In 6 Schritten zum „perfekten“ Online-Formular

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Immer wieder stoßen wir bei unseren Website-Analysen auf fehlerhafte Online-Formulare. Daher haben wir Ihnen die Punkte, auf die Sie bei Ihren Formularen achten müssen, nachfolgend zusammengefasst.

Warum hat die Ausgestaltung eines Online-Formulars rechtliche Relevanz?

Datenschutz!

Durch das Formular werden personenbezogene Daten gemäß Artikel 4 Nr. 1 der DSGVO gesammelt. Um Abmahnungen zu vermeiden, sollte man die folgenden Punkte bei der Ausgestaltung stets beachten.

1. Datenminimierung

Datenminimierung bedeutet, dass personenbezogene Daten dem Zweck angemessen und erheblich sein sollen, sowie eine Beschränkung auf das für die Zwecke der Verarbeitung notwendige Maß vorgenommen wird (vgl. Artikel 5 Nr. 1 lit c DSGVO). Daten müssen um „dem Zweck angemessen“ zu sein, einen Bezug zum Verarbeitungszweck haben. Die Daten sind „erheblich“, wenn durch die Verarbeitung der festgelegte Zweck gefördert wird.

Wenn man das Juristendeutsch weglässt, bedeutet dies einfach: Fragen Sie nur die Daten ab, die Sie auch wirklich unbedingt zur Bearbeitung einer Anfrage benötigen.

Es dürfen also nicht beliebig viele, sondern möglichst wenige und keine x-beliebigen Daten abgefragt werden. Grundsätzlich kann man davon ausgehen, dass der Name (also der Nachname) sowie die E-Mail-Adresse als Daten zu werten sind, die als unbedingt notwendig zu kategorisieren sind. Darüber hinaus sollte man die weitere Abfrage von Daten immer entsprechend nach den genannten Voraussetzungen prüfen. Die Abfrage einer URL kann zum Beispiel auch angemessen und erheblich sein, wenn es sich um ein Formular handelt, mit dem man eine kostenfreie Analyse seiner Website anfordern möchte.

2. Zweckbindung

Daten, die Sie über das jeweilige Formular erhalten, dürfen auch nur für den Zweck, welcher mit dem Formular verfolgt wird, verwendet werden und sind danach zu löschen.

Wenn Sie also ein Kontaktformular auf Ihrer Website eingebunden haben, darf die hierbei angegebene E-Mail-Adresse nur zur Beantwortung der Anfrage und nicht zum Beispiel zur Versendung eines Newsletters verwendet werden.

Eine Kombination verschiedener Daten ist untersagt. Wenn Sie zum Beispiel ein Kontaktformular auf Ihrer Website betreiben, hier den Namen abfragen und gleichzeitig eine Newsletter-Anmeldung und hier korrekterweise nur die E-Mail-Adresse abfragen, dürfen Sie diese Daten nicht kombinieren und somit den Newsletter-Abonnent mit Namen ansprechen.

3. Vorsicht bei Anrede und Geschlecht!

Oftmals wird nur die Auswahl zwischen „Frau“ und „Herr“ als Anrede oder zwischen „Männlich“ und „Weiblich“ als Geschlecht zur Verfügung gestellt. Im schlimmsten Fall ist dies zudem noch ein Pflichtfeld.

Hierbei besteht die Gefahr der Verletzung des allgemeinen Persönlichkeitsrechts von Personen mit nicht-binärer Geschlechtsidentität (vgl. LG Frankfurt am Main, Urteil vom 03.12.2020, Az.: 2-13 O 131/20). Die Berufung der Beklagten gegen das Urteil des LG war ebenfalls nicht erfolgreich. Auch das OLG Frankfurt urteilte, dass die Beklagte es zu unterlassen hat, zwingend eine Anrede als Frau oder Herr zu fordern, da dadurch das allgemeine Persönlichkeitsrecht nicht binärer Personen beeinträchtigt wird. (OLG Frankfurt a.M., Urteil vom 14.04.2022, Az. 9 U 84/21)

Auch das OLG Karlsruhe (Urteil vom 14.12.2021, Az. 24 U 19/21) sah bei einer Auswahl zwischen „Frau“ oder „Herr“ beim Online-Shopping eine Benachteiligung unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) sowie eine Verletzung in dem Allgemeinen Persönlichkeitsrecht.

Das OLG Frankfurt (Urteil vom 21.06.2022, Az. 9 U 92/20) sah in der Auswahl zwischen „Frau“ und „Herr“ ebenfalls eine Diskriminierung und sprach der klagenden Person zudem eine Entschädigung i.H.v. 1.000 € zu.

Daher empfehlen wir entweder die Aufnahme einer dritten Option „Divers“, wenn die Angabe zwingend notwendig ist oder die Entfernung eines solchen Punktes.

4. Kennzeichnung von Pflichtfeldern

Pflichtfelder sollten Sie so gestalten, dass diese auch direkt als solche wahrgenommen werden. Hierzu eignet sich sehr gut eine Kennzeichnung durch ein entsprechendes Sternchen (*).

5. Transparenz

Derjenige, der das Formular ausfüllt und abschickt, muss entsprechend nach Artikel 13 DSGVO informiert werden. Daher ist stets darauf zu achten, eine entsprechende Klausel bzgl. des jeweiligen Formulars in die Datenschutzerklärung aufzunehmen und auf die Datenschutzerklärung hinzuweisen.

Hierbei gibt es keine Pflicht eine Checkbox zu verwenden. Wenn Sie oberhalb des Absende-Buttons des Formulars einen Text einfügen, der wie folgt lautet:

Hinweis: Unsere Datenschutzerklärung können Sie hier abrufen.

und das Wort “hier” mit der Datenschutzerklärung verlinken, ist dies ausreichend und steigert im Vergleich zu einer Checkbox womöglich sogar die Conversionrate. Einzig der Nachweis, dass man seinen Informationspflichten nachgekommen ist, könnte erschwert werden.

Um in der Lage zu sein, nachweisen zu können, dass Sie Ihren Informationspflichten nachgekommen sind, kann die Aufnahme folgender Checkbox innerhalb von Formularen (bei denen nicht gleichzeitig ein Vertrag geschlossen wird!) sinnvoll sein:

Ich habe die Datenschutzerklärung zur Kenntnis genommen.

Bei dieser Variante sollte die Checkbox als ein Pflichtfeld dargestellt werden und das Wort „Datenschutzerklärung“ sollte auf die Unterseite mit der Datenschutzerklärung verlinkt werden.

Wir haben das Thema Checkbox innerhalb eines separaten Blog-Beitrages, den Sie hier abrufen können, ausführlich behandelt.

Wichtig ist hierbei auf die genaue Formulierung zu achten. Oft sehen wir Formulierungen wie „Ich bin mit der Datenschutzerklärung einverstanden“ oder „Ich akzeptiere die Datenschutzerklärung“. Diese Formulierungen sind völlig fehl am Platz! Mittels der Datenschutzerklärung soll über die Verarbeitung der Daten in Form einer einseitigen Informationspflicht informiert werden, daher ist keine Bestätigung und erst recht keine Zustimmung notwendig.

6. Datensicherheit

Werden durch ein Formular personenbezogene Daten übertragen, müssen Sie als Websitebetreiber für eine ausreichende Verschlüsslung sorgen. Hierbei kann keine pauschale Aussage getroffen, werden welche Maßnahmen notwendig sind, da dies auch von den erhobenen Daten abhängig ist. Mindestens sollten Sie jedoch eine TLS 1.3 Verschlüsslung auf Ihrer Website integriert haben.