Über die Autoren
Dennis Morgenstern LL.M.
Geschäftsführer
Wirtschaftsjurist LL.M.
Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß
Bei den Erst-Analysen von Websites unserer Kunden, stoßen wir immer öfter auf Calendly. Das Planungs-Tool dient der einfachen Terminbuchung für Meetings und Besprechungen. In der Basis-Version ist Calendly kostenfrei nutzbar. die Premium-Versionen fangen derzeit (Stand Februar 2021) bei acht US-Dollar im Monat an.
Was viele Websitebetreiber nicht beachten ist, dass bei der Verwendung von Calendly, Daten in die USA übermittelt werden. Dies ist insbesondere seit dem EuGH-Urteil vom 16.07.2020 – Az. C‑311/18 „Schrems II“, datenschutzrechtlich sehr problematisch. Data privacy frameworks sind entscheidend, um die Einhaltung der Datenschutzgesetze zu gewährleisten, insbesondere bei der Übertragung von Daten in die USA.
Calendly Integration via iFrame / Popup
Für die Integration von Calendly wird von vielen Websitebetreibern ein sogenanntes iFrame genutzt. Mittels iFrames ist es möglich, Fremdinhalte in die eigene Webseite einzubinden, indem das inline Frame (iFrame) den Inhalt der anderen Seite (in dem Fall von Calendly) lädt, um diesen innerhalb eines Rahmens (Frame) wiederzugeben.
Der Nutzer merkt im Normalfall nicht, dass er sich somit gerade die Website von Calendly ansieht bzw. nutzt, sondern geht davon aus, dass es sich um ein Element Ihrer Website handelt.
Neben der Einbindung via iFrame besteht die Option, Calendly als Popup einzubinden. Hierbei werden auf der Website ein Button oder eine Textverknüpfung eingefügt, sodass sich Calendly durch Klick auf den Button bzw. die Textverknüpfung als Popup öffnet.
Auch bei dieser Variante merkt der Nutzer in der Regel nicht, dass dieses Popup einen externen Dienst darstellt. Diese Optionen bieten Flexibilität und ermöglichen es, die am besten geeignete Methode für die Integration von Calendly auf Ihrer Website zu wählen.
Das Datenschutzproblem bei Calendly
Das iFrame wie auch das Popup stellten in unserem Test nicht nur eine Verbindung zu Calendly sondern auch zu Facebook, Google sowie New Relic her:
Somit bestehen gleich mehrere Verbindungen zu Servern von US-amerikanischen Unternehmen. Es ist sehr wahrscheinlich, dass hierbei Daten in die USA übermittelt werden. Dies kann weitreichende Konsequenzen für den Websitebetreiber haben. In diesem Zusammenhang ist die Einhaltung der ‚Calendly DSGVO‘-Vorgaben von entscheidender Bedeutung.
Datenspeicherung spielt eine zentrale Rolle bei der Einhaltung der DSGVO, da sie sicherstellt, dass personenbezogene Daten ordnungsgemäß und sicher verarbeitet werden.
Geschieht dies ohne weitere Datenschutzmaßnahmen, so gehören zu den möglichen Folgen z.B. Verfahren durch die Datenschutz-Behörden und eine strafrechtliche Verantwortung nach BDSG in Verbindung mit der DSGVO. Auch eine wettbewerbsrechtliche Abmahnung durch Konkurrenten, ja ggf. sogar durch einen Betroffenen im Sinne der DSGVO, und damit verbundene Schadensersatzansprüche und dergleichen sind denkbar.
Es ist daher wichtig, dass Calendly DSGVO konform genutzt wird, indem ein entsprechender Passus in die Datenschutzerklärung aufgenommen und ein Auftragsverarbeitungsvertrag abgeschlossen wird.
Das Thema ist also durchaus ernst zu nehmen. Aus juristischer Sicht können wir aktuell im Ergebnis nur davon abraten, Calendly mittels iFrame oder Popup auf Websites zu integrieren.
UPDATE VOM 20.02.2022
Calendly hat hier offensichtlich nachgebessert.
Uns werden nun auf den ersten Blick, keine Datenverbindungen mehr angezeigt:
Somit schalten viele Nutzer bereits hier ab….aber ACHTUNG! DER SCHEIN TRÜGT!
Schaut man sich das Ganze genauer an, erkennt man in unserem Test Folgendes:
Durch die Implementierung von Calendly (in unserem Test durch iFrame) entstehen immer noch sehr viele externe Verbindungen (darunter auch US-Datentransfer): Google ReCAPTCHA, stripe.com, ein CDN von cookielaw.org usw… „Unterm Strich“ hat sich somit eigentlich nichts geändert…
Die Sicherheit beim Austausch und der Speicherung personenbezogener Daten ist daher weiterhin ein kritischer Punkt, der beachtet werden muss.
Die informierte Einwilligung als Alternative bei der Einbindung von Calendly?
Da die angesprochene Rechtsprechung des EuGH (Schrems II) noch recht „frisch“ ist, herrscht im juristischen Diskurs noch erhebliche Unsicherheit, welche Alternativen rechtlich haltbar sind, wenn es (nachdem der Privacy Shield ja nun nichtig ist) um die DSGVO-konforme Datenübertragung in die USA geht.
Denkbar erscheint uns, hier die Lösung über eine sogenannte informierte Einwilligung, da die DSGVO diese Möglichkeit (Art. 49 Abs. 1 S. 1 lit. a DSGVO) immerhin zur Rechtfertigung eines Datentransfers in ein unsicheres Drittland grundsätzlich vorsieht. Es ist indes momentan noch unklar, ob die informierte Einwilligung in der vorliegenden Situation von Behörden und Gerichten letztlich als ausreichend angesehen werden wird. Dies mag auch davon abhängen, wie sie konkret eingeholt wird. Abschließende Rechtssicherheit besteht hier aktuell auch bei der Einwilligungslösung mithin noch nicht.
