Fast auf jeder Internetseite ist es zu finden: Das Kontaktformular.
Es dient dazu, dem Seitenbesucher eine einfache Kontaktaufnahme zum Seitenbetreiber zu ermöglichen. Doch auch hier werden personenbezogene Daten erhoben und daher ist auch das Kontaktformular von der DSGVO betroffen (wobei viele Regelungen auch schon jetzt schon vorhanden sind).
Grund genug, dass wir uns das Monsterchen mal gemeinsam anschauen.
4 Aspekte zu einem abmahnsicheren Kontaktformular
Datensparsamkeit
Unter dem Grundsatz der Datensparsamkeit ist von dir als Webseitenbetreiber sicher zu stellen, dass tatsächlich so wenig wie möglich Daten verpflichtend in einem Kontaktformular erhoben werden. Unter „so wenig wie möglich“ wird momentan oft angesehen, dass nur die Daten verpflichtend abgefragt werden dürfen, die einem Erfüllungszweck dienen. Bei einem Kontaktformular ist der Erfüllungszweck natürlich die Kontaktaufnahme bzw. die Beantwortung von Fragen durch den Webseitenbetreiber.
Sehr oft sehe ich aber, dass bei Kontaktformularen verpflichtend Telefonnummern, Namen, Adressen etc. anzugeben sind. Das ist bei einem einfachen Kontaktformular völlig übertrieben und wird daher auch von Gerichten nicht gern gesehen – denn zum Beantworten einer Anfrage über ein elektronisches Kontaktformular ist eine E-Mail-Adresse und natürlich die Anfrage selbst notwendig. Nicht mehr, nicht weniger.
Es macht in meinen Augen also durchaus Sinn, bei Kontaktformularen lediglich diese beiden Felder verpflichtend ausfüllen zu lassen. Sollten darüber hinaus noch weitere Angaben gemacht werden, so ist dies in den meisten Fällen auf freiwilliger Basis (da ich eben keine Postadresse benötige, um ein elektronisches Kontaktformular zu beantworten).
In der Praxis ist das aber gar nicht so einfach umzusetzen und man muss hier auch klar sagen, dass es sich hierbei lediglich um ein sehr schlichtes Kontaktformular handeln kann. Möchte der Kunde sich zu einem spezifischen Angebot (z.B. einem Kurs oder Workshop) anmelden, benötigst du natürlich weitere Daten (u.a. für die Buchhaltung). Ähnlich sieht es eventuell aus, wenn du über ein Kontaktformular spezifische Kundendaten (z.B. im Rahmen einer Ernährungsberatung) abfragst. Das ist aber auch etwas anderes, als das simple Kontaktformular – bei diesen Beispielen kannst du im Zweifel gut nachweisen und argumentieren, warum du weitere Dinge verpflichtend abfragst. Alternativ kann der Kunde diese Daten natürlich auch in jedes simple Kontaktformular freiwillig im Text hinterlegen, ob er das aber von sich aus tut, ist wieder eine ganz andere Geschichte.
Dennoch gilt die Datensparsamkeit, du solltest also in jedem Kontaktformular nur die Dinge abfragen, die du wirklich zur Bearbeitung dieses Formulars benötigst.
Verschlüsselungspflicht
In Artikel 32 der DSGVO steht geschrieben, dass vom Verantwortlichen einer Webseite geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um die Dateneingabe und -übertragung und vor unberechtigten Zugriffen zu schützen. Zwar werden hier keine genauen Maßnahmen vorgegeben, es wird aber erwartet, dass der Datenschutz auf Kontaktformularen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung umgesetzt wird.
Im Übrigen fordert auch § 13 Abs. 7 TMG (Telemediengesetz) ein „anerkanntes Verschlüsselungsverfahren zum Schutz personenbezogener Daten“ auf Internetseiten.
Allerdings betrifft das nicht nur die (Unter-)Seiten, die ein Kontaktformular eingebunden haben, sondern noch vordringlicher die (Unter-)Seiten, auf denen sich Bestellprozesse abspielen, also zum Beispiel Onlineshops.
In meinen Augen ist die sogenannte SSL-Verschlüsselung auf jeden Fall als gängige Methode anzusehen, gerade, weil es mit Let’s Encrypt auch kostenfreie SSL-Zertifikate gibt, die bereits von vielen Hostern angeboten werden. Ein weiterer Vorteil der SSL-Verschlüsselung ist die positive Bewertung dieses Kriteriums bei Google. In vielen Fällen wird auch die gesamte Webseite per SSL verschlüsselt, theoretisch würde aber auch eine Verschlüsselung der einzelnen Seiten genügen, die ein Kontaktformular eingebunden haben.
Wie du eine SSL-Verschlüsselung bei WordPress richtig einrichtest, habe ich dir in diesem Blogartikel bereits einmal gezeigt.
Checkbox Datenschutz bzw. Datenschutzhinweis
Da mit dem Klick auf den ‚Absenden‘-Button die Datenübermittlung startet, solltest du zu diesem Zeitpunkt bereits die Einwillung zur Speicherung und Verarbeitung der Daten vom Absender eingefordert und dokumentiert haben. Dabei genügt es nach Ansicht des OLG Köln (Az.: 6 U 121/15) nicht aus, hierzu einen Passus in der website-eigenen Datenschutzerklärung zu hinterlegen (auch das ist Pflicht). Zusätzlich hierzu ist beim Absenden von Kontaktformularen eine Einwilligung per Checkbox vom Nutzer einzuholen und dies zu dokumentieren.
Auch hierbei handelt es sich um eine DSGVO-Fragestellung die noch nicht gänzlich abschließend geklärt ist, aber der sicherste Weg der Dokumentation der Einwilligung in die Datenverarbeitung und Speicherung führt wohl über eine Checkbox, die in das Kontaktformular integriert wird. Diese darf nicht voreingestellt aktiv sein, sondern muss aktiv vom Nutzer angewählt werden (Opt-in).
Als zugehörigen Text eignet sich zum Beispiel der folgende Text, wobei eine Verlinkung zur Datenschutzerklärung (und der E-Mail-Adresse) empfohlen wird:
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme einer elektronischen Speicherung und Verarbeitung meiner eingegebenen Daten zur Beantwortung meiner Anfrage zu.
Hinweis:
Die Einwilligung kann jederzeit für die Zukunft per E-Mail an E-Mail-Adresse@deine-domain.de widerrufen werden.
Dabei ist es wichtig, dass technisch realisiert wird, dass die Anfrage nur dann abgesendet werden kann, wenn die Checkbox vom Nutzer aktiviert wurde.
Keine Zweckentfremdung der eingegebenen Daten (Stichwort Kopplungsverbot)
Auf nicht wenigen Seiten wird man durch die Nutzung eines Kontaktformulars automatisch in eine Newsletter-Empfänger-Liste eingetragen. Das ist jedoch nicht zulässig. Sinn und Zweck des Kontaktformulares ist es ja, dass der Nutzer Kontakt zum Seitenbetreiber aufnehmen kann, dafür ist es nicht notwendig, dass er auch zukünftig per Newsletter vom Seitenbetreiber kontaktiert werden kann.
Eine Möglichkeit ist auch hier eine zusätzliche nicht-voraktivierte Checkbox, durch deren Anklicken der Nutzer sich gleichzeitig mit dem Absenden des Formulares für den Newsletter eintragen kann. Das Anklicken dieses Buttons darf dann natürlich nicht verpflichtend verlangt werden und auch hier sind die Regelungen zum Versand und dem Bewerben eines Newsletters zu beachten.
Es muss eine umfangreiche und freiwillige Einwilligung eingeholt und dokumentiert werden, in der der Nutzer in die Nutzung der Daten zu diesem Zweck informiert wird und auch darüber informiert wird, wie er der Nutzung zukünftig widersprechen kann. Ein Check-Box-Text könnte beispielsweise so aussehen:
Ich möchte zukünftig per E-Mail Produktinformationen, Angebote, Einladungen zu Veranstaltungen und andere interessante Neuigkeiten und Empfehlungen von der Firma XY erhalten.
Hinweis: Wenn Sie zukünftig keine Informationen mehr von uns erhalten möchten, können Sie der Verwendung Ihrer Daten durch uns jederzeit widersprechen. Dazu wenden Sie sich bitte an xyz@xyz.de oder nutzen den Abmelde-Link, der jedem unserer Newsletter beigefügt wird. Hinweise zum Datenschutz abrufbar unter www.xyz.de/Datenschutz
Bitte beachte, dass ich kein Anwalt bin und daher auch nicht befähigt bin, eine Rechtsberatung durchzuführen. Ich informiere mich derzeit beinahe täglich autodidaktisch zum Thema DSGVO und nutze hierfür verschiedenste Quellen und meine Premium-Mitgliedschaft bei E-Recht24.de. Jedoch ist gerade im Bereich der DSGVO selbst unter Fachanwälten vieles noch unklar. Daher empfehle ich im Zweifel eine Beratung durch einen fachkundigen Anwalt. Es ist für jeden Seitenbetreiber unumgänglich sich in regelmäßigen Abständen über aktuelle Stände und Urteile zu informieren.
Eine Haftung für Vollständigkeit und Richtigkeit meiner Angaben kann von mir nicht übernommen werden.
Dennoch hoffe ich, dass ich dir mit diesem Artikel eine kleine Checkliste an die Hand geben konnte, wie du das Kontaktformular auf deiner Homepage möglichst rechtssicher erstellen und einbinden kannst. Denn genau nach dieser Checkliste werde ich jetzt auch meine eigenen Kontaktformulare und die meiner Kunden überarbeiten 🙂
0 Kommentare