Wie sieht die Rechtslage aus?

Kontaktformulare werden beinahe auf jeder Webseite eingesetzt, um dem Besucher eine möglichst unkomplizierte Form der Kontaktaufnahme zu ermöglichen. Über das Kontaktformular werden Daten verarbeitet und übermittelt. Der Webseiten-Betreiber ist gem. §13 TMG kurz gesagt verpflichtet, den Nutzer des Kontaktformulars darüber zu informieren, dass und wie seine Daten verarbeitet werden. Einer gesonderten Einwilligung zur Verarbeitung der über das Kontaktformular übermittelten Daten bedarf es nach überwiegender Meinung zwar grundsätzlich nicht, da der Verantwortliche ein berechtigtes Interesse daran hat, Nutzeranfragen zu beantworten (so etwa LG Köln 81 O 32/17 vom 01.08.2017 oder auch Bayrisches Landesamt für Datenschutzaufsicht in seinem 8. Tätigkeitsbericht vom März 2019). Anders sieht es jedoch dann aus, wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO betroffen sind! Dies kann beispielsweise der Fall sein, wenn über ein Kontaktformular Gesundheitsdaten für eine Terminvergabe beim Arzt abgefragt werden, oder wenn über das Formular Angaben zur politischen oder religiösen Überzeugung, zu ethnischer Herkunft, sexueller Orientierung etc. gemacht werden sollen.

Die Beachtung der datenschutzrechtlichen Grundsätze der „Datenvermeidung“ und „Datensparsamkeit“ zwingt Sie dazu, die unbedingt auszufüllenden Pflichtfelder des Formulars zu kennzeichnen und auf das Notwendigste zu beschränken.

Bußgelder drohen, wenn bei der Verwendung von Kontaktformularen keine Verschlüsselung der Daten bereitgestellt wird. 

Was ist zu tun?

Was müssen Sie also beachten, wenn Sie auf Ihrer Webseite ein Kontaktformular anbieten?

1. Informieren Sie die Besucher Ihrer Websites umfassend darüber, welche Daten von wem zu welchen Zwecken wo verarbeitet werden, § 13 I TMG, samt sämtlicher sonstiger Informationen, die Sie aufgrund von Art. 13 DS-GVO bereitstellen müssen, wenn Sie personenbezogene Daten über ein Kontaktformular erheben. Dies kann entweder durch Ihre umfassende Datenschutzerklärung geschehen oder, für den Fall der Abfrage besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1,z. B. durch nachfolgende Mustererklärung,
2. Minimieren und kennzeichnen Sie Pflichtfelder, z. B. mit dem üblichen Sternchen-Hinweis.
3. Verschlüsseln Sie die Datenübertragung, z.B. durch TLS.

Fügen Sie einen deutlichen Hinweis mit Belehrung unterhalb des Kontaktformulars, aber oberhalb des „Absenden-Buttons“ ein.

Von einer Verarbeitung personenbezogener Datenim Sinne der DS-GVO spricht man, wenn 

• regelmäßig
• manuell oder automatisiert 

eine der nachfolgend aufgeführten Tätigkeiten – allein oder in Kombination mit anderen Schritten – ausgeführt wird:

erheben, erfassen, organisieren und ordnen, speichern, anpassen oder verändern, auslesen, abfragen, verwenden, offenlegen, übermitteln, verarbeiten, bereitstellen, abgleichen und verknüpfen, einschränken, löschen oder vernichten von personenbezogenen Daten.

Die DS-GVO (Verordnung des Parlaments und des Rates der Europäischen Union vom 27.04.2016) gilt nach Ablauf einer Übergangsfrist seit dem 25.05.2018 in allen Mitgliedstaaten der EU als verbindliches Recht. Sie bildet das Hauptregelwerk des Datenschutzes in Europa.

Mit Einführung der DS-GVO wurden die Regeln zur Verarbeitung personenbezogener Daten innerhalb der gesamten europäischen Union auf hohem Schutzniveau vereinheitlicht.Die DS-GVO dient damit nicht nur dem Schutz des Einzelnen vor unerlaubtem Umgang mit seinen Daten, sondern auch der Stärkung des Europäischen Binnenmarktes durch Schaffung einheitlicher Sicherheitsstandards für freien Datenverkehr.

