Menü
header-image

Rechtsgebiete/Datenschutz - DSGVO/Kontaktformular nach der DSGVO

Kontaktformular – DSGVO konforme Gestaltung

Die Erforderlichkeit von Einwilligungen als Rechtsgrundlage für geschäftliche Kontaktaufnahmen.

Viele Datenschutz-Berater, mich eingeschlossen, haben bisher generell empfohlen, Kontaktformulare auf Webseiten mit einer anklickbaren Checkbox und einem Einwilligungstext für die Verarbeitung personenbezogener Daten zu versehen. Bei genauerer Betrachtung liegt dem gleichwohl ein Fehlschluss zu Grunde. Einwilligungen sind vielmehr in vielen solcher Fälle gar nicht nicht erforderlich und in den Fällen, in denen Sie erforderlich sind, ist eine Einbindung in das Kontaktformular jedenfalls nicht sinnvoll.

Um diese Behauptungen nachfolgend näher zu beleuchten, sollen vorab ein paar grundsätzliche Punkte klargestellt werden. Ich möchte meine Überlegungen zur Erforderlichkeit von Einwilligungen danach an ein paar Beispielen demonstrieren und erläutern, in deren Kontext Kontaktformulare üblicher Weise Verwendung finden.

Grundsätzliches:

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Neben einer Einwilligung des Betroffenen sieht die DSGVO diverse weitere solcher Rechtsgrundlagen vor. Der wesentliche Nachteil einer Einwilligung gegenüber diesen weiteren Rechtsgrundlagen besteht in zwei Punkten. Der erste Punkt ist, dass der Verantwortliche die freiwillige und informierte Einwilligungsentscheidung eines Betroffenen in eine bestimmte Verarbeitung nachweisen können muss. Mit diesem ersten Punkt verbindet sich zusätzlich die Problematik, den tatsächlich Einwilligenden auch identifizieren zu können. Der zweite Nachteil besteht darin, dass ein Betroffener eine erteilte Einwilligung jederzeit ohne Angabe von Gründen widerrufen kann, wenn auch nur für die Zukunft. Daraus folgt grundsätzlich, dass aus Sicht des Verantwortlichen andere Rechtsgrundlagen einer Einwilligung eindeutig vorzuziehen sind.

Zu beachten ist im Übrigen, dass der Verantwortliche nach Artikel 13, 14 DSGVO stets verpflichtet ist, einem Betroffenen bestimmte Informationen über die Verarbeitung seiner personenbezogenen Daten zur Verfügung zu stellen. 

Schließlich ergeben sich auch aus anderen gesetzlichen Bestimmungen, hier insbesondere § 7 UWG, Auswirkungen auf die Verarbeitung personenbezogener Daten, wobei ich nachfolgend nicht auf jede mögliche Alternative des § 7 (3) UWG eingehen und im Rahmen dieser Ausführungen auch nicht weiter erläutern werde, was rechtlich als Werbung [1] anzusehen ist.

Kontaktformular - Beispiel 1:

Sachverhalt:
Ein Besucher einer Firmenwebseite, der kein Kunde ist, informiert die Firma über deren Kontaktformular über einen bestimmten Sachverhalt (Fehler auf der Webseite, ergänzende Informationen zu einem Artikel, Hinweis auf Fremdprodukt, usw.).

Technischer Verarbeitungsvorgang:
Die durch das Kontaktformular erzeugte eMail wird über den Webserver, den Mailserver und in der Regel einen oder mehrere Mailclients des Verantwortlichen verarbeitet. Zumindest der über das Kontaktformular erzeugte http(s)-Request enthält nach heutigem Verständnis mindestens ein personenbezogenes Datum, nämlich die IP-Adresse des Besuchers, sowie je nach den vorhandenen Formularfeldern und den Eingaben des Besuchers aber auch darüber hinausgehend weitere personenbezogene Daten.
Die über das Kontaktformular erzeugte eMail wird vom Verantwortlichen bearbeitet und anschließend archiviert. Optional, und abhängig von seinen Eingaben, erhält der Besucher vielleicht noch eine Rückmeldung in Form einer Eingangs- oder Bearbeitungsbestätigung. Auch zu diesem Zweck findet eine Verarbeitung personenbezogener Daten statt.
Diese technischen Vorgänge möchte ich grob in zwei Phasen gliedern, nämlich die Phase Eingangsverarbeitung und die Phase Rückmeldungsprozess.

