Warning: usort() [function.usort]: The argument should be an array in /var/www/web1281/html/php/class-fachgebiete.php on line 97
Das Online-Kontaktformular: Fallstricke aus dem Bereich des Datenschutzes

» » » Das Online-Kontaktformular: Fallstricke aus dem Bereich des Datenschutzes

Das Online-Kontaktformular
Fallstricke aus dem Bereich des Datenschutzes

Rechtsanwältin Julia Braam

I. Datenschutz – was soll das?

Im Zeitalter des Internets und der immer weitergehenden Nutzung eigener Websites gehen immer mehr Firmen etc. (nachfolgend: Anbieter) dazu über, anhand von Online-Kontaktformularen dem Nutzer die Kontaktaufnahme zu erleichtern. So bieten immer mehr Arztpraxen ein Kontaktformular an, anhand dessen nicht nur Fragen, sondern auch Termine vereinbart werden können. Das gleiche findet sich bei Anwalts- oder Steuerkanzleien sowie allen erdenklichen Firmen, die der Einfachheit halber ein solches Formular zur Verfügung stellen.

1. Die schriftliche Einwilligung

Damit allerdings überhaupt der Kontakt hergestellt werden kann, muss der Anbieter eines solchen Formulars bestimmte Daten erheben, die im Sinne des Datenschutzrechts als personenbezogene Daten zu verstehen sind. Unter personenbezogenen Daten werden sämtliche Daten verstanden, die unmittelbar mit der Person in Zusammenhang stehen (z.B. Anrede, Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Telefaxnummer, Bankverbindung etc.). Diese Daten dürfen daher ausschließlich nach den Bestimmungen des deutschen Datenschutzes verwendet werden (BDSG). Diesbezüglich bestimmt das BDSG, dass derjenige, der seine Daten zur Verfügung stellt, vorher in die Verwendung seiner personenbezogenen Daten eingewilligt haben muss.

Grundsätzlich bedarf es hierzu einer schriftlichen Einwilligung. Außerdem muss diese Einwilligung freiwillig erteilt worden sein. In § 4 Abs. 1 BDSG heißt es hierzu wie folgt:

„Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.“

Wie sich aus dieser Vorschrift ergibt, kann die Einwilligung auch anders als in schriftlicher Form erteilt werden, soweit es gesetzlich erlaubt ist. Eine solche Ausnahme bildet § 13 TMG. Gemäß dieser Vorschrift ist es Onlineanbietern, die Kontaktformulare zur Verfügung stellen, möglich, die notwendige schriftliche Einwilligung elektronisch einzuholen. Gemäß § 13 Abs. 2 TMG kann die Einwilligung elektronisch erklärt werden, wenn der Anbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt seiner Einwilligung jederzeit abrufen kann und
  4. er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Diese Voraussetzungen müssen alle gleichzeitig vorliegen, anderenfalls ist die Einwilligung nicht wirksam erteilt. Darüber hinaus muss der Nutzer bereits vor Abgabe seiner Einwilligung darauf hingewiesen werden, dass er diese jederzeit mit Wirkung für die Zukunft widerrufen kann. Das gleiche finden wir im Bereich des Widerrufsrechts. Auch hier muss die Belehrung des Nutzers vor Vertragsabschluss erfolgen.

2. Die elektronische Einwilligung

Um eine Einwilligung wirksam elektronisch zu erteilen, bietet es sich an, gleich unterhalb des Kontaktformulars dem Nutzer die Einwilligung abzuverlangen. Der BGH hat in seiner Entscheidung vom 11.11.2009 (VIII ZR 12/08 – „Happy Digits“) zwischenzeitlich entschieden, dass die Einwilligung durch eine zusätzliche Umrandung sowie mit einer fett gedruckten Überschrift, welche das Wort „Einwilligung“ enthält, ausreichend hervorgehoben worden ist. Als mögliche Formulierung und Formatierung bietet sich daher die folgende Erklärung an:

[ ] Ich habe die Datenschutzerklärung[Verlinkung setzen] zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage genutzt. Die von mir erteilte Einwilligung kann ich jederzeit mit Wirkung für die Zukunft schriftlich widerrufen.

Dabei ist es wichtig, dass das Kästchen nicht bereits vorher angekreuzt ist (sog. Opt-out Verfahren). Stattdessen muss der Nutzer das Kästchen selbst ankreuzen, damit die Einwilligung wirksam erteilt worden ist (sog. Opt-in Verfahren).

Bereits hier werden vielfach Fehler in die Einwilligungserklärungen eingebaut, da diese entweder nicht darauf hinweisen, dass die Einwilligung jederzeit schriftlich widerrufen werden kann. Oder aber das Kästchen wurde bereits im Vorhinein angeklickt, so dass die Einwilligung sozusagen fingiert wird. Im Ergebnis nützt also eine falsche Einwilligungserklärung so wenig wie eine gänzlich fehlende.

Der lapidare Hinweis unterhalb des Kontaktformulars auf die Datenschutzerklärung genügt in der Regel nicht, Beispiel:

Mit Absenden Ihrer Kontaktanfrage erklären Sie sich mit unserer Datenschutzerklärung [Verlinkung setzen] einverstanden.

Anders sieht es schon wieder aus, wenn die vorstehende Formulierung mit einem Opt-In Kästchen versehen wird:

[ ] Mit Absenden Ihrer Kontaktanfrage erklären Sie sich mit unserer Datenschutzerklärung [Verlinkung setzen]einverstanden.

Allerdings ist hierzu zu sagen, dass die Rechtsprechung diesbezüglich noch äußerst unterschiedlich urteilt. Während manche Gerichte es bereits als ausreichend erachten, dass auf der Internetseite überhaupt eine Datenschutzerklärung vorhanden ist, verlangen die meisten Gerichte als auch die überwiegende Meinung der Literatur eine Verlinkung auf die Datenschutzerklärung sowie eine ausdrücklich erteilte Einwilligung durch den Nutzer (siehe oben).

3. Kann die Einwilligung nicht auch konkludent (durch schlüssiges Verhalten) erteilt werden?

Zwar gibt es auch Meinungen, nach denen eine Einwilligung konkludent erteilt werden kann. Dies wird unter anderem oftmals für den Fall angenommen, dass ein Anbieter seine Email-Adresse zur Verfügung stellt und der Nutzer über diese Kontakt aufnimmt bzw. seine Daten angibt. Allerdings kennt das BDSG keine solche Einwilligung, sondern stellt ausschließlich auf eine schriftliche Einwilligung ab.

Vor diesem Hintergrund sollte immer eine Einwilligung eingeholt werden, um einer Abmahnung zu entgehen. Gerichte, die eine Abmahnung wegen fehlender Einwilligung bzw. Datenschutzerklärung als rechtmäßig beurteilt haben, waren bspw. Das OLG Hamburg, Urteil vom 27.06.2013, Az. 3 U 26/12 oder das LG Köln, Beschluss vom 26.11.2015, Az. 33 O 230/15.

4. Nur Bestandsdaten und Nutzerdaten dürfen ohne Einwilligung erhoben werden!

Die schriftliche Einwilligung bzw. Annahme einer konkludenten Einwilligung kann nach dem BDSG als auch TMG allenfalls dann angenommen werden, wenn die Daten zwecks Abwicklung eines Vertragsverhältnisses, dessen Änderung (§ 14 TMG, sog. Nutzerdaten) bzw. für die Nutzung der Onlinedienste und deren Abrechnung erforderlich sind (§ 15 TMG, sog. Bestandsdaten).

Allerdings sind diese gesetzlichen Erlaubnistatbestände äußerst eng auszulegen, so dass es sich grundsätzlich empfiehlt, eine Einwilligung einzuholen. Denn alle darüber hinausgehenden Daten, die weder dem Vertrag noch der Nutzung der Onlinedienste dienen, dürfen ausschließlich nur dann erhoben werden, wenn eine Einwilligung vorliegt. Vor diesem Hintergrund geht man besser auf Nummer sicher und holt die Einwilligung ein.

5. Was muss noch rein?

Gemäß § 13 Abs. 4 TMG hatte der Anbieter außerdem noch durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. der Nutzer den Dienst jederzeit beenden kann,
  2. die angefallenen personenbezogenen Daten unmittelbar nach Beendigung gelöscht bzw. gesperrt werden,
  3. die Telemedien genutzt werden können, ohne dass Dritte Kenntnis erlangen,
  4. die personenbezogenen Daten bei verschiedenen Telemedien durch denselben Nutzer getrennt verwendet werden können (trifft nur zu, wenn der Anbieter mehrere Portale zur Verfügung stellt),
  5. die Daten nur zwecks Abrechnung zusammengeführt werden können und
  6. Nutzerprofile nur insoweit erstellt werden, als dass eine Identifikation des Nutzers ausgeschlossen wird.

Anhand des Wortes „und“ ist wiederum zu erkennen, dass diese Voraussetzungen allesamt gleichzeitig von dem Anbieter sichergestellt werden müssen. Anderenfalls läge ein Verstoß gegen das Datenschutzrecht vor und die Einwilligung wäre wiederum nicht wirksam. Für die Dokumentation und Einhaltung dieser Anforderungen ist allein der Anbieter verantwortlich, bei Streitigkeiten bezüglich der Einwilligungserteilung ist allein dieser beweisbelastet.

6. Und wann muss gelöscht werden?

In dem Moment, in dem ein Nutzer seine Einwilligung mit Wirkung für die Zukunft widerrufen, sind sämtliche Daten von ihm unverzüglich (spätestens binnen 14 Tagen) zu löschen. Dies gilt allerdings nicht für Daten, die noch zwecks Abwicklung des Vertragsverhältnisses benötigt werden. Sobald allerdings das Vertragsverhältnis gänzlich abgewickelt worden ist, sind auch diese Daten zu löschen.

Eine tatsächliche Frist enthält weder das BDSG noch das TMG. Man geht daher allgemein von einer Löschfrist von maximal 6 Monaten nach Beendigung des Vertragsverhältnisses aus. Grundsätzlich ist es allerdings so, dass die Daten gelöscht werden müssen, sobald der Zweck erreicht worden ist. Die Dauer von 6 Monaten ist daher bereits als sehr weitgehend auszulegen und sollte nicht zu sehr ausgeschöpft werden.

II. Die Datenschutzerklärung – ein zwingendes Unterfangen?

Ganz klare Antwort: Ja! Ohne gültige Datenschutzerklärung nützt die Einwilligung eines Nutzers gar nichts. Mittlerweile findet man folgende Datenschutzerklärung auf den Websites häufiger, die allerdings nicht den gesetzlichen Anforderungen entspricht:

Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Diese Datenschutzerklärung genügt bereits deshalb nicht den rechtlichen Anforderungen, weil der Nutzer sowohl über die Art, den Umfang und den Zweck der Erhebung als auch die Verwendung seiner Daten informiert werden muss. Insbesondere der Zusatz in der vorstehenden Erklärung, dass die „…Daten nur auf freiwilliger Basis erhoben werden, soweit dies möglich ist…“, dürfte bereits in sich widersprüchlich sein und damit dem Erfordernis der Freiwilligkeit nicht genügen.

Um eine wirksame Datenschutzerklärung zu erstellen, sollte daher zunächst über die Erhebung und Verarbeitung der Daten aufgeklärt werden, sodann sollte der Nutzer über die Nutzung und Weitergabe seiner personenbezogenen Daten informiert werden. Hierbei ist zu beachten, dass der Nutzer auch im Rahmen dieser Datenschutzerklärung darauf hingewiesen wird, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft schriftlich widerrufen kann. Am besten lässt sich dies durch die Hervorhebung mit Fettdruck bewerkstelligen. Außerdem muss der Nutzer weiter darüber aufgeklärt werden, was mit seinen Daten nach Ausübung seines Widerrufsrechts der Erklärung geschieht (Löschung oder Sperrung der Daten, § 13 Abs. 4 S. 1 Nr. 2 TMG).

1. Sonderfall Cookies

Zwischenzeitlich gehen immer mehr Internetseitenbetreiber dazu über, bei Nutzung ihrer Internetseite eine Einwilligung zu der Verwendung von Cookies einzuholen. Cookies sind kleine Dateien, die auf dem PC des Nutzers abgespeichert werden und es dem Anbieter bei einem erneuten Internetbesuch ermöglichen, zielgerichteter seine Produkte etc. anzubieten. Unter anderem werden Cookies auch dafür benutzt, um das Passwort einer Website zu speichern.

Für die Anwendung des TMG ist hierbei entscheidend, ob es sich bei den genutzten Cookies um solche handelt, die personenbezogene Daten erheben. Davon ist immer dann auszugehen, wenn eine Rückverfolgung zur Identität des Nutzers möglich ist. Vor diesem Hintergrund müsste normalerweise ebenfalls eine explizite Einwilligung eingeholt werden. Allerdings gilt auch hier, dass diese Einwilligung wiederum freiwillig sein müsste. Das Einblenden eines Fensters auf einer Internetseite, wonach die Verwendung der Cookies akzeptiert wird, genügt diesen Erfordernissen nicht. Denn oftmals werden die Fenster dermaßen in das Sichtfeld gesetzt, dass sie auf Dauer stören, so dass jeder Nutzer beinahe dazu übergeht, die „Einwilligung“ zu bestätigen. Vor diesem Hintergrund ist äußerst fraglich, ob hier eine Freiwilligkeit noch vorliegt.

Selbstverständlich bedarf es dann wieder keiner Einwilligung, sofern es sich um Cookies handelt, die Bestands- oder Nutzerdaten festhalten. Allerdings ist auch hierbei zu beachten, dass nur solche Daten ohne Einwilligung gespeichert werden dürfen, die auch zwingend erforderlich sind (enge Auslegung). Wann genau dies der Fall ist, wird im Einzelfall zu beurteilen sein. Das Setzen eines Popupfensters - mit dem Hinweis auf die Verwendung von Cookies – jedenfalls dürfte überflüssig sein. Akzeptabler erscheint da schon die Vorgehensweise, dass die Nutzer zu Beginn auf die Verwendung von Cookies hingewiesen werden und der Button „Verstanden!“ oder „OK“ verwendet wird. Zwar ist hierin keine Einwilligung zu sehen, der Nutzer ist aber dann jedenfalls wirksam über die Verwendung der Cookies aufgeklärt worden. Im Ergebnis dürfte aber auch dieser Hinweis überflüssig sein, da die meisten Cookies verwendet werden, um den Onlinedienst nutzen zu können. In diesem Fall bedarf es keiner expliziten Einwilligung. Im Ergebnis ist daher ebenso vertretbar, die Verwendung der Cookies lediglich in der Datenschutzerklärung anzugeben.

2. Und was ist mit Google Analytics?

Auch hier muss der Nutzer über Art, Umfang, Verwendung und den Zweck seiner gespeicherten Daten informiert werden. Diesbezüglich gilt dasselbe, wie bereits unter dem Punkt der Datenschutzerklärung angegeben worden ist. Geht man davon aus, dass Google selbst die Prozesse seiner Speicherung zutreffend umschreibt, so lässt sich folgende Datenschutzerklärung von dem Unternehmen übernehmen:

Datenschutzerklärung für die Nutzung von Google Analytics
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.

Soweit noch andere Programme, wie beispielsweise Google AdWords etc., verwendet werden, so können auch hier die entsprechenden Datenschutzerklärungen bei dem jeweiligen Unternehmen in der Regel übernommen werden.

III. Fazit

In Anbetracht des Umstandes, dass zwischenzeitlich immer mehr Gerichte dazu übergehen, Datenschutzerklärungen als auch die Impressumspflicht nach § 5 TMG als abmahnfähig zu behandeln, sollten Anbieter von Internetseiten bzw. Verwender von Online-Kontaktformularen zwingend dazu übergehen, eine entsprechende Einwilligung einzuholen.

Wenngleich die Frage der Abmahnfähigkeit einer fehlenden Datenschutzerklärung oder eines fehlenden Impressums noch nicht einheitlich in Deutschland gehandhabt wird, so dürfte sich die Einhaltung des geltenden Datenschutzrechtes bereits deshalb empfehlen, weil die europäische Datenschutzgrundverordnung (EU DS GVO), die bald das BDSG ersetzen wird, bereits am 24.05.2016 in Kraft getreten ist und spätestens zum 25.05.2018 verbindlich wird. Da die neue DS GVO mit erheblichen Bußgeldern (maximale Geldbuße 20 Millionen EUR bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes) droht, ist eine frühzeitige Umsetzung dringend anzuraten. Wer also heute bereits den Bestimmungen des BDSG weitestgehend gerecht wird, hat am Ende weniger Umsetzungsarbeit zu befürchten.