Zustimmung zu Datenschutzhinweisen verlangen? – Keine gute Idee!

//

Liebe Leser und Datenschutz-Interessierte,

wir möchten Sie heute über eine aktuelle Stellungnahme des Europäischen Datenschutzausschusses (EDSA) informieren. Diese ist abrufbar unter: edpb_bindingdecision_202205_ie_sa_whatsapp_en.pdf (europa.eu).

Warum es hiernach datenschutzrechtlich nicht empfehlenswert ist, sich eine Einwilligung bzw. Zustimmung zu den eigenen Datenschutzhinweisen oder zur Datenschutzerklärung geben zu lassen, stellen wir Ihnen nachfolgend kurz dar.

Kann man Datenschutzhinweisen oder Datenschutzrichtlinien „zustimmen“?

Wer hat nicht schon mal – etwa im Rahmen der Anmeldung zu einem Newsletter oder bei einer Online-Bestellung – folgenden Satz gelesen:

„Mit dem Absenden des Formulars (o.Ä.) stimme Ich der Datenschutzerklärung oder den Datenschutzrichtlinien des Anbieters/Unternehmen xyz zu.“

Rechtlicher Hintergrund: Eine Datenschutzerklärung hat datenschutzrechtlich lediglich eine Informationsfunktion. Der Verantwortliche ist gemäß Art. 13 und 14 DSGVO verpflichtet, der betroffenen Person zum Zeitpunkt der Erhebung bestimmte Informationen über die Datenverarbeitung mitzuteilen. Davon getrennt ist die Rechtsgrundlage, also die Erlaubnis für eine bestimmte Datenverarbeitung, zu betrachten.

Als Rechtsgrundlage kommt bspw. die Einwilligung des Betroffenen in Betracht. Sich nun folglich eine Zustimmung zu einer Datenschutzerklärung einzuholen, die eigentlich nur der Erfüllung der Informationspflicht (Art.13/14 DSGVO) dient, ist für den Betroffenen intransparent und verwirrend und verstößt deshalb nach Ansicht des EDSA gegen den Grundsatz von Treu und Glauben gemäß Art. 5 Abs. 1 a) DSGVO. Ein Verstoß gegen den Grundsatz ist grds. bußgeldbewehrt und kann entsprechend geahndet werden.

Datenschutzkonforme Formulierung bei Kontaktformularen

Bei der „Kommunikation“ mit den Betroffenen ist folglich auf eine transparente und klare Ausgestaltung der Einbindung von Datenschutzhinweisen besonderen Wert zu legen. Dem Betroffenen darf nicht der Eindruck vermittelt werden, dass er über bestimmte Datenverarbeitungen frei disponieren könne, obwohl dies ausweislich nicht der Fall ist. Korrekt wäre es folglich bei entsprechenden Sachverhaltskonstellationen lediglich auf vorhandene Datenschutzinformationen / Datenschutzerklärungen informativ zu verweisen und auf diese zu verlinken, ohne hieran anknüpfende weitere Entscheidungen des Betroffenen zu verlangen.

Bei Fragen zu diesem Thema, auch zur konkreten Ausgestaltung und/oder Formulierung, können Sie sich jederzeit an uns wenden.

Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy

Wir beraten Sie gern

Sie haben Fragen zu unseren Leistungen oder benötigen eine persönliche und vertrauensvolle Beratung?
Nehmen Sie gerne mit uns Kontakt auf.

GDPC - Kevin Marschall und Stephan Blazy

Datenschutz ist einfacher mit den richtigen Weggefährten – kommen Sie gerne auf uns zu.

GDPC - externer Datenschutzbeauftragter

GDPC GbR
Dr. Kevin Marschall / Stephan Blazy
Ludwig-Erhard-Str. 12
34131 Kassel