Datenschutz-Checkbox unter dem Kontaktformular?

Dennis Morgenstern LL.M.
Geschäftsführer
Wirtschaftsjurist

„Soll ich unter mein Kontaktformular eine Datenschutz-Checkbox einbauen?“

Da diese Frage immer wieder gestellt wird und hierbei zum Teil eine Rechtsprechung zitiert wird, die man nicht pauschal anwenden kann, sondern genau betrachten muss, haben wir alle entsprechenden Punkte in dem nachfolgenden Blog-Beitrag zusammengefasst.

Zunächst unsere kurze Antwort: „Ja, es ist möglich, aber Achtung bei der Gestaltung!“

Worum geht es?

Wenn Sie als Websitebetreiber ein Kontaktformular auf Ihrer Website bereitstellen, müssen Sie denjenigen der das Formular ausfüllt und abschickt, entsprechend nach Artikel 13 DSGVO informieren. Daher ist stets darauf zu achten, eine entsprechende Klausel bzgl. des jeweiligen Formulars in die Datenschutzerklärung aufzunehmen. Bis hierin ist die Rechtlage klar!

Wie funktioniert die entsprechende Information nach Art. 13 DSGVO?

Hier beginnen die Diskussionen zur Rechtslage. Einige Juristen sind der Auffassung, dass es genügt, wenn man innerhalb eines Kontaktformulars auf die Datenschutzerklärung hinweist. Wir betrachen das auch als ausreichend, sehen jedoch hierbei kritisch, dass man diesen Hinweis und die damit verbundene Erfüllung der Informationspflicht im Falle eines Streites oder Behördenverfahrens ggf. belegen müsste.

Und so ein Streit beginnt schneller als man denkt. Das OLG Köln musste sich zum Beispiel mit einem solchen Fall befassen (Urteil vom 11.3.2016 – 6 U 121/15) und sah darin, dass eine Unterrichtung über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten fehlte, einen abmahnfähigen Verstoß. Auch dieses Urteil wird oftmals falsch interpretiert, wenn dazu behauptet wird, es sei abgemahnt worden, weil keine Checkbox vorhanden war.

Das ist falsch! Es wurde abgemahnt, weil keine Information stattfand. Das bedeutet: Hätte der Abmahnte damals bei seinem Kontaktformular die Datenschutzerklärung verlinkt, wäre es kein Problem gewesen.

Aber wie soll man nachweisen, dass man eine Verlinkung gesetzt hat und somit den Informationspflichten nachgekommen ist? Alle 5 Minuten einen Screenshot von der eigenen Website machen (ist natürlich ein Scherz). Durch eine Checkbox!

„Ich habe gelesen, man darf keine Checkbox verwenden?“

Die Auffassung, dass allgemein eine Checkbox nicht verwendet werden solle bzw. müsse, wird von einigen Juristen vertreten. Die Argumentation greift aber aus unserer Sicht hier oft zu kurz. Wir erklären im Weiteren warum unserer Ansicht nach, eine korrekt gestaltete Checkbox durchaus verwendet werden kann und warum es jedenfalls kein allgemeines Dictum gibt, das gegen eine Checkbox am Kontaktformular spricht.

Teils wird hier kritisiert, dass mit Formulierungen wie „Ich bin mit der Verarbeitung meiner Daten einverstanden“ (oder mit vergleichbarem Wortlaut) als Checkbox bei Kontaktformularen eine Einwilligung als Rechtsgrundlage herbeigeführt wird, die zwar nach Art. 6 Abs. 1 lit. a) DSGVO die Rechtmäßigkeit der Verarbeitung begründen kann, aber keineswegs bei jeder Kontaktaufnahme benötigt wird, da meist schon die Vertragsanbahnung oder – abwicklung oder ggf. sogar berechtigte Interessen nach Art. 6 Abs. 1 lit. b) bzw. f) DSGVO als Grundlage gelten können. Das teilen wir. Es sollte wohl überlegt werden, ob man die Datenverarbeitung wirklich auf eine Einwilligung stützen muss, da diese Einwilligung jederzeit widerruflich wäre und ein „Wechsel“ auf eine andere Rechtsgrundlage im Nachgang ggf. nicht möglich sein soll (wobei auch die Frage noch streitig ist).

ABER das heißt nicht, dass eine Checkbox mit einem anderen Inhalt nicht sinnvoll und insoweit also „korrekt gestaltet“ dann doch nicht nur zulässig, sondern auch sinnvoll sein kann.

Meist wird sodann zur Begründung, warum man angeblich keine Checkbox verwenden darf (!)auf ein Urteil des KG Berlin (Urteil vom 20.12.2019 – 5 U 9/18) abgehoben. Hier wird unzulässig verallgemeinert.

Um das nun mal sauber aufzulösen:

Erst hatte die Vorinstanz (LG Berlin, Urteil vom 16.01.2018 – 16 O 341/15) eine Checkbox beanstandet, neben der folgender Text zu lesen war:

„Indem du auf „Registrieren“ klickst, erklärst du dich mit unseren Nutzungsbedingungen einverstanden und bestätigst, dass du unsere Datenrichtlinie einschließlich unserer Bestimmungen zur Verwendung von Cookies gelesen hast“

Das Gericht führte aus, dass die „Bestätigung“, die Datenrichtlinie „gelesen“ zu haben als AGB-Erklärung des Nutzers unwirksam sei. Wir empfehlen stets die Datenschutzerklärung als „Datenschutzerklärung“ oder „Datenschutzhinweise“ zu bezeichnen, da nämlich in einem anderen Urteil des KG Berlin (Ja, schon wieder KG Berlin, Sie erkennen ein Muster) die Bezeichnung „Datenschutzrichtline“ so gewertet wurde, dass hier eine verbindliche Regelung des Datenschutzes geschaffen werden sollte (vgl. unseren Blog-Beitrag). Zudem – und das erkennt man, wenn man das Urteil des KG Berlin (Urteil vom 20.12.2019 – 5 U 9/18) im Ganzen betrachtet – wertete das Gericht die Datenschutzrichtlinie im dortigen Fall nicht nur wegen des Wordings als AGB, sondern auch deshalb, weil in der Datenschutzrichtlinie vorformulierte Einwilligungserklärungen des Nutzers vorhanden waren.

Zudem begründete das Gericht die Einordnung der Datenschutzrichtlinie als AGB aber auch damit, dass die Klausel in unmittelbarem Zusammenhang mit der (Begründung einer) vertraglichen Beziehung verwendet wurde; nämlich wurde das Einverständnis mit den Nutzungsbedingungen in derselben Checkbox abgefragt, in der auch das Lesen der Datenschutzrichtlinie bestätigt werden sollte.

Wir empfehlen insofern stets eine eigenständige Checkbox bzgl. der Datenschutzerklärung/Datenschutzhinweise aufzunehmen und diese nicht mit anderen „Abfragen“ zu „vermischen“.

Das Gericht kam erst auf diesem Wege im konkreten Fall zu einer AGB-Kontrolle und somit zur Anwendbarkeit der §§ 305 ff. BGB auch auf die Datenschutzrichtlinie. Darauf fußend argumentierte das KG, dass die Klausel unwirksam i.S.d. § 309 Nr. 12b BGB sei, da man sich so die Tatsache, dass die Datenschutzrichtlinie komplett gelesen wurde, bestätigen lasse.

Folgt man unserer Beratung zur Gestaltung der Checkbox, so wird diese zwar zum Zwecke der späteren Beweisbarkeit der Informationserteilung dienen, aber eben aufgrund ihrer klaren Gestaltung und Abtrennung von vertraglichen Erklärungen, nach unserem Dafürhalten schon überhaupt nicht als AGB gelten und daher auch nicht gegen § 309 Nr. 12b BGB verstoßen können.

Nun dazu welche Checkbox, man verwenden kann:

Ich habe die Datenschutzerklärung zur Kenntnis genommen.

Formuliert man den Text so, dann handelt es sich definitorisch hierbei nicht um eine AGB. Nach § 305 Abs.1 BGB gilt:

„Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt“

Nach der Rspr. des BGH liegt eine Vertragsbedingung in diesem Sinne bei einer Erklärung vor, die eine rechtsgeschäftliche Bedeutung haben kann. Ob eine Erklärung dazu bestimmt ist, die vertragliche Lage von zwei Vertragsparteien zu regeln, ist durch Auslegung nach §§ 133, 157 BGB zu ermitteln, bestimmt sich also nach dem sogenannten „objektiven Empfängerhorizont“. Es ist insoweit nach dem Wortlaut und den Umständen der Erklärung auszulegen, was erklärt wird und was nicht. Dabei ist also zu fragen, ob nach dem objektiven Empfängerhorizont des Kunden das Klicken der Checkbox dazu dienen soll, Rechte und Pflichten für/gegen ihn zu bestimmen. Von Vertragsbedingungen sind unverbindliche Hinweise, Bitten oder bloße Informationen ohne rechtlichen Regelungsgehalt abzugrenzen. Die Übergänge können folglich fließend sein und genau daher rührt dann auch die laufende Diskussion.

Entscheidend ist der Empfängerhorizont des objektiven Besuchers der Webseite, der das Kontaktformular mit der Checkbox wahrnehmen soll, an den es sich also richtet. Eine Vertragsbedingung nach § 305 Abs. 1 S. 1 BGB liegt danach vor, wenn die Checkbox inklusive Text (!) im Zusammenhang mit der Webseite und der Gestaltung des Formulars beim durchschnittlichen, rechtlich nicht vorgebildeten Besucher der Website den Eindruck erweckt, er solle mit Klick auf die Checkbox und Absenden des Formulars, eine Erklärung abgeben, die den Inhalt eines vertraglichen Rechtsverhältnisses bestimmt (vgl. i.d.S. BGH NJW 1996, 2574 f.; BeckRS 2014, 09743 Rn. 24).

Wir sprechen hier von Kontaktformularen in denen es grds. darum geht, eine Frage an den Websitebetreiber zu senden, die beantwortet werden soll. Dazu gibt man Kontaktdaten in dem Formular an, um eine Antwort empfangen zu können. Bestätigt man sodann mit der Checkbox, die Datenschutzhinweise/-erklärung zur Kenntnis genommen zu haben, dann hat das keineswegs per se eine rechtsgeschäftliche Bedeutung und dient auch nicht zur Regelung von Vertragsbeziehungen. Der nicht vorgebildete Besucher wird dies erkennen als das, was es ist, nämlich als Hinweis darauf, dass es hier Datenschutzinformationen gibt, die er zur Kenntnis nehmen soll, bevor er seine Daten angibt und deren Kenntnisnahme er bestätigen möchte.

Hierbei wird auch der wesentliche Unterscheid zu der Situation deutlich, die dem Urteil des KG Berlin zu Grunde lag, da dort das Einverständnis mit Nutzungsbedingungen (die für sich genommen unstreitig einen Vertrag begründen/regeln sollten) im direkten Zusammenhang mit der Datenschutzrichtlinie abgefragt wurde, was der nicht vorgebildete Besucher so verstehen musste, dass er hier zu beiden Bestandteilen eine rechtsverbindliche Erklärung abgeben sollte, es sich also eben nicht nur um Informationen handelte.

Wir möchten an dieser Stelle aber betonen, dass es keine Pflicht gibt eine Checkbox zu verwenden.

Wenn Sie oberhalb des Absende-Buttons einen Text einfügen, der wie folgt lautet:

Hinweis: Unsere Datenschutzerklärung können Sie hier abrufen.

und das Wort “hier” mit der Datenschutzerklärung verlinken, ist dies ausreichend und steigert im Vergleich zu einer Checkbox womöglich sogar die Conversionrate. Einzig der Nachweis, dass man seinen Informationspflichten nachgekommen ist, könnte erschwert werden.

Don´t do this!

Wenn Sie eine Checkbox verwendet möchten, dann es ist es wichtig auf die genaue Formulierung der Checkbox zu achten. Oft sehen wir Formulierungen wie „Ich bin mit der Datenschutzerklärung einverstanden“ oder „Ich akzeptiere die Datenschutzerklärung“. Diese Formulierungen sind völlig fehl am Platz! Mittels der Datenschutzerklärung soll über die Verarbeitung der Daten in Form einer einseitigen Informationspflicht informiert werden, daher ist keine Bestätigung und erst recht keine Zustimmung notwendig, dann wären wir nämlich wieder bei dem Thema AGB, was das KG Berlin entsprechend gerügt hat.

Wir empfehlen zudem immer nur dann eine entsprechende Checkbox einzusetzen, wenn es sich um ein Kontaktformular oder ähnliche Formulare handelt, bei denen nicht gleichzeitig ein Vertrag geschlossen werden soll. Innerhalb eines Checkout-Prozesses eines Online-Shops empfehlen wir daher stets auf eine Checkbox zu verzichten und nur einen Hinweis auf die Datenschutzerklärung aufzunehmen.