Kontaktformulär - krävs samtycke?

Hej till alla samtyckesdrabbade,
Tänk dig att du är ute och shoppar på stan och plötsligt hittar det perfekta paret skor. Du går in i butiken och är redo att spendera pengar. Men butiksbiträdet säger att hon inte kan fråga om din skostorlek förrän du har läst och godkänt dataskyddsbeskrivningen (DSE).

VAD?! VERKLIGEN, NU?! - Självklart inte!

Genom att gå in i butiken har du gjort en avsiktsförklaring för att eventuellt inleda en juridisk transaktion. I juridiska transaktioner kallas detta även för „underförstått beteende“.

Wikipedia skriver:
„Slutgiltig eller underförstådd handling (latin concludere „att dra en slutsats“, „att dra en slutsats“) (även konkludent beteende, tyst avsiktsförklaring eller underförstådd handling) föreligger i rättshandlingar om någon uttrycker sin vilja genom icke-verbalt beteende och den ärliga mottagaren av detta kan sluta sig till en avsikt att bli rättsligt bunden, så att ett avtal kan ingås även utan en uttrycklig avsiktsförklaring.“

Du går in i butiken för att köpa skor - du är alltså villig att inleda en transaktion och ingå ett motsvarande avtal. Och för att säkerställa att skorna passar inser du redan från början att din skostorlek är en nödvändig personuppgift. Det är ju faktiskt logiskt, eller hur?

Så varför finns det kontaktformulär med obligatoriska kryssrutor på många webbplatser? Du kan bara skicka förfrågan om du aktiverar kryssrutan och på så sätt bekräftar att du
- samtycker till behandling av hans/hennes uppgifter i syfte att besvara förfrågan eller
- har läst DSE och accepterar eller samtycker till den.

Vad är det för mening med det? Kanske väljer webbplatsoperatörer eller byråer samtycke på grund av okunskap eller rädsla för varningar. De kanske helt enkelt antar att detta är det enklaste och säkraste sättet.
Men var försiktig, du kan ha helt fel. För samtycke är en knepig sak. Å ena sidan måste det dokumenteras att samtycket har inhämtats på lagligt sätt. Och å andra sidan har registrerade rätt att när som helst återkalla sitt samtycke.

Processerna måste därför spåras och dokumenteras och vid en eventuell annullering måste uppgifterna omedelbart raderas i enlighet med GDPR (aktiva system, säkerhetskopior etc.). Så det som låter så förföriskt enkelt har i själva verket ett antal fallgropar och orsakar en hel del arbete.

Vad säger dataskyddsförordningen?

I artikel 6 i dataskyddsförordningen föreskrivs en rad „tillståndsvillkor“ enligt vilka behandling av personuppgifter är tillåten. De artiklar som är relevanta för vårt kontaktformulär är

Artikel 6, punkt 1, lit. a: Samtycke från den registrerade
Artikel 6.1 b: fullgörande av ett avtal eller genomförande av åtgärder före avtalets ingående
Art. 6, punkt 1, lit. f: Den personuppgiftsansvariges berättigade intresse

Artikel 6, punkt 1, lit. a: Samtycke från den registrerade

Det finns behandlingar för vilka samtycke måste inhämtas. Detta gäller t.ex. användning av vissa marknadsförings- eller spårnings-/analysverktyg etc. Enligt den bayerska tillsynsmyndigheten för dataskydd „krävs samtycke för kontaktformulär om särskilda kategorier av personuppgifter enligt artikel 9.1 i GDPR behandlas. Detta kan t.ex. vara fallet om formuläret används för att begära hälsouppgifter för läkarbesök, om kontaktformuläret används för att registrera sig i en religiös organisation eller ett politiskt parti eller om användaren kan ladda upp bilagor som gör det möjligt att dra slutsatser om religion, etniskt ursprung, sexuell läggning etc. [1].“

[1] Utdrag ur verksamhetsrapporten 2017/2018 för LDA Bavaria från mars 2019 -

Detta gäller inte om det är fråga om ett kontaktformulär som inte innehåller några särskilt känsliga uppgifter. Användningen av ett kontaktformulär kan därför baseras på andra rättsliga grunder för de flesta tillämpningar.

Artikel 6.1 b: fullgörande av ett avtal eller genomförande av åtgärder före avtalets ingående

Art. 6, punkt 1, lit. f: den personuppgiftsansvariges berättigade intresse

Det andra alternativet är att basera användningen av ett kontaktformulär på webbplatsoperatörens berättigade intresse. Det är uppenbart att webbplatsoperatören har ett uppenbart och berättigat intresse av att besvara en förfrågan som skickas till dem.
Lagstiftaren föreskriver visserligen att en intresseavvägning ska göras vid behandling av uppgifter som grundar sig på denna rättsliga grund. Vid användning av ett kontaktformulär är det dock logiskt att anta att de inblandade parternas intressen sammanfaller: Den ena parten gör en förfrågan och förväntar sig ett svar, den andra vill besvara förfrågan.

Var försiktig med att blanda med kontraktsbaser

Så låt oss vara tydliga: en „obligatorisk kryssruta“ är onödig för de flesta kontaktformulär. Med DSE uppfyller vi bara vår skyldighet att tillhandahålla information i enlighet med GDPR. Ingen berörd part eller kund är skyldig att faktiskt läsa informationen och absolut inte att samtycka till den eller acceptera den.

Det finns dock ett annat skäl - som inte har med dataskydd att göra - till att inte använda dessa kryssrutor:
Definitionen av ett obligatoriskt fält för att erkänna och godkänna DSE kan ge intryck av att DSE är en integrerad del av avtalet - i likhet med de allmänna villkoren. Men det är det INTE!

I december 2018 prövade Berlins appellationsdomstol ett ärende som rörde en nätbutik som krävde kundens samtycke till leverantörens „dataskyddsavtal“ via en kryssruta under beställningsprocessen. Appellationsdomstolen fann (målnummer 23 U 196/13) att en stor del av dataskyddsbestämmelserna stred mot lagen om allmänna avtalsvillkor eftersom de inte var förenliga med de grundläggande idéerna i GDPR.

Hovrätten slog fast att skillnaden mellan allmänt bindande avtalsvillkor och icke-bindande information måste baseras på förståelsen hos en „genomsnittlig kund utan tidigare juridisk utbildning“. På grund av formuleringen av leverantörens villkor och „dataskyddsavtalet“ som ska accepteras separat, skulle den genomsnittliga kunden betrakta leverantörens villkor och skyldigheten att samtycka som „avtalsvillkor“ som de skulle behöva acceptera om de ville göra en beställning. Domstolen underkastade därför hela texten en AGB-granskning.
Det är därför tillrådligt att upprätthålla en tydlig åtskillnad mellan ren information och avtalsmässiga komponenter för att undvika obehagliga möten med advokater och domstolar.

Slutsats

Det viktiga är..:

• HTTPS-kryptering enligt nuvarande tekniknivå är en absolut förutsättning för användning av ett kontaktformulär.
• För att minimera antalet uppgifter bör endast de fält som verkligen är relevanta definieras som obligatoriska fält i kontaktformuläret. Vilka dessa är måste övervägas från fall till fall. För en e-handlare som säljer kylskåp är t.ex. åldern på den som frågar inte ett relevant datum. För en e-cigarettbutik kan det däremot vara det. Enligt mottot „så mycket som nödvändigt, så lite som möjligt“ endast de poster ska definieras som obligatoriska fält som faktiskt krävs för att besvara förfrågan.
• Ni bör också lägga in en länk till DSE i kontaktformuläret så att intresserade enkelt kan få tillgång till önskad information. Något i stil med detta: „Du hittar mer information om behandlingen av personuppgifter i vår integritetspolicy“
• I själva DSE måste en motsvarande anmärkning läggas till i kontaktformuläret, som ger information om vilka uppgifter som behandlas i vilket syfte av vem, på vilken rättslig grund detta görs och hur länge de lagras.

Ytterligare länkar och information

Ytterligare information och hjälp finns i Art. 6, punkt 1, GDPR och i Recital 47 av dataskyddsförordningen. Under tiden finns det också ganska begripliga och praktiska publikationer i facklitteraturen. Bayerns delstatskontor för dataskyddstillsyn hänvisar till en publikation i ett pressmeddelande på https://www.lda.bayern.de/media/pm2018_15.pdf. På sidan för dataskyddsgurun kan du hitta en (fortfarande aktuell) ganska underhållande Podcast. Eller så kan du helt enkelt fråga din betrodda dataskyddsexpert.

Juridisk information

Informationen i denna uppsats har sammanställts såvitt jag vet och tror och innefattar mina bedömningar. Även om jag har gjort allt för att säkerställa att all information är uppdaterad, garanterar jag inte att informationen är fullständig eller korrekt.

Innehållet är endast avsett som information och är inte bindande. Det utgör uttryckligen inte juridisk rådgivning i den mening som avses i den tyska lagen om juridisk rådgivning (RBerG) och ersätter därför inte rådgivning från en advokat. Jag tar inget ansvar för fel eller försummelser och ska inte vara ansvarig för eventuella skador i avtal, skadestånd eller på annat sätt som uppstår till följd av användningen av eller förlitan på denna information eller åtgärder eller beslut som fattas till följd av användningen av denna information.