IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Online-Kontaktformulare: Erforderlichkeit und Ausgestaltung von datenschutzrechtlicher Nutzereinwilligung

22.04.2016, 14:05 Uhr | Lesezeit: 19 min
Online-Kontaktformulare: Erforderlichkeit und Ausgestaltung von datenschutzrechtlicher Nutzereinwilligung

Achtung: Der nachfolgende Beitrag ist mittlerweile veraltet!
Aktuellere Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars" veröffentlicht.

Das Bereitstellen von Online-Kontaktformularen ermöglicht Nutzern nicht nur in Webshops, sondern auf jeglichen kommerziellen Plattformen ein simples und komfortables Herantreten an den jeweiligen Seitenbetreiber unter Bezugnahme auf ein konkretes Anliegen. Weil eine Beantwortung der Online-Anfragen allerdings die vorherige Eingabe bestimmter personenbezogener Nutzerdaten vorauszusetzen pflegt, entfalten derartige Kontaktformulare eine nicht unbeachtliche datenschutzrechtliche Relevanz. Für

Aufsehen sorgte in diesem Zusammenhang jüngst ein Urteil des OLG Köln (Entscheidung v. 11.03.2016 - Az. 6 U 121/15), das die wettbewerbsrechtliche Haftung eines Seitenbetreibers annahm, der für sein Online-Kontaktformular bestimmte datenschutzrechtliche Einwilligungserfordernisse nicht umgesetzt hatte. Doch ist nach geltendem Recht vor dem Absenden elektronischer Kontaktanfragen überhaupt zwingend eine Nutzereinwilligung einzuholen? Wie wäre diese auszugestalten und welche Konsequenzen ergäben sich für die Datenschutzerklärung? Antworten auf diese Fragen lesen Sie im folgenden Beitrag.

Tipp: Profitieren auch Sie vom Know-How der IT-Recht Kanzlei, welche bereits mehr als 30.000 Internetpräsenzen dauerhaft absichert! Entscheiden Sie sich für eines unserer Schutzpakete zu besonders günstigen Konditionen bei maximaler Flexibilität.

I. Einwilligungserfordernis für Online-Kontaktanfragen?

In Deutschland stehen – in Anlehnung an das europäische Vorbild – personenbezogene Daten unter besonderem Schutz und sind wesentliche Bestandteile der Identität grundsätzlich der alleinigen Verfügungsgewalt des Inhabers unterstellt.

Deshalb ist die Zulässigkeit der Erhebung, Verarbeitung und Verwendung derartiger Daten durch externe Stellen den besonderen Voraussetzungen des Bundesdatenschutzgesetzes (BDSG) unterworfen, das im Bereich der Telemedien, zu denen insbesondere Websites gehören, durch die Regelungen der §§12ff. des Telemediengesetzes (TMG) ergänzt wird.

Grundsätzlich gehen die restriktiven Datenschutzbestimmungen hierbei in §4 Abs. 1 BDSG und §12 Abs. 1 TMG von einem generellen Erhebungs- und Verarbeitungsverbot für personenbezogene Daten aus, das nur in gesetzlich speziell normierten Fällen oder bei vorheriger Einholung einer wirksamen Einwilligung des Betroffenen in eine ausnahmsweise vorliegende Erlaubnis umgewandelt werden kann. Jegliche der Datensammlung und –verwertung dienende Vorgänge sind insofern prinzipiell unzulässig, sofern das Gesetz nicht entweder einen besonderen Erlaubnisvorbehalt postuliert oder aber eine wirksame Einwilligung des Dateninhabers fehlt.

Sind spezialgesetzliche Nutzungsbefugnisse für die konkrete Form, den Zweck oder den Hintergrund der jeweiligen Personendatenverwertung nicht vorgesehen, kann nur die hinreichende Einwilligung als vorherige Zustimmung durch den Betroffenen die Fremddatennutzung legalisieren.

1.) Erhebung, Verarbeitung und Nutzung personenbezogener Daten bei Online-Kontaktformularen

Um im Bereich der Online-Kontaktformulare auf Webseiten überhaupt in den Anwendungsbereich der strengen Verwendungsrestriktionen des deutschen Datenschutzrechtes zu gelangen, müssten durch deren Nutzung auf Seiten des Betreibers überhaupt personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Nur dann nämlich, wenn zum einen eine relevante Verwertungshandlung und zum anderen auch der personenrechtliche Bezug der erhobenen Informationen ist, greift das in §4 Abs. 1 BDSG und §12 Abs. 1 TMG etablierte Verbot mit Erlaubnisvorbehalt ein.

Online-Kontaktformulare sollen den Nutzern von Websites eine einfache und gleichsam direktere und konformere Alternative zur Kommunikationsaufnahme via E-Mail oder Telefon bieten und können ihren Zweck nur dann erfüllen, wenn der jeweilige Interessent im Rahmen der Eingabe seinem konkreten Anliegen besondere Angaben über seine Person beistellt. Anderenfalls wäre nämlich der Seitenbetreiber, um dessen Stellungnahme mit der Kontaktanfrage implizit gebeten wird, gehindert, individuell auf das geäußerte Anliegen einzugehen und durch ein gezieltes Herantreten an den Nutzer eine beidseitige Kommunikation zu ermöglichen.

Dementsprechend wird Nutzern in elektronischen Kontaktformularen immer die Eingabe eines Mindestsatzes an personenbezogenen Daten abverlangt, die in Form des vollständigen Namens und einer individuellen Kontaktmöglichkeit (meist E-Mail und/oder Anschrift des Nutzers) eine Reaktion des Betreibers erst gewährleisten.

Sendet der Nutzer das Formular ab, erfolgt durch automatisierte technische Prozesse eine unmittelbare Erhebung der bereitgestellten personenbezogenen Daten durch den Seitenbetreiber bzw. dessen informationstechnologisches System, die sodann prozessiert und zur Kenntnisnahme des konkreten Anliegens aufbereitet und spätestens im Falle einer Antwort des Betreibers auch genutzt werden.

Werden Online-Kontaktformulare, die zum Zwecke einer individuellen Antwort die Eingabe von nutzerspezifischen Kontaktdaten vorsehen, abgesendet, findet auf Seiten des Betreibers mithin automatisch und unmittelbar eine datenschutzrechtlich relevante Verwertung personenbezogener Daten statt, die für ihre Zulässigkeit den besonderen Voraussetzungen der §§4 Abs. 1 BDSG und 12 Abs. 1 TMG unterworfen ist. Grundsätzlich käme es so stets auf die vorherige Erteilung einer wirksamen Einwilligung in die Datenerhebung und –verwertung durch den jeweiligen Nutzer an, sofern nicht ausnahmsweise eine gesetzliche Erlaubnis anzunehmen wäre.

2.) Einwilligungsfreie Datenverwertung zu geschäftlichen Zwecken, §28 Abs. 1 BDSG

Für Online-Kontaktformulare könnte eine solche Erlaubnis dem §28 Abs. 1 BDSG entnommen werden, der das Einwilligungserfordernis durchbricht und die Datenverwertung auch ohne vorangegangene Einwilligung ausnahmsweise für zulässig erklärt, wenn sie

  • für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist (Nr. 1)
  • oder zur Wahrung berechtigter Interessen des jeweiligen Seitenbetreibers notwendig ist (Nr.2)

a) Datenverarbeitung zur Abwicklung von Rechtsgeschäften, §28 Abs. 1 S. 1 Nr. 1 BDSG

Insbesondere im Bereich des Online-Handels ließe sich nun argumentieren, dass eine Großzahl der Kontaktanfragen in unmittelbarem Zusammenhang zu kaufvertraglichen Angeboten oder der Abwicklung bereits begründeter Vertragsverhältnisse ergeht und mithin schuldrechtlichen Zwecken derart dient, dass die Erlaubnis des §28 Abs. 1 Nr. 1 BDSG das Erfordernis einer vorherigen Nutzereinwilligung verdrängt.

Hier müsste der jeweilige Shopbetreiber bei der Bereitstellung von Kontaktformularen insofern grundsätzlich keine Einwilligung in die zur Beantwortung von Anliegen bestimmten Personendatenverarbeitung einholen, weil ihr Zweck der Abwicklung von Rechtsgeschäften dient und so eine Gefahr der Aushöhlung von Nutzerinteressen an der Geheimhaltung der Daten nicht droht.

Zu beachten ist allerdings, dass die Ausnahme vom Einwilligungsvorbehalt immer nur dort greift, wo in direktem Zusammenhang zur Datenerhebung auch schuldrechtliche Verhältnisse begründet werden können. Betreiber von kommerziellen Websites, die keine kaufvertraglichen Angebote unterbreiten sondern nur sozialkommunikative, informatorische oder unterhaltende Ziele verfolgen, könnten sich ob der Bereitstellung von elektronischen Kontaktformularen auf die besondere Verarbeitungserlaubnis nicht berufen.

Selbst in Online-Shops aber kann nicht bei jeder Form der Kontaktaufnahme auf eine Verbindung zu rechtsgeschäftlichen Anliegen geschlossen werden. Zwar ist es wahrscheinlich, dass die große Mehrzahl an Anfragen Angebote des Händlers oder aber die Abwicklung von Kaufverträgen betreffen wird. Dennoch kommen aber Ausnahmen in Betracht, bei denen Nutzer etwa allgemeine Fragen zum Shop oder zum Service äußern, die von der Erlaubnis des §28 Abs. 1 Nr. 1 BDSG in Bezug auf die Datenverarbeitung durch das Formular nicht erfasst wären. Gleichsam sind auch ihrerseits spezifische datenschutzrechtliche Anfragen (z.B. zum Umfang der Datenerhebung, zur Löschung von Daten etc.) denkbar, die keinem Geschäftszweck dienen.

In derlei Fällen wäre eine der Nutzung des Formulars vorgelagerte Einwilligung also erforderlich, deren Nichteinholung zu Lasten des Shopbetreibers ginge.

Mithin gilt: auch wenn – zumindest in Online-Shops – die Datenverwertung bei einer Vielzahl von elektronischen Kontaktanfragen ohne Einwilligungsvorbehalt durch §28 Abs. 1 Nr. 1 BDSG gedeckt wäre, kann nur die universelle vorherige Einwilligungseinholung sicherstellen, dass für sämtliche Kontaktanfragen die nachfolgende Datenerhebung, -verarbeitung und –nutzung legalisiert wird. Andererseits liefe der Shopbetreiber, der die Bandbreite der verschiedenen Anliegen nicht vorhersehen kann, Gefahr, für einzelne Anfragen den Vorwurf unzulässiger (da einwilligungsloser und nicht von §28 Abs. 1 Nr. 1 BDSG gedeckter) Datennutzungsprozesse gegen sich gelten lassen zu müssen.

Banner Starter Paket

b) Datenverarbeitung zur Wahrung berechtigter Interessen, §28 Abs. 1 S. 1 Nr. 2 BDSG

Eine Befreiung vom Einwilligungserfordernis könnte im Falle der Übermittlung von personenbezogenen Daten durch ein Online-Kontaktformular aber in Anlehnung an §28 Abs. 1 S. 1 Nr. 2 BDSG entfallen, der die Verarbeitung erlaubt, sofern dies zur Wahrung berechtigter Interessen des Seitenbetreibers erforderlich ist und Interessen des Betroffenen nicht überwiegen.

Gegenläufige Interessen der Nutzer an der Datenerhebung und –verwertung dürften zwar insoweit nicht in Betracht kommen, wie ihre Daten nur zum Zwecke der Beantwortung von Anliegen verwendet werden, weil hierin das ursprüngliche Motiv der Kontaktaufnahme begründet liegt.

Allerdings ist fraglich, ob es sich bei der Verwertung von in Formularen übermittelten Kontaktdaten um ein „berechtigtes Interesse“ des Seitenbetreibers handelt. Derartige Zwecke können insofern sowohl wirtschaftlicher als auch ideeller Art sein, müssten sich im konkreten Fall aber auf die Beantwortung von Anliegen beziehen.

Dabei ist aber festzuhalten, dass die Kontaktaufnahme primär ein Interesse des Nutzers ist, auf das der Seitenbetreiber nur reagiert. Ob das Interesse an einer individuellen Reaktion, etwa zur Garantie einer besonderen Besucherfreundlichkeit oder aber zur Erhaltung einer wirtschaftlichen Reputation, bereits als hinreichend gilt, ist zweifelhaft, da das ursprüngliche Kommunikationsbegehren vom Nutzer ausgeht.

Da das Eingreifen des Erlaubnistatbestands für Online-Kontaktformulare in Anlehnung an ein „berechtigtes Interesse“ des Seitenbetreibers an der Beantwortung von Anliegen bisher gerichtlich nicht entschieden wurde, ist eine Berufung auf diese gesetzliche Regelung und ein Verzicht auf das Einholen einer Einwilligung mit nicht unerheblichen Rechtsunsicherheiten für den Seitenbetreiber verbunden, die dessen kontaktformularbedingte Datennutzung im Zweifel als unzulässig erscheinen lassen könnte.

Für Kontaktformulare auf Websites ist daher – für die Sicherstellung der Zulässigkeit der Erhebung und Verarbeitung der bereitgestellten personenbezogenen Daten – von einem Rückgriff auf den §28 Abs. 1 BDSG abzusehen und zur vollumfänglichen, einzelfallunabhängigen Gewährleistung der Rechtmäßigkeit der Datennutzung auf die Einholung einer stets rechtfertigend wirkenden Einwilligung überzugehen.

3.) Konkludente Nutzereinwilligung durch Zweckrichtung des Kontaktformulars?

Wenn auch im Interesse der Rechtssicherheit von einer einwilligungsbefreiten Datenverwertung bei Kontaktformularen nach §28 Abs. 1 BDSG nicht ausgegangen werden kann, so könnte doch zumindest die Einholung einer ausdrücklichen Einwilligung in die Datenübermittlung entbehrlich sein.

Immerhin übermitteln die kommunikationsgewillten Nutzer ihre Daten innerhalb der Formulare gerade zu dem Zweck, den Seitenbetreiber zu einer Antwort zu veranlassen und geben ihre Kontaktdaten mithin bewusst dem Zugriff und der interessengerechten Verwertung preis.

In der Absendung des Kontaktformulars durch den Nutzer, der bereitwillig seine personenbezogenen Daten zur Ermöglichung einer zielgerichteten Reaktion des Betreibers eingegeben hat, ließe sich eine konkludente (schlüssig erklärte) Einwilligung sehen, die das Einholen einer ausdrücklich erklärten Zustimmung entbehrlich machen würde.

Allerdings ist dem deutschen Datenschutzrecht eine derartige konkludente Einwilligung fremd. Vielmehr stellt es eine Reihe von spezifischen Wirksamkeitsvoraussetzungen für ihre Erteilung auf, bei denen insbesondere das Ausdrücklichkeitserfordernis eine besondere Stellung einnimmt.

Bereits aus §4a Abs. 1 Satz 3 BDSG, der die grundsätzliche Schriftlichkeit der Einwilligung vorschreibt, ergibt sich, dass eine wirksame rechtfertigende Einwilligung gerade nicht soll stillschweigend erteilt werden können. Die Möglichkeit, von einer Datenpreisgabe auf eine konkludente Einwilligung zu schließen, unterliefe nämlich in besonderem Maße die hohe Schutzbedürftigkeit des Nutzers bei der Handhabung seiner personenbezogenen Daten und hebelte das Recht aus, frei und selbstbestimmt über sie zu verfügen. Insofern könnte die Annahme einer konkludenten Einwilligung im Zweifel nämlich aufgrund des geschaffenen Vertrauenstatbestands für den Seitenbetreiber über einen entgegenstehenden Nutzerwillen zur Preisgabe oder ein in dessen Person existierendes Informationsgefälle hinweghelfen.

Dies stünde insofern aber in einem unüberwindbaren Widerspruch zu der in §4a Abs. 1 Satz 1 BDSG zum Ausdruck kommenden Intention des Gesetzgebers, die Wirksamkeit der Einwilligung stets von der freien und reflektiert-bewussten Entscheidung des Dateninhabers abhängig zu machen.

Noch deutlicher wird das Ausdrücklichkeitserfordernis im Bereich der Telemedien und mithin auch für Online-Kontaktformulare auf Websites. Hier modifiziert §13 Abs. 2 TMG die Voraussetzung der „schriftlichen Erteilung“ nach §4a Abs. 1 Satz 3 BDSG und lässt ausnahmsweise auch eine elektronische Einwilligungserteilung zu. Voraussetzung für deren Wirksamkeit ist aber nach §13 Abs. 2 Nr. 1 TMG die „eindeutige“, also ausdrückliche Erteilung, die die Möglichkeit einer konkludenten Einwilligung durch bloße motivgesteuerte Datenübermittlung gänzlich entfallen lässt.

Mithin gilt: Die Erhebung und Nutzung personenbezogener Daten kann niemals durch eine behauptete „konkludente“ Einwilligung legitimiert werden. Vielmehr hat der Seitenbetreiber die erforderliche Einwilligung stets ausdrücklich einzuholen.

4.) Zwischenfazit

Online-Kontaktformulare sehen Eingabefelder für mehrere personenbezogene Daten vor, die dem Zwecke der Kontakterwiderung durch den Seitenbetreiber dienen und bei deren Absendung eine tatbestandliche Datenerhebung und –verwertung einleiten.

Damit setzt das Bereitstellen von derartigen Formularen vor deren Absenden grundsätzlich die Einholung einer Nutzereinwilligung in die Datenprozessierung voraus. Zwar mögen in individuellen Konstellationen Befreiungen vom Einwilligungserfordernis nach §28 Abs. 1 BDSG in Betracht kommen. Diese würden aber allenfalls einzelne einwilligungslose Datennutzungen legitimieren und können demnach vollumfängliche Rechtssicherheit bieten.

Dieser Auffassung scheint sich jüngst auch das OLG Köln mit Urteil vom v. 11.03.2016 (Az. 6 U 121/15) angeschlossen zu haben, das dem im Wege einer einstweiligen Verfügung geltend gemachten Begehren stattgab, einen Seitenbetreiber, der für sein Online-Kontaktformular keine Einwilligungen eingeholt und zudem weitere einwilligungsbedingte Informationspflichten missachtet hatte, zur Unterlassung zu verurteilen.

II. Wirksamkeitsvoraussetzungen der datenschutzrechtlichen Einwilligung

Ist nach Ansicht der IT-Recht Kanzlei die Einholung einer Einwilligung des Nutzers in die Erhebung und Verarbeitung seiner personenbezogenen Daten vor Absenden eines Online-Kontaktformulars zu verlangen, so sind im Folgenden die Voraussetzungen zu benennen, die eine solche wirksam und rechtfertigend werden lassen.

Da im Bereich der Telemedien, insbesondere auf Websites, die Einholung einer schriftlichen Einwilligung gemäß §4a Abs.1 Satz 3 BDSG aus technischen und räumlichen Gründen von vornherein ausscheidet, lässt §13 Abs. 2 TMG unter bestimmten Voraussetzungen auch eine elektronisch eingeholte Einwilligung in die Datennutzung zu.

Zu beachten ist dabei aber, dass die Einwilligung nur dann die eigentlich grundsätzlich verbotene Datenprozessierung legitimieren kann, wenn der Seitenbetreiber sämtliche Wirksamkeitserfordernisse einhält und so die Selbstbestimmtheit und die notwendige Informiertheit auf der Nutzerseite sicherstellt.

Im Bereich der elektronischen Kontaktformulare auf Websites wird eine elektronisch eingeholte Einwilligung nur dann wirksam, wenn

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat und
  • die Einwilligung protokolliert wird und
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann

Eine besondere Voraussetzung für die wirksame elektronische Erteilung von Einwilligungen wird darüber hinaus durch §13 Abs. 3 vorgegeben. Hiernach muss der Seitenbetreiber den Nutzer vor der Erteilung der Einwilligung zwingend auf das Recht hinweisen, seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können.

Fehlt es an der Umsetzung dieser Informationspflicht, so kann zum einen die Einwilligung unwirksam werden mit der Folge, dass die Datennutzung unzulässig wird. Zum anderen aber kann diese Hinweispflichtverletzung nach heute überwiegender Auffassung wettbewerbsrechtlich geahndet und mit Abmahnungen bedacht werden.

Zu den besonderen Erfordernissen des §13 Abs. 2 TMG treten allerdings die allgemeinen Wirksamkeitskriterien des §4a BDSG ergänzend hinzu.

