(Wenn Sie Zeit sparen wollen: Sie finden die Antwort ganz unten im Fazit)
Viele unserer Mandanten fragen, warum wir grundsätzlich dazu raten, das Kontaktformular ohne eine Checkbox auszustatten bzw. auf eine Einwilligung zu verzichten. Wichtig dabei ist natürlich, dies in den Datenschutzhinweisen auch richtig zu kommunizieren.
Die Frage ist aus Laiensicht berechtigt, denn im Netz schwirrt das Urteil des OLG Köln (Az. 6 U 121/15) vom 11.03.2016 herum. Zitiert wird das Urteil häufig mit Titeln wie: „Datenschutzrechtliche Einwilligung bei Kontaktformular auf Webseite erforderlich“, Punkt. Das wars. Mehr will der verständige Durchschnittsbürger nicht lesen. Wozu auch, die Überschriften sind doch eindeutig. Wenn das OLG Köln sowas urteilt, dann wird das eben so gemacht.
Bei näherer Betrachtung des Urteils des OLG Köln und inspiriert durch einen Podcast des Kollegen Herrn Stefan Hansen-Oest sollte man das Urteil jedoch, insbesondere im Rahmen der DSGVO, differenzierter sehen.
Was genau steht denn in dem Urteil des OLG Köln?
Es geht darin um vielerlei, insbesondere darum, ob überhaupt datenschutzrechtliche Verstöße im Rahmen des Wettbewerbsrechts abgemahnt werden können. Dann aber befasst sich das OLG Köln auch noch „kurz“ mit den datenschutzrechtlichen Hinweispflichten im Rahmen des § 13 Abs. 1 TMG.
Davon mal abgesehen, dass die DSGVO die §§ 11 ff. TMG verdrängen dürfte, ist das Urteil des OLG Köln aber noch aus anderen Gründen für die Frage, ob eine Checkbox unter jedem Kontaktformular zu positionieren ist, genau unter die Lupe zu nehmen.
Das OLG Köln gibt zunächst § 13 Abs. 1 und Abs. 2 TMG wieder.
In § 13 Abs. 1 TMG heißt es:
(1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten (…) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
Wie Sie sehen, ist hier noch nirgendwo die Rede von einer Einwilligung. Hier geht es allein um die Frage der Unterrichtung der betroffenen Person. Zuvor muss der Verantwortliche natürlich die personenbezogenen Daten auf Grundlage einer Erlaubnisnorm erheben. Hier macht § 12 TMG Vorgaben. Dort heißt es, dass der Dienstanbieter personenbezogene Daten nur erheben und verwenden darf, soweit das TMG oder eine andere Rechtsvorschrift (…) es ausdrücklich erlaubt oder der Nutzer einwilligt.
Es muss also nicht zwangsläufig eine Einwilligung vorliegen. Es kann auch ein Gesetz die Erhebung und Verarbeitung personenbezogener Daten erlauben.
Unmittelbar anschließend gibt das OLG Köln § 13 Abs. 2 TMG wieder. Darin geht es um die Einwilligung der betroffenen Person. Wenn man das Urteil liest, könnte man meinen, dass Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten einzig mit einer Einwilligung der betroffenen Person möglich sei. § 12 TMG regelt aber etwas anderes!
Konkret zum Sachverhalt
Das OLG Köln hatte über eine Sache zu entscheiden, in der die Beklagte Person keine (!) Datenschutzerklärung vorgehalten hat. Es lag schlicht keine Information darüber vor, in welcher Art, welchem Umfang und zu welchem Zweck Daten erhoben wurden. Das OLG Köln sah darin – berechtigterweise – einen Verstoß gegen das TMG.
Was fehlt im Sachverhalt?
Das OLG Köln hat in gleichem Atemzug entschieden, dass in der bloßen Eingabe von personenbezogenen Daten in ein Kontaktformular keine Einwilligung gesehen werden könne:
…Diese Frage kann jedoch dahingestellt bleiben, weil jedenfalls im Rahmen der hier in Rede stehenden Kontaktdatenangabe keine Einwilligung erteilt wird, die jederzeit abrufbar wäre und zudem keine Information erfolgt, dass die Einwilligung jederzeit widerrufen werden kann (§ 13 II Nrn.3 u. 4 TMG), obwohl nach § 12 I TMG der Diensteanbieter personenbezogene Daten nur erheben und verwenden darf, soweit dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat. (Hervorhebung durch mich)
Das OLG zitiert hier zwar richtigerweise § 12 TMG. Es geht aber ohne weitere Erläuterungen offenbar davon aus, dass eine Erlaubnis im Sinne eines Gesetzes oder einer anderen Rechtsvorschrift nicht gegeben ist. Denn irgendeine nähere Erläuterung dazu, dass ggf. berechtigte Interessen vorliegen, oder ein vorvertragliches Schuldverhältnis gegeben sein könnte, sucht man vergeblich in dem Urteil. Ohne nähere Erklärung geht das OLG Köln davon aus, dass der Verbraucher darüber informiert werden müsse, dass er „seine Einwilligung in die Nutzung der Daten“ widerrufen können müsse. Begründet wird dies damit, dass der Verbraucher ja nicht wisse, was mit seinen Daten passiere. Die Information, was mit den personenbezogenen Daten des Betroffenen passiert einerseits, und die Erteilung einer Einwilligung hierzu andererseits sind jedoch zwei verschiedene Paar Schuhe.
Was ist aber, wenn wir den Betroffenen über die Verarbeitung der Daten informieren?
Wenn wir aber den Betroffenen darüber informieren, wie seine Daten verwendet werden, z.B., dass die Daten nach Beendigung der Kontaktaufnahme gelöscht werden und die Daten ausschließlich dazu verwendet werden, um mit dem Betroffenen zu kommunizieren, brauchen wir dann wirklich noch eine explizite Einwilligung?
Der Betroffene wird vor Abgabe seiner Daten darüber aufgeklärt, wie seine Daten verarbeitet werden. Anschließend stellt der Betroffene seine Anfrage, in vielen Fällen, um eine Anfrage zu stellen, die darauf abzielt, sich ein konkretes Angebot einzuholen und bestenfalls einen Vertrag abzuschließen. Er weiß also genau, zu welchen Bedingungen er seine Daten preisgibt.
Eine andere Frage: Müssen nicht diejenigen, die eine Einwilligung für die Eingabe personenbezogener Daten in einem Kontaktformular einholen, auch konsequenterweise eine Einwilligung einholen, wenn sie per E-Mail angeschrieben werden?
Das Problem der Einwilligung
Zu bedenken gilt auch: Das Unternehmen hat nachzuweisen, dass eine Einwilligung des Betroffenen in die Verarbeitung ihrer personenbezogenen Daten vorliegt (Art. 7 Abs. 1 DSGVO). Das Unternehmen sollte zwingend darauf achten, Datum und Uhrzeit (Time-Stamp) sowie die IP-Daten der Eintragung zu protokollieren und dauerhaft abzuspeichern. Das ist schon mal ein etwas größerer Aufwand.
Der Betroffene hat allerdings auch das Recht, die Einwilligung ohne Angabe von Gründen sofort zu widerrufen. Konsequenz: Sie müssen nun alle Daten löschen. Sie können zum Beispiel auf eine Anfrage nicht mehr antworten. Sollte das durch einen Ihrer Mitarbeiter doch in irgendeiner Weise aus Versehen passieren, dann haben Sie ein Problem.
Nehmen wir an, es handelt sich um einen Bewerber, den Sie ablehnen, weil seine Unterlagen Sie nicht überzeugt haben. Nach zwei Monaten erhalten Sie eine AGG-Klage. Nun müssen Sie nachweisen, dass es bessere Kandidaten gab. Aber wie stellen Sie das an, wenn Sie sämtliche Bewerbungsunterlagen gelöscht haben, insbesondere diejenigen des Klägers selbst?
Sollten Sie auf die Idee kommen, anschließend dem Betroffenen zu erklären, dass Sie die Daten nun noch aus berechtigtem Interesse speichern werden, weil Sie im Falle einer Klage Beweismaterial vorlegen wollen, dann stellt sich zum einen die Frage, ob Sie im Rahmen des Transparenzgebotes einfach auf eine andere Erlaubnisnorm umswitchen können. Die noch viel naheliegendere Frage ist aber: Warum haben Sie nicht gleich auf eine andere Erlaubnisnorm abgestellt? (Im Falle des Bewerbungsverfahrens wäre das übrigens § 26 BDSG).
Berechtigtes Interesse vs. Einwilligung
Auf eine Einwilligung können Sie zum Beispiel verzichten, wenn eine Interessensabwägung erfolgt (Art. 6 Abs. 1 f) DSGVO). Dabei werden die Interessen des Betroffenen und die Interessen des Unternehmers (des Verantwortlichen) oder eines Dritten gegenübergestellt. Sofern die Verarbeitung der personenbezogenen Daten zur Wahrung der berechtigten Interessen des Unternehmers erforderlich ist, und die Grundrechte und Grundfreiheiten des Betroffenen zum Schutz seiner Daten nicht überwiegen, ist die Verarbeitung der Daten zulässig.
Bedeutet: Die Datenverarbeitung muss für die berechtigten Interessen des Unternehmers erforderlich sein. Der Begriff des berechtigten Interesses ist weit auszulegen. Außerdem muss immer im Blick gehalten werden, um welche personenbezogenen Daten es überhaupt geht.
Wichtig ist, dass der Betroffene zum Zeitpunkt der Erhebung seiner personenbezogenen Daten vernünftigerweise abschätzen konnte, dass seine Daten für die jeweiligen Zwecke des Unternehmers verarbeitet werden würden. Ist das nicht der Fall, können die Interessen des Betroffenen am Schutz seiner Daten überwiegen.
Gibt aber ein Betroffener Daten in ein Kontaktformular ein, wird er unweigerlich damit rechnen müssen, dass die Daten von dem Unternehmen verarbeitet werden.
Das gleiche gilt im Übrigen für die E-Mail.
Warum also behandeln die Unternehmen seit dem Urteil des OLG Köln E-Mails und Kontaktformular unterschiedlich?
Fazit
Nein. Eine Checkbox ist bei einem Kontaktformular nicht notwendig!
(Zu unterscheiden ist das Kontaktformular allerdings mit einer Eingabemaske zur Anmeldung bei einem Newsletter. Newsletter können nur mit vorheriger Einwilligung verschickt werden. Hier empfiehlt sich nach wie vor in den meisten Fällen die Opt-In Lösung)
Umsetzung
Wie das Ganze im Ergebnis umzusetzen ist, erfahren Sie in einem zweiten Teil.