Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht – mit weitgehenden Folgen für Online-Händler. Auch die Datenerhebung durch Kontaktformulare, die zahlreiche Online-Shops nutzen, wird von der DSGVO erfasst. Ob und was sich durch die DSGVO in Bezug auf Kontaktformulare konkret ändert, erfahren Sie im folgenden Gastbeitrag der IT-Recht Kanzlei München.

DATENSCHUTZ NUR FÜR PERSONENBEZOGENE DATEN

Die DSGVO soll ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten schaffen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Ein Personenbezug liegt bei Daten, die typischerweise in Kontaktformularen abgefragt werden (wie Name und Kontaktdaten), eindeutig vor. Insoweit ändert sich durch die DSGVO nichts im Vergleich zur bisherigen Rechtslage in Deutschland.

RECHTFERTIGUNG DER DATENERHEBUNG

amit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder der Nutzer eingewilligt hat.
Auch die DSGVO schreibt damit ein Verbot mit Erlaubnisvorbehalt fest.
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ermöglicht die Datenverarbeitung ohne Einwilligung der Webseitenuser, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreiber ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
1. „Berechtigtes Interesse“ des Webseiten-Inhabers
Es muss also zunächst – wie schon nach bisheriger Rechtslage in § 28 Abs. 1 Nr. 2 BDSG gefordert – ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Der Begriff des „berechtigten Interesses“ wird in Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weit verstanden. Erfasst werden einerseits Fälle im Rahmen eines bestehenden Vertragsverhältnisses, bei denen keine Einwilligung eingeholt wurde, andererseits Fälle außerhalb der Erfüllung eines Vertrags (Frenzel in: Paal/Pauly Datenschutzgrundverordnung 2017, Art. 6 DSGVO Rn. 28).
Für Kontaktformulare folgt daraus: Selbstverständlich hat zunächst der Nutzer des Kontaktformulars ein Interesse an der Beantwortung der Anfrage. Darüber hinaus haben aber natürlich auch Shop-Betreiber ein wirtschaftliches Interesse an der Kontaktaufnahme (potenzieller) Kunden über ein Kontaktformular. Kontaktformulare stellen zusätzliche Serviceleistungen von Shop-Betreibern dar, die Kunden eine schnelle und unkomplizierte Kontaktaufnahme ermöglichen. Auf diese Weise können sich Shops durch guten Kundenservice von Konkurrenten abheben und das Vertrauen in ihren Online-Shop stärken. Häufig dienen Produktanfragen auch der Anbahnung eines Vertragsverhältnisses. Ein berechtigtes Interesse des Shop-Betreibers an der Datenverarbeitung liegt somit nach Auffassung des Verfassers vor. Die Datenverarbeitung ist zudem erforderlich, um die Kundenanfrage bearbeiten zu können.
2. Interessenabwägung: Persönlichkeitsrecht vs. Wirtschaftliches Interesse
Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erfordert zudem eine Interessenabwägung. Dabei stehen sich zwei Interessen gegenüber: das Persönlichkeitsrecht des betroffenen Kunden und der Stellenwert, den die Offenlegung und Verwendung der Daten für ihn hat auf der einen und das Interesse des Shop-Betreiber an der Datenerhebung und –verarbeitung auf der anderen Seite. Nach dem Erwägungsgrund 38 ist bei der Interessenabwägung „auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“
Daraus folgt: Die Kontaktanfrage geht vom Kunden selbst aus, der seine Daten aktiv in das Kontaktformular zwecks Kontaktaufnahme eingibt. Es liegt keine unbemerkte Datenübertragung vor, wie sie bspw. bei Social Plugins erfolgt. Der Kunde kann vielmehr konkret absehen, welche Daten vom Unternehmen abgefragt und zu welchem Zweck (Kontaktaufnahme und Bearbeitung des Anliegens) diese verarbeitet werden. Die Interessenabwägung fällt folglich zugunsten des Shop-Betreibers aus.
3. Zwischenfazit
Die Datenerhebung und –verarbeitung durch Kontaktformulare ist nach Auffassung des Verfassers gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt. Eine Einwilligung des Nutzers in die Datenerhebung und –verarbeitung ist nicht erforderlich.
Dabei ist jedoch zu beachten: Selbstverständlich rechtfertigt Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO nur die Datenerhebung und –verarbeitung, die unmittelbar zum Zwecke der Bearbeitung des Kundenanliegens erforderlich sind. Eine Speicherung oder Weitergabe der Daten zu anderen Zwecken kann dadurch nicht gerechtfertigt werden.
Achtung: Rechtsprechung zu der Thematik gibt es (noch) nicht. Dementsprechend ist diese Interpretation nicht durch Rechtsprechung abgesichert. Jedoch stellt sie – auch angesichts des Erwägungsgrunds 38 zur DSGVO, der eindeutige Vorgaben zur Interessenabwägung macht – die nach Ansicht des Verfassers überzeugendste Auffassung dar.

GRUNDSATZ DER DATENSPARSAMKEIT

Art. 5 Abs. 1 DSGVO stellt zudem bestimmte Grundsätze für die Verarbeitung personenbezogener Daten auf, die auch bei der Datenerhebung und –verarbeitung durch Kontaktformulare zu beachten sind. Insbesondere fordert Art. 5 Abs. 1 DSGVO wie schon § 3a BDSG, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden müssen (Grundsatz der Datenminimierung). Daraus folgt: Weiterhin sollten in Kontaktformularen nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind, um die Anfrage zu beantworten. Diese zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Shop-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.

DATENSCHUTZERKLÄRUNG

Auch wenn eine Einwilligung in die Datenerhebung und –verarbeitung nach der hier vertretenen Auffassung nicht erforderlich ist: Um eine Datenschutzerklärung, die ausführlich über die Datenerhebung und –verarbeitung informiert, kommen Händler auch ab dem 25. Mai 2018 nicht herum. Konkret zählt Art. 13 Abs. 1 DSGVO einen Katalog an Pflichtinformationen auf, welche Informationen eine Datenschutzerklärung enthalten muss. Dieser Katalog an Pflichtinformationen ersetzt ab dem 25. Mai 2018 den § 13 Abs. 1 TMG, der lediglich allgemein vorschreibt, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Welche Punkte die Datenschutzerklärung konkret aufweisen muss, welche Form diese haben muss und zu welchem Zeitpunkt die Informationen gegeben werden müssen, erfahren Sie im letzten Gastbeitrag der IT Recht Kanzlei.

VERSCHLÜSSELUNGSPFLICHT?

Bereits nach jetziger Rechtslage müssen Daten, die in Kontaktformularen erhoben werden, gemäß § 9 BDSG und seiner Anlage verschlüsselt werden. Daran wird sich auch durch die DSGVO nichts ändern.
Art. 5 lit f. DSGVO schreibt bei der Verarbeitung von Daten den sogenannten Grundsatz der Integrität und Vertraulichkeit vor. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Der Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b konkretisiert, der einen Maßnahmenkatalog mit dem Ziel, Gefahren für Daten durch Dritte abzuwehren, enthält. Dieser regelt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Zudem nennt Art. 32 Abs. 1 Satz 1 Hs. 2 DSGVO konkrete Maßnahmen, die die Datensicherheit sicherstellen sollen.
Dazu gehören

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Daraus folgt: Das Gesetz erachtet die Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Dementsprechend müssen Formulare im Online-Shop verschlüsselt sein, damit dort eingegebene Daten nicht abgegriffen werden können.

EMPFEHLUNG DER IT RECHT KANZLEI

Die DSGVO rückt die Rechtssicherheit von Kontaktformularen durch die DSGVO weiter in den Fokus der Datenschützer. Die IT-Recht Kanzlei bietet Gewerbetreibenden rechtssichere Datenschutzerklärungen an, die selbstverständlich auch die Datenverarbeitung via Kontaktformular transparent regeln.
Zudem sollten Shop-Betreiber in ihre Webseiten eine TLS-Verschlüsselung einbauen. Die Implementierung ist relativ einfach und ohne größeren finanziellen Aufwand möglich, sodass eine entsprechende Verschlüsselung Shop-Betreibern auch zumutbar ist.
Den vollständigen, ungekürzten Artikel finden Sie auf den Seiten der IT-Recht Kanzlei München.