AGB & Datenschutz – besser zusammen?

AGB sind im Internethandel unerlässlich. Anbieter:innen legen darin die vertraglichen Bedingungen von Kaufverträgen mit ihren Kund:innen fest. Neben den Geschäftsbedingungen (AGB) muss aber auch der Umgang des Unternehmens mit dem Thema Datenschutz für die Kund:innen transparent sein. Eine Zusammenführung der beiden Themen bietet sich also scheinbar an. Sie sollte jedoch gründlich bedacht und auf Risiken überprüft werden.
 

Was sind AGB?

Allgemeine Geschäftsbedingungen, kurz AGB, sind laut Bürgerlichem Gesetzbuch alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei der anderen Vertragspartei bei Abschluss eines Vertrages stellt. Im Falle von Onlineshops zählen hierzu beispielsweise Vorgaben zu Zahlungsarten oder Liefer- und Versandbedingungen. AGB unterliegen genauen gesetzlichen Regelungen, deren Nichteinhaltung zu Abmahnungen führen kann. AGB beinhalten im Gegensatz zur Datenschutzerklärung oder zum Impressum einer Website bindende Vertragsbedingungen, die von Nutzer:innen bei Kaufabschluss akzeptiert werden müssen.
 

Was haben AGB mit Datenschutz zu tun?

Die Verarbeitung von personenbezogenen Daten ist im Internethandel gang und gäbe. Hierzu zählen zum Beispiel:

• Namen und Adressen
• E-Mail-Adressen
• Telefonnummern
• Kontonummern
• U.v.m.

Nach der DSGVO unterliegen personenbezogene Daten einem besonderen Schutz. Damit greift der Datenschutz auch in Onlineshops. Die Überlegung liegt also nahe, Informationen über den Datenschutz in die AGB des Unternehmens einzugliedern. Diese Zusammenführung birgt jedoch Risiken. AGB sind Vertragsbedingungen, die im Rahmen einer AGB-Kontrolle jederzeit auf Rechtmäßigkeit überprüft werden können. Deshalb muss der / die Kund:in diese auch beispielsweise mittels eines aktiv gesetzten Häkchens akzeptieren.
Datenschutzinformationen stellen hingegen keine zusätzlichen Vertragsbedingungen dar, sondern dienen der Information der Kund:innen über den Umgang des Unternehmens mit personenbezogenen Daten. Das Thema Datenschutz in die AGB aufzunehmen würde also bedeuten, dass auch die Datenschutzinformationen zum Vertragsgegenstand werden, einer AGB-Kontrolle unterliegen und gegebenenfalls abgemahnt werden können.

Ein Beispiel für die missglückte Abgrenzung von Datenschutzerklärung und AGB liefert das Unternehmen Apple. Im Onlineshop von Apple war die Formulierung „Apple Datenschutzrichtlinie“ zu lesen. Es entstand der Eindruck, dass es sich dabei um Regelungen handelte, die Inhalt des (Kauf-)Vertrages sind. Die Datenschutzrichtlinie von Apple wurde einer AGB-Kontrolle unterzogen und mehrere Klauseln darin als unwirksame AGB gewertet.
 

Datenschutzrisiken vermeiden: datenschutzkonforme AGB

Um derartige Risiken zu vermeiden, ist es wichtig, AGB und Datenschutz klar voneinander zu trennen. Bei der Datenschutzerklärung reicht ein entsprechender Hinweis mit Link zur vollständigen Erklärung, um der Informationspflicht gem. Art. 13, 14 DSGVO gerecht zu werden. Es bedarf hier jedoch keiner Zustimmung oder aktiven Einwilligung. Die AGB hingegen müssen in den Vertrag einbezogen werden, entweder über ein aktiv gesetztes Häkchen, einen Zwischenbutton oder einen gut sichtbaren Hinweis vor Kaufabschluss. Die Verlinkung auf den vollständigen AGB-Text darf hier natürlich ebenfalls nicht fehlen.

Übrigens: Genauso wenig sinnvoll wie die Zusammenführung von AGB und Datenschutz ist die Integration der Datenschutzinformationen ins Impressum. Das Impressum sollte genau wie die AGB und die Informationen zum Datenschutz eine eigene Seite darstellen. Es muss von jeder Unterseite aus mit einem Klick erreichbar sein.

Besondere Vorsicht gilt darüber hinaus bei Haftungsbeschränkungsklauseln von AGB: Die unzulässige Unterbringung von Datenschutzthemen kann hier sogar dazu führen, dass die gesamte Klausel unwirksam wird. Es ist also empfehlenswert, den Bereich Datenschutz grundsätzlich von Haftungsbeschränkungsklauseln zu trennen. Darauf kann mittels einer einfachen Formulierung hingewiesen werden, zum Beispiel: „Datenschutzrechtliche Anspruchsgrundlagen werden von dieser Haftungsregelung nicht erfasst“.
Grundsätzlich ist auch eine separate Datenschutzklausel in den AGB möglich. Jedoch stellt sich die Frage, ob das Risiko einer AGB-Kontrolle geringer ist als der Nutzen einer Datenschutzklausel – selbst, wenn dies mit großer Sorgfalt im Hinblick auf die rechtmäßige Einholung einer Einwilligung gem. Art. 7 DSGVO erledigt wurde. Darüber hinaus gibt es noch keine Erfahrungswerte, ob eine solche Klauseltrennung von Gerichten anerkannt wird.

Fazit: AGB, Impressum und Datenschutz sollten immer klar voneinander getrennt werden. Genauso wenig wie die Zusammenführung von Impressum und Datenschutz sinnvoll ist, sollte das Thema Datenschutz in die AGB aufgenommen werden. Hier kann es bei fehlender Umsicht sogar zu Abmahnungen und ungültigen Klauseln kommen. Um derartige Risiken zu vermeiden, ist die formale Unterscheidung zwischen bindenden Vertragsbedingungen – den AGB – und den zusätzlichen Informationen zum Datenschutz wichtig.