In welchen Fällen kommt man bei Kontaktformularen oder Newsletter Anmeldungen ohne Check-Boxen aus?

Check-Boxen sind ein beliebtes und sinnvolles Tool um

Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.

Mehr Infos hier

Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.


Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).


Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.

Abseits des Bestandskunden-Privilegs ist für den

die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.

Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).

Im Gegensatz dazu ist beim

die Einholung einer Einwilligung KEINE Pflicht.

Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.

Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird. 

Ändert sich die Situation, falls die Daten in ein Ticket-System laufen
(Zendesk), welches zwar einen Serverstandort in Europa hat, aber deren Hauptsitz in den USA liegt?

Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.

Nicht vergessen:

Stand: 30.11.2022

Kann Salesforce datenschutzkonform verwendet werden?

Ausführliche Informationen über Salesforce finden Sie in unserem Blog.

Ist Google Fonts rechtswidrig?

Über den Dienst Google-Fonts können Webseitenbetreiber eine große Anzahl von Schriftarten für ihre Website kostenlos nutzen. Aber ist die Nutzung von Google Fonts datenschutzrechtlich zulässig?

Sind Rechtsanwälte und Ärzte strafrechtlich wegen Verletzung ihres Berufsgeheimnisses belangbar, wenn Google-Fonts dynamisch eingebunden wird?

Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.

Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant. 

Gegen eine Strafbarkeit sprechen folgende Erwägungen:

• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.

• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.

Weitere Überlegungen:

• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.

• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!

• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).

Ergebnis:

Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)

Stand: 09.11.2022

Kann Pipedrive DSGVO-konform eingesetzt werden?

Pipedrive ist ein Cloud-basiertes Software-as-a-Service-Unternehmen mit Sitz in den USA. Es gibt eine Webanwendung und eine mobile App zur Nutzung des Kundenbeziehungsmanagement-Tools. Bei der Verwendung von Pipedrive werden personenbezogene Daten der Kunden verarbeitet.

Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Pipedrive:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen, § 25 Abs. 1 TTDSG

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig

        in Textform

    5. Abschluss eines AV-Vertrags mit Pipedrive

Stand: 26.10.2022

Ist eine Abmahnung wegen der Nutzung von Google-Fonts berechtigt, wenn nur über ein Newsletter-Tool die Anwendung „reCAPTCHA“ eingebunden wurde – und reCAPTCHA wiederum Google-Fonts dynamisch eingebunden hat?

Was ist reCAPTCHA?

reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.

•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.

•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.

•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.

•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.

Ist der Einsatz von reCAPTCHA, unabhängig von Google Fonts, datenschutzkonform möglich?

Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.

Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:

•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken

•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft

Besteht auch beim Einsatz von reCAPTCHA die Google Fonts Problematik?

Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).

Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.

Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.

Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.

Welche Alternativen gibt es?

LiiDU-Tipp:

Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.

Weitere Alternativen sind Friendly Captcha oder hCaptcha.

Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.

(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)

Stand: 26.10.2022

Kann "Hubspot" datenschutzkonform genutzt werden?

Ausführliche Informationen über Hubspot finden Sie in unserem Blog.

Gelten die Aussagen zu Google-Fonts auch für Adobe-Fonts?

Was ist Adobe-Fonts?

Adobe-Fonts ist eine Sammlung von Schriftarten für die Verwendung auf Websites bereit. Mittels APIs und interaktiven Webverzeichnissen können dann Schriften je nach Bedarf eingebunden werden. Die jeweilige Website greift – wie bei Google Fonts - bei jedem Aufruf auf den US-amerikanischen Server von Adobe zu und lädt die Fonts herunter.

Werden bei der Nutzung von Adobe-Fonts personenbezogene Daten verarbeitet?

Bei der Nutzung von Adobe-Fonts werden wohl (wie bei Google Fonts) IP-Adressen und somit personenbezogene Daten verarbeitet. Somit sind Webseitenbetreiber dazu verpflichtet, einen entsprechenden Cookie-Hinweis zur Einwilligung sowie einen Hinweis in der Datenschutzerklärung vorzuhalten, da es sich bei Adobe um einen US-amerikanischen Anbieter handelt und der Nutzer über die Verarbeitung seiner Daten aufgeklärt werden muss.

Ist Adobe-Fonts (ebenfalls wie die dynamische Einbindung von Google Fonts) nun verboten?

Bei der Nutzung von Adobe-Fonts findet eine Datenverarbeitung analog wie bei Google-Fonts statt. Zwar gibt es aktuell noch kein Urteil (ggf. wegen geringerer Verwendung im Gegensatz zu Google Fonts), dass Adobe-Fonts verboten ist, jedoch dürfte die Verwendung ohne Einwilligung datenschutzrechtlich nicht erlaubt sein, da die Verarbeitung von personenbezogenen Daten nicht komplett ausgeschlossen werden kann.

Die aktuelle Rechtsprechung zu Google Fonts kann somit auch auf Adobe-Fonts übertragen werden.

Stand: 05.10.2022

Kann man GetLeadForms datenschutzkonform nutzen?

Mit GetLeadForms können mehrstufige Formulare und Chatbots für Websites und Landing Pages erstellt werden, um Leads zu generieren.

GetLeadForms bietet nur Dienste an, die nach europäischen (und damit auch deutschem) Recht ausschließlich per Einwilligung des Users möglich sind. Um GetLeadForms datenschutzkonform nutzen zu können, müssten u.a. folgende Punkte beachtet werden:

 Achtung! Es darf erst Cookie gesetzt werden, wenn die Einwilligung des Website-Nutzers eingeholt wurde!

Stand: 05.10.2022

Wa muss ich tun, wenn ich eine Abmahnung wegen Google Fonts erhalten habe?

Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.

Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.

Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29

Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.

Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:

1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?

Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:

2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?

Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.

3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?

Hier müsste die Gegenseite zunächst die individuelle Betroffenheit darlegen. Bei der IG Datenschutz ist das in jedem Fall ausgeschlossen (da eine Organisation). Die einzelnen Mitglieder könnten individuell betroffen sein. Allerdings werden diese in den Abmahnungen nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist.

Des Weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung.

Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat. Aufgrund der massenhaften Abmahnungen legt das eine Rechtsmißbräuchlichkeit nahe.

Evtl. wurde daher ein potenzieller Schaden bewusst herbeigeführt. Die Gegenseite müsste darlegen, ob tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es kaum Rechtsprechung, deshalb könnte sich hier Widerstand lohnen

Stand: 05.10.2022