Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
I. Weshalb Du Deine Datenschutzerklärung nicht akzeptieren lassen solltest
von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht und Rechtsreferendar Kolja Strübing
1. Wie ist es auf Deiner Website?
Hast Du das auch auf Deiner Website? Eine Opt In Box, die der Kunde anklicken muss? Auf der steht: „Hiermit akzeptiere ich die Datenschutzerklärung“ oder ähnliches? Dann lies besser weiter.
2. Was ist der Irrglaube?
(Nur) Auf den ersten Blick einleuchtend: Man lässt den Kunden die AGB und die Datenschutzerklärung akzeptieren und sichert das auch noch mit einem obligatorischen Opt In ab. So hat man immer den Nachweis, dass der Kunde Datenschutzerklärung und die AGB gelesen und Ihnen sogar noch zugestimmt hat. Wäre doch zu schön, wenn Recht so einfach wäre, leider – das ist jetzt auch kein Spoiler mehr – falsch. Trotzdem ist das ein sehr weit verbreiteter Fehler auf vielen Websites und vor allem bei Online Bestellungen, sei es von Produkten, von Dienstleistungen, Coachings oder Online Kursen. Jetzt beschäftigen sich auch die Gerichte mit diesem Thema.
3. Was hat das für Konsequenzen
So hat das Kamergericht Berlin (das höchste Berliner Gericht), sich grade mit dieser Frage befasst. Fast schon untypisch dabei war, das nicht ein kleineres Unternehmen abgemahnt worden war, sondern sogar Apple. Apple hatte 2011 – ja, die Mühlen der Gerichte mahlen langsam – einen solchen Haken verwendet. Auf die Abmahnung hin wurde Apple zur Unterlassung verurteilt.
II. Warum nicht? Und überhaupt, wie geht es denn dann?
1. Keine Kenntnisnahme der Datenschutzerklärung erforderlich
Tatsächlich ist es nicht richtig, dass der Benutzer die Datenschutzerklärung gelesen haben muss. Vielmehr reicht es aus, wenn Du nachweisen kannst, dass die Datenschutzerklärung zur maßgeblichen Zeit auf Deiner Webseite an übersichtlicher Stelle online war. Der Inhalt der Datenschutzerklärung muss dem Benutzer nach der DSGVO nämlich nur „zur Verfügung gestellt“ (Art. 13 Abs. 2 DSGVO), bzw. einseitig „mitgeteilt“ (Art. 13 Abs. 1 DSGVO) werden. Was das genau heißt, findest Du hier zu Frage IV.
2. Die Datenschutzerklärung wird zum Vertrag
Doch nicht nur, dass das Akzeptieren unnötig ist, es macht sogar aus Deiner Datenschutzerklärung plötzlich Allgemeine Geschäftsbedingungen. Bei einem „rechtlich nicht vorgebildeten Durchschnittskunden“ kann nach den Gerichten der Eindruck entstehen, es handle sich bei der Datenschutzerklärung um einen Teil des Vertrags über die Bestellung. Und auf eben diesen Durchschnittskunden kommt es bei der Frage, ob AGB vorliegen oder nicht, an (KG Berlin, Az. 23 U 196/13). Plötzlich würden aus Deiner Datenschutzerklärung rechtliche Leistungspflichten, auf deren Einhaltung der Benutzer einen Anspruch hat. Das solltest Du unbedingt vermeiden. Das gilt jedenfalls dann, wenn das Akzeptieren der Datenschutzerklärung im Rahmen einer Bestellung stattfindet. Dafür reicht aber bereits die Zurverfügungstellung eines sog. Freebies. Es muss sich nicht um einen entgeltlichen Vertrag handeln. Anders ist das nur bei dem „Akzeptieren“ der Datenschutzerklärung bei einem reinen Kontaktformular. Hier wird noch kein Vertrag geschlossen. Aber auch da ist das „Akzeptieren“ der Datenschutzerklärung unnötig.
3. Ergebnis: Abmahngefahr
Mit dem Haken zum „Akzeptieren“ der Datenschutzerklärung erhöhst Du für Deine Website also die Gefahr, dass Du auf Unterlassung in Anspruch genommen wirst, wenn Teile der Datenschutzerklärung unwirksam sind. Das Gericht wird nämlich eine AGB-Kontrolle durchführen. Unwirksame AGB können einfacher noch abgemahnt werden als DSGVO-Verstöße.
4. Kann ich wenigstens die Kenntnisnahme der Datenschutzerklärung bestätigen lassen?
Einige Websites geben nicht gleich auf und versuchen, den Kunden zu Beweiszwecken wenigstens die Kenntnisnahme der Datenschutzerklärung bestätigen zu lassen. Etwa so: „Indem du auf „Registrieren” klickst, erklärst du dich mit unseren Nutzungsbedingungen einverstanden und bestätigst, dass du unsere Datenrichtlinie einschließlich unserer Bestimmungen zur Verwendung von Cookies gelesen hast.“ Das ist zwar eine nette Idee, doch hat das KG Berlin in einem weiteren Urteil (Az.: 5 U 9/18) auch diesen Hinweis für unwirksam erklärt, weil er gegen §§ 307 Abs. 1 S. 1, 309 Nr. 12b BGB verstößt. Bei einem solchen Hinweis handelt es sich nämlich um eine Bestimmung, die den Kunden „bestimmte Tatsachen“ bestätigen lässt (vgl. § 309 Nr. 12 b BGB). Hier ist es die Tatsache, dass er die Datenschutzerklärung gelesen hat. Das ist nach der Rechtsprechung unzulässig, weil Du damit die Beweislast faktisch zu Lasten des Kunden verschiebst und ihn so unangemessen benachteiligst.
5. Ok, überzeugt, den Haken für die Datenschutzerklärung lasse ich weg – aber wie ist das denn bei meinen AGB?
Mit Deinen allgemeinen Geschäftsbedingungen muss der Kunde einverstanden sein, wie es § 305 Abs. 2 BGB erfordert. Also brauche ich jetzt doch einen Haken, fragst Du?
6. Muss der Kunde die AGB akzeptieren?
Nein, auch da brauchst Du keinen Haken – aber anders als bei der Datenschutzerklärung ist ein „Akzeptieren“ der AGB kein rechtlicher Fehler (vielleicht kostet er aber die ein oder andere Conversion). Denn als Online-Unternehmer wissen wir, jede Aktion mehr kann die Absprungrate erhöhen. Deshalb ein (ausnahmsweise mal rechtlicher) Conversion-Tipp: Verweise nur auf Deine AGB und nutze auch für Deine AGB kein Opt In. Mehr Details dazu findest Du hier.
7. Wann gelten AGB als akzeptiert?
AGB sind akzeptiert, wenn der Vertragspartner des Verwenders zugestimmt hat. Das kann ausdrücklich oder auch konkludent, d.h. durch schlüssiges Verhalten geschehen. Das ist im Grundsatz dann der Fall, wenn der Kunde den Vertrag akzeptiert und
- bei der Bestellung deutlich auf die Geltung der AGB hingewiesen wurde
- und die AGB unschwer zur Kenntnis nehmen konnte.
Einen detaillierten Artikel zu der Einbeziehung von AGB findest Du hier.
III. Handlungsempfehlung
An sich ist es richtig, so oft ist der Opt In die richtige rechtliche Vorgehensweise, etwas für Newsletter, Cookies oder eingebettete Inhalte. Für die AGB und vor allem die Datenschutzerklärung gilt das nicht (Ausnahmen kann es etwa bei Bewerbungen auf Deiner Website geben) Nutze auf Deiner Website also wenigstens grundsätzlich kein Opt In für die Rechtstexte. Sonst kannst Du – wie sogar Apple – in das Visier der Abmahner geraten. Und selbst wenn nicht, es kann sogar geeignet sein, Deine Conversion zu erhöhen.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Für mich finde ich es sehr interessant!
Das freut mich. Man kann nicht nur Fehler vermeiden, sondern auch die Conversion verbessern, wenn man diese Fragen beherrscht. So wird 2023 ein erfolgreiches Jahr für Deine Website.
Ist es somit richtig, dass für ein Kontaktformular, welches lediglich für allgemeine Anfragen genutzt wird, kein Opt-in erforderlich ist?
Danke und freundliche Grüße
Hallo Siegbert, das ist richtig. Du darfst annehmen, dass der Nutzer durch Betätigung des Kontaktformulars sein Einverständnis erklärt hat, dass mit ihm Kontakt aufgenommen wird.
Hallo Ronald,
gilt das auch für Newsletter-Formulare? Reicht es auch hier, wenn ich auf meine Datenschutzerklärung hinweise und einen entsprechenden Link setze?
Danke und Gruß
Swen
Hallo Swen, gute Frage, das wäre schön, aber nein, hier gilt auch 2023 noch, dass eine aktive Einwilligung erforderlich ist, der Nutzer muss den Haken betätigen und so sein Einverständnis erklären, damit Du ihm die Double Opt In mail senden darfst.
Wenn ich eine Person einen Account auf meiner Webseite erstellen lasse schicke ich ebenfalls eine Double Opt In mail. Wenn diese dann etwas bestellen erhalten sie weitere Mails.
Wo ist hier der Unterschied zum Newsletter, der den Haken benötigt?
Vielen Dank für den Beitrag.
Hier wird der Account benutzt, um die Zustimmung zu Werbung einzuholen, also ist der Double Opt in und damit der Haken erforderlich.