So ist der Nutzer bereits im Rahmen der Einwilligung konkret und verständlich über die Datennutzungsvorgänge zu informieren, für die er seine Zustimmung erteilt. Diese sind möglichst genau zu bestimmen und müssen dem Nutzer eine informierte Entscheidung ermöglichen, seine Einwilligung im konkreten Fall zu erteilen oder zu versagen. Über die im Rahmen der Einwilligungserklärung aufgeführten Zwecke und Prozesse darf der Seitenbetreiber nicht hinausgehen, d.h. die Daten dürfen nur in dem Maße verwendet werden, wie sie von den in der Einwilligung ausgewiesenen Nutzungsvorgängen gedeckt sind.

Darüber hinaus ist die Einwilligung, soweit sie im Zusammenhang mit anderen Erklärungen ausgewiesen wird, für die bessere Erkennbarkeit und die Versinnbildlichung ihrer Tragweite dem Nutzer gegenüber besonders hervorzuheben, §4a Abs. 1 Satz 4 BDSG.

Dies kann erfolgen durch

  • Fettdruck, Schriftart oder Schriftgröße oder
  • farbliche Gestaltung der Schrift oder des Hintergrundes oder
  • eine Umrahmung der Erklärung

III. Umsetzung der Wirksamkeitsvoraussetzungen für Einwilligungen bei Online-Kontaktformularen

Wie gezeigt, knüpft der Gesetzgeber vor allem im Bereich der Telemedien die Wirksamkeit der datenschutzrechtlichen Nutzereinwilligung an eine Reihe von restriktiven Voraussetzungen. Diese müssen die Betreiber von Webseiten für ihre Online-Kontaktformulare, die aufgrund der darin bereitzustellenden personenbezogenen Daten das Einwilligungserfordernis auslösen, vollumfänglich einhalten, um die jeweiligen Datennutzungen zu legitimieren. Welche Umsetzungsmaßnahmen insofern erforderlich sind und wie die kontaktformularbedingte Einwilligungserklärung bestmöglich einzuholen ist, wird im Folgenden aufgeführt.

1.) Opt-In-Box oder bloße Mitteilung der Einwilligung?

Nach §13 Abs. 2 Nr. 1 TMG ist für die Wirksamkeit der elektronischen Einwilligung in die Datennutzung durch den Seitenbetreiber erforderlich, dass der Nutzer diese bewusst und eindeutig erteilt. Die Einwilligungserklärung muss insofern Ausdruck seines freien Willens sein, die personenbezogenen Daten preiszugeben und zur vom Betreiber benannten Verwendung zur Verfügung zu stellen.

Fraglich und seit jeder nicht abschließend bewertet ist insofern, ob der freien Willensentscheidung nur dadurch hinreichend Geltung verliehen werden kann, dass der Betroffene durch eine aktive Einwilligungshandlung seiner Erklärung die entsprechende rechtliche Bindungswirkung verleiht, oder ob die bloße Vorformulierung einer Einwilligung durch den Seitenbetreiber und eine Erklärung des Betroffenen durch die Vornahme der Übermittlungshandlung genügt.

Insbesondere im Bereich der der elektronischen datenschutzrechtlichen Einwilligung stehen sich zwei Lager gegenüber. Zum Teil wird es für erforderlich gehalten, dass der Einwilligende – um von der rechtlichen Tragweite seiner Erklärung hinreichend Kenntnis zu nehmen – mittels „Opt-In“, also durch Setzen eines Häkchens neben einem vorgefassten Einwilligungstext, seine Erklärung erteilt. Teilweise wird es aber auch als ausreichend empfunden, die Einwilligungserklärung ohne besondere Möglichkeit der Akzeptanz dem Feld beizustellen, durch dessen Anklicken die Daten übermittelt werden.

Die maßgeblichen datenschutzrechtlichen Bestimmungen schweigen zur näheren Bestimmung der optimalen Einwilligungsausgestaltung. Auch die deutschen Gerichte sehen grundsätzlich beide Formen der Einwilligungserklärung im Telemedienbereich als zulässig an, sofern durch die individuelle Gestaltung des Einwilligungstextes das Dispositionsrecht des Nutzers nicht durch Verwässerungen, Undeutlichkeiten oder Wahrnehmbarkeitshindernisse beeinträchtigt wird (vgl. nur BGH, Urt. v. 11.11.2009 – Az. VIII ZR 12/08).

Zwar ließe sich in Anbetracht der Auffassungsgabe und des Verständnisses der mit Verhaltensweisen im Internet vertrauten Nutzer plausibel davon ausgehen, dass das Beistellen eines vorgefertigten Einwilligungstextes nebst dem „Absenden“-Button des Kontaktformulars genügt.

Auf der vollständig rechtssicheren Seite bewegt sich der Seitenbetreiber aber, wenn er die Einwilligungserklärung tatsächlich mit einer „Check-In-Box“ versieht und ein Absenden des Formulars vom Setzen eines entsprechenden Häkchens abhängig macht. Dies führt dem Nutzer nämlich in besonders prägnanter Weise die Rechtserheblichkeit seiner Einwilligung vor Augen und stellt sicher, dass er nicht vorschnell die Kontaktübermittlung einleitet, ohne sich deren Tragweite bewusst zu sein.

Die IT-Recht-Kanzlei empfiehlt insofern eine Einwilligungseinholung per „Opt-In-Box“.

