Rechtfertigungsgrund als die Einwilligung stützen, so muss er eine Einwilligung einholen und es ist der betroffenen Person ein effektives Wahlrecht einzuräumen. Aufgrund des Koppelungsverbots darf bei einer Ablehnung der Einwilligung die Leistung nicht verweigert werden. Als Verantwortlicher muss man dies bei der Erstellung der Webseite entsprechend berücksichtigen. Bspw. darf eine Einwilligungsverweigerung zur Weitergabe von Standortdaten nicht plötzlich zur Blockierung des Webdienstes führen, selbst wenn damit Werbeeinahmen eingebüsst werden.

Wie feinkörnig eine Einwilligung ausgestaltet ist, ist eine Frage, die ein Verantwortlicher von Fall zu Fall zu beurteilen hat. Bei einer einfachen Einwilligung besteht das Risiko, dass eine betroffene Person alle zusätzlichen Verarbeitungen ablehnen muss, obwohl sie vielleicht einige akzeptieren würde. Bei einer feinkörnigen Einwilligung besteht das Risiko, dass ein Nutzer sich überfordert fühlt und bei einem Registrierungsprozess vorzeitig abspringt, weil er nicht so viele Einstellungen bzw. Klicks vornehmen möchte.

 

Yves Gogniat ist Experte für Informations- und Technologierecht mit den Schwerpunkten Datenschutz und IT-, Vertrags- und Gesellschaftsrecht. Er verfügt über ein breites Wissen in den Bereichen Blockchain-Technologie, Krypto-Währungen und hat seine Erfahrungen in verschiedenen Kanzleien sowie in der öffentlichen Verwaltung gesammelt.

Die Kommentarfunktion ist geschlossen.