Rechtliche Verarbeitungsgrundlage:
Rechtsgrundlage für die Phase Eingangsverarbeitung ist zunächst einmal schlichtweg nach Artikel 6 (1) f) DSGVO das Vorliegen eines berechtigten Interesses des Verantwortlichen. Dieses ergibt sich aus dem wirtschaftlichen, ideellen und technischen Interesse an der der Bereitstellung und Nutzung eines zeitgemäßen Informationsmediums. Dieses Interesse überwiegt das Risiko möglicher, aber als gering einzustufender Beeinträchtigungen des Betroffenen durch die Verarbeitung seiner personenbezogenen Daten.
Die Frage, ob der Betroffene zusätzlich ausdrücklich oder stillschweigend in eine Verarbeitung seiner Daten eingewilligt hat, muss daher an dieser Stelle nicht mehr beantwortet werden.

Offen ist jedoch in diesem Beispiel noch die Frage nach der Rechtsgrundlage für die Phase 2 – Rückmeldeprozess. Da ich den Rückmeldeprozess als optional bezeichnet habe, soll die Frage nach der Rechtsgrundlage für diese Verarbeitung jedoch noch zurückgestellt werden und erst in den Folge-Beispielen weiter vertieft werden.

Kontaktformular - Beispiel 2:

Sachverhalt:
Ein Kunde einer Firma bittet nach dem Kauf eines Produktes über ein Kontaktformular auf der Firmenwebseite um die Übersendung einer Bedienungsanleitung oder hat sonstige produktspezifische Fragen.

Technischer Verarbeitungsvorgang:
In technischer Hinsicht geschieht dasselbe, wie in Beispiel 1, mit dem Unterschied, dass die Phase Rückmeldeprozess nicht mehr optional ist, sondern der Kunde eine Rückmeldung erwartet.

Rechtliche Verarbeitungsgrundlage:
Rechtliche Grundlage für die Verarbeitung ist in diesem Fall wegen der Anfrage eines Kunden (!) gemäß Artikel 6 (1) b) DSGVO die Erfüllung eines Vertrages gegenüber dem Kunden. Das gilt sowohl für die Phase Eingangsverarbeitung, als auch für die Phase Rückmeldeprozess. Eine darüber hinaus gehende ausdrückliche oder stillschweigende Einwilligung des Kunden ist nicht mehr erforderlich.

Identitätsfeststellung:
Für den Rückmeldeprozess ergibt sich allerdings ein spezielles Problem. Dieses Problem besteht unabhängig von der gewählten Rechtsgrundlage der Verarbeitung. Wie kann die Firma sicherstellen, dem richtigen Kunden oder überhaupt einem Kunden des Unternehmens zu antworten? Möglicherweise liegen die für den Rückmeldeprozess erforderlichen Daten der Firma bereits in verifizierter Form vor, zwingend ist das allerdings nicht. Die Frage muss aber beachtet und geprüft werden, damit nicht fehlerhaft ein Unbeteiligter Dritter kontaktiert wird.

Kontaktformular – Beispiel 3:

Sachverhalt:
Ein Besucher der Webseite bittet unter Verwendung des Kontaktformulars um Übersendung des aktuellen Firmenprospektes.

Technischer Verarbeitungsvorgang:
In technischer Hinsicht findet auch hier die Phase Eingangsverarbeitung und die Phase Rückmeldeprozess statt.

Rechtliche Verarbeitungsgrundlage:
Rechtliche Grundlage für die Phase Eingangsverarbeitung ist auch hier zunächst Artikel 6 (1) f) DSGVO (berechtigtes Interesse). Es stellt meines Erachtens auch ein berechtigtes Interesse des Unternehmens dar, dem Wunsch des Besuchers nach Übersendung eines Prospektes nachzukommen. Insofern ist auch für den Rückmeldeprozess grundsätzlich von der Rechtsgrundlage des Artikel 6 (1) f) DSGVO (berechtigtes Interesse) auszugehen.

Identitätsfeststellung:
Für den Rückmeldeprozess ergibt sich allerdings wieder das spezielle Problem, wie die Firma zuverlässig sicherstellen kann, dem richtigen Besucher der Webseite zu antworten.

Technischer Verarbeitungsvorgang Rückmeldeprozess:
Vielleicht ist Ihnen aufgefallen, dass ich bisher die Phase des Rückmeldeprozesses in technischer Hinsicht nur vage bzw. gar nicht konkret beschrieben habe. In unserem letzten Beispiel könnte das Unternehmen den Firmenprospekt dem Webseiten-Besucher entweder per Post, vielleicht auch per Telefax oder per eMail übersenden.

Hierbei treffen folgende Problemkreise aufeinander. Nämlich in welcher Form der Rückmeldeprozess bei dem Versand von Werbung stattfinden darf, an welche Person diese Rückmeldung erfolgen darf und welche Informationspflichten hierbei zu beachten sind.

