Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Bei den Erst-Analysen von Websites unserer Kunden, stoßen wir immer öfter auf Calendly. Das Planungs-Tool dient der einfachen Terminbuchung für Meetings und Besprechungen. In der Basis-Version ist Calendly kostenfrei nutzbar. Die Premium-Versionen fangen derzeit (Stand Februar 2021) bei acht US-Dollar im Monat an.

Was viele Websitebetreiber nicht beachten ist, dass bei der Verwendung von Calendly, Daten in die USA übermittelt werden. Dies ist insbesondere seit dem EuGH-Urteil vom 16.07.2020 – Az.  C‑311/18 „Schrems II“, datenschutzrechtlich sehr problematisch.

Calendly Integration via iFrame / Popup

Für die Integration von Calendly wird von vielen Websitebetreibern ein sogenanntes iFrame genutzt. Mittels iFrames ist es möglich, Fremdinhalte in die eigene Webseite einzubinden, indem das inline Frame (iFrame) den Inhalt der anderen Seite (in dem Fall von Calendly) lädt, um diesen innerhalb eines Rahmens (Frame) wiederzugeben. Der Nutzer merkt im Normalfall nicht, dass er sich somit gerade die Website von Calendly ansieht bzw. nutzt, sondern geht davon aus, dass es sich um ein Element Ihrer Website handelt.

Neben der Einbindung via iFrame besteht die Option, Calendly als Popup einzubinden. Hierbei werden auf der Website ein Button oder eine Textverknüpfung eingefügt, sodass sich Calendly durch Klick auf den Button bzw. die Textverknüpfung als Popup öffnet. Auch bei dieser Variante merkt der Nutzer in der Regel nicht, dass dieses Popup einen externen Dienst darstellt.

Das Datenschutzproblem bei Calendly

Das iFrame wie auch das Popup stellten in unserem Test nicht nur eine Verbindung zu Calendly sondern auch zu Facebook, Google sowie New Relic her:

Somit bestehen gleich mehrere Verbindungen zu Servern von US-amerikanischen Unternehmen. Es ist sehr wahrscheinlich, dass hierbei Daten in die USA übermittelt werden. Dies kann weitreichende Konsequenzen für den Websitebetreiber haben.

Geschieht dies ohne weitere Datenschutzmaßnahmen, so gehören zu den möglichen Folgen z.B. Verfahren durch die Datenschutz-Behörden und eine strafrechtliche Verantwortung nach BDSG in Verbindung mit der DSGVO. Auch eine wettbewerbsrechtliche Abmahnung durch Konkurrenten, ja ggf. sogar durch einen Betroffenen im Sinne der DSGVO, und damit verbundene Schadensersatzansprüche und dergleichen sind denkbar.

Das Thema ist also durchaus ernst zu nehmen. Aus juristischer Sicht können wir aktuell im Ergebnis nur davon abraten, Calendly mittels iFrame oder Popup auf Websites zu integrieren.

UPDATE VOM 20.02.2022

Calendly hat hier offensichtlich nachgebessert.

Uns werden nun auf den ersten Blick, keine Datenverbindungen mehr angezeigt:

Somit schalten viele Nutzer bereits hier ab….aber ACHTUNG! DER SCHEIN TRÜGT!

Schaut man sich das Ganze genauer an, erkennt man in unserem Test Folgendes:

Durch die Implementierung von Calendly (in unserem Test durch iFrame) entstehen immer noch sehr viele externe Verbindungen (darunter auch US-Datentransfer): Google ReCAPTCHA, stripe.com, ein CDN von cookielaw.org usw… „Unterm Strich“ hat sich somit eigentlich nichts geändert…

Die informierte Einwilligung als Alternative bei der Einbindung?

Da die angesprochene Rechtsprechung des EuGH (Schrems II) noch recht „frisch“ ist, herrscht im juristischen Diskurs noch erhebliche Unsicherheit, welche Alternativen rechtlich haltbar sind, wenn es (nachdem der Privacy Shield ja nun nichtig ist) um die DSGVO-konforme Datenübertragung in die USA geht.

Denkbar erscheint uns, hier die Lösung über eine sogenannte informierte Einwilligung, da die DSGVO diese Möglichkeit (Art. 49 Abs. 1 S. 1 lit. a DSGVO) immerhin zur Rechtfertigung eines Datentransfers in ein unsicheres Drittland grundsätzlich vorsieht. Es ist indes momentan noch unklar, ob die informierte Einwilligung in der vorliegenden Situation von Behörden und Gerichten letztlich als ausreichend angesehen werden wird. Dies mag auch davon abhängen, wie sie konkret eingeholt wird. Abschließende Rechtssicherheit besteht hier aktuell auch bei der Einwilligungslösung mithin noch nicht.

