Die Einwilligung nach der DSGVO - Kontaktformulare auf Webseiten rechtssicher einsetzen

Die neue Datenschutzgrundverordnung (DSGVO) ist momentan eines der zentralen Themen, insbesondere für alle, die auch online unterwegs sind. Dabei stoßen wir immer wieder auf eine Frage: Was muss bei Kontaktformularen auf Webseite ab Mai beachtet werden? Dies ist keine unwichtige Frage, denn vermutlich nutzen 99% aller Webseite Formulare, über die Besucher der Webseite Kontakt aufnehmen können. 

 

Warum ist die DSGVO bei Kontaktformularen relevant?

Die DSGVO hat das Ziel, natürliche Personen bei der Verarbeitung “personenbezogener Daten” zu schützen. “Personenbezogene Daten” sind gemäß § 4 Nr. 1 DSGVO:

 

“alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”. 

 

Nutzt jemand ein Kontaktformular auf einer Webseite, gibt er seine persönlichen Daten, zumeist Namen, Telefonnummer und/oder Email-Adresse an. Diese Daten fallen unter den Begriff der “personenbezogenen Daten” und werden durch die Übermittlung an den Empfänger verarbeitet. Daher ist die neue DSGVO bei Kontaktformularen zu beachten.

 

Darf ich die Daten durch ein Kontaktformular erheben?

Kontaktformulare sind ein üblicher Kommunikationsweg auf vielen Webseiten. Doch beim Einsatz solcher Formulare sind einige Anforderungen zu beachten. Grundsätzlich gilt im Datenschutzrecht nämlich das sog. “Verbotsprinzip”. Danach ist die Datenverarbeitung grundsätzlich verboten. Zulässig ist diese nur, sofern sie ausnahmsweise erlaubt ist. Die Datenverarbeitung muss somit auf einer Rechtsgrundlage beruhen (vgl. § 6 Abs. 1 DSGVO). Für Kontaktformulare kommen insbesondere drei Legitimationen in Betracht: Die “Einwilligung”, zur Durchführung erforderlicher vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen und die sog. “Berechtigten Interessen”. An dieser Stelle soll das Augenmerk auf die Einwilligung gemäß § 6 Abs. 1 S. 1 lit. a) DSGVO gelegt werden.

 

Welche Voraussetzungen hat eine Einwilligung (sog. Opt-in)?

Eine rechtssichere Einwilligung des Betroffenen - also der Person, die das Kontaktformular nutzt und deren Daten verarbeitet werden - ist an einige Voraussetzungen geknüpft. Grundsätzlich muss eine Einwilligung nicht ausdrücklich erfolgen, sondern kann auch konkludent, d.h. durch schlüssiges Handeln vorgenommen werden. Bei Kontaktformularen könnte daher bereits die Eingabe der Daten in das Kontaktformular als Einwilligung angesehen werden. Um sicherzugehen, kann jedoch auch ein Klick zum Setzen eines “Häkchens” als Einwilligung der Datenverarbeitung bedingt werden. Nicht zulässig ist es jedoch, dass ein Häkchen bereits gesetzt wurde und durch den Nutzer entfernt werden muss. 

Zudem muss der Betroffene im Vorfeld ausreichend informiert werden (vgl. § 13 DSGVO), insbesondere darüber, wer seine Daten erhebt, was mit diesen geschieht und zu welchem Zweck die Daten erhoben werden. An dieser Stelle sollte auch auf die Datenschutzerklärung hingewiesen werden, die fester Bestandteil einer Webseite sein sollte.

 

Bei Einwilligungen durch Minderjährige sind zudem weitere besondere Anforderungen zu beachten (vgl. § 8 DSGVO). Aufgrund des “Gebots der Datenminimierung” (vgl. § 5 Abs. 1 lit. c) DSGVO) sollten jedoch nur Daten abgefragt werden, die für den Zweck des Kontaktformulars auch erforderlich sind. Unzulässig könnte es demnach sein, wenn in einem allgemeinen Kontaktformular, dessen Zweck die erste Kontaktaufnahme ist, Geburtsdaten oder ähnliches abgefragt werden. Dies ist jedoch immer am Einzelfall zu orientieren. Zudem steht dem Betroffenen ein Widerspruchsrecht zu (vgl. § 7 Abs. 3 DSGVO). Ein erfolgter Widerruf wirkt für die Zukunft.

 

Kann eine Einwilligung auch durch AGB erfolgen?

