DSGVO: Datenschutzerklärung wo einbinden?

Wo muss eigentlich die Datenschutzerklärung zur Verfügung gestellt werden? Und wie? Was ist mit Gewinnspielflyern und Postkarten mit QR-Codes zur Newsletteranmeldung? Und brauchen Händler*innen im Shop eine Checkbox an der Datenschutzerklärung? Diese Fragen klären wir in unserem Tipp der Woche.

Information im Shop

Wie müssen die Informationen zur Verfügung gestellt werden und wann?

Der Verantwortliche, also hier Online-Händler*innen, muss geeignete Maßnahmen treffen, um der betroffenen Person, also Nutzerinnen und Nutzer des Shops, die Informationen zur Verarbeitung seiner, bzw. ihrer Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Dies muss bereits zum Zeitpunkt der Erhebung dieser Daten geschehen.

Die Informationen müssen leicht auffindbar sein und dürfen nicht im Angebot versteckt werden. Zudem müssen die Informationen aussagekräftig benannt werden. In Online-Shops muss deshalb die Datenschutzerklärung immer dann zur Verfügung gestellt werden, wenn personenbezogene Daten erhoben werden. Der EuGH hat entschieden, dass IP-Adressen (auch dynamische) personenbezogene Daten sind. Deshalb brauchen Online-Händler*innen eine Datenschutzerklärung, die auf jeder Seite des Shops an einer leicht auffindbaren Stelle zu finden ist. Es bietet sich daher die übliche Gestaltung an, die Datenschutzerklärung mit einer eindeutigen Bezeichnung im Footer zu verlinken, zum Beispiel mit der Bezeichnung „Datenschutz“ oder „Datenschutzerklärung“. Dieser Link muss auf jeder Seite des Shops vorgehalten werden, denn bei einem Fehlen des Links wäre die leichte Auffindbarkeit der Informationen nicht mehr gegeben.

Muss die Datenschutzerklärung mit einer Checkbox bestätigt werden?

Kurz: Nein. Häufig finden sich in Online-Shops Checkboxen mit Bezeichnungen à la

[ ] „Hiermit bestätige ich die Datenschutzbestimmungen“.

Die Datenschutzerklärung dient jedoch der Information über die Datenverarbeitungen durch den Verantwortlichen (den Shop) und nicht der Einholung von Einwilligungen. Eine generelle Einwilligung in sämtliche Datenverarbeitungen wäre auch nicht möglich, da Einwilligungen informiert erfolgen müssen, also bei der Checkbox konkret benannt werden müsste, worin der Nutzer, bzw. die Nutzerin einwilligt. Zudem können nicht mehrere Einwilligungen mit einer Checkbox eingeholt werden, da datenschutzrechtliche Einwilligungen nach DSGVO nicht gekoppelt werden dürfen. Wenn Sie also eine Einwilligung benötigen, z.B. in den Newsletterversand, müssen Sie diese separat einholen. Eine generelle Checkbox für die Datenschutzerklärung benötigen Sie indes nicht.

Wie kann die Datenschutzerklärung bei anderen Medien zur Verfügung gestellt werden?

Im Online-Shop ist es leicht, eine Datenschutzerklärung zur Verfügung zu stellen. Bei anderen Medien, mit denen Daten erhoben werden, weniger: Postkarten, Telefonate, Flyer mit QR-Codes zur Newsletteranmeldung? Es erscheint nicht sinnvoll, geschweige denn komfortabel für alle Beteiligten, die Datenschutzerklärung auf einem Flyer vollständig abzubilden, noch die Datenschutzerklärung in einem Telefonat vollständig vorzulesen. Es braucht nicht viel Fantasie, um sich das Ergebnis vorzustellen.

Der Medienbruch

Wie aber kann sauber über die Datenverarbeitungen informiert werden, wenn nicht ausreichend Platz oder Zeit zur Verfügung steht? Eine pragmatische Lösung ist der Medienbruch. Heißt: Die Daten werden über ein Medium erhoben, zum Beispiel über den Flyer zur Gewinnspielteilnahme oder im Telefonat, die Information über die Datenerhebung erfolgt an anderer Stelle, zum Beispiel in der Datenschutzerklärung im Shop. 

Ob das geht, ist nicht abschließend geklärt. Es wird hier auf der einen Seite von Datenschützern vertreten, dass die Information dann nicht zum Zeitpunkt der Datenerhebung stattfindet. Andere Datenschützer vertreten pragmatischere Sichtweisen und argumentieren, dass die leichte Auffindbarkeit der Informationen nicht bedeutet, dass die Datenschutzerklärung an Ort und Stelle zur Verfügung gestellt werden muss.

Auch wir sind der Auffassung, dass die leichte Auffindbarkeit der Datenschutzerklärung auf einer Website gewährleistet werden kann, zumindest dann, wenn z.B. auf dem Flyer auf die Datenschutzerklärung im Shop hingewiesen wird. Wie detailliert die Information hier erfolgen muss, ist von der Rechtsprechung nicht abschließend geklärt.

Die Datenschutzbehörden halten den Medienbruch, bei welchem die Informationen in einer gestuften Form erteilt werden, für zulässig, So wird empfohlen, auf der ersten Stufe (beim ersten Kontakt) auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen, die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte hinzuweisen und die weiteren Informationen später zu ergänzen.

Übrigens: Bei der Newsletteranmeldung per QR-Code muss auf dem Flyer selbst nicht über die Datenschutzerklärung informiert werden, wenn der QR-Code zur Anmeldung im Shop führt. Denn dort haben Online-Händler*innen – hoffentlich – die Datenschutzerklärung transparent im Footer verlinkt.

Wenn keine Daten erhoben werden, brauchen Sie keine Datenschutzerklärung

In Bestell- oder Versandbestätigungen und ähnlichen Nachrichten werden in der Regel keine Daten erhoben. Hier muss deshalb auch keine Datenschutzerklärung vorgehalten werden. Anders sieht das bei Newslettern aus. Da hier unter Umständen die Datenerhebung stattfindet, kommt es auf die konkrete Gestaltung an.

Unser Tipp:

Stellen Sie sicher, dass Sie in Ihrem Online-Shop eine Datenschutzerklärung in klar verständlicher Sprache im Footer mit einer eindeutigen Bezeichnung verlinkt haben. Eine Checkbox zur Bestätigung dieser Datenschutzerklärung im Bestellprozess ist nicht notwendig. Bei anderen Medien empfehlen wir eine gestufte Informationserteilung.

Über den Autor

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

 

23.08.23
Select Country: