Affiliate-Marketing DE 
Affiliate-Marketing UK 
Amazon BE 
Amazon ES 
Amazon FR 
Amazon IT 
Amazon NL 
Amazon PL 
Amazon SE 
Amazon TR 
Amazon US 
eBay AT 
eBay CH 
eBay IE 
Homepage CZ 
Homepage DK 
Homepage PT 
Kaufland SK 
Online-Shop LU 
Online-Shop NO 
Online-Shop SI 
Kontaktformulare 2018: Was ändert sich durch die DSGVO?
Der 25. Mai 2018 ist ein Tag, den sich Shop-Betreiber rot im Kalender markieren sollten. An diesem Datum wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht – mit weitgehenden Folgen für Online-Händler. Auch die Datenerhebung durch Kontaktformulare, die zahlreiche Online-Shops nutzen, wird von der DSGVO erfasst. Ob und was sich durch die DSGVO in Bezug auf Kontaktformulare konkret ändert, erfahren Sie im Folgenden.
Inhaltsverzeichnis
- A. Bisherige Rechtslage nach dem TMG und dem BDSG
- I. Aufklärung in der Datenschutzerklärung
- II. Grundsatz der Datensparsamkeit
- III. Einwilligung erforderlich?
- IV. Verschlüsselung notwendig?
- B. DSGVO: Was ändert sich in Bezug auf Kontaktformulare?
- I. Datenschutz nur bei personenbezogenen Daten
- II. Rechtfertigung der Datenerhebung
- III. Grundsatz der Datensparsamkeit
- IV. Datenschutzerklärung
- V. Verschlüsselung notwendig?
- C. Empfehlung der IT-Recht Kanzlei
A. Bisherige Rechtslage nach dem TMG und dem BDSG
Ob und wie Shop-Betreiber personenbezogene Daten (potenzieller) Kunden über Kontaktformulare erheben dürfen, regeln bislang das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG).
I. Aufklärung in der Datenschutzerklärung
Verarbeiten, nutzen oder erheben Shopbetreiber auf ihrer Webseite unter Einsatz von Datenverarbeitungsanlagen personenbezogene Daten, müssen sie den Webseitennutzer bestimmte Informationen bereitstellen. Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Folgende Daten sind daher personenbezogen im Sinne des § 3 Abs. 1 BDSG:
- Nachname, Vorname und
- Kontaktdaten wie E-Mail-Adresse oder Telefonnummer.
Daraus folgt für Shop-Betreiber: Indem sie im Kontaktformular bestimmte Daten ihrer Kunden wie den Namen und die Kontaktdaten abfragen, erheben sie personenbezogene Daten. Die Folge: Sie müssen die Webseitenuser zu Beginn des Nutzungsvorgangs
- über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
- über die Verarbeitung seiner Daten,
- in allgemein verständlicher Form unterrichten (vgl. § 13 Abs. 1 Telemediengesetz (TMG)).
§ 13 Abs. 1 TMG sagt zwar nicht, dass diese nur mit einer Datenschutzerklärung erfüllt werden können. Dennoch ist eine vollständige Datenschutzerklärung die einfachste Möglichkeit, um den Informationspflichten nachzukommen.
II. Grundsatz der Datensparsamkeit
Grundsätzlich gilt bei der Verarbeitung von solchen personenbezogenen Daten der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG). Nach diesem sind so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen.
Soweit möglich sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren.
III. Einwilligung erforderlich?
Im Datenschutzrecht gilt ein sogenanntes „Verbot mit Erlaubnisvorbehalt“, d.h. es ist alles verboten, was nicht ausdrücklich erlaubt ist. Erlaubt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur, wenn:
- und soweit das BDSG dies erlaubt,
- eine spezielle gesetzliche Regelung dies erlaubt,
- der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.
Teilweise wird argumentiert, dass die Erhebung der Kontaktdaten im Kontaktformular nach § 28 Abs. 1 Nr. 2 BDSG aufgrund eines „berechtigten Interesses“ des Webseiteninhabers erlaubt ist. Konkret ist nach dieser Vorschrift „das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke […] zulässig soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.“
Andere wiederum vertreten die Auffassung, dass eine Einwilligung des Webseitennutzers einzuholen ist. Wir verweisen diesbezüglich auf den Artikel https://www.it-recht-kanzlei.de/online-kontaktformular-einwilligung.html.
IV. Verschlüsselung notwendig?
Das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) ist der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen, um Daten auf dem Weg vom Kontaktformular des Webseitenusers zum Webserver des Händlers vor neugierigen Blicken zu schützen. Dabei stützt es seine Auffassung auf § 9 BDSG, wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen. Welche Maßnahmen konkret zu treffen sind, wird in der Anlage zu § 9 Satz 1 BDSG näher erläutert. Danach müssen sie unter anderem gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierfür sind Verschlüsselungsverfahren nach dem Stand der Technik zu verwenden.
Welches Verschlüsselungsverfahren dabei tatsächlich eingefordert werden dürfen, hängt davon ob, wie der Stand der Technik zu bewerten ist. Früher erfolgte eine Verschlüsselung mittels „SSL“ (Secure Sockets Layer), mittlerweile werden Verbindungen durch „TLS“ (Transport Layer Security), eine Weiterentwicklung von SSL, verschlüsselt. Ob ein Unternehmen eine solche verschlüsselte Verbindung nutzt, ist an der URL zu erkennen. Anstelle von „http“ beginnt sie mit „https“. Die Verwendung einer Verschlüsselung mit „https“ ist inzwischen weit verbreitet und damit eigentlich schon als Standard einzustufen. Eine Verschlüsselung der Daten mittels TLS ist folglich bereits nach bisheriger Rechtslage notwendig.
B. DSGVO: Was ändert sich in Bezug auf Kontaktformulare?
Am 25. Mai 2018 wird DSGVO in allen Mitgliedstaaten geltendes Recht. Ab diesem Datum gilt die DSGVO in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen der DSGVO ab diesem Zeitpunkt umsetzen.
Die DSGVO hat enormen Einfluss auf das Datenschutzrecht. Einige Vorschriften des BDSG und des TMG werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des bisherigen Datenschutzrechts werden durch die DSGVO vollständig ersetzt. Welche Änderungen es konkret bezüglich der Erhebung personenbezogener Daten in Kontaktformularen ab dem 25. Mai 2018 geben wird, erläutern wir im Folgenden.
I. Datenschutz nur bei personenbezogenen Daten
Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Ein Personenbezug liegt bei Daten, die typischerweise in Kontaktformularen abgefragt werden (wie Name und Kontaktdaten), eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.
II. Rechtfertigung der Datenerhebung
Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn
- sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
- der Nutzer eingewilligt hat.
Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreiber ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
1. „Berechtigtes Interesse“ des Webseiten-Inhabers
Es muss also zunächst – wie schon nach bisheriger Rechtslage in § 28 Abs. 1 Nr. 2 BDSG gefordert – ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden. Erfasst werden einerseits Fälle im Rahmen eines bestehenden Vertragsverhältnisses, bei denen keine Einwilligung eingeholt wurde, andererseits Fälle außerhalb der Erfüllung eines Vertrags (Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).
Für Kontaktformulare folgt daraus: Selbstverständlich hat zunächst der Nutzer des Kontaktformulars ein Interesse an der Beantwortung der Anfrage. Darüber hinaus haben aber natürlich auch Shop-Betreiber ein wirtschaftliches Interesse an der Kontaktaufnahme (potenzieller) Kunden über ein Kontaktformular. Kontaktformulare stellen zusätzliche Serviceleistungen von Shop-Betreibern dar, die Kunden eine schnelle und unkomplizierte Kontaktaufnahme ermöglichen. Auf diese Weise können sich Shops durch guten Kundenservice von Konkurrenten abheben und das Vertrauen in ihren Online-Shop stärken. Häufig dienen Produktanfragen auch der Anbahnung eines Vertragsverhältnisses. Ein berechtigtes Interesse des Shop-Betreibers an der Datenverarbeitung liegt somit nach Auffassung des Verfassers vor. Die Datenverarbeitung ist zudem erforderlich, um die Kundenanfrage bearbeiten zu können.
2. Interessenabwägung: Persönlichkeitsrecht vs. Wirtschaftliches Interesse
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erfordert zudem eine Interessenabwägung. Dabei stehen sich zwei Interessen gegenüber: das Persönlichkeitsrecht des betroffenen Kunden und der Stellenwert, den die Offenlegung und Verwendung der Daten für ihn hat auf der einen und das Interesse des Shop-Betreiber an der Datenerhebung und –verarbeitung auf der anderen Seite. Nach dem Erwägungsgrund 38 ist bei der Interessenabwägung „auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“
Daraus folgt: Die Kontaktanfrage geht vom Kunden selbst aus, der seine Daten aktiv in das Kontaktformular zwecks Kontaktaufnahme eingibt. Es liegt keine unbemerkte Datenübertragung vor, wie sie bspw. bei Social Plugins erfolgt. Der Kunde kann vielmehr konkret absehen, welche Daten vom Unternehmen abgefragt und zu welchem Zweck (Kontaktaufnahme und Bearbeitung des Anliegens) diese verarbeitet werden. Die Interessenabwägung fällt folglich zugunsten des Shop-Betreibers aus.
3. Zwischenfazit
Die Datenerhebung und –verarbeitung durch Kontaktformulare ist nach Auffassung des Verfassers gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt. Eine Einwilligung des Nutzers in die Datenerhebung und –verarbeitung ist nicht erforderlich.
Dabei ist jedoch zu beachten: Selbstverständlich rechtfertigt Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO nur die Datenerhebung und –verarbeitung, die unmittelbar zum Zwecke der Bearbeitung des Kundenanliegens erforderlich sind. Eine Speicherung oder Weitergabe der Daten zu anderen Zwecken kann dadurch nicht gerechtfertigt werden.
Achtung: Rechtsprechung zu der Thematik gibt es (noch) nicht. Dementsprechend ist diese Interpretation nicht durch Rechtsprechung abgesichert. Jedoch stellt sie – auch angesichts des Erwägungsgrunds 38 zur DSGVO, der eindeutige Vorgaben zur Interessenabwägung macht – die nach Ansicht des Verfassers überzeugendste Auffassung dar.
III. Grundsatz der Datensparsamkeit
Art. 5 Abs. 1 DSGVO stellt zudem bestimmte Grundsätze für die Verarbeitung personenbezogener Daten auf, die auch bei der Datenerhebung und –verarbeitung durch Kontaktformulare zu beachten sind. Insbesondere fordert Art. 5 Abs. 1 DSGVO wie schon § 3a BDSG, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden müssen (Grundsatz der Datenminimierung). Daraus folgt: Weiterhin sollten in Kontaktformularen nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind, um die Anfrage zu beantworten. Diese zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Shop-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.
IV. Datenschutzerklärung
Auch wenn eine Einwilligung in die Datenerhebung und –verarbeitung nach der hier vertretenen Auffassung nicht erforderlich ist: Um eine Datenschutzerklärung, die ausführlich über die Datenerhebung und –verarbeitung informiert, kommen Händler auch ab dem 25. Mai 2018 nicht herum. Konkret zählt Art. 13 Abs. 1 DSGVO einen Katalog an Pflichtinformationen auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Welche Punkte die Datenschutzerklärung konkret aufweisen muss, welche Form diese haben muss und zu welchem Zeitpunkt die Informationen gegeben werden müssen, erfahren Sie im Artikel „Datenschutzerklärung 2018: Was ändert sich durch die DSGVO?“ unter https://www.it-recht-kanzlei.de/neue-datenschutzerklaerung-2018-datenschutzgrundverordnung.html.
V. Verschlüsselung notwendig?
Bereits nach jetziger Rechtslage müssen Daten, die in Kontaktformularen erhoben werden, gemäß § 9 BDSG und seiner Anlage verschlüsselt werden. Daran wird sich auch durch die DSGVO nichts ändern.
Art. 5 lit f. DSGVO schreibt bei der Verarbeitung von Daten den sogenannten Grundsatz der Integrität und Vertraulichkeit vor. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Der Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b konkretisiert, der einen Maßnahmenkatalog mit dem Ziel, Gefahren für Daten durch Dritte abzuwehren, enthält. Dieser regelt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Zudem nennt Art. 32 Abs. 1 Satz 1 Hs. 2 DSGVO konkrete Maßnahmen, die die Datensicherheit sicherstellen sollen.
Dazu gehören
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
Daraus folgt: Das Gesetz erachtet die Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Dementsprechend müssen Formulare im Online-Shop verschlüsselt sein, damit dort eingegebene Daten nicht abgegriffen werden können.
C. Empfehlung der IT-Recht Kanzlei
Die DSGVO rückt die Rechtssicherheit von Kontaktformularen durch die DSGVO weiter in den Fokus der Datenschützer. Die IT-Recht Kanzlei bietet
Gewerbetreibenden rechtssichere Datenschutzerklärungen an, die selbstverständlich auch die Datenverarbeitung via Kontaktformular transparent regeln.
Zudem sollten Shop-Betreiber in ihre Webseiten eine TLS-Verschlüsselung einbauen. Die Implementierung ist relativ einfach und ohne größeren finanziellen Aufwand möglich, sodass eine entsprechende Verschlüsselung Shop-Betreibern auch zumutbar ist.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© momius - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
13 Kommentare
Wir möchten ein Kontaktformular auf unsere Firmenseite packen.
Dieses Formular ist nur für Anfragen von alten und potenziellen Kunden gedacht. Die Daten werden als E-Mail weitergeleitet und ausser im E-Mail-Programm nirgends gespeichert. Trotzdem HTTPS ?
Ja, dann sollte die Nachricht aber bereits clientseitig, d.h. im Webbrowser, so verschlüsselt werden, dass bis zur Ankunft beim Empfänger - und zwar nicht nur auf seinem Webserver oder seinem E-Mail-Postfach - die Nachricht von keinem Dritten gelesen werden kann.
Dafür habe ich mittels consultimator.com eine Lösung entwickelt, die hier vielleicht interessiert. Wenn nicht, bitte als Spam löschen:
Die Daten eines Kontaktfomulars werden dabei einschließlich Anhang bereits im Webbrowser des Absenders lokal per Javascript mittels AES und RSA verschlüsselt. Dazu wird ein RSA Public Key des Empfängers verwendet, der im Formular bereits hinterlegt ist. Die Daten werden dann in dem Zustand zunächst per SSL an den consultimator Server weitergeleitet, von dort an die E-Mail-Adresse des Empfängers. Ja, die "letzte Meile" ist ggf. nicht verschlüsselt, aber die Daten sind ohnehin so verschlüsselt, dass sie nur noch vom Empfänger gelesen werden können.
Der Empfänger kann die Daten dann in seinem Webbrowser - aber natürlich auch wieder nur lokal, mit seinem RSA Private Key entschlüsseln.
Der Absender bekommt von der gesamten Verschlüsselungsgeschichte nichts mit, muss sich darüber keinen Kopf machen.
Ich werde die Lösung voraussichtlich ab 1.7.2018 auch "offiziell" anbieten. Wer sie aber ggf. schon einmal vorab ausprobieren möchte, ist herzlich eingeladen. Kurze E-Mail an contact@consultimator.com reicht. Oder einfach das auf der Seite consultimator.com vorhandene verschlüsselte Kontaktformular nutzen... ;-)
Verstehe ich es richtig, dass die Nachweispflicht auch beinhaltet jedes Bestellformular oder jede Seminaranmeldung zu speichern, um einen Nachweis über die Einverständniserklärung erbringen zu können ?
wie verhält es sich in dem Zusammenhang mit Eingang- und Bestellbestätigungen? Wenn ich einerseits aus der Vorgabe ableite alles ist per SSL zu verschlüsseln, würde die Zusendung einer Bestellbestätigung als normale E-Mail das wieder aushebeln.
Wird das rechtlich unterschiedlich bewertet, dass die Nachricht an den Kunden mit meist gleichen Daten weniger schützenswert ist?
Besser oder optimal wäre es, aber wie ist die Rechtslage ?