Kontaktformulare sind auf vielen Internetseiten implementiert. Über diese können Besucher der Seiten mit dem jeweiligen Betreiber in Kontakt treten. Leider erfüllen immer noch viele Kontaktformulare nicht die wichtigsten datenschutzrechtlichen Anforderungen. Aus diesem Grund stelle ich im Folgenden die wichtigsten Aspekte[1] vor, die aus datenschutzrechtlicher Sicht bei Kontaktformularen zu beachten sind. Darüber hinaus stelle ich Lösungen vor, um die Formulare datenschutzkonform zu gestalten.
Verschlüsselung bei Formularen
Erhobene Daten von Formularen unverschlüsselt zu versenden ist nicht anzuraten. Denn Webseitenbetreiber verstoßen dabei gegen geltendes Recht (Art. 32 Abs. 1 EU-Datenschutz-Grundverordnung (DSGVO)) und sie riskieren Bußgelder. Bei der gleichzeitigen Offenbarung von Geheimnissen kann auch eine Haftstrafe (§ 203 StGB) in Frage kommen. Dabei ist es so einfach, seinen eigenen Internetauftritt mit SSL zu verschlüsseln. Viele Internetprovider bieten diese Option kostenlos an. Auch einige Zertifizierungsinstanzen wie „Let's Encrypt“ haben kostenlose SSL-Zertifikate im Angebot. Durchsuchen Sie das Internet einfach nach „Free Certificate Authority[2]“.
Damit aber nicht genug "Verschlüsselung". Viele Formulare erzeugen nach dem Versenden des Formulars eine E-Mailnachricht mit den eingegebenen Formulardaten und senden diese E-Mail unverschlüsselt an den Betreiber der Internetseite. Dies ist natürlich nicht datenschutzrechtlich zulässig, da der Weg der personenbezogenen Daten Ende-zu-Ende verschlüsselt sein muss. Als Lösung bietet sich hier eine einfache Nachricht „Formulardaten erhalten“ per Mail an – die im Formular eingegebenen Daten erhalten Sie dann, wenn Sie sich auf Ihrem Webserver anmelden und die Daten - wiederum - verschlüsselt abrufen. Viele andere Kombinationen sind hier ebenfalls rechtlich möglich, es kommt häufig auf den Einzelfall an (ein gern genommener Halbsatz bei Juristen).
Sparsam Daten erheben
Fragen Sie sich erst einmal, ob das Formular, welches Sie gerade datenschutzkonform gestalten wollen, weiterhin benötigt wird. Ein Indikator dafür ist, wie viele Anfragen Sie über das Formular erhalten.
Häufig werden Daten in Formularen erhoben, welche für den eigentlichen Zweck der Verarbeitung nicht benötigt werden. Da gibt es Pflichtfelder mit der Adresse bei Newsletter-Anmeldungen oder die Frage nach dem Arbeitgeber bei der Terminanfrage bei Facharzt. Hier ist der Grundsatz der Datensparsamkeit zu beachten. Fragen Sie nur nach den Dingen, die für den Zweck des Formulars notwendig sind. Lassen Sie somit Felder einfach weg und binden Sie diese nicht als „freiwillige Angabe“ in das Formular ein. Denn letzteres könnte darin resultieren, dass Sie eine Einwilligung des Betroffenen als „Rechtsgrundlage der Verarbeitung“ benötigen.
Rechtsgrundlage der Verarbeitung und Informationspflichten
Wichtig ist ebenfalls die Frage nach der Rechtsgrundlage der Verarbeitung personenbezogener Daten im Formular. Hier kommt es auf den Zweck der Verarbeitung an. Handelt es sich beispielsweise um ein Formular zur Bestellung von Waren und Dienstleistungen, kommt hier als Rechtsgrundlage die Verarbeitung zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 lit b) DSGVO. Eine auch häufig in Betracht gezogene Rechtsgrundlage ist die Einwilligung des Betroffenen gemäß Art. 6 Abs. A lit. a). An einer Einwilligung selbst sind nochmal eine Vielzahl an Anforderungen geknüpft. Dies hier aufzuzählen und zu erklären würde diesen Beitrag jedoch sprengen. Gerne genommen wird auch häufig das "berechtigte Interesse" nach Art. 6 Abs. 1 lit. f) DSGVO. Wenn der Betreiber der Internetangebots darauf zurückgreifen will, muss er vorab eine positiv ausfallende Interessensabwägung durchführen.
Last but not least müssen Betreiber von Internetseiten ihre Informationspflichten nach Art. 13 DSGVO um die notwendigen Angaben zum Kontaktformular ergänzen.
Fazit
Formulare auf Internetseiten lassen sich mit wenigen Handgriffen datenschutzkonform betreiben. Insbesondere sollten Sie auf die Verschlüsselung, die Datensparsamkeit und die Rechtsgrundlage der Verarbeitung (brauche ich eine Einwilligung) achten. Nehmen Sie die Analyse ihrer eigenen Formulare auch zum Anlass, um sich selbst zu fragen, ob für die Formulare noch ein tatsächlicher Bedarf besteht.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen
[1] Es ist keine abschließende Aufzählung von datenschutzrechtlichen Anforderungen. Dieser Blog-Eintrag behandelt nur die wesentlichsten Punkte. Datenschutzrechtliche Anforderungen unterscheiden sich auch je nach Art und Umfang der verarbeiteten, personenbezogenen Daten unter Berücksichtigung des damit einhergehenden Risikos für die Rechte und Freiheiten der betroffenen Personen. Besonderheiten gelten z. B. für Formulare zur Newsletter-Anmeldung, weswegen die genannten Anforderungen nur einen großen, gemeinsamen datenschutzrechtlichen Nenner beschreiben.
[2] Externer Verweis.