Im Zeitalter der Digitalisierung nehmen wir vermehrt Angebote Online wahr. Sei dies zur Informationsbeschaffung oder zur Kontaktaufnahme. Viele Internetseiten haben dies schon längst umgesetzt und bieten entsprechend Blogs und Newsseiten an. Doch weiterhin sind Newsletter die meist genutzt Informationsbeschaffung im Rahmen eines Internetangebotes. Denn gerade bei Interessanten Anbietern oder auch Partnern erhalten wir so viele Informationen, welche uns im Alltag aber auch im Beruf helfen. Für die Betreiber ist dies eine einfache Möglichkeit beim Interessenten und beim Kunden im Gedächtnis zu bleiben und dessen Arbeit darzustellen. Gleiches gilt auch für ein Kontaktformular auf der Webseite. Gerade dann, wenn es viele Anfragen per E-Mail zu beantworten gibt oder das Telefon einfach nicht still sein möchte, hat ein Kontaktformular seine Vorteile. Denn hier können Kunden und Interessenten uns eine Nachricht zukommen lassen ohne das wir unsere E-Mailadressen offen legen müssen. So denken viele zumindest.
In diesem Blog möchten wir darauf eingehen, ob und wie wir rechtskonform diese Lösungen nutzen können. Denn wie so vieles im Leben, gibt es auch hier so einiges zu beachten.
I. Grundsätzliches
Bevor wir in die Einzelheiten einsteigen können, möchten wir hier ein paar Worte zu der Datenverarbeitung in diesem Sinne kurz darauf eingehen und diese in Erinnerung rufen. Zusätzlich zu den Informationspflichten wie wir in unserem Blog bereits dargelegt haben gelten hier einige Regularien.
Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Welche das genau sind muss im jeden Einzelfall für jede Verarbeitung gesondert geprüft und dargelegt werden. Darüber hinaus gelten wie so immer die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO. Ein ganz wichtiger Grundsatz im Zusammenhang mit der Datenverarbeitung im Sinne eines Newsletters oder Kontaktformulare ist der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO. Hiernach dürfen wir, nur solche Daten verarbeiten, die erforderlich sind um den Zweck zu erfüllen. Das bedeutet, wenn ich ein Kontaktformular oder Newsletter bereithalte, darf ich nur das erheben um den Zweck erfüllen zu können. Hier wäre damit grundsätzlich für ein Newsletter und für das Kontaktformular im Rahmen des Erstkontaktes vollkommen ausreichend nur Name und E-Mailadresse zu erheben bzw. zusätzlich beim Kontaktformular noch ausnahmsweise Betreff und Nachricht. Nicht aber Adresse, Telefonnummer, Mobilfunknummer, Geburtsdatum etc.
Bitte beachten Sie, dass ab dem 01.12.2021 das neue Telekommunikations- und Telemedien-Datenschutzgesetz (Kurz: TTDSG) greift und hier diese Angaben zu berücksichtigen sind.
Zuletzt und hier ebenfalls auf verweis unsere Blog zur Frage der Verschlüsselung, gilt dass hier entsprechende Sicherheitsmaßnahmen zwingend erforderlich sind. D.h. Einer Übermittlung von Daten ohne Verschlüsselung als SSL bzw. TLS ist nicht zulässig.
Soweit nun ein Interessent eine Kontaktanfrage stellt und nachdem diese abgeschickt wurde, nachträglich eine weitere Nachricht sendet mit dem Widerruf der Einwilligung, dürften Sie die Daten gar nicht mehr verarbeiten und müssen die Datenverarbeitung unverzüglich einstellen und die Daten löschen. Das gilt auch für die IP-Adresse etc.
Nun ist es so, dass die wenigsten das auch tatsächlich umsetzen. Zumal die meisten Daten mind. 7 Tage gespeichert werden und viele Aufbewahrungspflichten bestehen, sodass die Daten nicht sofort gelöscht werden können bzw. dürfen.
Jetzt würden wir auf die Idee kommen, man habe eine rechtliche Verpflichtung oder ein berechtigtes Interesse an der Aufbewahrung und käme damit zum Ergebnis diese aufgrund einer der übrigen Rechtsgrundlagen zu stützt.
