SBS Firmengruppe Logos

| Datenschutzrecht, Wettbewerbsrecht

Einwilligung in Datenschutzhinweise verstößt gegen DSGVO


Online-Händler sollten aufpassen, in was sie ihre Kunden einwilligen lassen. Grundsätzlich ist es zwar richtig, Zustimmungen für Datenverarbeitungen einzuholen, wie es die DSGVO auch vorschreibt. Allerdings kann es schädlich sein, darüber hinauszugehen. Eine allgemeine Einwilligung oder Zustimmung zu Datenschutzhinweisen des Händlers kann demnach problematisch werden. Es drohen strenge AGB-Kontrollen, Wettbewerbsverstöße und Verstöße gegen Treu und Glauben nach der DSGVO.

Achtung: AGB Kontrolle

Das bürgerliche Gesetzbuch (BGB) enthält einige Vorschriften zur Kontrolle von allgemeinen Geschäftsbedingungen. Unter bestimmten Voraussetzungen unterliegen solche AGB-Klauseln dann einem Kontrollsystem, das schnell zu ihrer Unwirksamkeit führen kann. Natürlich sollten jegliche Klauseln eines Online-Händlers gesetzeskonform sein. Dennoch hat man bei Datenschutzerklärungen einen Handlungsspielraum.

Gemäß § 305 Abs. 1 BGB sind allgemeine Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Wichtig ist, dass sie nicht Teil des Vertragsdokumentes sein müssen – es reicht aus, wenn sie als Vertragsbestimmungen anzusehen sind.

Einbeziehung von AGB

§ 305 Abs. 2 BGB:

Allgemeine Geschäftsbedingungen werden nur dann Bestandteil eines Vertrags, wenn der Verwender bei Vertragsschluss

1. die andere Vertragspartei ausdrücklich oder, wenn ein ausdrücklicher Hinweis wegen der Art des Vertragsschlusses nur unter unverhältnismäßigen Schwierigkeiten möglich ist, durch deutlich sichtbaren Aushang am Ort des Vertragsschlusses auf sie hinweist und

2. der anderen Vertragspartei die Möglichkeit verschafft, in zumutbarer Weise, die auch eine für den Verwender erkennbare körperliche Behinderung der anderen Vertragspartei angemessen berücksichtigt, von ihrem Inhalt Kenntnis zu nehmen,

und wenn die andere Vertragspartei mit ihrer Geltung einverstanden ist.


Liegen diese Voraussetzungen vor, kann eine Kontrolle vorgenommen werden. Unzulässig sind dann bspw. überraschende Klauseln oder solche, die mehrdeutig verstanden werden können.

Wichtiges Urteil aus Österreich

Der Oberste Gerichtshof aus Österreich hat sich in einem Urteil vom 23.11.2022 (Az. 7 Ob 112/22d) zu AGB bei Datenschutzerklärungen geäußert. Demnach unterliegen Datenschutzhinweise auch dann einer AGB-Kontrolle, wenn der Betroffene (also bspw. der Kunde eines Online-Händers) dem Datenschutzhinweis zwar nicht „zustimmen“ musste, jedoch bestätigen musste, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben.

So ein Erfordernis wird von zahlreichen Website-Betreibern eingebaut, gerade um gesetzeskonform zu handeln. Allerdings liegt hier eine Fehlvorstellung zugrunde. Nämlich besteht keine gesetzliche Verpflichtung, die Einwilligung eines Betroffenen einzuholen. Anders als bei der Einwilligung in die Verarbeitung personenbezogener Daten genügt es, wenn im Zusammenhang mit der Datenerhebung auf die Datenschutzinformationen hingewiesen wird.

Ein klarer und unmissverständlicher Hinweis ist allerdings etwas anderes als ein Zustimmungserfordernis. Aus Sicht des OGH reicht für eine Zustimmung auch die Pflicht zur Bestätigung einer Kenntnisnahme. Es gebe hier keinen relevanten Unterschied zu der noch klareren Situation der Zustimmung, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren könne.

Verstoß gegen Treu und Glauben

Der Europäische Datenschutzausschuss (EDSA) äußerte sich in seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 ebenfalls zu dieser Situation. Der Ausschuss legte dabei jedoch den Blickwinkel auf die DSGVO selbst. Es ging dabei um ein Verfahren einer irischen Behörde gegen die WhatsApp Ireland Limited. Kernfrage war, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 lit. a DSGVO darstellt.

Artikel 5 Abs. 1 lit. a DSGVO

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).


Nach der EDSA sind die drei Komponenten der Fairness, Rechtmäßigkeit und Transparenz drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze. Jeder Verantwortliche i.S.d. DSGVO müsse diese bei der Verarbeitung personenbezogener Daten beachten.

Spezifischer betrachtet erfasse der Grundsatz der Verarbeitung nach Treu und Glauben auch die Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann sowie die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Einwilligung zur Datenschutzerklärung unzulässig

Im konkreten Fall zwischen der irischen Behörde und WhatsApp Ireland Limited stellte die EDSA fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Wir hatten oben bereits festgestellt, dass so etwas eine AGB-Kontrolle der entsprechenden Datenschutzerklärungen zur Folge haben kann. Doch lag hier ebenfalls ein Verstoß gegen die DSGVO vor.

Das konkrete Zustimmungserfordernis beeinträchtige nämlich eindeutig die angemessenen Erwartungen der Nutzer, da diese nicht wissen, ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben. Durch die entsprechende Gestaltung und Einholung der Zustimmung sei unklar, ob dies eine Einwilligung in alle Datenverarbeitungen darstellte oder nicht.

Es lag also an Mangel an Transparenz vor, der für Verwirrung sorgte. Die berechtigten Erwartungen der Betroffenen wurden beeinträchtigt. Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden. Somit verstößt ein solches Zustimmungserfordernis für Datenschutzerklärungen gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 lit. a DSGVO.


SBS LEGAL – Ihre Kanzlei für das Datenschutzrecht

Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).  Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.

Haben Sie noch Fragen zum Datenschutzrecht?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Prüfung einer Einwilligung nach der DSGVO? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht