Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen?

Dieser Beitrag ist zugleich ein Beitrag dazu, warum es niemals eine gute Idee ist, Datenschutzhinweise neben AGB bei einer Registrierung via Checkbox akzeptieren zu lassen. AGB und Datenschutzhinweise sind getrennte Dinge und sollten unbedingt getrennt behandelt werden.

Sehr häufig finden wie z.B. auf Internetseiten die Bezeichnung „Datenschutzerklärung“ für Informationen zum Datenschutz, die als Informationen zum Datenschutz i.S.d. Art. 13 DSGVO dienen sollen.

Ich empfehle meinen Mandantinnen und Datenschutz-Coaching-Mitglieder immer, statt dessen lieber den Begriff „Datenschutzhinweise“ zu verwenden.

Passend dazu ist diese Frage eines Datenschutz-Coaching-Mitglieds:

Ich erinnere mich, dass Du ausdrücklich darauf hingewiesen hast, für den Datenschutzhinweis auf der Internetseite nur diese Begrifflichkeit zu benutzen und nicht den Begriff Datenschutzerklärung.

Kannst Du das bitte noch einmal erklären und begründen?

Meine Antwort

Datenschutzinformationen i.S.d. Art. 13, 14 DSGVO sind einseitige Informationen, die ein Verantwortlicher gegenüber Betroffenen angibt. Diese können sich jederzeit ändern.

Wenn ich jedoch einen Vertrag mit einem Betroffenen habe, kann ich den nicht jederzeit ändern. Änderungen sind dann nur möglich, wenn der Vertrag eine Änderungsklausel vorsieht.

Bei AGB, die z.B. wirksam in ein Vertragsverhältnis einbezogen werden (z.B. bei der Registrierung auf einer Internetseite), werden meist Regelungen zur Änderung der AGB enthalten sein, die z.B. eine Änderung ermöglichen, wenn der Verwender der AGB z.B. 6 Wochen vorher über die Änderungen informiert und ein Widerspruchsrecht gegen die Änderungen einräumt.

Datenschutzhinweise müssen schnell änderbar sein – jeden AGB-Bezug vermeiden

Da Informationen zum Datenschutz teilweise sehr schnell geändert werden müssen, muss immer deutlich sein, dass es sich bei den Datenschutzhinweisen eben nur um „Informationen“ zum Datenschutz handelt.

Jeder Bezug zu AGB oder Umstände, die nahelegen könnten, dass die Datenschutzhinweise als AGB eingestuft werden könnten, sollten unbedingt vermieden werden, damit man nicht in ein „Änderungs-Vorbehalts-Dilemma“ hineingleitet, wie es bei AGB der Fall wäre.

Warum der Begriff der „Datenschutzrichtlinie“ aktuell kritisch ist

Das hat mit einem Urteil des KG Berlin (Urteil vom 27.12.2018, Az.: 23 U 196/13) zu tun, dass sich mit den AGB bzw. der Datenschutzrichtlinie von Apple befasst. Das Urteil ist zum Zeitpunkt der Erstveröffentlichung dieses Beitrages nicht rechtskräftig. Die Beschwerde bzgl. der Nichtzulassung der Revision durch das KG ist momentan beim BGH anhängig (Az.: VIII ZR 25/19).

Update, 03.08.2021: Die Beschwerde ist vom BGH übrigens durch Beschluss vom 13.10.2020 zurückgewiesen worden. Das Urteil ist somit rechtskräftig.

In den Ausführungen des KG Berlin findet sich folgende Passage (Hervorhebungen von mir):

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („…Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden. Dass im weiteren Text der Richtlinie der Gebrauch eines spezifisch rechtlichen Vokabulars strikt vermieden und statt von einem „Dürfen“ stets von einem „Können“ oder schlicht von einem „Tun (Werden)“ gesprochen wird, ändert nichts daran, dass der Leser die Klauseln als Inanspruchnahme von Rechten verstehen muss. Die Vermeidung von Rechtsbegriffen, die auf eine Einräumung von Rechten, auf eine Einwilligung in bestimmte Handlungen oder eine Zustimmung zu bestimmten Verfahrensweisen hindeuten, befördert nicht die Vorstellung, dass die dargestellten Regelungen für den Kunden unverbindlich seien; sie erweckt vielmehr die Fehlvorstellung, dass die Regelungen für den Verbraucher, der Vertragsbeziehungen zu der Beklagten anknüpft, ohne weiteres bindend seien, dass er sich diesem Reglement, ob er will oder nicht, zu fügen habe und es auf seine Meinung zu der beschriebenen Praxis nicht ankomme. Im Einleitungssatz der „Richtlinie“ wird dem Leser nahegelegt, sich mit den Praktiken der Beklagten vertraut zu machen; ihm wird auch gestattet, Fragen zu stellen. Die Möglichkeit, dass der Kunde die Praktiken der Beklagten auch ablehnen könnte, wird vollständig ausgeblendet. Da die Beklagte nicht vorträgt, dass ihre – ausdrücklich so bezeichneten – Allgemeinen Geschäftsbedingungen den klarstellenden Hinweis enthielten, dass sie abschließender Natur seien, erscheinen dem rechtlich nicht vorgebildeten Durchschnittskunden, auf den es ankommt, die Allgemeinen Geschäftsbedingungen der Beklagten und die …Datenschutzrichtlinie als eine Einheit, die er insgesamt akzeptieren muss, wenn er von der Beklagten beliefert werden will (vgl. BGH, Urteil vom 02.07.1987 – III ZR 219/86 Rn. 14 = BGHZ 101, 271).

Keine gute Idee, sondern gefährlich

Wenn Unternehmen ihre Datenschutzhinweise auf ihrer Internetseite als „Datenschutzrichtlinie“ bezeichnen und – schlimmer noch – bei der Registrierung von Nutzern diese „Datenschutzhinweise“ durch eine Checkbox akzeptieren lassen, riskieren sie, dass ihre Datenschutzhinweise als AGB eingestuft werden.

Und das ist wegen der daraus folgenden Konsequenz der Erschwernis, Änderungen an Datenschutzhinweisen vorzunehmen, niemals eine gute Idee.

Datenschutzhinweise sollten daher immer einen rein informatorischen einseitigen Charakter haben. Jeder Hauch von einer zweiseitigen Vereinbarung mit dem Nutzer sollte unterbunden sein.

Daher bitte „Datenschutzhinweise“ und nicht „Datenschutzrichtlinie“ verwenden

Daher sollte die Informationen zum Datenschutz i.S.d. Art. 13 DSGVO deutlich als reine Information gekennzeichnet sein.

Hier bietet sich der Begriff der „Datenschutzhinweise“ an.

Ähnlich unverbindlich wäre aber z.B. auch diese Begriffe:„Datenschutzinformation“, „Informationen zum Datenschutz“, oder „Informationen zur Datenverarbeitung“.

Und warum besser auch nicht Datenschutzerklärung?

Da auch der Begriff der „Datenschutzerklärung“ eher eine Verbindlichkeit darstellen kann, würde ich vorsorglich ebenfalls von diesem Begriff abraten.

Am besten ist m.E. der Begriff der „Datenschutzhinweise“ geeignet.