Wenn Sie Calendly als iFrame- oder Popup-Lösung nutzen und es mit der Einwilligungslösung versuchen möchten, so könnte dies etwa über ein schon vorhandenes oder ggf. neu zu implementierendes Consent-Tool realisiert werden. Dieses wäre entsprechend anzupassen, um dem User vor Einwilligung die notwendigen Informationen zu erteilen, damit er auch wirklich ausdrücklich und informiert sein „OK“ geben kann, wie es die DSGVO verlangt. Hierbei müssen die Websitebesucher im Vorfeld der Einwilligung über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ausführlich und klar unterrichtet werden (Art. 49 Abs. 1 S. 1 lit. a DSGVO). Zu diesen Risiken zählt, dass zu den USA weder ein Angemessenheitsbeschlusses der EU noch sonst geeignete Garantien bestehen und US-Behörden ggf. ohne ausreichende Rechtsschutzmöglichkeit auf übermittelte Daten zugreifen könnten (wegen der Einzelheiten kann auf das EuGH-Schrems II-Urteil Bezug genommen werden).

Ohne Einwilligung, keine Terminbuchung

Abgesehen, davon, dass auch bei einer informierten Einwilligung der Website-Nutzer keine abschließende Rechtssicherheit besteht, wird nach unserer Erfahrung in der Regel nur ein kleiner Bruchteil der Websitebesucher in die Datenübertragung einwilligen. In Konsequenz müsste das iFrame bzw. das Popup – in Ermangelung der Einwilligung – blockiert bleiben. Eine Terminvereinbarung mit den Kunden würde in den Fällen scheitern. Ihnen entgehen also Leads und somit möglicher Umsatz!

Man könnte zwar wohl überlegen, die Terminvereinbarung noch mittels einer Overlay-Lösung „zu retten“, sodass Calendly erst dann aktiviert wird, wenn der Nutzer via Overlay aktiv zustimmt (seine Einwilligung im genannten Sinne also hier abgibt). Diese Lösung wird z.B. bei der Einbindung von YouTube-Videos verwendet. Problematisch sind jedoch die bereits angesprochenen durch das iFrame oder Popup nachgeladenen Dienste (Google Analytics, Facebook usw.). Man hat hier als Websitebetreiber, der Calendly einbindet, z.B. keine Kontrolle, ob eine IP-Anonymisierung bzgl. des Einsatzes von Google Analytics vorgenommen wurde, zudem bräuchte man für jedes nachgeladene Tool nochmals eine explizite informierte Einwilligung, sodass wir in diesem Fall von einer solchen Lösung abraten.

So lösen Sie das Dilemma

Wir empfehlen Calendly nicht auf der Website einzubinden, sondern die jeweilige Landingpage (die ansonsten per iFrame oder Popup eingebunden wäre) mit einem Call-to-Action-Button zu verlinken.

Hierdurch verlinken Sie lediglich auf die Website von Calendly selbst und die oben genannten Datenverbindungen finden nicht auf Ihrer eigenen Website statt.

Dennoch sollten Sie den Vorgang transparent in Ihrer Datenschutzerklärung beschreiben (hier kommt es auf eine genaue und detaillierte Formulierung an). Des Weiteren sollten Sie im Optimalfall in der Nähe des Call-to-Action-Buttons darauf hinweisen, dass eine Weiterleitung auf die Website des US-amerikanischen Unternehmens Calendly stattfindet und ergänzend auf Ihre Datenschutzerklärung verweisen.

Zudem sollten Sie innerhalb der Terminbuchungsmaske (auf der Website von Calendly) Ihr Impressum sowie Ihre Datenschutzerklärung (hierbei sollte per Anker-Link direkt auf die betreffende Klausel zu Calendly verlinkt werden) zur Verfügung stellen:

Zu diesem Vorgehen liegt noch keine höchstrichterliche Rechtsprechung vor, nach unserer Rechtsauffassung wäre somit jedoch eine datenschutzkonforme Verwendung sichergestellt, die die Funktionsweise von Calendly nicht einschränkt.

Benötigen Sie Hilfe bei den DSGVO Informationspflichten?

Wie führen Sie den über Calendly vereinbarten Termin durch? Gegebenenfalls sind Sie verpflichtet, den Kunden, der den Termin vereinbart, über datenschutzrechtliche Vorgänge zu informieren bzw. sogar eine Einwilligung einzuholen, beispielsweise bei Nutzung eines Tools zur Abwicklung eines Video-Calls oder wenn Sie Calendly mit einem anderen Kalender (z.B. Outlook) verbunden haben. Unser Kooperationspartner, Herr Rechtsanwalt Decker (Angestellter Rechtsanwalt in der Kanzlei Rechtsanwälte Dr. Schultheiß), ist hierauf spezialisiert und hilft Ihnen gerne kompetent und zuverlässig weiter.

Wir machen Sie abmahnsicher

Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.

Datenschutzrechtlicher Hinweis* (Pflichtfeld)

Ihre Website soll endlich abmahnsicher werden? 
Gratis Angebot einholen 
close-image