Formulare, die auf einer Website oder in einer App verwendet werden, sind für alle Benutzer sichtbar. Dies stellt eine erhebliche Schwachstelle dar, die sowohl für die betroffenen Personen als auch für die zuständigen Datenschutzbehörden ein Risiko darstellt. Aus diesem Grund ist es von entscheidender Bedeutung, diese Formulare ordnungsgemäß zu erstellen.
Die Fragen in diesen Formularen können sehr detailliert sein. Es gibt Fälle, in denen Unternehmen Informationen als obligatorische Angaben anfordern, ohne die Notwendigkeit kritisch zu hinterfragen. Wenn Verantwortliche personenbezogene Daten für verschiedene Zwecke verarbeiten, haben die betroffenen Personen oft keine Möglichkeit, die Datenerhebung zu steuern, indem sie beispielsweise bestimmte Verarbeitungszwecke ablehnen können.
Übersicht
- Erste Fehlerquelle: Datenminimierung und Nichtbeachtung der Erforderlichkeit
- Wie sieht es mit Geburtsdatum und Anrede aus?
- Datensparsame Alternativen
- Zweite Fehlerquelle: Keine klare Trennung von Pflicht- und freiwilligen Angaben
- Dritte Fehlerquelle: Widerspruchsmöglichkeiten sind nicht vorhanden
1) Erste Fehlerquelle: Datenminimierung und Nichtbeachtung der Erforderlichkeit
Verantwortliche, die personenbezogene Daten sammeln, müssen dem Grundsatz der Datenminimierung gemäß der Datenschutzgrundverordnung (DSGVO) folgen. Dies bedeutet, dass die Daten nur in dem Maße erhoben werden dürfen, wie es notwendig ist (Art. 5 Abs. 1 lit. c DSGVO), unabhängig von der rechtlichen Grundlage (z. B. Einwilligung oder Vertragserfüllung). Der Europäische Datenschutzausschuss (EDSA) sieht die Einwilligung nicht als Ausnahme von diesem Grundsatz an.
In Bezug auf die Notwendigkeit hat der Europäische Gerichtshof (EuGH) strenge Anforderungen für berechtigte Interessen festgelegt, was bedeutet, dass die Datenverarbeitung auf das absolut Notwendige beschränkt sein muss. Für die Vertragserfüllung gelten weniger strenge Anforderungen, die sich nicht nur nach individuellen Vereinbarungen, sondern auch nach dem üblichen Vertragszweck richten.
Dies ermöglicht einen gewissen Spielraum bei der Beurteilung der Notwendigkeit im Gegensatz zu berechtigten Interessen.
Wie sieht es mit Geburtsdatum und Anrede aus?
Das Verwaltungsgericht Hannover hat im Jahr 2021 entschieden, dass eine Versandapotheke das Geburtsdatum in ihrem Bestellformular weder auf Grundlage von Art. 6 Abs. 1 lit. b noch auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erheben kann, da es nicht erforderlich ist. Ebenso wurde festgestellt, dass die Erhebung der Anrede im Formular nach Art. 6 Abs. 1 lit. b DSGVO nicht rechtmäßig ist, da das Geschlecht für viele Medikamente nicht relevant ist. Das Oberverwaltungsgericht Lüneburg wird darüber entscheiden, ob diese Rechtsauffassung bestätigt wird.
Datensparsame Alternativen
Unternehmen können das Risiko von rechtlichen Auseinandersetzungen reduzieren, indem sie nicht erforderliche Angaben aus ihren Kontakt- und Bestellformularen entfernen oder durch datensparsamere Alternativen ersetzen. Zum Beispiel kann das Geburtsdatum durch datensparsamere Alternativen wie Kunden- oder Rechnungsnummern ersetzt werden, wenn es nur dazu dient, den Zugriff auf Kundeninformationen zu sichern.
Besonders in Kontaktformularen sollten Unternehmen darauf achten, nur die notwendigen Kontaktdaten zu erheben, um die Anfragen zu bearbeiten. Wenn der Kundenservice beispielsweise nur per E-Mail antwortet, ist die Erhebung weiterer Kontaktdaten wie Adresse oder Telefonnummer nicht sinnvoll. Gleiches gilt, wenn Anfragen ausschließlich telefonisch beantwortet werden.
Es ist ratsam, Newsletter-Anmeldungen kritisch zu prüfen und nur die erforderlichen Daten für den jeweiligen Zweck zu erheben. Es sollte daher bei jedem Eingabefeld eines Formulars überprüft werden, ob die Angabe für den beabsichtigten Zweck erforderlich ist.
2) Zweite Fehlerquelle: Keine klare Trennung von Pflicht- und freiwilligen Angaben
In vielen Formularen sind Pflichtangaben nicht rechtlich verbindliche Anforderungen aus Verträgen oder Gesetzen. Stattdessen handelt es sich oft um Obliegenheiten, bei denen die betroffene Person Nachteile erleiden kann, wenn sie diesen nicht nachkommt, z. B. kann kein Vertrag abgeschlossen werden. Diese Unterscheidung zwischen verpflichtenden und freiwilligen Angaben wird durch Art. 13 Abs. 2 lit. e DSGVO vorgeschrieben. Dort muss der Verantwortliche informieren, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, ob die betroffene Person verpflichtet ist, die Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.
Daraus ergeben sich drei Arten von Angaben:
I. Angaben, die vertraglich oder gesetzlich verpflichtend sind
II. Angaben, die für den Vertragsabschluss notwendig sind
III. Angaben, die vorteilhaft für die betroffene Person sind und/oder auf ihren Wunsch hin bereitgestellt werden können
Die ersten beiden Arten basieren auf den Rechtsgrundlagen von Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) und Art. 6 Abs. 1 lit. b DSGVO (Vertragsabschluss und Vertragserfüllung). Die dritte Art betrifft Datenerhebungen, die auf den Rechtsgrundlagen von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruhen.
3) Dritte Fehlerquelle: Widerspruchsmöglichkeiten sind nicht vorhanden
Unternehmen, die beabsichtigen, die von Websitebesuchern in Bestell- oder Kontaktformularen angegebenen Informationen für Werbezwecke zu verwenden, müssen sicherstellen, dass die Formulare den Anforderungen des Erleichterungsgebots gemäß Art. 12 Abs. 2 S. 1 DSGVO entsprechen. Das bedeutet, dass die betroffenen Personen einfach und ohne großen Aufwand vor und nach dem Erhalt von Werbung die Möglichkeit haben müssen, der Verwendung ihrer Daten zu diesem Zweck zu widersprechen.
Dies gilt nicht nur für die Verarbeitung von E-Mail-Adressen, sondern auch für die Verarbeitung von Postanschriften. Wenn ein Unternehmen beabsichtigt, sowohl Newsletter als auch Briefwerbung zu versenden, muss die betroffene Person bereits im Bestell- oder Kontaktformular die Möglichkeit haben, dies zu verhindern. Dies kann beispielsweise durch das Entfernen eines voreingestellten Häkchens in einer Checkbox für Newsletter und/oder Briefwerbung ermöglicht werden.
Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“