Um unser nationales Datenschutzrecht zu bereinigen und an die DS-GVO anzugleichen kam es zu einer Neufassung des Bundesdatenschutzgesetzes (BDSG n.F.), welches zeitgleich mit der DS-GVO in Kraft getreten ist. Die Neufassung des BDSG war u. a. nötig, um den Spielraum der sogenannten „Öffnungsklauseln" in der DS-GVO auszufüllen. Diese Öffnungsklauseln geben den einzelnen Mitgliedstaaten in Teilbereichen des Datenschutzes die Möglichkeit zu individuellen, nationalen Regelungen. 

Die meisten Bereiche des Datenschutzes waren in Deutschland auch schon vor Inkrafttreten der DS-GVO durch das Bundesdatenschutzgesetz (BDSG a.F.) erfasst und oftmals gleichlautend geregelt. So gilt weiterhin grundsätzlich – wie schon zu Zeiten des alten BDSG –, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist und nur aufgrund eines konkreten Erlaubnistatbestandes zulässig wird.

Eine durchgreifende Neuerung bringt die DS-GVO allerdings mit der Einführung eines deutlich höheren Bußgeldrahmens. Verstöße gegen die Vorgaben der DSGVO können mit einem Bußgeld von bis zu 20 Millionen Euro oder – bei einem Unternehmen – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes geahndet werden, je nach dem, was höher ist. Dies hat offenbar dazu geführt, dass der Erfüllung datenschutzrechtlicher Vorgaben seit Inkrafttreten der DS-GVO viel größere Aufmerksamkeit geschenkt wird. 

Wichtig für alle Stellen, die personenbezogene Daten verarbeiten, ist die Einhaltung der verschiedenen Informations- und Dokumentationspflichten, die sich aus der DS-GVO ergeben. In erster Linie ist dies die Pflicht zur Erstellung

• eines Verzeichnisses aller relevanten Datenverarbeitungstätigkeiten;
• einer Datenschutz-Folgenabschätzung / Risikobewertung;
• einet Dokumentation der technischen und organisatorischen Maßnahmen (TOM), die zur Sicherung und zum Schutz personenbezogener Daten vorgehalten werden.

Die Vorgaben der DS-GVO gelten sowohl für privatwirtschaftliche Betriebe wie:

• Unternehmen in Form einer juristischen Personen des Privatrechts (Kapital- und Personengesellschaften),
• Kaufleute,
• Handwerker und Gewerbetreibende. 

als auch für öffentliche Stellen wie:

• Behörden,
• Körperschaften des öffentlichen Rechts, 

aber auch für Vereine, Verbände und alle sonstigen öffentlichen und nicht-öffentlichen Institutionen, die personenbezogene Daten verarbeiten. 

Werden mindestens 20 Mitarbeiter regelmäßig und überwiegend mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, müssen Sie einen Datenschutzbeauftragten benennen, d.h. bestellen bzw. beauftragen. 

Als Mitarbeiter / Beschäftigte zählen neben Vollzeitkräften auch Teilzeitkräfte, freie Mitarbeiter, Auszubildende, Praktikanten und andere arbeitnehmerähnliche Personen. Entscheidend ist die Anzahl der normalerweise zur Belegschaft gehörenden Personen; Schwankungen nach oben oder unten sind nicht von Bedeutung. 

Auch mit weniger als 20 Beschäftigten müssen Sie einen Datenschutzbeauftragten benennen, wenn 

• Ihre Kerntätigkeit oder die Ihres Auftragsverarbeiters in der umfangreichen Verarbeitung besonders schutzwürdiger Daten im Sinne von Artikel 9 DS-GVO besteht,
• wenn Sie personenbezogene Daten geschäftsmäßig zur Markt- oder Meinungsforschung bearbeiten,
• wenn Sie personenbezogene Daten geschäftsmäßig bearbeiten, um diese zu übermitteln, auch wenn dies in anonymisierter Form geschieht,
• wenn die Art und Weise der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringt, z.B. durch die Anwendung neuer Technologien oder Verarbeitungsprozesse.

Das ergibt sich aus dem neuen Bundesdatenschutzgesetz (§ 38 Abs. 1 BDSG n.F.), ergänzend zu Art. 37 Abs. 1 Buchst. b und c der DS-GVO.

Wenn Sie unter keine der hier aufgeführten Gruppen fallen, dann steht es Ihnen frei einen Datenschutzbeauftragten zu benennen.

Unabhängig vom Bestehen einer Benennungspflicht müssen fast sämtliche Vorgaben der DS-GVO in jedem Unternehmen, in dem personenbezogene Daten verarbeitet werden, umgesetzt und die sich daraus ergebenden Pflichten erfüllt werden. 

Der Datenschutzbeauftragte unterstützt Sie bei der Einhaltung der Datenschutz-Vorschriften. Er unterrichtet und berät den Verantwortlichen in Ihrem Unternehmen und überwacht die ordnungsgemäße Einhaltung der Datenschutzvorschriften. Darüber hinaus schult bzw. sensibilisiert er Ihre Mitarbeitenden.

Datenschutzbeauftragter (DSB) kann entweder ein interner Datenschutzbeauftragter, also ein Mitarbeiter Ihres Hauses, aber auch ein externer Datenschutzbeauftragter sein.

Der DSB muss die nötige Fachkunde zur Umsetzung des Datenschutzes besitzen. Für einen internen DSB bedeutet das, dass er vor seiner Ernennung intensiv geschult und ausgebildet werden muss. Auch sind fortlaufende Weiterbildungsmaßnahmen erforderlich, so dass der interne DSB seinem Unternehmen in der Zeit, in der er sich dem Datenschutz widmet, nicht zur Verfügung steht. Er genießt auch besonderen Kündigungsschutz, vergleichbar mit dem eines Betriebsratsmitgliedes. Die Beauftragung eines externen DSB kann somit einen nicht zu unterschätzenden wirtschaftlichen Vorteil für ein Unternehmen bedeuten. Auch ist das Entstehen von Interessenkonflikten bei einem externen DSB ausgeschlossen.

Eine von der DS-GVO vorgegebene Pflichtdokumentation ist die genaue Erfassung aller technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten vorgehalten werden.

Technische und organisatorische Maßnahmen sind gemäß Art. 32 Abs. 1 DS-GVO sowohl von den Verantwortlichen einer verarbeitenden Stelle als auch von den in ihrem Auftrag tätig werdenden Daten-Verarbeitern vorzuhalten und zu dokumentieren. Das Gesetz nennt im Einzelnen:

• Pseudonymisierung personenbezogener Daten;
• Verschlüsselung personenbezogener Daten;
• Gewährleistung der Vertraulichkeit;
• Gewährleistung der Integrität;
• Gewährleistung der Verfügbarkeit;
• Gewährleistung der Belastbarkeit der Systeme;
• Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
• Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zur internen Umsetzung der TOMs kommen folgende Maßnahmen in Frage:

• Festlegung interner Verhaltensregeln;
• Erstellen einer Risikoanalyse;
• Anfertigung einer allgemeinen Datensicherheitsbeschreibung;
• Aufstellung eines umfassenden Datensicherheitskonzepts;
• Vorhaltung eines Wiederanlaufkonzepts;
• Erlangung eines Zertifikats einer anerkannten Zertifizierungsstelle.

Die Rechtsprechung hat aus dem Recht auf freie Entfaltung der Persönlichkeit und dem Grundrecht der Menschenwürde das Recht auf „informationelle Selbstbestimmung“ abgeleitet. Unter Datenschutz versteht man alle Gesetze und Bestimmungen, die zum Ziel haben, jeden einzelnen Mensch davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in diesem Recht auf informationelle Selbstbestimmung und damit in seinem Persönlichkeitsrecht beeinträchtigt wird.

Geschützt werden soll also das Recht des Einzelnen, selbst über die Preisgabe und Verwendung von Daten zu bestimmen, die Rückschlüsse auf seine Person erlauben. Die Verarbeitung solcher – personenbezogener – Daten ist deshalb nur dann zulässig, wenn dies durch Rechtsvorschriften erlaubt ist oder der Betroffene vorher seine Zustimmung erklärt hat. 

Mit den Bestimmungen des Datenschutzrechts soll auch gewährleistet werden, dass jede natürliche Person auf die Vertraulichkeit und Integrität derjenigen Stelle vertrauen kann, die personenbezogene Daten verarbeitet. Das schließt auch den Schutz des Vertrauens darauf ein, dass bei der verarbeitenden Stelle sowohl technische als auch organisatorische Bedingungen geschaffen wurden, durch die die Daten vor unbefugtem Zugriff geschützt sind.

Von einer Datenpanne sprechen wir, wenn es zu einem „Datenleck“ oder Datenschutzverstoß gekommen ist. Dies können sein:

• Der Verlust von Daten, z.B. durch Abhandenkommen von Speicherträgern wie Laptops, Smartphones, USB-Sticks, externer Festplatten oder auch von Dokumenten und Belegen in Papierform etc.;
• Die unbefugte Weitergabe von Daten an Dritte, z.B. durch leichtfertiges Erteilen von Auskünften an andere Personen, durch Fehlversand eines Faxes, einer E-Mail oder auch von Briefpost;
• Der Zugriff auf Daten durch Unbefugte, z.B. durch Diebstahl oder Hacker-Angriff;
• Die Verarbeitung von Daten ohne Rechtsgrundlage, z.B. wegen Fehlens einer Einwilligung in die Datenverarbeitung durch Nichteinholung der notwendigen Unterschrift auf einer Einwilligungserklärung. 

Was ist im Fall einer Datenpanne zu tun?

• Nach Feststellung einer Datenpanne ist ein schnelles Handeln des Verantwortlichen (z.B. der Geschäftsleitung) erforderlich. Vielleicht können noch Maßnahmen ergriffen werden, die die Auswirkung der Panne einschränken oder einen Schadeneintritt noch gänzlich verhindern. Deshalb ist der Verantwortliche, gegebenenfalls auch der Datenschutzbeauftragte unverzüglich – also ohne schuldhaftes Zögern – über die Datenschutzverletzung zu unterrichten.
• Wenn es zu einer Datenschutzverletzung gekommen ist, kann die Pflicht zur Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und zur Benachrichtigung der betroffenen Person bestehen.
• Alle festgestellten Datenschutzverletzungen sind vom Verantwortlichen zu dokumentieren.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen und Rückschlüsse auf diese Person erlauben. 

Das können z.B. Kontaktdaten sein wie 

• Name,
• Anschrift,
• Geburtsdatum,
• Telefonnummer,
• E-Mail-Adresse oder
• IP-Adresse des PCs, 

oder auch Daten mit Angaben über 

• den Gesundheitszustand (z.B. Diagnosen, Bedarf des Kunden an Medikamenten und Hilfsmitteln),
• das Einkommen,
• die Bonität,
• die Mitgliedschaft in einer bestimmten Krankenkasse oder Gewerkschaft,
• den Familienstand und Familienverhältnisse,
• die Wohnverhältnisse,
• die Religionszugehörigkeit,
• Bankverbindungen,
• Versicherungsverträge,
• Vorstrafen und vieles mehr.

Das Erheben von personenbezogenen Daten, z.B. bei einer Versicherungsanfrage, das Speichern in der EDV, das Übermitteln an den Versicherer und die Nutzung z.B. für Werbezwecke gehört zu Ihrem alltäglichen Geschäft. Für Sie als gewerbliches Unternehmen gilt daher die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) sowie das ergänzend daran angepasste Bundesdatenschutzgesetz neue Form (BDSG n. F.) und Sie sind verpflichtet die dortigen Bestimmungen einzuhalten und Ihren Betrieb datenschutzgerecht zu organisieren. Darüber hinaus sind weitere Vorschriften in anderen Gesetzen zu beachten, so u.a. dem Gesetz gegen den unlauteren Wettbewerb (UWG) bezüglich Werbemaßnahmen per elektronischer Post oder Telefon, um nur ein Beispiel zu nennen.

