Datenschutzrisiko Online-Kontaktformular

Unternehmen bieten auf ihren Websites oftmals die Möglichkeit zur Kontaktaufnahme mittels eines Kontaktformulars an. Nutzer dieses Formulars übermitteln dem Unternehmer bei der Kontaktaufnahme in ihren Nachrichten auch personenbezogene Daten, sodass das Kontaktformular datenschutzrechtliche Probleme aufwirft. Die ab 25.05.2018 unmittelbar geltende Datenschutz-Grundverordnung (DS-GVO) sieht bei Datenschutzverstößen Bußgelder in Millionenhöhe vor. Zudem sind Datenschutzverstöße Wettbewerbsverstöße. Bei Nichtbeachtung drohen daher Abmahnungen von Wettbewerbern. 

Erforderlichkeit einer Datenschutzerklärung

Betreiber einer gewerblich genutzten Website müssen die Nutzer in allgemein verständlicher Form über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten auf der Website unterrichten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z. B. Name, Anschrift, E-Mail-Adresse aber auch Kontodaten. Der Begriff der personenbezogenen Daten ist sehr weitreichend. Die Erfüllung der datenschutzrechtlichen Informationspflichten geschieht in der Praxis in der Regel durch eine sog. Datenschutzerklärung. 

Bei einem Kontaktformular ist immer eine Datenschutzerklärung erforderlich, da hier in jedem Fall personenbezogene Daten übermittelt werden. Die Datenschutzerklärung ist nach Art. 12 Abs. 1 Satz 1 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache abzufassen. Gleichzeitig mit dem Aufruf einer Website muss der Nutzer Gelegenheit haben, die Datenschutzerklärung auf der Website zur Kenntnis zu nehmen. Sie muss leicht auffindbar sein und direkt anklickbar durch höchstens zwei Klicks von jeder Seite des Internetauftritts zu erreichen sein. 

In der Datenschutzerklärung sind Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters anzugeben. Sofern obligatorisch zu bestellen, sind auch die Kontaktdaten des Datenschutzbeauftragten anzugeben. Neu ist, dass neben den Zwecken, für die die personenbezogenen Daten verarbeitet werden sollen, die Rechtsgrundlage für die Verarbeitung angegeben werden muss. 

Abhängig von dem Erlaubnistatbestand, auf dem personenbezogene Daten verarbeitet werden, sind weitere Angaben zu tätigen. Wenn z. B. die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erfolgt, sind die berechtigten Interessen anzugeben. Auch die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, ist aufzuführen. 

Ferner ist auch über die Speicherdauer und die sog. Betroffenenrechte in einer Datenschutzerklärung zu informieren. Betroffene haben ein Beschwerderecht bei der Aufsichtsbehörde, über das sie zu unterrichten sind. Sie haben ein Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit. Dies gehört ebenso in die Datenschutzerklärung wie die Dauer, für die die personenbezogenen Daten gespeichert werden.

Nach alledem müssen bestehende Datenschutzerklärungen unbedingt an die DS-GVO angepasst werden. Für gänzlich fehlende Datenschutzerklärungen für ein Online-Kontaktformular hat das OLG Köln bereits im Jahr 2016 einen Wettbewerbsverstoß angenommen (Urteil vom 11. März 2016, Az. I-6 U 121/15). 

Gesicherte Verbindung erforderlich 

Bereits 2015 beanstandete und bebußte das Bayerische Landesamt für Datenschutzaufsicht Websitebetreiber, die keine verschlüsselte Datenübertragung für Kontaktformulare vorgesehen haben. 

Was sieht die DS-GVO vor? Nach § 32 DS-GVO sind geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau herzustellen, zu gewährleisten. Dazu zählt die Verschlüsselung personenbezogener Daten bei der Übertragung der Daten über das Internet. Die Verschlüsselung hat grundsätzlich dem Stand der Technik zu entsprechen. Folglich muss für ein Kontaktformular eine gesicherte Verbindung, z. B. eine HTTPS-Verschlüsselung, zur Verfügung gestellt werden. 

Grundsatz der Datenminimierung beachten

Das Kontaktformular dient der ersten Kontaktaufnahme. Nach Art. 5 Abs. 1 lit. c DS-GVO müssen personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein, sog. Grundsatz der Datenminimierung. 

Zur ersten Kontaktaufnahme sollen die Identität, die Kommunikationsmittel und das Anliegen des Absenders angegeben werden. Erhoben werden können der Vor- und Nachname, die Anschrift, die E-Mail-Adresse, die Telefonnummer und die Telefaxnummer. 

Im Zusammenhang mit Bestellungen kann die Eingabe des Geburtsdatums erforderlich sein, um zu prüfen, ob der Besteller volljährig ist. Erhoben werden kann auch das Geschlecht, um den Absender korrekt anreden zu können. Die Erhebung weiterer personenbezogener Daten ist zu vermeiden. Die Angabe des Berufs, des Familienstandes, der Religionszugehörigkeit usw. ist regelmäßig nicht erforderlich. 

Fazit

Bei einem Kontaktformular ist immer eine Datenschutzerklärung erforderlich. Die DS-GVO enthält wesentlich detaillierte Informationspflichten als das gegenwärtig geltende Telemediengesetz. Das gänzliche Fehlen einer Datenschutzerklärung bei einem Online-Kontaktformular begründet einen Wettbewerbsverstoß, der kostenpflichtig abgemahnt werden kann. Die bei einem Kontaktformular erhobenen Daten müssen auf das notwendige Maß beschränkt sein. Die Übertragung personenbezogener Daten über das Internet hat verschlüsselt, z. B. über eine HTTPS-Verschlüsselung, zu erfolgen.

Wir machen Ihre Website fit für die DS-GVO! 

RAin Nadine Kanis, LL.M. oec. 

Fachanwältin für Arbeitsrecht 

Betriebliche Datenschutzbeauftragte