SiDIT Logo
    Zurück zum Blog
    Online-Auftritt17. August 2021

    Verwechslungsgefahr: Checkboxen für Datenschutzerklärung und notwendige Einwilligungen

    Verwechslungsgefahr: Checkboxen für Datenschutzerklärung und notwendige Einwilligungen

    Verwechslungsgefahr: Notwendige Einwilligungen und Checkbox Datenschutzerklärung

    In unserem Blogbeitrag "Keine Checkboxen zum Anhaken für Ihre Datenschutzerklärung" haben wir darüber berichtet, dass Checkboxen unzulässig sind, mit denen beispielsweise ein Webseitenbesucher bestätigen soll, dass er die Datenschutzerklärung akzeptiert oder gelesen hat. Solche Checkboxen sind nicht nur unzulässig, sondern führen auch dazu, dass Datenschutzerklärungen zu Allgemeinen Geschäftsbedingungen werden. Die hieraus folgenden Konsequenzen möchte man als Verantwortlicher natürlich vermeiden und entfernt in diesem Zuge diese Checkboxen. Hierbei ist jedoch Vorsicht geboten, denn man sollte genau darauf achten, welche Checkboxen man auf seiner Webseite entfernt.

    Achtung: Unterschied zwischen Checkbox zur Bestätigung der Datenschutzerklärung und notwendiger Einwilligung zur Datenverarbeitung

    Als Verantwortlicher einer Webseite sollte man streng darauf achten, welche Checkbox man nun entfernt. Denn eine Checkbox für eine Einwilligung zur Datenverarbeitung wird unter Umständen trotzdem benötigt.

    Beispiel: Kontaktformular auf einer Webseite

    Der Webseitenbetreiber muss eine Einwilligung des Anfragenden einholen, soweit er im Rahmen des Kontaktformulars weitere Daten abfragt, die nicht zur Bearbeitung der Anfrage erforderlich sind. So sind beispielsweise der Name und die E-Mail-Adresse notwendig zur Bearbeitung der Anfrage, die Telefonnummer und die Adresse jedoch nicht. Da die Verarbeitung der Telefonnummer und der Adresse nicht zur Vertragserfüllung erforderlich ist, bedarf sie einer anderen Rechtsgrundlage – der Einwilligung. In diesem Fall benötigt man also zum einen die Einwilligung für die Verarbeitung der Telefonnummer und der Adresse und zum anderen die Belehrung für die Verarbeitung des Namens und der E-Mail-Adresse. Hier treffen also Einwilligung und Belehrung zusammen. Für die Einwilligung sollte man eine Checkbox anlegen, die der Nutzer selbst aktiv anhaken muss. Zusätzlich sollte vor dem Absendebutton noch die Belehrung über die Verarbeitung der personenbezogenen Daten erfolgen.

    Wann muss man als Verantwortlicher eine Einwilligung einholen?

    Eine Einwilligung der betroffenen Personen benötigt man bei diversen Verarbeitungstätigkeiten, wie zum Beispiel in der soeben beschriebenen Situation. Grundsätzlich gilt, dass immer dann eine Einwilligung der betroffenen Person eingeholt werden muss, wenn die Verarbeitung ihrer personenbezogenen Daten nicht auf eine andere Rechtsgrundlage gemäß Art. 6 Abs. 1 S. 1 DSGVO gestützt werden kann.

    Neben der Einwilligung gibt es beispielsweise die Rechtsgrundlage der Vertragserfüllung. In diesem Rahmen sind alle Datenverarbeitungstätigkeiten erlaubt, die zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich sind.

    Daneben gibt es die Rechtsgrundlage des berechtigten Interesses. Hierbei kann der Verantwortliche gewisse Datenverarbeitungen vornehmen, die aufgrund seines berechtigten Interesses notwendig erscheinen. Wichtig ist, dass in diesem Zuge immer eine Interessensabwägung zwischen den Interessen des Betroffenen und denen des Verantwortlichen vorgenommen und dokumentiert wird.

    Schließlich gibt es noch die Rechtsgrundlage der gesetzlichen Verpflichtung. Hierauf können die Datenverarbeitungen gestützt werden, die durch das Gesetz vorgeschrieben sind.

    Eine Einwilligung der betroffenen Person ist daher in den verschiedensten Bereichen von Datenverarbeitungen erforderlich. Anzutreffen sind datenschutzrechtliche Einwilligungen in sämtlichen Lebensbereichen – im Arbeitsverhältnis, im Verhältnis zu Kunden beziehungsweise Lieferanten oder im Bereich von Onlineauftritten. Typische Fälle, in denen eine Einwilligung erforderlich ist, sind zum Beispiel:

    • Der Versand eines Newsletters
    • Die Verarbeitung von Foto- oder Videoaufnahmen eines Betroffenen
    • Datenverarbeitungen zu Marketingzwecken
    • Kontaktformulare
    • Die Aufnahme von Bewerbern in einen Bewerber-Pool
    • Die Aufnahme in einen Geburtstagskalender oder sonstige betriebsinterne Listen

    Was ist bei der Einholung einer Einwilligung zu beachten?

    Bereits in unserem Blogbeitrag "Newsletter leicht gemacht" informierten wir Sie über die Voraussetzungen einer wirksamen Einwilligung. Zusammenfassend sollte eine Einwilligung stets auf freiwilliger Basis erfolgen. Das heißt im Umkehrschluss, dass dem Betroffenen keine Nachteile aus der verweigerten Einwilligung erwachsen dürfen. Dazu muss der Zweck der Datenverarbeitung, zu dem die Einwilligung eingeholt wird, konkret in der Einwilligungserklärung beschrieben sein. Auch sollte eine Einwilligung am besten eine „Ja“- oder „Nein“-Checkbox enthalten. Zu Dokumentationszwecken sollte eine Einwilligung schriftlich eingeholt werden und Informationen über die Betroffenenrechte, insbesondere die Widerrufsmöglichkeit sowie einen Hinweis auf die jeweilige Datenschutzbelehrung enthalten.

    Wichtig ist ebenfalls noch, dass eine einmal erteilte Einwilligung nicht grenzenlos durch den Verantwortlichen genutzt werden kann. Der Verantwortliche muss die Datenverarbeitung unverzüglich stoppen, sobald die Einwilligung durch den Betroffenen widerrufen wird. Daneben kann eine Einwilligung auch verfallen, wenn sie verhältnismäßig lange nicht durch den Verantwortlichen genutzt wurde.

    Folgen einer unwirksamen Einwilligung sind fatal

    Soweit eine Einwilligungserklärung diese Voraussetzungen nicht erfüllt, besteht die Gefahr der Unzulässigkeit der Einwilligung. Welche fatalen Folgen dies haben kann, zeigt das jüngste Beispiel der jö Club GmbH, ein österreichisches Kundenbindungsprogramm ähnlich wie Payback. Diese holten sich Einwilligungen von Kunden ein, um Profiling zu betreiben. Da jedoch der Zweck der Datenverarbeitung im Rahmen der Einwilligung nicht klar hervorging, wurde die Einwilligung durch die österreichische Aufsichtsbehörde als unzulässig eingestuft. Geahndet wurde dieser Verstoß mit einem Bußgeld von über 2 Millionen Euro.

    Als Verantwortlicher sollte man daher stets darauf achten, wenn erforderlich, eine wirksame Einwilligung einzuholen. Daher sollte auch insbesondere im Rahmen von Webseiten genau geprüft werden, welche Checkboxen man entfernt. Ansonsten läuft man Gefahr, dass die Datenverarbeitung mangels Einwilligung unzulässig wird.

    Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Thema Einwilligungen. Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Datenschutzkonforme Einbettung von YouTube-Videos – Optionen, Risiken, Praxis
    Online-Auftritt14. Nov. 2025

    Datenschutzkonforme Einbettung von YouTube-Videos – Optionen, Risiken, Praxis

    Rund 200 Webseiten wurden geprüft – der Großteil übertrug personenbezogene Daten an Google ohne Einwilligung. Was Sie tun müssen.

    Weiterlesen
    Cookie-Banner erneut auf dem Prüfstand
    Online-Auftritt4. Juli 2025

    Cookie-Banner erneut auf dem Prüfstand

    Das VG Hannover hat ein wichtiges Urteil zur Cookie-Banner-Gestaltung gefällt: Eine zweistufige Gestaltung ohne „Alles ablehnen"-Button ist rechtswidrig.

    Weiterlesen
    Cookie-Banner auf Webseiten
    Online-Auftritt30. Apr. 2025

    Cookie-Banner auf Webseiten

    Cookie-Banner bleiben ein Dauerbrenner. Verstöße werden regelmäßig sanktioniert. Ein rechtssicheres Banner ist Pflicht.

    Weiterlesen