Verstöße gegen den Datenschutz können teuer werden. Das Bundesdatenschutzgesetz sieht Bußgelder bis zu 50.000 € und in bestimmten Fällen sogar bis zu 300.000 € vor. Der ordnungsgemäße Umgang mit personenbezogenen Daten ist stets auch eine Sache des persönlichen Vertrauens. Der Kunde erwartet von Ihnen, dass Sie mit seinen Daten verantwortungsbewusst umgehen.

Die Begriffe Backup und Archivierung weisen auf unterschiedliche Verfahren und Vorgehensweisen hin: Das Backup eines Systems soll einem Datenverlust vorbeugen. Im Ernstfall können verloren gegangene Daten zu einem definierten Zeitpunkt durch das erstellte Backup wiederhergestellt werden.

Beim Archivieren werden Informationsbestände sowie Geschäftsdokumente eines Unternehmens langfristig, vollständig und manipulationssicher gespeichert, um Steuerbehörden oder anderen staatlichen Stellen einen schnellen Zugriff auf bestimmte Daten zu ermöglichen. Ähnlich wie beim Backup auch lassen sich beim Archivieren gelöschte Daten am ursprünglichen Speicherort wieder herstellen.

Die Einrichtung eines Backups ist nicht freiwillig, sondern ergibt sich aus Vorschriften zur IT-Sicherheit und betriebsinternen Richtlinien. So verlangen Kreditgeber oder Investoren zum Schutz ihrer finanziellen Einlagen, dass Unternehmen eine Backup-Lösung implementieren. Damit soll verhindert werden, dass durch einen möglichen Datenverlust Probleme für ein Unternehmen entstehen könnten. Fehlende Backup-Prozesse können für ein Unternehmen weitreichende Folgen haben, so zum Beispiel die Haftung im Schadensfall oder Regressansprüche.

Generell hat ein Unternehmen das Recht, lokale Festplatten in ein Backup-System einzubinden, wenn dort Geschäftsdateien gespeichert werden. Sollten auf einer lokalen Festplatte steuerlich relevante Daten gespeichert werden, ist das Unternehmen sogar verpflichtet, diese Daten zu speichern. Ausgenommen von dieser Regel sind Ordner, die mit „Privat“ gekennzeichnet sind. Die entsprechenden Ordner können, müssen jedoch nicht, vom Backup-System ausgeschlossen werden. Anders verhält es sich, wenn zum Beispiel personenbezogene Daten einer Personalabteilung gespeichert werden. Hier muss ein Unternehmen als verantwortliche Stelle die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zwingend einhalten. Die Unternehmen sind dazu verpflichtet, Daten zu löschen, wenn die Speicherung nicht für den Geschäftsbetrieb nicht mehr länger erforderlich ist.

Ein generelles Verbot Daten in einer Cloud zu speichern gibt es nicht. Allerdings dürfen personenbezogene Daten in der Cloud nur auf Servern innerhalb der EU gespeichert werden. Bindend ist zwischen den Vertragspartnern die Einhaltung deutscher sowie EU-Datenschutzrichtlinien. Personenbezogene Daten müssen in einer Cloud verschlüsselt und vor unbefugten Zugriffen geschützt werden.

Wer für sein Backup einen Dienstleister beauftragt, muss sich Gedanken über die Haftung machen. Die Haftung liegt grundsätzlich beim Geschäftsführer des Unternehmens, das einen Dienstleister zum Erstellen von Backups beauftragt hat. Der Geschäftsführer steht in der Verantwortung und muss dafür Sorge tragen, dass ein Vertrag mit dem Dienstleister ausgehandelt wird, bei dem Daten revisions- und zugriffssicher gespeichert werden.