Was Du für Dein Kontaktformular in der Datenschutzerklärung beachten musst

Abmahnfalle: Kontaktformular und Registrierung auf Deiner Website

von Rechtsanwalt Dr. Ronald Kandelhard

Was der Datenschutzgenerator verschweigt: Information, Verschlüsselung und Anonymisierung beim Kontaktformular

Melden sich Nutzer auf Deiner Website etwa für einen geschlossenen Mitgliederbereich an, registrieren Sie sich für besondere Dienste oder füllen sie ein Kontaktformular aus, sind vielfache Anforderungen des Datenschutzes zu beachten. Es reicht nicht aus, wenn Du einfach in der Datenschutzerklärung darauf hinweist, wie diese Daten verwendet werden! Hier findest Du alle Informationen, wie Du diese Abmahngefahr bannst, die in letzter Zeit vermehrt von Abmahnern ins Visier genommen wird.

1. Verschlüsselung

Nach §25 TDDDG muss jeder Inhaber einer Website gewährleisten, dass personenebezogene Daten des Nutzers ausschließlich verschlüsselt übertragen werden. Können auf Deiner Website also personenbezogene Daten eingeben werden, muss die entsprechende Webseite (mit der Anmeldung oder dem Kontaktformular) also mit SSL (https://) verschlüsselt werden. Eine Anleitung dafür findest Du etwa hier. Dafür findest Du inzwischen durchaus auch kostenlose Zertifikate. Da verschlüsselte Websites von Google beim Ranking bevorzugt werden, sind sie ohnehin sinnvoll. In erster Linie sind sie aber rechtlich erforderlich, weil neben einer Abmahnung auch noch die Gefahr eines Ordnungsgeldes besteht, wenn Kontaktformulare auf nicht verschlüsselten Webseiten angeboten werden. Verstöße gegen Verstöße gegen § 25 Abs. 1 und Abs. 2 TDDDG sind ordnungswidrig gem. § 28 TTDSG. Eine unverschlüsselte Dateneingabe kann nach § 28 TTDSG mit einer Geldbuße von bis zu 300.000,- EUR je Verstoß geahndet werden. Es gibt bereits Landesämter für Datenschutz, die entsprechende Warnungen und ggf. Bußgelder verhängen.

2. Check In Box

Weitergehend wird von Datenschützern teilweise gefordert, dass auch ein Kontaktformular nur mit einer Check In Box mit Verweis auf die Datenschutzerklärung verwendet werden dürfe. Eine wirklich gehaltvolle Begründung wird dafür jedoch nicht angeboten. Richtig ist das aber nach allgemeinen Grundsätzen, wenn anschließend Werbung an den Nutzer versendet werden soll. Dann ist wie beim Double Opt In für den Newsletter zu verfahren. Es ist ein Check In erforderlich und zusätzlich auch noch eine Einwilligungsmail. Aber, das gilt wirklich nur, wenn die Mail Adresse anschließend für Werbung verwendet wird. Dient das Kontaktformular nur spezifischen Aufgaben (allgemeine Anfragen, Service), ist ein Opt In nicht notwendig. Da es bei der Kontaktaufnahme in der Regel aber nicht um die Conversion geht, kann ein Check In mit Hinweis auf die Datenschutzerklärung auch nicht schaden. Wer hier auf Nummer sicher gehen will, sollte einen Opt In bei jedem Kontaktformular vorsehen (nähere Hinweise hierzu mit vielen Mustern findest Du in unserem Komplett Schutz).

3. Anonymisierung

Manchmal findet man auch den Hinweis (zB hier), dass die Kommentar-Funktion von WordPress anonymisiert werden müsse. Hintergrund ist, dass WordPress standardmäßig die IP-Adresse des Nutzers speichert. Da die IP-Adresse zu den personenbezogenen Daten gehört, erfordert ihre Speicherung an sich eine vorherige Einwilligung des Nutzers. Allein diese Speicherung begründet aber kaum bereits einen Wettbewerbsvorteil, so dass eher unwahrscheinlich ist, dass ein solcher Verstoß abgemahnt werden kann. Zudem tritt die Speicherung der IP Adresse ohnehin nicht nach außen zu Tage, ist für Abmahner also nicht ersichtlich. Weiter ist grade bei Kommentaren Spam leider derart verbreitet, dass es bereits aus Sicherheitsgründen Sinn macht, die IP-Adresse des Kommentators wenigstens vorübergehend zu speichern. Eine Speicherung aus Sicherheitsgründen hat der EuGH unlängst mehrfach für zulässig erklärt (wie Du Spam in Kommentaren mit rechtssicheren Mitteln verhindern kannst, erfährst Du im Basis-Kurs im Kapitel Datenschutz). Von daher ist eine solche Anonymisierung nicht zwingend, aber für Vorsichtige auf jeden Fall empfehlenswert. Ein entsprechendes Plugin findet sich etwa hier.

4. Informationen zur Nutzung der Daten

In jedem Fall muss bei einem Kontaktformular jedoch angegeben werden, zu welchem Zweck die Daten verwendet werden, zB nur die Beantwortung einer Support Anfrage (OLG Köln, Urt. v. 11.03.2016, Az.: 6 U 121/15). Wird dieser Hinweis nicht erteilt, ist eine Abmahnung möglich (anders zwar LG Berlin, Urt. v. 4.02.2016, Az.: 52 O 394/15, aber auf die Entscheidung eines einzelnen Landgerichts sollte man sich nicht verlassen). Wird ein Kontaktformular also ohne Werbezweck verwendet, ist ein Hinweis auf die Verwendung der Daten direkt beim Kontaktformular (ohne Opt In) ausreichend. Dieser Hinweis muss auch nicht direkt selbst neben dem Formular erteilt werden, Ausreichend ist, wenn er durch einen Link auf die Datenschutzerklärung erteilt wird, die ihrerseits genauer angibt, wie die Mail-Adresse verwendet wird. Sinnvoll ist es, diesen Verweis mit einer Sprungmarke auf die genaue Stelle in der Datenschutzerklärung zu setzen. Damit lässt sich die Gefahr ausschalten, dass ein Gericht übermäßiges Scrollen zur Auffindung der Verwendungsangaben für unzumutbar hält.

5. Umsetzung in der Datenschutzerklärung

Sämtliche dieser Anforderungen sind anschließend natürlich in der Datenschutzerklärung abzubilden. Für jede konkrete Nutzung muss angegeben werden, wofür die Daten verwendet werden. Das ist nicht nur von Website zu Website unterschiedlich, sondern sogar von Kontaktformular zu Kontaktformular. Zudem ist ein Kontaktformular wieder etwas anderes wie eine Anmeldung etwa zu einem Webinar oder einem Mitgliederbereich. Von daher kann ein Generator dieses Thema häufig gar nicht sinnvoll lösen. In unserem Probekapitel Kontaktformulare und Anmeldungen findest Du aber viele Beispiele und Muster, die Du unmittelbar einsetzen kannst. Mehr über die DSGVO erfährst du hier.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.