Eine Einwilligung kann auch in AGB enthalten sein. Der Betroffene willigt dann wirksam ein, wenn er den AGB ordnungsgemäß zustimmt (vgl. § 7 Abs. 2 S. 1 DSGVO). Dabei ist allerdings zu beachten, dass die Einwilligung von den restlichen AGB-Regelungen klar zu unterscheiden sein muss und nicht versteckt sein darf. Außerdem muss sie in leicht zugänglicher Form vorgehalten werden und in klarer, einfacher Sprache formuliert sein.

Dabei kann sich eine eingeholte Einwilligung auch auf mehrere Kanäle (zum Beispiel Telefonanrufe, Email-Newsletter etc.) beziehen, sofern der Betroffene darüber im Vorfeld ausreichend informiert wurde. Dies hat der BGH in einem Urteil vom 01. Februar 2018 entschieden. (III ZR 196/17)

 

In welchen Fällen ist besondere Vorsicht geboten?

In einigen Fällen sollte der Verwender eines Kontaktformulars besonders achtsam sein. Dies ist insbesondere der Fall, sofern “besondere Kategorien” personenbezogener Daten verarbeitet werden (vgl. § 9 DSGVO). Zu diesen zählen zum Beispiel Gesundheitsdaten. Ärzte, Physiotherapeuten und andere Berufsgruppen sollten demnach besonders achtsam sein, wenn sie Kontaktformulare auf ihren Webseiten einsetzen. Eine Einwilligung zur Verarbeitung solcher Daten muss beispielsweise ausdrücklich erfolgen, ein konkludentes Handeln genügt an dieser Stelle nicht mehr. 

 

Welche Nachteile kann eine Einwilligung haben?

Eine Einwilligung muss nicht immer die naheliegendste Legitimation für die Datenverarbeitung durch ein Kontaktformular sein, sondern kann unter Umständen auch Nachteile haben. Sollen die erhobenen Daten zum Beispiel zu einem späteren Zeitpunkt auch für andere als die ursprünglich festgelegten Zwecke genutzt werden, handelt es sich um eine sog. “Zweckänderung” nach § 6 Abs. 4 DSGVO. Die Voraussetzungen dieser Norm gelten nicht für die Datenverarbeitung aufgrund einer Einwilligung. Was auf den ersten Blick wie ein “Freibrief” für die Zweckänderung scheint, kann jedoch einen Nachteil bedeuten:

Bei der Datenverarbeitung aufgrund einer Einwilligung gilt diese nur für den ursprünglichen Zweck. Sollen die Daten später für einen anderen Zweck verwendet werden, ist also eine neue Einwilligung erforderlich.

 

Wurden die Daten beispielsweise aufgrund von “Berechtigten Interessen” (vgl. § 6 Abs. 1 S. 1 lit. f) DSGVO) erhoben, können diese später auch für einen anderen als die ursprünglichen Zweck verarbeitet werden, sofern die Voraussetzungen des § 6 Abs. 4 DSGVO vorliegen. In solchen Fällen kann sich die Datenverarbeitung aufgrund einer Einwilligung unter Umständen als der umständlichere Weg erweisen.

 

Haben Sie Fragen?

Wie Sie sehen, sind viele einzelne Voraussetzungen im Datenschutzrecht zu beachten - und das allein beim rechtssicheren Einsatz eines Kontaktformulars auf einer Webseite. Dabei sollte allerdings niemand Angst vor der Umsetzung der DSGVO-Vorgaben haben! Zunächst gilt es, sich einen Überblick zu verschaffen und anschließend die einzelnen Punkte “Stück für Stück” umzusetzen. 

 

Unsere Fachanwälte für Informationstechnologierecht (IT-Recht) Anne Sulmann und Jean Paul P. Bohne stehen Ihnen gerne zur Verfügung, falls Sie Fragen zur neuen Datenschutzgrundverordnung (DSGVO) haben, oder als (TÜV-zertifizierte) Datenschutzbeauftragte.

 

Felix Meurer, Wissenschaftlicher Mitarbeiter

ITMR Rechtsanwälte | Fachanwälte

- Kanzlei für IT-Recht und Medienrecht -

Jägerhofstraße 19-20

40479 Düsseldorf

T: 0211 737 547 - 70

F: 0211 737 547 - 99

E: info@itmr-legal.de

I:  www.itmr-legal.de

ITMR Rechtsanwälte GbR ist nach ISO 9001:2015 für anwaltliches Dienstleistungs- und Kanzleimanagement zertifiziert.