Suche Kostenlose Ersteinschätzung

Kontaktformular abmahnsicher auf Website verwenden

abmahnung datenschutz rechtsanwalt

Wussten Sie, dass man über ein Kontaktformular nicht beliebig viele Kundendaten abfragen darf? In diesem Beitrag erklären wir, was bei Kontaktformularen auf Websites zu beachten ist, damit keine Abmahnung ins Haus flattert.

Abmahnbarkeit von Datenschutzverstößen bei Kontaktformularen

Kontaktformulare finden sich auf zahlreichen Websites. Das Datenschutzrecht setzt Websitebetreibern allerdings enge Grenzen in Bezug darauf, welche personenbezogenen Daten vom Anfragenden unter welchen Voraussetzungen eingeholt werden dürfen.

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Beispiele: Name, Anschrift, Geburtsdatum, Augenfarbe, E-Mailadresse, Kontodaten und dynamische IP-Adressen.

Früher gingen die Gerichte davon aus, dass Datenschutzregelungen per se keine sog. Marktverhaltensregelungen darstellen. Datenschutz im Internet führte deshalb lange ein Schattendasein, nicht nur in Bezug auf Kontaktformulare. Mitbewerber konnten bei Verstößen nicht per wettbewerbsrechtlicher Abmahnung gegen den Websitebetreiber vorgehen. Diese traditionelle Auffassung (z.B. Berliner Kammergericht zu Facebooks Like Button) hatte sich in den letzten Jahren allerdings verändert. Gerade weil mehrere Gerichte bestimmte Datenschutzverstöße unter Geltung des alten Bundesdatenschutzgesetzes für abmahnbar erklärt hatten, gewann das Thema Datenschutz einen immer höheren Stellenwert.

Gerichtsentscheidungen zur Abmahnbarkeit von Datenschutzverstößen nach BDSG

So entschied etwa das OLG Köln zum alten Recht mit Urteil vom 11.03.2016 (Az. I-6 U 121/15), dass § 13 TMG eine das Marktverhalten regelnde Norm darstelle (so auch schon das OLG Hamburg). Eine fehlende Datenschutzerklärung bei einem Kontaktformular könne deshalb von Konkurrenten abgemahnt werden. Das Erfüllen von Aufklärungspflichten in Bezug auf die Verwendung von Daten beeinflusse die Entscheidungen des Verbrauchers, seine Daten zur Verfügung zu stellen. Der Verbraucher müsse bei Bereitstellung eines Kontaktformulars über die Verwendung seiner Daten aufgeklärt werden. Dies gelte außerdem unabhängig davon, ob die Daten unmittelbar der Werbung dienen oder nicht. Andernfalls könnten Mitbewerber Unterlassungsansprüche geltend machen.

Zuvor hatte das LG Berlin mit Urteil vom 04.02.2016, Az. 52 O 394/15 noch entgegengesetzt entschieden, dass kein wettbewerbsrechtlich relevanter Verstoß gegen Datenschutzrecht vorliege, wenn das angebotene Kontaktformular lediglich der Kontaktaufnahme und nicht der Werbung dienen soll. Durch die unterbliebene Aufklärung des Kunden über die Datenspeicherung entstehe kein wettbewerbsrechtlicher Vorteil. Allerdings zeigt sich eine Tendenz, dass zumindest in Fällen, in denen mit dem Kontaktformular Daten für die Versendung von Werbematerial erhoben werden, ein Verstoß gegen Aufklärungspflichten als wettbewerbsrechtlich relevant eingestuft werden dürfte.

Update: Die Abmahnbarkeit von DSGVO-Verstößen ist sehr umstritten.

Überprüfen Sie Ihr Kontaktformular anhand der folgenden Prinzipien

1. Prinzip der Datenminimierung, Art. 5 Nr. 1 c) DSGVO

Nach Art. 5 Nr. 1 c) DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Es dürfen also nicht beliebig viele Daten abgefragt werden. Praktisch bedeutet dies, dass in Kontaktformularen so wenig personenbezogene Daten wie möglich abzufragen sind, die nach Erhebung so weit wie möglich zu anonymisieren oder zumindest zu pseudonymisieren sind. Erlaubt sind nur diejenigen personenbezogenen Daten, die zur Bearbeitung der Anfrage unbedingt nötig sind.

Tipp: Name und E-Mailadresse gelten neben dem eigentlichen Anliegen als essentielle Daten, die immer erhoben werden dürfen. Anders sieht es bei der Telefonnummer aus, deren Abfrage nur erlaubt ist, wenn sie zur Erfüllung des Geschäftszwecks unbedingt nötig ist.

Wir fragen die Telefonnummer in unserem Kontaktformular beispielsweise deshalb ab, weil wir unsere kostenlose Ersteinschätzung telefonisch erbringen. Würden wir die Ersteinschätzung ausschließlich per E-Mail erbringen, sähe es anders aus. In diesem Fall wäre die Abfrage der Telefonnummer unzulässig.

Tipp: Markieren Sie Pflichtfelder mit Sternchen oder einer gut sichtbaren Umrandung. Vermeiden Sie soweit möglich frei auszufüllende Textfelder. Bei diesen kann der Ausfüllenden nicht deutlich erkennen, welche Information er eingeben soll. Dies erhöht die Gefahr, dass überflüssige Daten erhoben werden.

2. Zweckbindungsprinzip

Über das Kontaktformular eingegebene Daten dürfen nur für die Bearbeitung der Anfrage verwendet werden. Danach sind sie zu löschen. Beachten Sie in diesem Zusammenhang, dass erhobene Daten nicht einfach miteinander kombiniert werden dürfen:

  • Wenn Sie anonyme Nutzungsprofile erstellen, dürfen Sie die Analysedaten nicht mit den personenbezogenen Daten kombinieren. Dadurch würde der Nutzer identifiziert.
  • Hat der Nutzer verschiedene Dienste in Anspruch genommen, dürfen Sie die dafür erhobenen Daten nur zu Abrechnungszwecken zusammenführen.

Es ist nicht erlaubt, Werbung an die E-Mailadresse oder Telefonnummer des Anfragenden zu richten. Eine eingegebene E-Mailadresse darf also beispielsweise nicht einfach für Newsletterwerbung per E-Mail verwendet werden. Ausnahme: Der Anfragende hat im Rahmen des Kontaktformulars ausdrücklich seine Zustimmung in die Zusendung von Werbung erklärt. Dafür ist aber eine gesonderte Einwilligung nötig, d.h. das Anklicken einer eigenen Checkbox mit entsprechendem Hinweistext.

3. Transparenzgebot

Worüber und wann Kunden informiert werden müssen, ist in Art. 13 DSGVO geregelt. Informieren Sie den Anfragenden zum Zeitpunkt der Datenerhebung

  • über den Verantwortlichen nebst Kontaktdaten,
  • über den Zweck der Verarbeitung der eingegebenen Daten,
  • über die Dauer der Speicherung der Daten sowie
  • über seine Betroffenenrechte.

Damit der Interessent seine Angaben im Kontaktformular jederzeit abrufen kann, sollten sie ihm außerdem eine Kopie seiner Anfrage per E-Mail zuschicken.

4. Prinzip der Datensicherheit

Art. 32 DSGVO regelt, dass Verantwortlicher und Auftragsverarbeiter

„unter Berücksichtigung des aktuellen Stands der Technik, geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Für Betreiber von Webseiten greift eine Verschlüsselungpflicht, sobald die Nutzer personenbezogene Daten an den Betreiber übertragen. Damit sind sämtliche Übertragungen umfasst, also zum Beispiel bei Nutzung eines Kontaktformulars, Anmeldeformulars oder bei einer Bestellung in einem Shop. Entscheidend für die Frage, welche Verschlüsselungsverfahren einzusetzen sind, ist der jeweils aktuelle Stand der Technik. Beachten Sie dazu den Gastbeitrag von Dr. Schwenke zur Umstellung von Websites auf https.

Hinweis: Dieser Beitrag wurde unter Mitwirkung unserer Referendarin Lia Tabea Pasternack verfasst.

Autor: Niklas Plutte

Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter, Facebook und LinkedIn!

5 Kommentare Schreibe einen Kommentar

  1. Hallo Herr RA Plutte und danke für den Informativen Beitrag!
    Eine Frage ergibt sich für mich noch:
    Sie schreiben „…außerdem eine Kopie seiner Anfrage per E-Mail zuschicken.“
    Was ist aber, wenn jemand hier bewusst eine falsche E-Mail Adresse angibt und jemand die Kopie der Anfrage erhält, obwohl er diese selbst gar nicht gestellt hat.
    Hätte die betroffene Person dann wiederum nicht einen Anspruch wegen unerlaubter Zusendung einer E-Mail?
    Danke für Feedback und viele Grüße

    Antworten

    • Eine interessante Frage. Das ist in der Tat problematisch. M.E. ist das technisch sicher nur über eine vorherige Registrierung der Mailadresse inkl. Double-Opt-In lösbar, was freilich eine erhebliche Hürde für Anfragende darstellen würde, so dass man über die Zumutbarkeit einer solchen Maßnahme diskutieren müsste.

      Antworten

  2. Weshalb wurde die interessante Frage von Herrn Kuse vom 26.04.2018 bis heute März 2019 nicht hier einsehbar beantwortet, wenn sie überhaupt schon beantwortet wurde?

    Antworten

  3. Hallo! Das ist tatsächlich eine sehr interessante Frage, auch für uns als Plugin-Anbieter. Bei unserem Multi-Step-Form-Plugin gibt es die Option der Datenlöschung. Webseitenbetreiber können in ihrer Bestätigungsemail erfragen, ob die Email korrekt versendet wurde und einen Link zur Datenlöschung bereitstellen. Alternativ kann der User auch direkt Kontakt aufnehmen. Der Webseitenbetreiber ist als Admin in der Lage und auf Anfrage verpflichtet, einzelne Datensätze vollständig zu löschen.
    Viele Grüße

    Antworten

  4. Danke für diesen detaillierten und informativen Beitrag! Die klare Erläuterung zur DSGVO-konformen Gestaltung von Kontaktformularen hat mir sehr geholfen. Besonders die praktischen Tipps zur Datenminimierung und das Hervorheben der Transparenzpflichten finde ich äußerst nützlich. Es ist gut zu wissen, dass eine sorgfältige Umsetzung nicht nur rechtlich notwendig ist, sondern auch das Vertrauen der Nutzer stärkt. Weiter so!

    Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Kanzlei Plutte Menü
Kostenlose Ersteinschätzung

Klicken Sie auf den unteren Button, um den Inhalt von VG Wort zu laden.

Inhalt laden