Achtung: zwingend erforderlich ist hierbei, dass die Einwilligungserklärung dem Online-Kontaktformular beigestellt ist. Eine Anführung an anderer Stelle – insbesondere innerhalb der Datenschutzerklärung, die in einer übergelagerten Rubrik bereitzuhalten ist – hebelt das von §13 Abs. 2 Nr.1 TMG etablierte „Deutlichkeitserfordernis“ aus.

Des Weiteren ist dringend zu beachten, dass das vom Nutzer zu setzende Häkchen nicht bereits eingetragen ist. Art. 13 TMG dient der Umsetzung der europäischen Richtlinie 95/46/EC, in deren Interpretationsunterlagen es unter anderem heißt:
„Using preticked boxes fails to fulfil the condition that consent must be a clear and unambiguous indication of wishes“ (zu deutsch: „Die Verwendung von vorangekreuzten Feldern kann die Bedingung nicht erfüllen, dass die Einwilligung der Ausdruck einer bewussten und eindeutigen Entscheidung ist.“)

Auch die Verwendung von negativ formulierten Einwilligungserklärungen („Ich willige nicht ein, dass..“), also die bloße Bereitstellung einer „Opt-Out-Möglichkeit“ für die Einwilligung ist unzulässig. Hier wird dem Nutzer eine Entscheidung für die Einwilligung nämlich so aufgedrängt, dass die Hemmschwelle einer Verweigerung zu Gunsten des Seitenbetreibers über Gebühr gesenkt wird (so auch der BGH, Urt. v. 16.7.2008 – Az. VIII ZR 348/06)

2.) Bestimmung des Einwilligungsumfangs

Für die Wirksamkeit der datenschutzrechtlichen Einwilligung gilt ein besonderer Bestimmtheitsgrundsatz, der die freie und autonome Entscheidung zur Preisgabe der personenbezogenen Daten sicherstellen und auf einen für den Betroffenen eindeutigen Umfang begrenzen soll.

So ist nach §4a Abs. 1 Satz 2 BDSG innerhalb der Einwilligungserklärung, welche der Nutzer durch Häkchen akzeptieren und ihr damit die erforderliche Ausdrücklichkeit verleihen kann, stets auf den konkreten vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen. Zu generell gehaltene Erklärungen ohne Erkennbarkeit einer limitierten Zweckbindung können den datenschutzrechtlichen Anforderungen zuwiderlaufen und so die Wirksamkeit der Einwilligung mit der Folge der Unzulässigkeit der Datenverwertung hemmen.

Die bereitzustellende Einwilligungserklärung muss also genau ausweisen, unter und zu welchen Bedingungen welche Daten genutzt werden dürfen (so auch das OLG Köln, Urt. v. 17.6.2011 – Az. 6 U 8/11).

Im Bereich der Online-Kontaktformulare sollte die bereitzustellende Einwilligungserklärung dem Nutzerinteresse an einer Datenübermittlung zu bloßen Kommunikationszwecken zwingend Rechnung tragen und so statuieren, dass die Erhebung, Verwertung und Nutzung streng zweckgebunden ausschließlich zur Bearbeitung der jeweiligen Anfrage genutzt wird.

3.) Hinweis auf die Widerruflichkeit

Gleichzeitig ist, da die Einwilligung über eine Webseite als tatbestandliches Telemedium zu erklären ist, nach §13 Abs. 3 TMG vor der Einwilligungserklärung verpflichtend darauf hinzuweisen, dass die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Dem Wortlaut des §13 Abs. 3 TMG zwar nicht zu entnehmen, aber dem Zweck der Vorschrift entsprechend vorauszusetzen ist zudem der Hinweis auf die Rechtsfolge eines Widerrufs, auf den hin notwendigerweise eine Löschung der erhobenen Daten durch den Seitenbetreiber zu erfolgen hat. Immerhin soll dem einwilligenden Nutzer durch die Informationspflicht eindeutig vor Augen geführt werden, dass die Erlaubnis zur Verwendung seiner personenbezogenen Daten ausschließlich vom Fortbestand seines Willens abhängt.

a) Belehrung innerhalb der Einwilligungserklärung

Die Belehrung über die Widerruflichkeit der Einwilligung und deren Rechtsfolgen kann unmittelbar innerhalb der Einwilligungserklärung erfolgen. Dies trägt dem Nutzerinteresse daran, über die Tragweite seiner Erklärung vollständig informiert zu werden, Rechnung. Zu beachten ist aber, dass nach §13 Abs. 3 Satz 2 i.V.m. Abs. 1 Satz 3 TMG der Inhalt der Belehrung für den Nutzer jederzeit abrufbar sein muss.