Das wäre aber rechtswidrig. Denn Sie haben ja erklärt die Datenverarbeitung nur aufgrund der Einwilligung zu verarbeiten. Damit treten Sie intransparent auf und haben auch an sich keine wirksame Einwilligung eingeholt. Sie müssten den Betroffenen vorher also über diesen Umstand informieren und den Sachverhalt bereinigen, bevor die Datenverarbeitung auf die übrigen Rechtsgrundlagen gestützt werden dürfte.
Tatsächlich ist es so, dass die Einwilligung nur dann zulässig ist, soweit keine andere Rechtsgrundlage gem. Art. 6 Abs. 1 lit. b) bis f) DSGVO vorliegt. Sprich, erst ist zu prüfen ob nicht eine der anderen Rechtsgrundlagen greift. Erfahrungsgemäß ist dies zu 90 % der Fälle zu bejahen.
II. Kontaktformular
1. Beschreibung und Darstellung des Kontaktformular
Werden wir nun etwas konkreter. Ein Kontaktformular ist eine Lösung, in welcher Kunden mit uns, meist über die Webseite, durch vordefinierte Eingabemasken Kontakt aufnehmen können. Es gibt da aber unterschiedliche Variationen und Tools, welche ein Kontaktformular bereitstellen. Wie wir diese rechtskonform einsetzen und was zu beachten gilt, wird nun dargelegt.
Zunächst haben wie die obligatorischen Informationspflichten zu erfüllen.
Hier also im Rahmen der Datenschutzerklärung. Mithin muss eine ausführliche Beschreibung der Datenverarbeitung, die Rechtsgrundlage, die Zwecke, der Speicherdauern und ggf. der Widerrufsmöglichkeiten dargelegt werden.
In der Beschreibung ist es erforderlich genau zu benennen welche Daten ich erfasse. Mithin muss ich die entsprechenden Eingabemasken auflisten.
Mithin, bei Beachtung der Grundsätze gem. Art. 5 DSGVO Erhebung von erforderlichen Grunddaten:
- Datum und Uhrzeit der Kontaktaufnahme
- IP-Adresse
- Name
- E-Mailadresse
- Betreff und
- Nachricht
Betreibe ich aber ein Online-Shop und biete hierrüber die Möglichkeiten mit dem Kundendienst kontaktaufzunehmen, dürfte es unbefriedigend sein, wenn ich den Anfragenden nicht zuordnen kann. Hier ist sodann erforderlich, dass ich zusätzlich zu o.g. Daten auch die Kundennummer oder Artikelnummer bzw. Bestellnummer Abfrage.
Damit ergänzt sich die o.g. Angaben um
- Bestell,- oder Kundennummer
- Ggf. Artikelnummer
Eine Abfrage der Adresse ist nicht erforderlich, da diese bereits durch den Bestellvorgang erfasst wurde. (Beachten Sie Art. 5 Abs. 1 lit c) DSGVO also die Datenminimierung).
2. Rechtsgrundlage des Kontaktformular
Wie oben erwähnt, ist die Einwilligung stets das letzte Mittel. Es ist vorher zu prüfen ob nicht eine andere Rechtsgrundlage naheliegender ist.
Wir fragen uns also zunächst, was für ein Zweck ich verfolge und wozu die Datenverarbeitung erforderlich ist. Danach richtet sich mein Blick auf die Rechtsgrundlage.
Erheben wir die o.g. erforderlichen Grunddaten, so wäre die Rechtsgrundlage hier ein berechtigtes Interesse des Verantwortlichen um die Anfrage auch bearbeiten zu können. Hiernach wäre also Art. 6 Abs. 1 lit. f DSGVO naheliegender.
Betreibe ich aber ein Onlineshop und erfolgt diesbezüglich die Kontaktaufnahme wäre logischerweise nahliegender dass die Rechtsgrundlage nicht eine rechtliche Verpflichtung oder ein berechtigtes Interesse ist, sondern vielmehr ein Vertrag oder eben vorvertragliche Maßnahmen gem. Art. 6 Abs. 1 lit. a DSGVO.
Letztlich gilt zu beachten, dass wir hier weiter differenzieren müssen. Denn die meisten Webseiten insb. solche mit Kontaktformularen erheben auch die Uhrzeit, das Datum und die IP-Adresse welche hier regelmäßig nicht zur Erfüllung des Vertrages erforderlich sein wird. Diese Erhebung stützt sich auf das berechtigte Interesse des Verantwortlichen gem. Art. 6 Abs. 1 lit. f) DSGVO. Denn diese Angaben sind u.a. dafür notwendig, nachzuweisen, wann eine Kontaktaufnahme erfolgte und vor allem um ein Missbrauch des Kontaktformulars zu ermöglichen.
Es muss demnach genau geschaut werden, welche Datenverarbeitung vorliegt und vor allem welche Art von Daten erhoben werden. Es hat damit eine genaue Dokumentation und Information über die Datenverarbeitung zu erfolgen.
Nehmen Sie bitte solche Angaben aus ihrem Kontaktformular. Es reicht vollkommen, wenn Sie ein Text aufnehmen in der Sie auf die Datenschutzerklärung verweisen. Hier also sowas wie „Wir verweisen auf unsere Datenschutzerklärung unter … welche mit dem Versenden zu beachten ist“
III. Newsletter
Ein Newsletter ist ein gutes Instrument um seine Kunden aber auch Interessierte über aktuelles Geschehen oder relevante Sachverhalte zu informieren. Aber muss hier immer eine Einwilligung erfolgen? Auch hier können wir nur sagen. Es kommt drauf an. Ein Newsletter hat mehrere Funktionen. Zum einen um Interessierte über interessante Sachverhalte zu informieren und Kunden auf bestimmte Sachverhalte hinzuweisen. Wir können es also nutzen um sog. Neuigkeiten also Nachrichten aufgearbeitet darzustellen und um auch Handlungsempfehlungen zu geben.
Ein Newsletter kann aber auch auf Angebote und Dienstleistungen hinweisen, soweit wir ausreichend darüber informiert haben das der Newsletter hierzu verwendet wird.
Damit haben wir drei unterschiedliche Zwecke, die jeweils für sich eine eigene Rechtsgrundlage und damit Prüfung bedürfen.
In erster Linie müssen wir selbst festlegen, was die Zwecke des Newsletters sind und was ich genau damit vor habe. Anschließend muss ich diese ausführlich Beschreiben und diese Information bekannt geben.
1. Beschreibung und Zweck des Newsletters
Wie beim Kontaktformular und gänzlich bei jeder Datenverarbeitung von personenbezogenen Daten müssen wir die Datenverarbeitung beschreiben. D.h. ich erkläre was ich damit vorhabe und wie ich diese umsetze.
Um ein Newsletter zu versenden, ist selbstredend die Erhebung von personenbezogenen Daten erforderlich. Hier gilt auch der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten. Mithin ist völlig ausreichend die erforderlich Daten wie
- die IP-Adresse;
- Datum und Uhrzeit der Anmeldung zum Newsletter und
- die E-Mailadresse
zu erheben.
Weitere Daten sind völlig unnötig. Aber dann doch etwas unpersönlich. Denn ein guter Newsletter spricht die Person auch direkt an. Mithin können ausnahmsweise um einen persönlichen Charakter zu haben noch optionale Daten wie
- Anrede;
- ggf. akademische Grade und
- der Name
zu erheben.
Dies muss ich aber genau bezeichnen und auch begründen können, wozu wir auch zu den Zwecken übergehen.
Hier habe ich genau darzulegen was der Zweck der Erhebung o.g. Daten sind. Es reicht nicht aus nur zu erwähnen, dass diese erforderlich sind um den Newsletter zu versenden. Vielmehr muss ich darlegen weshalb genau diese Informationen erforderlich sind. So wäre hier zu bezeichnen was ich überhaupt für Zwecke verfolge und das ich zusätzlich die erforderlichen und ggf. optionalen Daten benötige um diese personalisiert zuzustellen. Die IP Adresse und das Datum wie auch die Uhrzeit dient dem Nachweis der erteilten Einwilligung.
