Rechtssicherheit auf der Homepage

Kein Kontaktformular ohne Datenschutzerklärung

18.06.2016 von Christian Volkmer
Im März 2016 hat das OLG Köln entschieden, dass ein Kontaktformular auf der Homepage ohne Datenschutzerklärung unzulässig ist.

Bezüglich des Kontaktformulars auf auf der Homepage können Unternehmen vieles falsch machen. Nicht nur, dass eine Hinweispflicht mit Aufklärung über das Widerspruchsrecht was die darüber erhobenen Daten betrifft, besteht. Es muss darüber hinaus auch verschlüsselt sein. Ist es das nicht, blühen der Firma unter Umständen hohe Bußgelder.

Nicht jedes Feld darf bei einem Kontaktformular als Pflichtfeld deklariert werden.
Foto: Olga Tagaeva - shutterstock.com

Letztlich gilt auch für ein Kontaktformular das Datensparsamkeitsgebot. Es dürfen nur die Felder zum Ausfüllen verpflichtend gemacht werden, die für den Zweck notwendig sind. Das ist im Normalfall die E-Mail Adresse und maximal noch der Nachname für eine richtige Ansprache. Vollständige Adresse, Telefonnummer, Bankverbindungen, etc. schießen bei einer ersten Kontaktanfrage bereits weit über das Ziel hinaus.

Über eine Informationspflicht gegenüber den Website-Besuchern hatte auch das OLG Hamburg zu entscheiden.

Konkreter Sachverhalt

Im vorliegenden Fall stritten sich zwei Steuerberater über die datenschutzrechtliche Hinweispflicht des einen auf dessen Homepage, da dieser dort ein Kontaktformular anbiete. Angeblich würden neben Unternehmen auch Privatpersonen beraten werden. Der Beklagte hingegen war der Ansicht, dass eine Datenschutzerklärung nicht erforderlich sei, da es für den Verbraucher ohne weiteres als Kontaktformular erkennbar sei, und somit auch klar wäre welche Daten erhoben werden und zu welchem Zweck. Das Gesetz selbst spreche davon, dass eine Unterrichtung nur soweit zu erfolgen habe, "sofern eine solche Unterrichtung nicht bereits erfolgt ist". Es bestünde daher laut Beklagtem über die Umstände, die aus der Natur des Kontaktformulars schon bekannt seien, kein weiteres Informationsbedürfnis des Nutzers.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Entscheidung des Gerichts

Das OLG Hamburg vertritt die Ansicht, dass § 13 TMG eine Marktverhaltensregelung im Sinne des § 4 Nr. 11 UWG darstellt: "Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
Nach Abs. 2 kann die Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

  2. die Einwilligung protokolliert wird,

  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Nach § 13 Abs. 3 S. 1 TMG hat der Diensteanbieter den Nutzer vor Erklärung der Einwilligung auf sein Widerrufsrecht hinzuweisen."

Der Beklagte hat im Zusammenhang mit seinem Kontaktformular die geforderten Informationen unbestrittenermaßen nicht erteilt. Dass sich eine Unterrichtung über Zweck und Umfang aus der Tatsache, dass es sich um ein Kontaktformular handelt erübrigt, wollte das Gericht nicht akzeptieren. Da die Norm gerade eine allgemein verständliche Unterrichtung bezweckt, kann eine solche nicht dadurch entbehrlich werden, dass sich ein Verbraucher gegebenenfalls aus der Art der Datenerhebung und aus den Umständen selbst herleiten kann, welche Daten wofür konkret verwendet werden.
Eine anderweitige Unterrichtung kann vom Wortlaut her bereits nicht die eigene Auslegung durch den Verbraucher sein, da eine Unterrichtung einen Hinweis durch einen Dritten voraussetzt.