Zustimmungen zu Datenschutzhinweisen sind treuewidrig

Warum es keine gute Idee ist, allgemeine Datenschutzhinweise mittels Opt-in bestätigen zu lassen!

Wer personenbezogene Daten verarbeitet, muss transparent über die Datenverarbeitung informieren. Online geschieht die Erfüllung dieser bloßen Informationspflicht in der Regel über verlinkte Datenschutzhinweise. Viele Unternehmen wollen jedoch „auf Nummer sicher gehen“ und fordern von Betroffenen eine pauschale Zustimmung in die Datenverarbeitung (bspw. über sog. Opt-in-Lösungen mit Texten wie „Ich stimme der Datenverarbeitung zu“ oder „Ich akzeptiere die Datenschutzbestimmungen“). Andere lassen sich zumindest bestätigen, dass der Betroffene den Datenschutzhinweis zur Kenntnis genommen hat. Dies ist in mehreren Hinsichten ein Fehler, der für Unternehmen unangenehme Folgen haben kann.

So besteht zum einen das Risiko, dass aus der bloßen Information über die Datenverarbeitung (dem Datenschutzhinweis) Klauseln werden, die der AGB-Kontrolle unterliegen. Der Oberste Gerichtshof Österreich ging mit Urteil v. 23.11.2022, Az. 7 Ob 112/22d noch weiter. Er entschied, dass allein die abgeforderte Bestätigung, den Datenschutzhinweis zur Kenntnis genommen zu haben, genüge, um die Klauselkontrolle nach AGB-Recht auszulösen. Er setzte insoweit die Zustimmung des Betroffenen in die Datenverarbeitung der Bestätigung der Kenntnisnahme gleich, da die Bestätigung der Kenntnisnahme auch die Zustimmung implizieren könne.

Zum anderen hat der Europäische Datenschutzausschluss (EDSA) im Rahmen seiner bindenden Entscheidung 5/2022 vom 05.12.2022 ausgeführt, dass das Abfordern der Zustimmung zu allgemeinen Datenschutzhinweisen gegen den Grundsatz von Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO (Grundsatz der Fairness) verstößt.

Oben beschriebene Zustimmungen zu Datenschutzhinweisen sind also nicht nur überflüssig, weil sie keine informierte Einwilligung im Sinne der DSGVO darstellen, sie sind auch schädlich und sollten tunlichst vermieden werden.

Stattdessen sollte der Datenschutzhinweis über einen separaten Menüpunkt im Internetauftritt von jeder Internetseite aus abrufbar vorgehalten werden. Wer bspw. an Formularen trotzdem noch einmal auf die Datenverarbeitung hinweisen möchte, sollte es bei einem bloßen Hinweis (bspw. "Informationen zur Datenverarbeitung finden Sie in unserem [Datenschutzhinweis]" belassen. 

Abzugrenzen ist die Erfüllung der Informationspflicht aus Art. 13 u. 14 DSGVO von der Notwendigkeit der Einholung einer Einwilligung in die Datenverarbeitung. Eine Einwilligung ist nur unter bestimmten Voraussetzungen notwendig (bspw. bei der Verarbeitung von Gesundheitsdaten). Die Einwilligung muss dann allerdings informiert, transparent und leicht verständlich in Bezug auf eine konkrete Datenverarbeitung erfolgen. Eine Einwilligung in die Datenverarbeitung im Allgemeinen ist nicht rechtsmäßig.