Datenschutz: Wie kann ich ein Kontaktformular datenschutzkonform erstellen?

Das Thema Datenschutzrecht steht bei vielen Shop-Betreibern nicht an oberster Stelle auf der Agenda. Dies ändert sich häufig erst, wenn beim Händler die erste Abmahnung eines Mitkonkurrenten eintrudelt. Was viele nicht wissen: Sogar eine vom Webseitenuser an den Shop-Betreiber mittels Kontaktformular versendete Nachricht kann ein datenschutzrechtlicher Vorgang sein, für den eine Einwilligung des Betroffenen eingeholt werden muss. Die IT-Recht-Kanzlei informiert sie im Folgenden darüber, wie Sie ein Kontaktformular datenschutzkonform erstellen können.

1. Rechtliche Grundlage

Verarbeiten, nutzen oder erheben Shopbetreiber auf ihrer Webseite unter Einsatz von Datenverarbeitungsanlagen personenbezogene Daten, müssen sie eine Vielzahl von Informationspflichten erfüllen. Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Wann genau Daten im Einzelfall personenbezogen sind, ist aufgrund dieser doch recht schwammigen Definition nicht immer eindeutig. Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Folgende Daten sind daher personenbezogen im Sinne des § 3 Abs. 1 BDSG:

• Nachname, Vorname
• Telefonnummer
• Kontaktdaten wie E-Mail-Adresse oder Telefonnummer

Grundsätzlich gilt bei der Verarbeitung von solchen personenbezogenen Daten der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG). Nach diesem sind so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Soweit möglich sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren.

Zudem gilt im Datenschutzrecht ein „Verbot mit Erlaubnisvorbehalt“, d.h. es ist alles verboten, was nicht ausdrücklich erlaubt ist. Erlaubt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur, wenn:

• und soweit das BDSG dies erlaubt
• eine spezielle gesetzliche Regelung dies erlaubt
• der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

Da es keine speziellen Rechtsvorschriften für Kontaktformulare gibt, benötigen Online-Händler die Einwilligung ihrer Webseitenuser in die Datenverarbeitung.

Wie diese genau ausgestaltet sein muss, regeln §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2 und 3 TMG, § 94 Telekommunikationsgesetz (TKG). Danach müssen Shopbetreiber den Nutzer zu Beginn des Nutzungsvorgangs über

• Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten
• über die Verarbeitung seiner Daten
• in allgemein verständlicher Form unterrichten.

Außerdem muss der Nutzer z.B. auch darüber aufgeklärt werden, dass er die Möglichkeit hat, die erteilte Einwilligung zur Nutzung seiner Daten jederzeit zu widerrufen (§ 13 Abs. 2 Nr. 4 TMG) . Eine solche Einwilligung kann ein Shop-Betreiber durch eine Datenschutzerklärung einholen. Ohne eine entsprechende Einwilligung darf der Online-Händler keine Daten erheben und verwenden.

2. Folgen bei fehlender oder unzureichender Datenschutzerklärung

Wird der Webseitenuser nicht, nicht rechtzeitig, d.h. bereits vor Erhebung seiner Daten, nicht richtig, d.h. nicht in allgemein verständlicher Form, nicht vollständig, d.h. nicht über Art, Umfang und Zweck der Verarbeitung seiner aufgrund des Kontaktformulars erhobenen Daten, informiert, ist der Bußgeldtatbestand des § 16 Abs. 2 Nr. 2 TMG erfüllt.

Theoretisch droht dem Shopbetreiber dann ein saftiges Bußgeld von bis zu 50.000 Euro (§§ 16 Abs. 2 Nr. 2, Abs. 3 TMG) . Soweit ersichtlich verfolgen die zuständigen Behörden Verstöße gegen Datenschutzbestimmungen aufgrund eines fehlenden Hinweises auf die im Kontaktformular erhobenen Daten jedoch bislang (noch) nicht.

Eine praktisch wesentlich relevantere Frage ist daher, ob ein fehlender Hinweis auf die im Kontaktformular erhobenen Daten in der Datenschutzerklärung einen abmahnfähigen Wettbewerbsverstoß darstellen kann.

a. Abmahnungsrisiko bei fehlender oder unzureichender Datenschutzerklärung

Ob Datenschutzverstöße generell abmahnbar sind, wird bereits seit längerer Zeit kontrovers unter Juristen diskutiert.

Das Oberlandesgericht (OLG) Hamburg hatte bereits im Jahr 2013 entschieden, dass fehlende oder fehlerhafte Datenschutzerklärungen einen abmahnfähigen Wettbewerbsverstoß darstellen (OLG Hamburg, Urteil vom 27.06.2013, Az. 3 U 26/12). Denn § 13 TMG soll – so die Hamburger Richter – auch der wettbewerbsrechtlichen Entfaltung der Mitbewerber durch Schaffung gleicher Wettbewerbsbedingungen dienen und stelle daher eine das Marktverhalten regelnde Norm im Sinne des § 4 Nr. 11 Gesetz gegen unlauteren Wettbewerb (UWG) a.F (jetzt in § 3a UWG geregelt) dar.

Mit gleichen Argumenten sieht auch das Landgericht (LG) Köln im Fehlen einer Datenschutzerklärung auf der eigenen Webseite einen abmahnbaren Verstoß (Beschluss vom 26.11.2015, Az.: 33 O 230/15).

Einige Gerichte sind jedoch der Auffassung, dass es sich bei einer fehlenden oder unzureichenden Datenschutzerklärung nicht um einen wettbewerbsfähigen Verstoß handelt, der abgemahnt werden kann (u.a. OLG München, Az. 29 O 3926/11; OLG Frankfurt, Az. 6 O 184/04). Sie begründen diese Auffassung damit, dass § 13 TMG primär dem Schutz der Webseitenuser und nicht der Mitbewerber diene. Deshalb sei § 13 TMG keine Konkurrenten schützende und damit das Marktverhalten regelnde Norm. Verstöße gegen § 13 TMG können daher nicht abgemahnt werden.

Unterm Strich ist die bisherige Rechtsprechung der Instanzgerichte sehr uneinheitlich. Ein „Machtwort“ des Bundesgerichtshofs (BGH) zu dieser Frage im Sinne einer klärenden Grundsatzentscheidung lässt bislang noch auf sich warten.

b. Abmahnrisiko durch Konkurrenten bei fehlendem Hinweis auf Datenerhebung mittels Kontaktformular

Soweit ersichtlich hat sich das LG Berlin nun als erstes Gericht damit auseinandergesetzt, ob ein fehlender Hinweis auf die in einem Kontaktformular erhobenen Daten in einer Datenschutzerklärung eine das Marktverhalten regelnde Norm im Sinne des § 3a UWG darstellt und damit abgemahnt werden kann (Urteil vom 04.02.2016, Az.: 52 O 394/15).

In dem zugrundeliegenden Streitfall wurde ein Immobilienmaklerbüro abgemahnt, das in seine Webseite ein Kontaktformular eingebaut hatte. Dieses konnte der Webseitenbesucher ausfüllen, um mit den Immobilienmaklern in Kontakt zu treten. In der Datenschutzerklärung gab es keinen Hinweis dazu, wie die über das Formular erhobenen Daten genutzt werden.

Das LG Berlin entschied zugunsten des abgemahnten Maklerbüros und verneinte einen abmahnfähigen Wettbewerbsverstoß aufgrund des fehlenden Hinweises in der Datenschutzerklärung. Begründet wurde die Entscheidung damit, dass die Pflicht der Unterrichtung der Kunden über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten keine Auswirkung auf den Wettbewerb habe, denn die Daten seien nicht zum Zwecke der Werbung, sondern nur zum Zwecke der Kontaktaufnahme erhoben worden.

Angesichts der sehr uneinheitlichen Rechtsprechung zur generellen Abmahnfähigkeit von Verstößen gegen Datenschutzvorschriften sollten aus dieser Entscheidung allerdings keine vorschnellen Schlüsse gezogen werden. Andere Gerichte könnten in einem solchen Fall anders entscheiden und einen fehlenden Hinweis in der Datenschutzerklärung auf die im Kontaktformular erhobenen Daten als wettbewerbsrechtlich relevanten Verstoß ansehen.

c. Kein Abmahnrisiko durch Verbraucherschutz- und Wettbewerbsverbände

Durch das am 24.02.2016 in Kraft getretene Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts wurden die Abmahnbefugnisse von Verbraucherschutzverbänden (= Verbandsklagerecht) auf datenschutzrechtliche Verstöße erweitert. Hierfür wurde im sog. Unterlassungsklagengesetz in § 2 Abs. 2 Satz 1 UKlaG eine neue Nummer 11 eingeführt.