Rechtsgrundlage Rückmeldeprozess:
Soll der Firmenprospekt per Post versandt werden, sind lediglich die Bestimmungen des Artikels 21 (2), (3) und (4) DSGVO (Informationspflichten über Widerrufsrecht bei Direktwerbung) zu beachten. Eine ausdrückliche oder stillschweigende Einwilligung für die Übersendung von Werbung per Post ist nicht erforderlich, weil eine Übersendung von Werbung an eine postalische Adresse nicht grundsätzlich unzulässig ist. Deshalb kann auch eine Überprüfung der Identität und der Anschrift des Besuchers unterbleiben.

Soll der Firmenprospekt (oder eine andere Werbung) dagegen per Telefax versandt werden, so ist von dem Verantwortlichen zu beachten, dass die Übersendung einer Werbung nach § 7 (1), (2) UWG per Telefax grundsätzlich unzulässig ist. Zulässig wäre dies unter anderem nur dann, wenn der Empfänger einer Übersendung per Telefax zugestimmt hätte (Einwilligung). Der Empfänger muss also auch in die Verarbeitungstätigkeit (Prospektversand per Telefax) eingewilligt haben. Denn ein berechtigtes Interesse des Verantwortlichen besteht hierfür nicht. Sein Interesse an Werbung wird vielmehr von dem gesetzlichen Verbot der Übersendung unverlangter Werbung per Telefax nach § 7 (1), (2) UWG überlagert.  
Der Verantwortliche muss also sicherstellen, dass ihm eine Einwilligung vorliegt, und er muss sicherstellen, dass diese Einwilligung auch von dem Anschlussinhaber der Telefaxnummer erteilt worden ist.
Diese Voraussetzungen dürften mittels Verwendung eines Kontaktformulars auf einer Webseite kaum zu erfüllen sein, da die Angaben eines Besuchers zu seiner Identität und etwaigen Anschlusskennungen nicht ohne zusätzliche Nachforschungen oder Nachfragen verifizierbar sein werden. Insofern wäre auch eine mittels Kontaktformular erklärte Einwilligung zunächst völlig sinnlos. Eine Verifizierung des Anschlusses und eine Einholung einer Einwilligung wäre allein im Wege eines Double-Opt-In Verfahrens per Telefax möglich, wie dies für Fälle der eMail-Werbung (Newsletter) entwickelt worden ist.

Die Ausführungen zu der Versendung eines Firmenprospektes per Telefax lassen sich insoweit auch 1:1 auf eine Versendung von Werbung per eMail übertragen. Auch hier wäre eine Einwilligung zur Datenverarbeitung (Übersendung von Werbung) in einem Kontaktformular sinnlos, da die Übersendung von Werbung per eMail grundsätzlich unzulässig ist, die Angaben in dem Kontaktformular in der Regel nicht verifizierbar sind und aus diesem Grund vor einer Übersendung von Werbung zunächst die Einwilligung des Anschlussinhabers per Double-Opt-In Verfahren eingeholt werden muss.

Fazit

Die Verarbeitung personenbezogener Daten mittels Kontaktformularen ist grundsätzlich bereits entweder nach Artikel 6 (1) b) DSGVO (Erfüllung eines Vertrages oder vorvertragliche Maßnahme) oder nach Artikel 6 (1) f) DSGVO (berechtigtes Interesse) zulässig.

Ist eine Rückmeldung an den Anfragenden erforderlich oder soll eine solche Rückmeldung erfolgen, dann ist für diesen Rückmeldeprozess zu prüfen, ob der Anfragende zuverlässig identifiziert werden kann und auf welchem zulässigen und verifizierten Weg die Rückmeldung erfolgen kann.

Ist die Rückmeldung rechtlich als Werbung anzusehen, dann ist zusätzlich zu prüfen, ob der gewählte Weg für die Rückmeldung eine gesonderte Einwilligung des Anfragenden erfordert und diese auch vorliegt.

In dem Kontaktformular und bei der Rückmeldung sind zudem die Informationspflichten nach der DSGVO zu beachten, d.h. ein Hinweis auf Datenschutzinformationen und ggfs ein Hinweis auf das Widerspruchsrecht gegen Direktwerbung.

(wdc)

 

[1] Urteil BGH vom 10.07.2018 – VI ZR 225/17: Der Begriff der Werbung umfasst alle Maßnahmen eines Unternehmens, mithin auch jegliche in einem geschäftlichen Zusammenhang getätigte Äußerung, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind.