DSGVO für Onlinehändler Teil 2 – don’t panic, get started: Das Kontaktformular im Lichte des neuen Datenschutzrechts

Derzeit sorgt die Datenschutz-Grundverordnung (DSGVO) zunehmend für Unruhe unter den Onlinehändlern. Auch in Bezug auf die künftige, rechtssichere Nutzung von Kontaktformularen im Sinne der DSGVO herrscht Verunsicherung. Viele Händler sind betroffen, denn die meisten Onlineshops ermöglichen Interessenten eine Kontaktaufnahme mittels eines elektronischen Formulars. Die IT-Recht Kanzlei möchte im Rahmen einer Serie von Beiträgen Onlinehändlern komprimiertes Praxiswissen zu den wichtigsten für die DSGVO relevanten Vorgängen des Tagesgeschäfts vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Verkäufer eine lösbare Herausforderung ist.

Vieles bleibt beim Alten, mit etwas Neuem garniert – jedenfalls kein Grund zur Panik!

Bezüglich der zum 25.05.2018 zu beachtenden Änderungen im Bereich des Datenschutzes wird derzeit einige Panikmache betrieben. Es werden Ängste geschürt, jeder Klein(st)händler müsse im Bereich des Datenschutzes ab dem 25.05.2018 Geschütze wie ein Weltkonzern auffahren.

Die IT-Recht Kanzlei möchte Händlern mit dieser Serie auch unberechtigte Ängste und Sorgen nehmen und vielmehr lösungsorientierte Anleitungen für kleine und mittlere Onlinehändler bieten, um den Hafen der DGSVO sicher zu erreichen.

Kontaktformulare sind im Onlinehandel nicht wegzudenken

Das Vorhalten von Kontaktformularen ist im Ecommerce von essentieller Bedeutung. Insbesondere für Verkäufer schafft dieser Kontaktweg gegenüber dem direkten Email-Kontakt einige Vorteile.

Anfragen lassen sich so kanalisieren und die Interessenten / Käufer gezielt lenken. Antworten auf Standardthemen können auf diese Weise „maschinell“ direkt beim Fokusieren der Anfrage erteilt werden, so dass kein Personal gebunden wird. Zudem kann durch entsprechende Pflichtangaben dafür gesorgt werden, dass dem Verkäufer auch alle notwendigen Daten zur Beantwortung des Anliegens vorliegen, was zeitintensive Nachfragen verhindert.

Ferner kann über „verschachtelte“ Formularebenen auch eine gewisse Hemmschwelle erreicht werden, um voreiligen Kundenkontakt zu verhindern,

Nutzung Kontaktformular = Erhebung personenbezogener Daten

Wie der Name schon sagt, dient ein Kontaktformular der Herstellung eines Kontakts und des Austausches von Informationen, hier zwischen Verkäufer und Interessent bzw. Käufer.

Neben einem Eingabefeld für die eigentliche Anfrage bzw. Nachricht sehen Kontaktformulare typischerweise gewisse Pflichtfelder vor, bei denen die Angabe von Daten mit Personenbezug wie etwa von Vorname, Nachname, Anschrift, Email-Adresse oder Telefonnummer verlangt wird, bevor das Formular abgeschickt werden kann.

Damit lässt sich ganz klar festhalten, dass im Rahmen der Nutzung eines Kontaktformulars in aller Regel durch den Seitenbetreiber bzw. Verkäufer personenbezogene Daten des Interessenten bzw. Käufers erhoben werden.

In der Folge ist das Kontaktformular daher ein Instrument im Onlineshop, welches sich ebenfalls an den Vorgaben der DSGVO messen lassen muss.

Bestandsaufnahme

Bereits nach derzeit geltender Rechtslage existieren nach dem BDSG und dem TMG Vorgaben, die an die Gestaltung von Kontaktformularen gestellt werden. Zu nennen ist dabei insbesondere der Grundsatz der Datensparsamkeit im Sinne des § 3a BDSG und die Notwendigkeit der Verschlüsselung der Übertragung sensibler Kundendaten.

So ist es bereits nach geltendem Recht unzulässig, wenn ein Verkäufer im Rahmen seines Kontaktformulars vom Interessenten zwingend die Angabe von Email-Adresse und Telefonnummer verlangt (also jeweils dazu ein Pflichtfeld vorhält). Schließlich reicht in Kommunikationsweg zur Kontaktaufnahme vollkommen aus.

Ferner sind Datenschutzbehörden der Auffassung, dass Betreiber von Kontaktformularen die technischen und organisatorischen Maßnahmen zu treffen haben, um die hierüber übermittelten Daten zu schützen. Dazu sei die gesicherte Übertragung der Formulardaten notwendig, etwa verschlüsselt durch einen anerkannten Verschlüsselungsmechanismus wie SSL/TLS. Diese Ansicht stützt sich dazu auf Vorschrift des § 9 BDSG.

Schließlich sind in Bezug auf das Vorhalten von Kontaktformularen bereits Abmahnungen und Maßnahmen von Datenschutzbehörden bekannt geworden, die sich auf die vorgenannten beiden Problempunkte als Verstoß stützen.

Was bringt die DSGVO? Ausblick für die Zeit ab dem 25.05.2018

Vorweg: Im Bereich des Kontaktformulars wird es ab dem 25.05.2018 keine gravierenden Änderungen geben. Vielmehr werden im Wesentlichen die bereits etablierten Grundsätze des BDSG durch die DSGVO fortgeführt.

Dazu nun im Einzelnen:

Weiterhin keine Einwilligung des Absenders erforderlich

Auch nach der DSGVO wird nach den derzeitigen Erkenntnissen im Rahmen von Kontaktformularen keine ausdrückliche Einwilligung des Absenders in die Erhebung und Verarbeitung von personenbezogenen Daten durch Kontaktformulare erforderlich sein. Dies gilt jedenfalls insoweit, als diese Datenerhebung und –verarbeitung unmittelbar zum Zwecke der Bearbeitung des konkreten Kundenanliegens erforderlich sind.

Grundsatz der Datensparsamkeit gilt fort

Auch künftig dürfen im Rahmen des Kontaktformulars nur die zwingend notwendigen personenbezogenen Daten im Rahmen der sogenannten Pflichtfelder erhoben werden. Dieser Grundsatz der „Datenminimierung“ findet sich in Art. 5 Abs. 1 DSGVO.

Darüber hinausgehende Daten mit Personenbezug dürften allenfalls im Rahmen einer freiwilligen Angabe erhoben werden.

Verschlüsselung auch künftig ein Muss

Onlinehändler sind auch künftig gut beraten, die Übertragung der Daten im Rahmen von Kontaktformularen durch eine TLS-/SSL-Verschlüsselung zu sichern. Diese bereits jetzt nach dem BDSG angenommene Verpflichtung ergibt sich künftig aus dem Grundsatz der Integrität und Vertraulichkeit der Daten nach der DSGVO.

Empfehlenswert: Hinweis und Verlinkung auf Datenschutzerklärung direkt beim Formular

Auch wenn hierzu die Rechtslage diesbezüglich nicht eindeutig ist, schaden kann es auf keinen Fall: Betreiber von Onlineshops sollten direkt beim Formular transparent auf ihre Datenschutzerklärung (die natürlich entsprechende Informationen zur Nutzung von Kontaktformularen enthalten sollte) hinweisen.

Neu: Angepasste Datenschutzerklärung erforderlich

Obwohl nach hier vertretener Auffassung keine Einwilligung in die Erhebung und Verarbeitung der Daten im Wege des Kontaktformulars erforderlich ist, müssen Onlinehändler ihre Datenschutzerklärung anpassen.

In einer solchen, an die neuen Vorgaben der DSGVO angepassten Datenschutzerklärung sollte umfassend und transparent über die die Datenerhebung und -verarbeitung informiert werden.

Fazit

Onlinehändler sollten sich von der kommenden DSGVO nicht verunsichern lassen. Es wird nichts so heiß gegessen, wie es gekocht wird. Vieles, was derzeit in der Theorie problematisiert wird, dürfte vermutlich in der Praxis weit weniger relevant sein, als derzeit angenommen.

Ein besonderes Augenmerk hinsichtlich der DSGVO sollten Onlinehändler dabei auf ihre „Außenwirkung“ legen, also auf das, was im Rahmen der Verkaufspräsenzen in Bezug auf den Datenschutz nach außen hin erkennbar ist.

Denn: Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitbewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind (z.B. eine veraltete oder lückenhafte Datenschutzerklärung oder ein offensichtlich unverschlüsseltes Kontaktformular).

Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern (etwa für die Erstellung eines Verarbeitungsverzeichnisses), Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist.

IT-Recht Kanzlei: bietet ab Ende März neue direkt einsetzbare Datenschutzerklärungen an

Wir werden unsere Mandanten bereits ab Ende März mit den neuen Datenschutzerklärungen für

• den eigenen Online-Shop,
• die eigene Präsentations- bzw. Homepage,
• eBay,
• Amazon,
• DaWanda,
• Etsy,
• und allen weiteren von uns angebotenen deutschsprachigen Rechtstexten

versorgen.

Diese Datenschutzerklärungen, die vollumfänglich den Anforderungen der Datenschutz-Grundverordnung entsprechen, werden dann auch sofort verwendet werden können. So können sich unsere Mandanten in aller Ruhe auf die gesetzlichen Neuerungen vorbereiten und müssen nicht alle Rechtstexte "in der Nacht" zum 25.05.2018 austauschen!

Weiterer Service der IT-Recht Kanzlei in Sachen Datenschutz-Grundverordnung

Darüber hinaus werden wir unseren Mandanten ab April 2018 weitere Hilfestellungen in Sachen DSGVO zur Verfügung stellen:

1. Ein Muster (inklusive detaillierter Handlungsanleitung) für das obligatorische Verzeichnis für Verarbeitungstätigkeiten.

2. Checkliste und ein Muster für die Datenschutzfolgenabschätzung

3. Muster für die Dokumentation im Falle einer Datenpanne

4. Diverse Handlungsanleitungen, die sich mit folgenden Themen auseinandersetzen:

• der richtige Umgang mit Newslettern und die sichere Einholung von Einwilligungen
• der rechtskonforme Einsatz von Google-Analytics
• wie bindet man Videos richtig ein
• Verwendung von Bannern und Pop-Ups zur Information über Cookies
• wann und wie können Telefonnummern an Paketdienstleister zu Ankündigungszecken weitergeleitet werden
• unter welchen Voraussetzungen können Kundenfeedback-Anfragen versendet werden
• und vieles mehr!

Weitere Informationen hierzu finden Sie in unserem aktuellen Beitrag: Die Datenschutz-Grundverordnung kommt – mit den Schutzpaketen der IT-Recht Kanzlei sind Sie bestens vorbereitet!

Wenn Sie noch kein Schutzpaket der IT-Recht Kanzlei nutzen und sich für die DSGVO fit machen möchten, dann schauen Sie doch einmal hier vorbei!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.