Das Wort „DSGVO“ ist heißer Kandidat für das Unwort des Jahres. Kein Gespräch und keine Diskussion im Online-Bereich, das nicht vom Thema Datenschutzgrundverordnung beherrscht wird.
Leider mischen sich in diese Diskussion in der letzten Zeit zunehmend falsche Aussagen und Halbwahrheiten, die bewusst bzw. unbewusst von Marktteilnehmern gestreut werden. Der Artikel will einen Beitrag leisten, mit dieser falschen Legendenbildung aufzuräumen.
Das ist falsch.
Auch nach dem 25. Mai 2018 benötigt ein Webseiten-Betreiber grundsätzlich keine Checkbox, mit der ein User der Datenschutzerklärung zustimmen muss. Denn in der Datenschutzerklärung wird der Kunde „nur“ über die Art und Weise der Datenverarbeitung informiert. Mehr nicht, aber auch nicht weniger.
Etwas anderes gilt ausnahmsweise nur dann, wenn der Betreiber in der Datenschutzerklärung nicht nur reine Informationen platziert, sondern andere Dinge mit abfrühstückt, z. B. eine weitreichende Einwilligung in eine Datenauswertung. In solchen speziellen Ausnahmefällen kann es sein, dass eine ausdrückliche Zustimmung und somit eine Checkbox notwendig sind. Dies ist aber, wie gesagt, nicht der Regelfall.
Das ist falsch.
An der bisherigen Rechtslage hat sich hier durch die DSGVO nichts geändert. Schon bislang durften bei herkömmlichen Newsletter-Anmeldungen neben der reinen E-Mail-Adresse alle weiteren Felder grundsätzlich nur optional sein. Das heißt, solche Felder wie „Name“ oder „Titel“ waren stets freiwillig und nicht als Pflichtfelder auszugestalten.
Bitte beachten Sie aber auch die Legende 3 dazu!
Das ist falsch.
Bereits nach bisherigem Recht war eine datenschutzrechtliche Kopplung erlaubt, es sei denn, der Anbieter war ein Monopolist und es gab keinen anderen Zugang zu dem angebotenen Dienst. Das Verbot griff somit nicht bereits dann, wenn kein anderer Anbieter am Markt identische Waren und Dienstleistungen anbot. Vielmehr bestimmte die Norm ausdrücklich, dass auch „gleichwertige Leistungen" ausreichen, um ein Koppelungsverbot zu vermeiden.
An dieser Rechtslage ändert sich auch mit der Einführung der DSGVO nichts Grundlegendes. Beurteilungsmaßstab wird ab dem 25. Mai 2018 dann Art. 7 Abs. 4 EU-DSGVO sein. Dieser lautet:
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Rechtsprechung zu dieser Norm gibt es bislang verständlicherweise noch nicht, sodass nur auf die bislang veröffentlichten Stellungnahmen zurückgegriffen werden kann.
Erfreulicherweise gibt es jedoch eine offizielle Stellungnahme des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) dazu. Dort heißt es:
„Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DS-GVO wieder. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in größtmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist.
Daraus dürfte folgen, dass bei ‚kostenlosen‘ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten ‚bezahlen‘ (z. B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als ‚Gegenfinanzierung‘), diese vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar dargestellt werden muss. Raum oder Notwendigkeit für eine Einwilligung besteht dann nicht mehr.
Somit stuft das BayLDA kostenlos veranstaltete Gewinnspiele, bei denen der Nutzer die Teilnahme mit seiner Einwilligung „bezahlt“, als rechtlich zulässig ein, wenn in ausreichender Form darauf hingewiesen wird.
Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) folgt dieser Ansicht und hat eine entsprechende offizielle Stellungnahme herausgegeben. Dort heißt es:
„Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DS-GVO wieder, ist aber nicht mehr davon abhängig, ob ein anderer Zugang zu gleichwertigen vertraglichen Leistungen möglich ist. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in größtmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrages nicht erforderlich ist (Art. 7 Abs. 4 DS-GVO).
Bei ‚kostenlosen‘ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten ‚bezahlen‘ (z. B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als ‚Gegenfinanzierung‘), muss diese vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar und verständlich dargestellt werden. Nur dann besteht keine Notwendigkeit mehr für eine Einwilligung.“
Auch die bislang publizierte rechtswissenschaftliche Literatur vertritt diesen Standpunkt und bewertet derartige kostenlose Gewinnspiele grundsätzlich nicht als Verstoß gegen das Koppelungsverbot. Dabei sind Gewinnspiele nur ein Beispiel.
Bedeutet: Solange die angebotene Dienstleistung kostenlos ist, ist es durchaus möglich, dass der Anbieter zwangsweise weitere Daten vom User verlangt, die eigentlich nicht notwendig sind. In diesen Fällen greift das datenschutzrechtliche Koppelungsverbot nicht.
Auch dies ist komplett falsch.
Nach der DSGVO gibt es drei mögliche Gründe, wie ein Unternehmen personenbezogene Daten verarbeiten kann:
Alle drei Möglichkeiten sind gleichberechtigt. Es bedarf daher keineswegs immer einer Einwilligung. Genauso ausreichend ist das Vorliegen eines Vertrags (z. B. Einkauf im Online-Shop).
Nein. Auch dies ist falsch.
Auch hier gilt – wie bei jedem staatlichen Handeln – das Prinzip der Verhältnismäßigkeit. Das heißt, leichte Verstöße sind leicht zu ahnden, schwere Verstöße schwer.
Die DSGVO legt in Art. 83 DSGVO selbst Kriterien für die Bestimmung der Bußgeldhöhe fest. So sind maßgeblich:
Bereits hier zeigt sich, dass es kein Schema F gibt, sondern, dass bei Beurteilung die konkreten Umstände des Einzelfalls gelten.
Auch das stimmt nicht.
Will ein Webseiten-Betreiber Tools aus Ländern außerhalb der Europäischen Union einsetzen (sog. Drittländer), ist dies nicht automatisch verboten. Vielmehr ist die Nutzung durchaus möglich. Das Unternehmen muss nur dafür sorgen, dass ein ausreichendes Datenschutz-Niveau in dem Drittland herrscht.
Für Anwendungen aus den USA ist dies beispielsweise der Fall, wenn diese Unternehmen Mitglied im sogenannten EU-US-Privacy-Shield sind. Ob eine Firma mitmacht, lässt sich über die entsprechenden Webseiten recherchieren, z. B. über www.privacyshield.gov.