Kontaktformulare – ist eine Einwilligung erforderlich?

Hallo an alle Einwilligungsgeplagten,
stellen Sie sich vor, Sie machen einen Einkaufsbummel in der Stadt und finden plötzlich das perfekte Paar Schuhe. Sie betreten das Geschäft, bereit Geld auszugeben. Aber die Verkäuferin teilt Ihnen mit, sie dürfe erst nach Ihrer Schuhgröße fragen, wenn Sie die Datenschutzerklärung (DSE) gelesen und akzeptiert haben.

WHAT?! ECHT, JETZT?! - Natürlich nicht!

Durch das Betreten des Geschäftes haben Sie eine Willenserklärung zur möglichen Anbahnung eines Rechtsgeschäftes abgegeben. Im Rechtsverkehr nennt man das auch „konkludentes Verhalten“.

Wikipedia schreibt dazu:
„Schlüssiges oder konkludentes Handeln (lat. concludere „folgern“, „einen Schluss ziehen“) (auch schlüssiges Verhalten, stillschweigende Willenserklärung oder konkludente Handlung) liegt im Rechtsverkehr vor, wenn jemand seinen Willen durch nonverbales Verhalten zum Ausdruck bringt und der redliche Empfänger hieraus auf einen Rechtsbindungswillen schließen darf, sodass ein Vertrag auch ohne ausdrückliche Willenserklärung zustande kommen kann.“

Sie betreten den Laden, um Schuhe zu kaufen – also sind Sie willens ein Geschäft anzubahnen und einen entsprechenden Vertrag zu schließen. Und damit die Schuhe auch passen, ist es Ihnen von Anfang an klar, dass Ihre Schuhgröße ein erforderliches personenbezogenes Datum ist. Ist doch eigentlich logisch, oder?

Warum also finden sich auf vielen Internetseiten Kontaktformulare mit Pflicht-Checkboxen? Man kann die Anfrage erst absenden, wenn man die Checkbox aktiviert und damit bestätigt, dass man
• mit der Verarbeitung seiner Daten zur Beantwortung der Anfrage einverstanden ist oder
• die DSE gelesen und diese akzeptiert hat oder ihr zustimmt.

Wozu soll das gut sein? Vielleicht entscheiden sich Webseitenbetreiber oder Agenturen aus Unkenntnis oder der Angst vor Abmahnungen für die Einwilligung. Man geht vielleicht schlicht und ergreifend davon aus, dass dies der einfachste und sicherste Weg ist.
Aber Vorsicht, damit kann man ziemlich daneben liegen. Denn mit der Einwilligung ist das so eine Sache. Einerseits muss dokumentiert werden, dass eine Zustimmung rechtmäßig eingeholt wurde. Und auf der anderen Seite haben die Betroffenen jederzeit das Recht, eine einmal gegebene Zustimmung zu widerrufen.

Die Vorgänge müssen also nachgehalten und dokumentiert werden und außerdem sind im Falle eines Widerrufs die Daten unverzüglich DSGVO-konform zu löschen (aktive Systeme, BackUps, etc.). Was also so verführerisch einfach klingt, hat in der Realität einige Haken und Ösen und verursacht entsprechend ziemlichen Aufwand.

Was sagt die DSGVO?

Die DSGVO sieht in Artikel 6 eine ganze Reihe von „Erlaubnistatbeständen“ vor, unter denen die Verarbeitung personenbezogener Daten zulässig ist. Die für unser Kontaktformular relevanten Artikel sind:

Art. 6, Abs. 1, lit. a: Einwilligung der betroffenen Person
Art. 6, Abs. 1, lit. b: Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen
Art. 6, Abs. 1, lit. f: Berechtigtes Interesse des Verantwortlichen

Art. 6, Abs. 1, lit. a: Einwilligung der betroffenen Person

Es gibt Verarbeitungen, bei denen eine Einwilligung zwingend eingeholt werden muss. Dazu gehören z. B. der Einsatz von bestimmten Marketing- oder Tracking-/Analysetools etc. Für Kontaktformulare ist laut Aussage der bayerischen Datenschutzaufsicht „eine Einwilligung dann erforderlich, wenn besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1, DSGVO verarbeitet werden. Das kann z. B. der Fall sein, wenn über das Formular Gesundheitsdaten für die Terminvergabe bei einem Arzt abgefragt werden, das Kontaktformular für die Anmeldung bei einer religiösen Vereinigung oder politischen Partei genutzt wird oder der Nutzer Anhänge hochladen kann, die Rückschlüsse auf Daten zur Religion, ethnischen Herkunft, sexuellen Orientierung etc. zulassen [1].“

[1] Auszug aus dem Tätigkeitsbericht 2017/2018 des LDA Bayern vom März 2019 -

Für den Fall eines Kontaktformulars, das keine besonders sensiblen Daten enthält, trifft das nicht zu. Somit kann für die meisten Anwendungsfälle der Einsatz eines Kontaktformulars auf andere Rechtsgrundlagen gestützt werden.

Art. 6, Abs. 1, lit. b: Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen

Art. 6, Abs. 1, lit. f: berechtigtes Interesse des Verantwortlichen

Die andere Möglichkeit ist, den Einsatz eines Kontaktformulars auf das berechtigte Interesse des Seitenbetreibers zu stützen. Es liegt doch auf der Hand, dass der Seitenbetreiber ein offensichtliches und begründetes Interesse daran hat, eine an ihn gestellte Anfrage auch zu beantworten.
Der Gesetzgeber gibt zwar vor, dass bei einer Verarbeitung von Daten, die auf diesen Rechtsgrund gestützt sind, eine Interessensabwägung vorgenommen werden muss. Beim Einsatz eines Kontaktformulars ist logischer Weise aber davon auszugehen, dass sich die Interessen der beteiligten Parteien decken: Der eine stellt eine Anfrage und erwartet eine Rückmeldung, der andere möchte die Anfrage beantworten.

Vorsicht vor Vermischung mit Vertragsgrundlagen

Also halten wir fest: Eine „Pflicht-Checkbox“ ist bei den meisten Kontaktformularen unnötig. Wir kommen mit der DSE lediglich unserer Informationspflicht gem. DSGVO nach. Kein Interessent oder Kunde ist dazu verpflichtet, die Information auch wirklich zu lesen und erst recht nicht, ihr zuzustimmen oder sie zu akzeptieren.

Es gibt aber noch einen weiteren – nicht mit dem Datenschutz in Verbindung stehenden – Grund, diese Checkboxen nicht zu verwenden:
Mit der Definition eines Mussfeldes zur Anerkennung und Zustimmung zur DSE kann der Eindruck entstehen, dass die DSE ein Vertragsbestandteil – ähnlich der AGB - ist. Das ist sie aber NICHT!

Das Kammergericht Berlin hat im Dezember 2018 den Fall eines Webshops verhandelt, der im Bestellprozess per Checkbox die Zustimmung des Kunden zur „Datenschutzvereinbarung“ des Anbieters verlangte. Das Kammergericht hat entschieden (Aktenzeichen 23 U 196/13), dass ein Großteil der Datenschutzbestimmungen gegen das AGB-Recht verstoßen, weil sie mit wesentlichen Grundgedanken der DSGVO nicht zu vereinbaren seien.

Das Kammergericht urteilte, dass für die Unterscheidung, ob es sich um allgemein verbindliche Vertragsbedingungen oder um unverbindliche Hinweise handelt, auf das Verständnis des „rechtlich nicht vorgebildeten Durchschnittskunden“ abgezielt werden muss. Diesem erschienen die AGB des Anbieters und die getrennt davon zu akzeptierende „Datenschutzvereinbarung“ aufgrund der Formulierungen des Anbieters und der Zustimmungspflicht als „Vertragsbedingungen“, die er akzeptieren müsse, wenn er bestellen will. Also hat das Gericht den ganzen Text einer AGB-Kontrolle unterzogen.
Es ist also angeraten, eine saubere Trennung zwischen reinen Informationen und Vertragsbestandteilen einzuhalten, um unangenehme Bekanntschaft mit Rechtsanwälten und Gerichten zu vermeiden.

Conclusion

Wichtig ist:

• HTTPS Verschlüsselung nach aktuellem Stand der Technik ist absolute Voraussetzung für den Einsatz eines Kontaktformulars.
• Im Sinne der Datenminimierung sind beim Kontaktformular nur die wirklich relevanten Felder als Pflichtfelder zu definieren. Welche das sind, ist von Fall zu Fall individuell zu betrachten. So ist bei einem Online-Händler für Kühlschränke z. B. das Alter des Anfragenden kein relevantes Datum. Bei einem E-Zigaretten-Shop unter Umständen dagegen schon. Nach dem Motto „so viel wie nötig, so wenig wie möglich“ sollten also nur solche Eingaben als Pflichtfelder festgelegt werden, die tatsächlich erforderlich sind, um die Anfrage zu beantworten.
• Man sollte beim Kontaktformular auch einen Link zur DSE platzieren, damit Interessierte leicht an die gewünschten Informationen kommen. In etwa so: „Nähere Informationen zur Verarbeitung personenbezogener Daten finden Sie in unserer Privacy Policy“
• In der DSE selbst ist ein entsprechender Hinweis zum Kontaktformular zu ergänzen, der Aufschluss darüber gibt, welche Daten zu welchem Zweck von wem verarbeitet werden, auf welcher Rechtsgrundlage das geschieht und wie lange sie gespeichert werden.

Weiterführende Links und Informationen

Weiterführende Informationen und Hilfestellungen finden Sie u. a. in Art. 6, Abs. 1, DSGVO und im Erwägungsgrund 47 der DSGVO. In der Fachliteratur finden sich zwischenzeitlich ebenfalls recht verständliche und praxisnahe Publikationen. Auf eine Veröffentlichung verweist das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung unter https://www.lda.bayern.de/media/pm2018_15.pdf. Auf der Seite des Datenschutz-Guru findet man zu dem Thema einen (immer noch aktuellen) recht unterhaltsamen Podcast. Oder man fragt einfach beim fachkundigen Datenschützer seines Vertrauens nach.

Rechtliche Hinweise

Die Informationen in diesem Aufsatz habe ich nach bestem Wissen und Gewissen zusammengestellt und mit meiner Einschätzung versehen. Obwohl ich jede Anstrengung unternommen habe um sicherzustellen, dass alle Informationen auf dem neuesten Stand sind, gebe ich keine Garantie für Vollständigkeit oder Richtigkeit der Informationen.

Die Inhalte dienen lediglich dem unverbindlichen Informationszweck. Sie stellen ausdrücklich keine Rechtsberatung im Sinne des Rechtsberatungsgesetzes (RBerG) dar und können somit auch keine Beratung durch einen Rechtsanwalt ersetzen. Ich übernehme keine Haftung für Fehler oder Auslassungen und hafte nicht für Schäden, die sich aus einem Vertrag, einer unerlaubten Handlung oder anderweitig aus der Nutzung oder dem Vertrauen auf diese Informationen ergeben oder von Handlungen oder Entscheidungen, die als Ergebnis der Verwendung dieser Informationen getroffen werden.