von Bea Brünen

Kontaktformulare 2018: Was ändert sich durch die DSGVO?

News vom 14.08.2017, 09:52 Uhr | 1 Kommentar 

Der 25. Mai 2018 ist ein Tag, den sich Shop-Betreiber rot im Kalender markieren sollten. An diesem Datum wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht – mit weitgehenden Folgen für Online-Händler. Auch die Datenerhebung durch Kontaktformulare, die zahlreiche Online-Shops nutzen, wird von der DSGVO erfasst. Ob und was sich durch die DSGVO in Bezug auf Kontaktformulare konkret ändert, erfahren Sie im Folgenden.

A. Bisherige Rechtslage nach dem TMG und dem BDSG

Ob und wie Shop-Betreiber personenbezogene Daten (potenzieller) Kunden über Kontaktformulare erheben dürfen, regeln bislang das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG).

I. Aufklärung in der Datenschutzerklärung

Verarbeiten, nutzen oder erheben Shopbetreiber auf ihrer Webseite unter Einsatz von Datenverarbeitungsanlagen personenbezogene Daten, müssen sie den Webseitennutzer bestimmte Informationen bereitstellen. Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Folgende Daten sind daher personenbezogen im Sinne des § 3 Abs. 1 BDSG:

  • Nachname, Vorname und
  • Kontaktdaten wie E-Mail-Adresse oder Telefonnummer.

Daraus folgt für Shop-Betreiber: Indem sie im Kontaktformular bestimmte Daten ihrer Kunden wie den Namen und die Kontaktdaten abfragen, erheben sie personenbezogene Daten. Die Folge: Sie müssen die Webseitenuser zu Beginn des Nutzungsvorgangs

  • über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
  • über die Verarbeitung seiner Daten,
  • in allgemein verständlicher Form unterrichten (vgl. § 13 Abs. 1 Telemediengesetz (TMG)).

§ 13 Abs. 1 TMG sagt zwar nicht, dass diese nur mit einer Datenschutzerklärung erfüllt werden können. Dennoch ist eine vollständige Datenschutzerklärung die einfachste Möglichkeit, um den Informationspflichten nachzukommen.

II. Grundsatz der Datensparsamkeit

Grundsätzlich gilt bei der Verarbeitung von solchen personenbezogenen Daten der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) . Nach diesem sind so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen.

Soweit möglich sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren.

unlimited

III. Einwilligung erforderlich?

Im Datenschutzrecht gilt ein sogenanntes „Verbot mit Erlaubnisvorbehalt“, d.h. es ist alles verboten, was nicht ausdrücklich erlaubt ist. Erlaubt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur, wenn:

  • und soweit das BDSG dies erlaubt,
  • eine spezielle gesetzliche Regelung dies erlaubt,
  • der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

Teilweise wird argumentiert, dass die Erhebung der Kontaktdaten im Kontaktformular nach § 28 Abs. 1 Nr. 2 BDSG aufgrund eines „berechtigten Interesses“ des Webseiteninhabers erlaubt ist. Konkret ist nach dieser Vorschrift „das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke […] zulässig soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.“

Andere wiederum vertreten die Auffassung, dass eine Einwilligung des Webseitennutzers einzuholen ist. Wir verweisen diesbezüglich auf den Artikel http://www.it-recht-kanzlei.de/online-kontaktformular-einwilligung.html.

IV. Verschlüsselung notwendig?

Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) ist der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen, um Daten auf dem Weg vom Kontaktformular des Webseitenusers zum Webserver des Händlers vor neugierigen Blicken zu schützen. Dabei stützt es seine Auffassung auf § 9 BDSG, wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen. Welche Maßnahmen konkret zu treffen sind, wird in der Anlage zu § 9 Satz 1 BDSG näher erläutert. Danach müssen sie unter anderem gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierfür sind Verschlüsselungsverfahren nach dem Stand der Technik zu verwenden.

Welches Verschlüsselungsverfahren dabei tatsächlich eingefordert werden dürfen, hängt davon ob, wie der Stand der Technik zu bewerten ist. Früher erfolgte eine Verschlüsselung mittels „SSL“ (Secure Sockets Layer), mittlerweile werden Verbindungen durch „TLS“ (Transport Layer Security), eine Weiterentwicklung von SSL, verschlüsselt. Ob ein Unternehmen eine solche verschlüsselte Verbindung nutzt, ist an der URL zu erkennen. Anstelle von „http“ beginnt sie mit „https“. Die Verwendung einer Verschlüsselung mit „https“ ist inzwischen weit verbreitet und damit eigentlich schon als Standard einzustufen. Eine Verschlüsselung der Daten mittels TLS ist folglich bereits nach bisheriger Rechtslage notwendig.

B. DSGVO: Was ändert sich in Bezug auf Kontaktformulare?

Am 25. Mai 2018 wird DSGVO in allen Mitgliedstaaten geltendes Recht. Ab diesem Datum gilt die DSGVO in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen der DSGVO ab diesem Zeitpunkt umsetzen.

Die DSGVO hat enormen Einfluss auf das Datenschutzrecht. Einige Vorschriften des BDSG und des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des bisherigen Datenschutzrechts werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret bezüglich der Erhebung personenbezogener Daten in Kontaktformularen ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.

I. Datenschutz nur bei personenbezogenen Daten

Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Ein Personenbezug liegt bei Daten, die typischerweise in Kontaktformularen abgefragt werden (wie Name und Kontaktdaten), eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.

II. Rechtfertigung der Datenerhebung

Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn

  • sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
  • der Nutzer eingewilligt hat.

Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.

Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreiber ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

1. „Berechtigtes Interesse“ des Webseiten-Inhabers

Es muss also zunächst – wie schon nach bisheriger Rechtslage in § 28 Abs. 1 Nr. 2 BDSG gefordert – ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden. Erfasst werden einerseits Fälle im Rahmen eines bestehenden Vertragsverhältnisses, bei denen keine Einwilligung eingeholt wurde, andererseits Fälle außerhalb der Erfüllung eines Vertrags (Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).

Für Kontaktformulare folgt daraus: Selbstverständlich hat zunächst der Nutzer des Kontaktformulars ein Interesse an der Beantwortung der Anfrage. Darüber hinaus haben aber natürlich auch Shop-Betreiber ein wirtschaftliches Interesse an der Kontaktaufnahme (potenzieller) Kunden über ein Kontaktformular. Kontaktformulare stellen zusätzliche Serviceleistungen von Shop-Betreibern dar, die Kunden eine schnelle und unkomplizierte Kontaktaufnahme ermöglichen. Auf diese Weise können sich Shops durch guten Kundenservice von Konkurrenten abheben und das Vertrauen in ihren Online-Shop stärken. Häufig dienen Produktanfragen auch der Anbahnung eines Vertragsverhältnisses. Ein berechtigtes Interesse des Shop-Betreibers an der Datenverarbeitung liegt somit nach Auffassung des Verfassers vor. Die Datenverarbeitung ist zudem erforderlich, um die Kundenanfrage bearbeiten zu können.

2. Interessenabwägung: Persönlichkeitsrecht vs. Wirtschaftliches Interesse

Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erfordert zudem eine Interessenabwägung. Dabei stehen sich zwei Interessen gegenüber: das Persönlichkeitsrecht des betroffenen Kunden und der Stellenwert, den die Offenlegung und Verwendung der Daten für ihn hat auf der einen und das Interesse des Shop-Betreiber an der Datenerhebung und –verarbeitung auf der anderen Seite. Nach dem Erwägungsgrund 38 ist bei der Interessenabwägung „auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“

Daraus folgt: Die Kontaktanfrage geht vom Kunden selbst aus, der seine Daten aktiv in das Kontaktformular zwecks Kontaktaufnahme eingibt. Es liegt keine unbemerkte Datenübertragung vor, wie sie bspw. bei Social Plugins erfolgt. Der Kunde kann vielmehr konkret absehen, welche Daten vom Unternehmen abgefragt und zu welchem Zweck (Kontaktaufnahme und Bearbeitung des Anliegens) diese verarbeitet werden. Die Interessenabwägung fällt folglich zugunsten des Shop-Betreibers aus.

3. Zwischenfazit

Die Datenerhebung und –verarbeitung durch Kontaktformulare ist nach Auffassung des Verfassers gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt. Eine Einwilligung des Nutzers in die Datenerhebung und –verarbeitung ist nicht erforderlich.

Dabei ist jedoch zu beachten: Selbstverständlich rechtfertigt Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO nur die Datenerhebung und –verarbeitung, die unmittelbar zum Zwecke der Bearbeitung des Kundenanliegens erforderlich sind. Eine Speicherung oder Weitergabe der Daten zu anderen Zwecken kann dadurch nicht gerechtfertigt werden.

Achtung: Rechtsprechung zu der Thematik gibt es (noch) nicht. Dementsprechend ist diese Interpretation nicht durch Rechtsprechung abgesichert. Jedoch stellt sie – auch angesichts des Erwägungsgrunds 38 zur DSGVO, der eindeutige Vorgaben zur Interessenabwägung macht – die nach Ansicht des Verfassers überzeugendste Auffassung dar.

III. Grundsatz der Datensparsamkeit

Art. 5 Abs. 1 DSGVO stellt zudem bestimmte Grundsätze für die Verarbeitung personenbezogener Daten auf, die auch bei der Datenerhebung und –verarbeitung durch Kontaktformulare zu beachten sind. Insbesondere fordert Art. 5 Abs. 1 DSGVO wie schon § 3a BDSG, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden müssen (Grundsatz der Datenminimierung). Daraus folgt: Weiterhin sollten in Kontaktformularen nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind, um die Anfrage zu beantworten. Diese zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Shop-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.

IV. Datenschutzerklärung

Auch wenn eine Einwilligung in die Datenerhebung und –verarbeitung nach der hier vertretenen Auffassung nicht erforderlich ist: Um eine Datenschutzerklärung, die ausführlich über die Datenerhebung und –verarbeitung informiert, kommen Händler auch ab dem 25. Mai 2018 nicht herum. Konkret zählt Art. 13 Abs. 1 DSGVO einen Katalog an Pflichtinformationen auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Welche Punkte die Datenschutzerklärung konkret aufweisen muss, welche Form diese haben muss und zu welchem Zeitpunkt die Informationen gegeben werden müssen, erfahren Sie im Artikel „Datenschutzerklärung 2018: Was ändert sich durch die DSGVO?“ unter https://www.it-recht-kanzlei.de/neue-datenschutzerklaerung-2018-datenschutzgrundverordnung.html.

V. Verschlüsselung notwendig?

Bereits nach jetziger Rechtslage müssen Daten, die in Kontaktformularen erhoben werden, gemäß § 9 BDSG und seiner Anlage verschlüsselt werden. Daran wird sich auch durch die DSGVO nichts ändern.

Art. 5 lit f. DSGVO schreibt bei der Verarbeitung von Daten den sogenannten Grundsatz der Integrität und Vertraulichkeit vor. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Der Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b konkretisiert, der einen Maßnahmenkatalog mit dem Ziel, Gefahren für Daten durch Dritte abzuwehren, enthält. Dieser regelt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Zudem nennt Art. 32 Abs. 1 Satz 1 Hs. 2 DSGVO konkrete Maßnahmen, die die Datensicherheit sicherstellen sollen.

Dazu gehören

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Daraus folgt: Das Gesetz erachtet die Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Dementsprechend müssen Formulare im Online-Shop verschlüsselt sein, damit dort eingegebene Daten nicht abgegriffen werden können.

C. Empfehlung der IT-Recht Kanzlei

Die DSGVO rückt die Rechtssicherheit von Kontaktformularen durch die DSGVO weiter in den Fokus der Datenschützer. Die IT-Recht Kanzlei bietet

Gewerbetreibenden rechtssichere Datenschutzerklärungen an, die selbstverständlich auch die Datenverarbeitung via Kontaktformular transparent regeln.

Zudem sollten Shop-Betreiber in ihre Webseiten eine TLS-Verschlüsselung einbauen. Die Implementierung ist relativ einfach und ohne größeren finanziellen Aufwand möglich, sodass eine entsprechende Verschlüsselung Shop-Betreibern auch zumutbar ist.

Bildquelle:
© momius - Fotolia.com
Autor:
Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Verschlüsselung auch gem. §13 Abs. 7 TMG erforderlich

29.08.2017, 14:10 Uhr

Kommentar von Auditor

Übrigens: Das Erfordernis einer Verschlüsselung von Kontaktformularen (sowie jeglicher Übertragung personenbezogener Daten im Rahmen eines geschäftsmäßig angebotenen Telemediendienstes) ergibt sich...

© 2005-2017 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller