Letztes Jahr habe ich mich in einem Blog-Artikel mit der Frage auseinandergesetzt, ob eine Checkbox bei einem Kontaktformular auf der Webseite notwendig ist.
Aus irgendeinem Grund haben viele unserer Mandanten und auch offenbar viele weitere Unternehmen die Ansicht vertreten, es müsse bei einem Kontaktformular zwingend eine Einwilligung (Art. 6 Abs. 1 a) DSGVO) zur Verarbeitung der personenbezogenen Daten eingeholt werden.
Ich kam damals zu dem Ergebnis, dass es Quatsch ist, wenn man stets und bei jeder Kontaktaufnahme über das Kontaktformular eine Einwilligung einholt. Nicht einmal eine Checkbox ist wirklich nötig. Es macht schlicht keinen Sinn, wenn die Anfrage über das Kontaktformular anders zu behandeln wäre, als die Anfrage per Email.
Nur dann, wenn wirklich eine Einwilligung einzuholen ist, wie zum Bsp. bei dem Versand eines Newsletters, macht die Einholung einer Einwilligung Sinn. Auch muss berücksichtigt werden, dass einige Anbieter von Kontaktformularen die Daten in Drittländern speichern.Das dürfte zumindest auch für die Datenschutzerklärung relevant sein.
Bayerisches Landesamt für Datenschutzaufsicht bestätigt diese Auffassung
Nun hat das BayLDA im März 2019 seinen Tätigkeitsbericht 2017/2018 (pdf) veröffentlicht. Darin werden verschiedene und interessante Themen angesprochen. Unter anderem gibt das BayLDA folgende Hinweise (S. 56), die im Zusammenhang mit dem Kontaktformular auf einer Webseite beachtet werden müssen:
Grundsätzlich bedarf es keiner Einwilligung durch den Nutzer, da die Daten-verarbeitung auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DSGVO gestützt werden kann. Der Verantwortliche hat ein berechtigtes Interesse daran, Nutzeranfragen, die über das Kontaktformular eingehen, zu beantworten.
Falls das Kontaktformular vom Nutzer verwendet wird, um sich über angebotene Waren und Dienstleistungen zu informieren, kann die Verarbeitung zu diesem Zweck auf Art. 6 Abs. 1 Buchstabe b DSGVO gestützt werden (zur Erfüllung eines Vertrags).
Eine Einwilligung ist dann erforderlich, wenn besondere Kategorien personen-bezogener Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden. Das kann z. B. der Fall sein, wenn über das Formular Gesundheitsdaten für die Terminvergabe bei einem Arzt abgefragt werden, das Kontaktformular für die Anmeldung bei einer religiösen Vereinigung oder politischen Partei genutzt wird oder der Nutzer Anhänge hochladen kann, die Rückschlüsse auf Daten zur Religion, ethnischen Herkunft, sexuellen Orientierung etc. zulassen.
Weiterhin sollten Verantwortliche überprüfen, welche Daten im Kontaktformular als Pflichtfelder ausgestaltet und welche Angaben dagegen optional sind. Der Verantwortliche sollte nur solche Eingaben als Pflichtfelder festlegen, die tatsächlich erforderlich sind, um die Anfrage zu beantworten. „So viel wie nötig, so wenig wie möglich“
Damit bestätigt das BayLDA völlig zurecht unsere Auffassung.