Ein AV-Vertrag ist notwendig, um der DSGVO zu entsprechen, wenn personenbezogene Daten an Dritte übermittelt werden. Dieser Vertrag sollte die rechtlichen Anforderungen und die automatisierte Annahme beim Nutzen von Services wie Calendly behandeln.
Wenn Sie Calendly als iFrame- oder Popup-Lösung nutzen und es mit der Einwilligungslösung versuchen möchten, so könnte dies etwa über ein schon vorhandenes oder ggf. neu zu implementierendes Consent-Tool realisiert werden. Dieses wäre entsprechend anzupassen, um dem User vor Einwilligung die notwendigen Informationen zu erteilen, damit er auch wirklich ausdrücklich und informiert sein „OK“ geben kann, wie es die DSGVO verlangt. Hierbei müssen die Websitebesucher im Vorfeld der Einwilligung über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ausführlich und klar unterrichtet werden (Art. 49 Abs. 1 S. 1 lit. a DSGVO). Zu diesen Risiken zählt, dass zu den USA weder ein Angemessenheitsbeschlusses der EU noch sonst geeignete Garantien bestehen und US-Behörden ggf. ohne ausreichende Rechtsschutzmöglichkeit auf übermittelte Daten zugreifen könnten (wegen der Einzelheiten kann auf das EuGH-Schrems II-Urteil Bezug genommen werden).
Ohne Einwilligung, keine Terminbuchung
Abgesehen, davon, dass auch bei einer informierten Einwilligung der Website-Nutzer keine abschließende Rechtssicherheit besteht, wird nach unserer Erfahrung in der Regel nur ein kleiner Bruchteil der Websitebesucher in die Datenübertragung einwilligen. In Konsequenz müsste das iFrame bzw. das Popup – in Ermangelung der Einwilligung – blockiert bleiben. Eine Terminvereinbarung mit den Kunden würde in den Fällen scheitern. Ihnen entgehen also Leads und somit möglicher Umsatz!
Man könnte zwar wohl überlegen, die Terminvereinbarung noch mittels einer Overlay-Lösung „zu retten“, sodass Calendly erst dann aktiviert wird, wenn der Nutzer via Overlay aktiv zustimmt (seine Einwilligung im genannten Sinne also hier abgibt). Diese Lösung wird z.B. bei der Einbindung von YouTube-Videos verwendet. Problematisch sind jedoch die bereits angesprochenen durch das iFrame oder Popup nachgeladenen Dienste (Google Analytics, Facebook usw.). Man hat hier als Websitebetreiber, der Calendly einbindet, z.B. keine Kontrolle, ob eine IP-Anonymisierung bzgl. des Einsatzes von Google Analytics vorgenommen wurde, zudem bräuchte man für jedes nachgeladene Tool nochmals eine explizite informierte Einwilligung, sodass wir in diesem Fall von einer solchen Lösung abraten.
So lösen Sie das Dilemma
Wir empfehlen Calendly nicht auf der Website einzubinden, sondern die jeweilige Landingpage (die ansonsten per iFrame oder Popup eingebunden wäre) mit einem Call-to-Action-Button zu verlinken, um Calendly DSGVO konformer zu nutzen.
Hierdurch verlinken Sie lediglich auf die Website von Calendly selbst und die oben genannten Datenverbindungen finden nicht auf Ihrer eigenen Website statt.
Hierdurch verlinken Sie lediglich auf die Website von Calendly selbst und die oben genannten Datenverbindungen finden nicht auf Ihrer eigenen Website statt.
Calendly in der Datenschutzerklärung korrekt beschreiben
Dennoch sollten Sie den Vorgang transparent in Ihrer Datenschutzerklärung beschreiben (hier kommt es auf eine genaue und detaillierte Formulierung an). Des Weiteren sollten Sie im Optimalfall in der Nähe des Call-to-Action-Buttons darauf hinweisen, dass eine Weiterleitung auf die Website des US-amerikanischen Unternehmens Calendly stattfindet und ergänzend auf Ihre Datenschutzerklärung verweisen.
Zudem sollten Sie innerhalb der Terminbuchungsmaske (auf der Website von Calendly) Ihr Impressum sowie Ihre Datenschutzerklärung (hierbei sollte per Anker-Link direkt auf die betreffende Klausel zu Calendly verlinkt werden) zur Verfügung stellen:
Zu diesem Vorgehen liegt noch keine höchstrichterliche Rechtsprechung vor, nach unserer Rechtsauffassung wäre somit jedoch eine datenschutzkonforme Verwendung sichergestellt, die die Funktionsweise von Calendly nicht einschränkt.
Benötigen Sie Hilfe bei den DSGVO Informationspflichten?
Wie führen Sie den über Calendly vereinbarten Termin durch? Gegebenenfalls sind Sie verpflichtet, den Kunden, der den Termin vereinbart, über datenschutzrechtliche Vorgänge zu informieren bzw. sogar eine Einwilligung einzuholen, beispielsweise bei Nutzung eines Tools zur Abwicklung eines Video-Calls oder wenn Sie Calendly mit einem anderen Kalender (z.B. Outlook) verbunden haben. Es ist auch wichtig, den Kunden per E-Mail über diese datenschutzrechtlichen Vorgänge zu informieren, um eine nahtlose Kommunikation sicherzustellen.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.