Verbraucherschutz- und Wettbewerbsverbände werden damit in Zukunft Datenschutzverstöße im Rahmen ihrer Verbandsklagebefugnis nach dem UKlaG abmahnen und gerichtlich geltend machen können. Die Erhebung, Verarbeitung und Nutzung der Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Begründung, der Durchführung oder der Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem betroffenen Verbraucher soll gemäß § 2 Abs. 2 Satz 2 UklaG hingegen nicht von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG erfasst werden. Da Anfragen über ein Kontaktformular regelmäßig nur der Anbahnung eines Vertragsverhältnisses (also der Begründung eines rechtsgeschäftlichen Schuldverhältnisses) dienen, müssen Abmahnungen durch Verbraucherschutz- und Wettbewerbsverbände von Datenschutzverstößen in diesem Bereich nicht befürchtet werden.

3. Auf Nummer sicher: Wie sieht eine abmahnsichere Datenschutzklausel aus?

Ein Verzicht auf Kontaktformulare ist keine zielführende Option. Daher sollten Shop-Betreiber angesichts der unklaren Rechtslage in Bezug auf Abmahnungen durch Konkurrenten auf Nummer sicher gehen und ihren Shop datenschutzkonform umstrukturieren.

Aufgrund des Grundsatzes der Datensparsamkeit und Datenvermeidung (§ 3a BDSG) sollten im Kontaktformular nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind, um die Anfrage zu beantworten. Diese zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Shop-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.

Zudem sollte in der Datenschutzerklärung eine entsprechende Klausel aufgenommen werden, um eine gültige Einwilligung des Webseitenusers in die Verarbeitung seiner Daten zu erhalten. In dieser sollten Antworten auf folgende Fragen gegeben werden:

• Welche Daten werden erhoben?
• Zu welchen Zwecken werden die Daten verwendet?
• Wie lange werden die Daten aufbewahrt?

Die Unterrichtung über die Verarbeitung der mittels Kontaktformular erhobenen Daten kann zentral in der Datenschutzerklärung erfolgen, die direkt von der Seite des Kontaktformulars aus unter dem Link „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzinformationen“ erreichbar sein muss. Eine bloße Einbindung in die Allgemeinen Geschäftsbedingungen des Unternehmens ist nicht ausreichend.

4. SSL-Verschlüsselung notwendig?

Einige Shop-Betreiber nutzen Verschlüsselungstechniken, um Daten auf dem Weg vom Kontaktformular des Webseitenusers zum Webserver des Händlers vor neugierigen Blicken zu schützen. Früher erfolgte eine Verschlüsselung mittels „SSL“ (Secure Sockets Layer), mittlerweile werden Verbindungen durch „TLS“ (Transport Layer Security), eine Weiterentwicklung von SSL, verschlüsselt. Ob ein Unternehmen eine solche verschlüsselte Verbindung nutzt, ist an der URL zu erkennen. Anstelle von „http“ beginnt sie mit „https“.

Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) ist der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen und fordert Webseitenbetreiber zurzeit zu einer entsprechenden Umstellung ihrer Kontaktformulare auf. Das LDA Bayern stützt seine Auffassung dabei auf § 9 BDSG, wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen. Erforderlich sind solche Maßnahmen allerdings nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

In der Anlage zu § 9 BDSG ist normiert, welche Ziele die Maßnahmen verfolgen müssen. Sie gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierfür sind Verschlüsselungsverfahren nach dem Stand der Technik zu verwenden.

Welche Verschlüsselungsverfahren dabei tatsächlich eingefordert werden dürfen, hängt davon ob, wie der Stand der Technik zu bewerten ist. Die Verwendung einer Verschlüsselung mit „https“ ist inzwischen weit verbreitet und damit eigentlich schon als Standard einzustufen. Insofern verwundert es nicht, dass das LDA Bayern eine entsprechende Verschlüsselung fordert.

5. Empfehlung der IT-Recht-Kanzlei

Die IT-Recht Kanzlei bietet Gewerbetreibenden rechtssichere Datenschutzerklärungen an, die selbstverständlich auch die Datenverarbeitung via Kontaktformular transparent regeln.

Zudem sollten Shop-Betreiber in ihre Webseiten eine TLS-Verschlüsselung einbauen. Die Implementierung ist relativ einfach und ohne größeren finanziellen Aufwand möglich, sodass eine entsprechende Verschlüsselung Shop-Betreibern auch zumutbar ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.