Weiter geht es in unserer EU-DSGVO Artikelreihe. Nachdem wir zuletzt den Cookie-Hinweis sowie Google Analytics im Hinblick auf die Datenschutzgrundverordnung (kurz EU-DSGVO oder auch GDPR) beleuchtet haben, widmen wir uns in dem heutigen Beitrag den Kontaktformularen und klären mit der Frage auf, ob sich aus der EU-DSGVO die Pflicht ergibt, Kontaktformulare mit einer Datenschutz-Checkbox auszustatten.
Einwilligung für Kontaktformulare
Die EU-DSGVO hat definitiv Wellen geschlagen und für viel Verunsicherung auch bei zahlreichen Internetseitenbetreibern geführt. Immer häufiger erhielten wir darauf basierend auch die Frage, ob denn nun jedes Kontaktformular eine Checkbox benötigen würde, worin der Nutzer bestätigen muss, die Datenschutzbestimmungen gelesen zu haben und akzeptiert. Nach Art. 6 Abs. 1 lit. a DSGVO stellt man hier als Rechtsgrundlage auf die Einwilligung ab. Woher rührt aber eigentlich die Vermutung, dass man für Kontaktformulare eine Checkbox benötigen würde?
OLG Köln bestätigt: Pflichtangabe für die Datenschutzerklärung
Maßgeblich zu dieser Interpretation hat sicherlich das Urteil des OLG Köln (Urteil vom 11.03.2016, Az. 6 U 121/15) geführt. Hierbei wird unter anderem auf § 13 Abs. 1 & 2 TMG Bezug genommen und vor allem ist seit diesem Urteil klar, Internetseiten mit einem Kontaktformular müssen über die Datenverarbeitung, welche aus dem Absenden dieses Formulars rührt, in den Datenschutzbestimmungen nun entsprechend der Informationspflichten aus Art. 13 & 14 DSGVO informieren. Das Oberlandesgericht hatte hier vor allem auch klar gestellt, dass einem Verbraucher nicht abverlangt werden darf, aus der Art der Datenerhebung sowie den damit verbundenen Umständen vorherzusehen, wofür die Daten konkret verwendet werden.
EU-DSGVO: Datenschutz Checkbox-Pflicht durch § 13 TMG?
Es ist jedoch gängige Praxis, dass § 13 Abs. 1 & 2 TMG eben durch die Datenschutzbestimmungen auf der Internetseite abgebildet wird. Beispielsweise loggt fast jeder Hoster zur Gefahrenabwehr, um gerade die geforderten Sicherheitsvorkehrungen nach § 13 Abs. 7 TMG zu erfüllen, die IP-Adresse der Zugriffe. Die initiale Übertragung der IP beim Aufruf einer Webseite ist allein technisch bedingt nicht zu verhindern. Die IP-Adresse gilt laut BGH (Urteil vom 16.05.2017, Az. VI ZR 135/13) jedoch als persönliches Datum. Würde man also § 13 Abs. 1 & 2 TMG so auslegen, dass einzig digital eine Einwilligung per Checkbox zulässig wäre, könnte man das Internet "abknipsen", denn es wäre schlichtweg nicht technisch umsetzbar.
Einwilligung nach EU-DSGVO erforderlich?
Nachdem die Checkbox-Pflicht also offenbar nicht aus dem TMG abgeleitet werden kann und das Urteil zudem vor Wirksamwerden der EU-DSGVO gefällt wurde, stellt sich nun die Frage, wie es sich mit der EU-DSGVO und der Checkbox für Kontaktformulare verhält. Neben Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) gibt es noch weitere Rechtsgrundlagen zur Datenverarbeitung, auf die man sich hier berufen könnte. So werden regelmäßig über Kontaktformulare vorvertragliche Maßnahmen (z.B. Angebotsanforderung) eingeleitet oder Informationen zur Vertragserfüllung (z.B. Zusendung benötigter Infos, Supportanfragen usw.) ausgetauscht. Diese Datenverarbeitungsvorgänge sind durch Art. 6 Abs. 1 lit. b DSGVO gedeckt. Weiter steht es im berechtigten Interesse (Art. 6 Abs. 1 lit. f) eines Unternehmens einen ihn freiwillig kontaktierenden Internetnutzer zeitnah zu antworten oder das Unternehmen ist z.B. im Falle einer Datenschutzanfrage und Rechtsgrundlage Art. 6 Abs. 1 lit. c sogar rechtlich dazu verpflichtet.
Es gibt also in der EU-DSGVO gleich mehrere Rechtsgrundlagen, die je nach Anwendungsfall eine solche Datenverarbeitung legitimieren, ohne dass eine explizite Einwilligung erforderlich ist und dies ist auch gut so, denn wenn z.B. Unternehmen nach § 5 Abs. 1 TMG zur Erfüllung ihrer allgemeinen Informationspflichten eine E-Mail Adresse angeben müssen, ist eine solche Checkbox-Einwilligung nicht im Einklang hiermit umsetzbar.
Achtung Ausnahmen, wo eine Checkbox erforderlich ist:
Hierbei ist jedoch immer zu prüfen ob die Kontaktaufnahme über ein Kontaktformular unter Rechtsgrundlage Art. 6 Abs. 1 lit. b, c oder f auch vergleichbar zur Kontaktaufnahme über die anklickbare E-Mail Adresse (mailto-URL) wäre. Wenn also beispielsweise die abgesendete Nachricht des Kontaktformulars weitere Datenverarbeitungsvorgänge initiiert, die in diesem Kontext keine Rechtsgrundlage ohne Einwilligung haben dürften z.B. Anreicherung der E-Mail Nachricht mit dem Surfprotokoll (angeschauten Seiten), dann würde man sich hiermit auf dünnem Eis bewegen. In den meisten Fällen, dürfte jedoch dies eben nicht der Fall sein und damit auch keine Checkbox für das Kontaktformular erforderlich werden.
EU-DSGVO kostenloser Leitfaden oder DSGVO-Check:
Sie wollen mehr über die EU-DSGVO erfahren? Die Internetagentur Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an, der Ihnen kompakt auf 22 Seiten an Hand von praktischen Beispielen aufzeigt, was es für die Einhaltung der EU-DSGVO zu beachten gilt. Unter anderem erfahren Sie auch darin, warum Sie auf Internetseiten mit Kontaktformularen auf eine SSL-Verschlüsselung (HTTPS-Einsatz) achten sollten. Alternativ wird auch ein kostenpflichtiger DSGVO-Website- und Onlineshop-Check angeboten, falls Sie sich nicht selbst zum DSGVO-Experten weiterbilden wollen.
Disclaimer: Die hier bereitgestellten Informationen stellen keine individuelle Rechtsberatung dar. Auch wenn sie umfassend recherchiert und abgesichert wurden, können wir für Schlussfolgerungen, die Sie aus diesen Informationen ziehen, keine Haftung übernehmen. Wir raten dazu, sich mit den der Interpretation zu Grunde gelegten Rechtsgrundlagen und Erwägungsgründen zu beschäftigen, um zu bewerten, ob die jeweiligen exemplarischen Aussagen für Ihren individuellen Anwendungsfall greifbar sind. Sollten Sie hier offene Fragen haben, schildern Sie uns Ihr Anliegen gerne über das Kontaktformular und unser geschultes Team hilft Ihnen gerne weiter.