Ob bei der Newsletteranmeldung, in Registrierungsbereichen oder unter Eingabemasken – die Checkbox ist ein gern genutztes Instrument von Websitebetreibern, um die Zustimmung zu einer Datenverarbeitung einzuholen. Leider kommt es jedoch nach wie vor häufig dazu, dass dieses Instrument auch dann eingesetzt wird, wenn es nicht erforderlich ist. Frei nach dem Motto: „Machen wir an dieser Stelle mal lieber vorsichtshalber eine Checkbox“, implementieren Verantwortliche die anklickbaren Bestätigungskästchen mitunter falsch und ohne zu wissen, dass dies negative Konsequenzen haben kann.
Beispiel I: Die Checkbox passt nicht zur Rechtsgrundlage
Ein gutes Beispiel für die beschriebene Situation stellen Online-Bewerbungsformulare dar. Nachdem die abgefragten Daten in die Eingabemaske eingegeben und die relevanten Unterlagen hochgeladen wurden, findet sich häufig – bevor die Bewerbung abgesendet werden kann – eine verpflichtend zu bestätigende Checkbox mit bspw. folgendem Text: „Hiermit willige ich in die Verarbeitung meiner personenbezogenen Daten im Rahmen des Bewerbungsverfahren ein.“ Die Rechtsgrundlage für die Erhebung (notwendiger) Bewerberdaten ist allerdings grundsätzlich nicht die Einwilligung, sondern § 26 Abs. 1 S. 1 BDSG, wonach personenbezogene Daten verarbeitet werden dürfen, „wenn dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist“.
Sofern die Einwilligung nicht Rechtsgrundlage für die Datenverarbeitung ist, bedarf es auch keiner Checkbox, um eine solche einzuholen. Berücksichtigt werden sollte, dass eine wirksame Einwilligung eine freie Entscheidung der betroffenen Person voraussetzt (Art. 4 Nr. 11 DSGVO, Art. 7 Abs. 4 DSGVO) und, wenn der Abschluss eines Arbeitsvertrags von der Erhebung bestimmter Daten abhängig gemacht wird, keine freiwillige Einwilligung entstehen kann. Der Einsatz einer verpflichtend anzuklickenden Checkbox zeigt in diesem Fall sogar explizit auf, dass die „zu bestätigende“ Datenverarbeitung nicht zur freien Wahl steht. Da die Implementierung von Checkboxen jedoch eine freie Wahl suggerieren kann, dürfte bei deren Einsatz an falscher Stelle ein Verstoß gegen den Grundsatz der Transparenz aus der DSGVO (Art. 5 Abs. 1 lit. a DSGVO) anzunehmen sein.
Beispiel II: Eine Checkbox zur „Akzeptanz“ der Datenschutzerklärung
Ein weiteres klassisches Beispiel für die falsche Verwendung einer Checkbox ist deren Nutzung, um die Zustimmung in eine Datenschutzerklärung einzuholen. Bei den Angaben in der Datenschutzerklärung handelt es sich um gesetzlich vorgeschriebene Informationen gem. Art. 13 DSGVO, die von der datenschutzrechtlich verantwortlichen Stelle mitzuteilen sind. Um „auf der sicheren Seite zu sein“, wird die Datenschutzerklärung oftmals jedoch nicht nur verlinkt, sondern der entsprechende Link wird gleichzeitig mit einer anzuklickenden Checkbox samt „Einwilligungstext“ à la „Ich habe die Datenschutzbestimmungen zur Kenntnis genommen und akzeptiere diese“ versehen.
Da die Zurverfügungstellung gesetzlich vorgeschriebener Informationen und deren Inhalte kein Einverständnis erfordert, ist diese Vorgehensweise nicht nur überflüssig, sondern auch riskant. So hat der Oberste Gerichtshof in Österreich (Urteil vom 23.11.2022 – 7Ob112/22d) Ende letzten Jahres entschieden, dass bereits die Aufforderung zu bestätigen, Datenschutzhinweise zur Kenntnis genommen zu haben, genüge, um diese Hinweise als Vertragsbestimmungen anzusehen, die der Klauselkontrolle des AGB-Rechts unterliegen. Des Weiteren ist vom Europäischen Datenschutzausschuss (Entscheidung 5/2022 vom 05.12.2022) herausgestellt worden, dass die Einholung (verpflichtender) Zustimmungen in Datenschutzhinweise gegen den Grundsatz der Verarbeitung personenbezogener Daten „nach Treu und Glauben“ (Art. 5 Abs. 1 lit. a DSGVO) verstößt, da damit eine Unklarheit für die betroffenen Personen bestehe, ob die Akzeptanz zu einem Einverständnis in die Datenverarbeitung selbst führt.
Fazit
Websitebetreiber, die „sicherheitshalber“ Checkboxen an der falschen Stelle einsetzen, können mit ihrem Vorgehen also datenschutzrechtlichen Prinzipien zuwiderhandeln. In der Praxis sollte darauf geachtet werden, dass Checkboxen, wenn sie den Datenschutz betreffen, nur dann implementiert werden, wenn auch eine Einwilligung in eine Datenverarbeitung eingeholt werden soll und das entsprechende Häkchen oder Kreuz in der Checkbox optional ist, d. h. freiwillig gesetzt werden kann.
15. Mai 2023 @ 10:21
Die Argumentation hinsichtlich der Freiwilligkeit der Einwilligung erscheint mir nicht schlüssig. Der Abschluss eines Arbeitsvertrags ist von der Erhebung bestimmter Daten abhängig und es steht dem Interessenten frei, sich bei dem Unternehmen zu bewerben oder es bleiben zu lassen. Das Einholen einer Einwilligung mag nicht notwendig sein. Wird sie dennoch eingeholt, erachte ich das als unschädlich.
22. Mai 2023 @ 14:39
Vielen Dank für Ihren Kommentar!
Nach Auffassung der Datenschutzkonferenz (DSK) scheidet eine Einwilligung als Rechtsgrundlage aus, wenn eine gesetzliche Rechtsgrundlage für dieselbe Datenerhebung vorliegt. Dies hat sie in einer Orientierungshilfe zur Datenerhebung bei Mietinteressentinnen und -interessenten deutlich gemacht. In diesen Fällen liegt eine ähnliche Konstellation vor: Es steht den Personen grundsätzlich frei, sich für eine Wohnung zu bewerben oder aber Abstand davon zu nehmen.
Die DSK sieht einen Rückgriff auf die Einwilligung zur Datenerhebung in dieser Situation als unzulässig an, da der Eindruck entstehen könne, die Datenerhebung unterliege dem Wahlrecht der betroffenen Person, während die Verarbeitung jedoch in Wahrheit erforderlich für den Vertragsabschluss ist (und damit auf eine gesetzliche Rechtsgrundlage gestützt werden kann). Weil der Vertragsabschluss von der Erhebung bestimmter Daten abhängig gemacht wird, kann gemäß der DSK keine freiwillige und damit wirksame Einwilligung erteilt werden.
Sofern dennoch eine Einwilligung eingeholt wird, könnte dies entsprechend von der zuständigen Datenschutzaufsichtsbehörde beanstandet werden (z. B. wegen damit einhergehender Verstöße gegen die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DSGVO).
Mit freundlichen Grüßen
Elena Folkerts
12. Mai 2023 @ 9:35
Vielen Dank für den Artikel. Ich weiß aus jahrelanger Erfahrung, dass bei den meisten Websites gar kein DSB mit hinzugezogen wird. Viele kopieren munter von anderen Websites ab. Denn was auf der einen Website steht kann ja auch für unsere gut sein.
Und wenn Hotels, Shops usw. man den DSB mal fragen würde , hätten solche Einwilligungen schnell ein Ende.
11. Mai 2023 @ 11:08
Ich glaube, dass es eher weniger an deren Datenschutzbeauftragten liegt – falls die Verantwortlichen solche überhaupt bestellt haben (trotz gesetzl. Pflicht). Ich berate und unterstütze proaktiv bei ‚meinem‘ Verantwortlichen und gebe ihm und seine Mitarbeitenden nach bestem Gewissen Ratschläge/Hinweise datenschutzrechtlicher Umsetzungen – doch was bringt es, wenn der VA z. B. solche nicht berücksichtigt oder kein Interesse hat diese einzuhalten…
10. Mai 2023 @ 9:50
Sehr guter Artikel – hoffentlich lesen das dann auch mal die vielen DSBs, die bislang glabuen, dass es eine Einwilligung bedarf. Man sieht sowas nahezu täglich auf Online Shops, Hotelbuchungsseiten oder bei Stromanbietern und sogar beim ADAC und der ARD-Mediathek. Und immer, wenn man dann nachfragt, heißt es, man müsse die Einwilligung in die Datenschutzerklärung einholen, um der Rechenschaftspflicht genüge zu tun.
Haben diese DBSs überhaupt ausreichende Fachkenntnis?