Weil diese jederzeitige Abrufbarkeit grundsätzlich nur dann gewährleistet ist, wenn der Nutzer von einer zentralen Stelle auf dem Telemedium aus auf die Belehrung zugreifen kann, genügt die alleinige Anführung in der Einwilligungserklärung auf der Kontaktformularseite regelmäßig nicht. Vielmehr ist der Hinweis auf die Widerruflichkeit und die Rechtsfolgen dann zusätzlich auch in die allgemeine Datenschutzerklärung des Seitenbetreibers aufzunehmen.

b) Alternativ: Verweis auf und Anführung in Datenschutzerklärung

Zulässig ist es auch, auf eine Belehrung innerhalb der Einwilligungserklärung auf der Kontaktformularseite zu verzichten und diese direkt in die Datenschutzerklärung zu verlagern. Nach überwiegender Ansicht ist es für die Hinweispflicht des §13 Abs. 3 TMG nämlich nur erforderlich, dass der Nutzer überhaupt auf dem jeweiligen Telemedium an ständig abrufbarer Stelle über die Widerruflichkeit der Einwilligung und die Rechtsfolgen belehrt wird. Eine Anführung innerhalb der Einwilligungserklärung selbst kann aufgrund der sich für den Nutzer ergebenden unmittelbaren Möglichkeit der Kenntnisnahme zwar hilfreich sein, ist aber keine notwendige Voraussetzung.

Will der Seitenbetreiber die Einwilligungserklärung (eventuell auch aus Platzgründen), möglichst kompakt halten, reicht es insofern aus, die Belehrung erst in der Datenschutzerklärung zu platzieren, auf die jeder Nutzer zugreifen kann.
Empfehlenswert ist in diesem Fall aber dennoch, auf diese Erklärung innerhalb des Einwilligungsfeldes auf der Kontaktformularseite durch Setzen eines Links zu verweisen und so dem Nutzer eine direkte Weiterleitung zu ermöglichen.

4.) Beispiel für eine rechtskonforme Ausgestaltung der Kontaktformular-Einwilligung

Unter Berücksichtigung der aufgestellten Grundsätze könnte eine rechtskonforme Einwilligungserklärung für ein Online-Kontaktformular wie folgt aussehen:

1

Auch eine Formulierung aus der Ich-Perspektive ist zulässig. Im nachstehenden Beispiel wird für die Belehrung zur Widerruflichkeit unmittelbar auf die Datenschutzerklärung verwiesen.

2

5.) Ergänzung der Datenschutzerklärung

Unabhängig davon, ob die bereitgestellte Einwilligungserklärung bereits die Belehrung zu Widerruflichkeit und Rechtsfolgen enthält, sollte dieser Hinweis aus Gründen der Rechtssicherheit und der von §13 Abs. 3 Satz 2 i.V.m. Abs. 1 Satz 3 TMG geforderten „ständigen Abrufbarkeit“ unter der eigenen Überschrift „Online-Kontaktformular“ in die nach §13 Abs. 1 TMG verpflichtende Datenschutzerklärung aufgenommen werden. Innerhalb des Passus kann zudem erneut über die Einsatzbestimmung der durch das Formular übermittelten personenbezogenen Daten und darüber informiert werden, dass keine Weitergabe an Dritte erfolgt.

Sinnvoll ist es zudem, auf das Auskunftsrecht des §19 BDSG gesondert hinzuweisen.

Tipp: Profitieren auch Sie vom Know-How der IT-Recht Kanzlei, welche bereits mehr als 30.000 Internetpräsenzen dauerhaft absichert! Entscheiden Sie sich für eines unserer Schutzpakete zu besonders günstigen Konditionen bei maximaler Flexibilität.

IV. Fazit

Auch wenn vereinzelt Ausnahmeregelungen des BDSG für die Datenerhebung im Rahmen von Online-Kontaktanfragen eingreifen können, ist im Interesse der Rechtssicherheit der Datennutzung für den Seitenbetreiber von einem grundsätzlichen Einwilligungserfordernis auszugehen. Dieser muss insofern vor dem Absenden des Formulars durch den Nutzer dessen Einwilligung in die Erhebung und Verwertung der angegebenen personenbezogenen Daten einholen.

Weil die Einwilligungserklärung ausschließlich elektronisch erfolgen kann, sind für deren Wirksamkeit die besonderen Voraussetzungen des §13 Abs. 2 und 3 TMG einzuhalten. Neben der Eindeutigkeit einer willentlichen Entscheidung, die am besten durch eine Opt-In-Checkbox sicherzustellen ist, hat der Seitenbetreiber auch die technische Protokollierung, die jederzeitige Abrufbarkeit und die Widerruflichkeit der Einwilligung sicherzustellen. Gleichsam muss er im Rahmen der Einwilligungserklärung eindeutig und verständlich auf die Zweckbestimmung der Datenverwertung informieren und den Nutzer vor der Erklärungsabgabe auf die Widerruflichkeit und deren Rechtsfolgen hinweisen.

In jedem Fall empfiehlt es sich, um der besonderen Schutzwürdigkeit personenbezogener Daten und dem Interesse der Nutzer an vollumfänglicher Aufklärung Rechnung zu tragen, zusätzlich zur Einwilligungsvorschaltung Hinweise auf den Umgang mit Daten aus dem Online-Kontaktformular unter einer eigenen Überschrift mit in die Datenschutzerklärung aufzunehmen.