Gebe ich mit dem Newsletter Interessierte aber auch Kunden Informationen über relevante Sachverhalte, schön aufgearbeitet wieder dient der Zweck die Informationsbeschaffung.
Gebe ich zusätzlich Handlungsempfehlung möchte ich damit informieren und beraten.
Wenn ein Informationen über interessante Änderungen im Angebotskatalog erfolgt hat der Newsletter werbenden Charakter und stellt damit einen Akquise bzw. Marketingzweck dar.
2. Rechtsgrundlagen
Im Sinne der Informationsbeschaffung ist die einzige Rechtsgrundlage hier eine wirksame Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO. Dabei gilt zu beachten, dass diese am besten so erfolgt das diese nachweislich erteilt wurde.
Wir empfehlen das sog. Double opt in Verfahren zu nutzen. D.h. der Nutzer trägt seine Daten ein und muss diese per E-Mail nochmal bestätigen.
Soweit der Newsletter nun auch zu Marketingzwecken erfolgt, brauchen wir zumindest bei solchen Personen welche keine Kunden sind ebenfalls eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO.
Möchten Sie aber Kunden einen Newsletter zukommen lassen,
gilt hier etwas anderes. Denn, dient der Newsletterversand sowohl der Informationsbeschaffung und ggf. sogar einer Handlungsempfehlung könnte damit die Erfüllung vertraglicher Pflichten gesehen sein bzw. ist Teil der Kundenbetreuung. Mithin dürfte hier Art. 6 Abs. 1 lit. b) DSGVO i.V.m den Voraussetzungen gem. § 7 Abs.3 UWG als Grundlage greifen.
Es ist hier zwingend erforderlich, dass Sie ihre Kunden im Rahmen der allg. Datenerhebung beim z.B. Vertragsschluss hierzu informiert haben. Sinnvollerweise haben Sie dies auch in ihren Datenschutzhinweisen und der Datenschutzerklärung dargelegt und diese dem Kunden zur Verfügung gestellt.
Wie sieht es nun aber aus, wenn Sie Kunden auch noch über interessante Angebote informieren möchten?
Auch gilt, dass es je nachdem wie Sie die Angebote darstellen, als Kundenbetreuung für Bestandskunden gewertet werden kann und damit eine Einwilligung nicht erforderlich ist, sondern die Erfüllung vertraglicher Pflichten bzw. vorvertraglicher Maßnahmen dient. Schließlich gehört die Kundenbetreuung und Kundenpflege auch zu einer Nebenpflicht. Es dient der Transparenz und der guten Geschäftsbeziehung, wenn hier auf interessante Angebote verwiesen wird um ggf. eine bessere Leistung anbieten zu können.
Voraussetzung hier ist aber stets die obligatorische Informationspflichten im Rahmen der Erhebung. Soweit ich den Kunden nicht darüber informiert habe, dass wir im Sinne der Kundenberatung und Betreuung regelmäßig Newsletter, auch über aktuelle Angebote versende, dass stets eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO i.V.m. Art. 7 DSGVO eingeholt sein muss.
3. Widerrufs-bzw. Abstellungsmöglichkeit
Bei jeder Art von Newsletter, müssen Sie stets daran denken, dass so einfach wie die Kunden bzw. Interessierten sich zum Newsletter anmelden konnten, müssen diese den Newsletter auch widerrufen bzw. abbestellen können.
Wir empfehlen hier dies per Link, in jedem Newsletter einzupflegen, sodass die betroffenen Personen nur auf den link klicken müssen und so sich abmelden können. Andererseits müssen Sie hier eine separate Möglichkeit schaffen. Diese gilt aber unbedingt einzuhalten. Auch für Bestandskunden.
IV. Unsere Expertenempfehlung
Es sollte stets genaustens geprüft werden, welche Zwecke Sie mit der Datenverarbeitung verfolgen insb. Darauf aufbauend genau zu analysieren was denn für Sachverhalte vorliegen um daraus die entsprechende Rechtsgrundlage zu finden. Besonders relevant und ausschlaggebend sind die Grundsätze der Datenverarbeitung insb. Der Datenminimierung. Letztlich gilt, dass eine gute Informationsdarlegung unerlässlich ist um datenschutzkonform zu arbeiten.