Bei weiteren Fragen zu den datenschutzrechtlichen Anforderungen beim Bereitstellen von elektronischen Kontaktaufnahmemöglichkeit auf der Website oder zur rechtskonformen Ausgestaltung der Datenschutzerklärung steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Brad Pict - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

8 Kommentare

B
Bernhard Steuber 28.02.2018, 14:21 Uhr
Ist ein Double Opt In notwendig?
Beim lediglich einfachen Opt In kann jedoch folgender Fall nicht ausgeschlossen werden:
Jemand gibt über das Kontaktformular personenbezogene Daten eines unwissenden Dritten ein und verlangt beispielweise die Zusendung eines Angebots. Dann sind dessen Daten gespeichert, ohne dass seine per Bestätigungslink per E-Mail nachvollziehbare Einwilligung vorliegt. Erhält er jetzt bespielsweise ein Angebot des gewerblichen Webseitenbetreibers ist dies unaufgefordert und kann abgemahnt werden. Ist niocht also doch ein Double Optin zwingend geboten?
I
IT-Recht Kanzlei 07.07.2016, 15:05 Uhr
Antwort auf den Beitrag des Kollegen RA Marcus Dury LL.M.
Sehr geehrter Herr Kollege Dury,



haben Sie vielen Dank für Ihren Kommentar, wir freuen uns, wenn Kollegen unsere Beiträge aufmerksam lesen und diesbezüglich konstruktive Kritik äußern, wir dürfen Sie ermutigen, dies auch in Zukunft weiter vorzunehmen! Der IT-Recht Kanzlei ist bewusst, dass die Frage nach dem "Ob" einer Einwilligungseinholung für Online-Formulare viel Streitpotenzial bietet und sicher auch mit guten Gründen abgelehnt werden kann. Bei der Erstellung des Beitrags wurde vom Verfasser allerdings darauf Wert gelegt, den - vielleicht nicht anwenderfreundlichsten, aber - rechtssichersten Weg zu wählen, um betroffenen Händlern gerade in Anbetracht des stetig zunehmenden Ausspruchs von Abmahnungen etwaige rechtliche Auseinandersetzungen von vornherein zu ersparen.

Insbesondere angesichts der Tatsache, dass (wie von Ihnen richtigerweise erwähnt wurde) keine belastbare höchstrichterliche Rechtsprechung zu diesem speziellen Thema vorliegt, wurde im Beitrag eben der rechtssicherste Weg erläutert! Wir danken Ihnen für Ihr Einbringen, bleiben Sie uns gewogen!
R
Rechtsanwalt Marcus Dury LL.M. 06.07.2016, 11:33 Uhr
Fehlerhafte Schlussfolgerung
Lieber Autor. Bitte lassen Sie den Artikel von einem Anwalt der IT-Recht-Kanzlei München überarbeiten. Das Urteil des OLG Köln selbst sagt über die Notwendigkeit des Vorliegens einer datenschutzrechtlichen Einwilligung überhaupt nichts aus.

Die Schlussfolgerung, gem .§ 28 Abs.1 S.1. Nr. 2 BDSG läge kein berechtigtes Interesse des Seitenbetreibers vor, die Daten zur Beantwortung der Kontaktanfrage zu verwenden, ist schlecht bis gar nicht subsumiert. Sie geben selbst zu, dass keine Rechtsprechung hierzu vorliegt. Angesichts dieser Unklarheiten zu empfehlen, Einwilligungserklärungen einzuholen, diese zu dokumentieren, etc. ist haarsträubend. Dies sieht man auch daran, dass offensichtlich die IT-Kanzlei München und auch sonst noch kein Fachanwalt für Datenschutz, diese Problematik bisher gesehen hat und entsprechend die eigenen Kontaktformulare auch keine entsprechende Gestaltung aufweisen. Meine Empfehlung geht ganz klar dahin, erst einmal nur die Datenschutzerklärung anzupassen.
S
Stefan Kienberger, R. Tucci Musikinstrumente 30.06.2016, 10:43 Uhr
Nutzereinwilligung bei Online-Kontaktformularen
Sehr geehrte Damen und Herren,

wir nutzen Ihren Update-Service der rechtlichen Pflege der Shop-Rechtstexte. Bezüglich Ihres o.g. Artikels werden wir nicht ganz schlau. Nun nutze ich gerade Ihr Kontaktformular und finde dort keine Möglichkeit einer Nutzereinwilligung. Ist diese nun beim Kontaktformular zwingend notwendig oder nicht? Auch unser Shop bietet ein Kontaktformular, welches zum eingeben eines angezeigten Textes auffordert. Dies ist aber doch keine Einwilligungserklärung oder etwa doch. Wir sind nun ziemlich verwirrt was diese Einwilligungserklärung im Kontaktformular angeht. MfG Stefan Kienberger
l
llamaz 29.06.2016, 12:27 Uhr
Die hier angegebene Formulierung ist aber problematisch.
Das Versprechen die Daten zu löschen wie hier in dem einen Textvorschlag, kann ich pauschal gar nicht geben. Denn wenn die übermittelten Daten z.B. zu einer Bestellung gehören - z.B. der Kunde schreibt: "Ich habe soeben bei Ihnen bestellt, bitte verschicken Sie meine Bestellung erst nächste Woche weil ich noch im Urlaub bin." dann darf ich diese Nachricht nicht löschen da sie gesetzlichen Aufbewahrungsfristen unterliegt. Insofern halte ich die gewählte Formulierung für stark abmahngefährdet.
M
Mirko Hapido 27.04.2016, 09:06 Uhr
Am Fuße des Leuchtturms ...
Guter Artikel, aber die eigene Webseite ist auch noch nicht umgestellt. Beste Werbung ....

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei