Kontaktformular datenschutzkonform

Ist Dein Kontaktformular datenschutzkonform?

DSGVO / Von

Stand 20. April 2021

Ist das Kontaktformular Deiner Website wirklich datenschutzkonform?

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 hat der Datenschutz einen ordentlichen Aufwind bekommen und ist seither präsenter denn je. Das hat unter anderem auch damit zu tun, dass die DSGVO drastische Bußgelder auf Verstöße vorsieht.

 

Zum anderen wurden die Rechte der Betroffenen gestärkt, was dazu führt, dass zum einen die Aufklärungspflichten eines Unternehmers deutlich zugenommen haben (z.B. Aufklärung über Datenverarbeitung und Widerrufsmöglichkeiten) und JEDER eine Beschwerde bei der Aufsichtsbehörde einreichen kann und jeder Beschwerde nachgegangen werden muss.

Leider sehe ich auch heute, mehr als 2 Jahre nach Inkrafttreten der DSGVO täglich diverse Kontaktformulare, die nicht DSGVO-konform sind und das durch alle Unternehmensgrößen hinweg. Von daher, kann ich dir nur empfehlen, dass du dir die Zeit nimmst, diesen Artikel zu lesen und im Anschluss zu prüfen, ob dein Kontaktformular wirklich datenschutzkonform ist.

Braucht Deine Website eigentlich ein Kontaktformular?

Zunächst einmal solltest du dir die Frage stellen, ob du überhaupt ein Kontaktformular haben möchtest oder ob es ggf. genügt, wenn du deine Kontaktdaten angibst. Das wäre eine sehr datensparsame Methode.

Vorteil:

  • Es werden keine Daten des Webseitenbenutzers (IP-Adresse) und auch nicht die im Formular angegeben Daten (E-Mail-Adresse, Nachricht, ggf. Name, ggf. Telefonnummer) erhoben und an den Host deiner Webseite übermittelt. Die Daten deines Besuchers werden also geschützt.

 

  • Du kannst keine Fehler im Hinblick auf die Ausgestaltung des Kontaktformulars und die DSGVO machen.

Nachteil:

  • Der Besucher, muss erst seine E-Mails öffnen, um dich anzuschreiben.

 

Wer nun aber doch eins haben möchte – was ich sehr gut nachvollziehen kann –, muss gewisse Punkte beachten.

Die Eingabefelder Deines Kontaktformulars:

In vielen Kontaktformularen werden hier neben dem Vor- und Zuname und der E-Mail-Adresse auch die Telefonnummer oder weitere Daten abgefragt. Es dürfen allerdings nur die Daten erhoben werden, die wirklich notwendig sind und dem Zweck dieser Datenerhebung (=Datenverarbeitung) angemessen sind. Die DSGVO schreibt vor, dass die Datenverarbeitung auf ein notwendiges Maß beschränkt sein muss (Prinzip der Datenminimierung Art. 5 Nr. 1 c DSGVO). Erlaubt ist nur die Erhebung derjenigen personenbezogenen Daten, die zur Bearbeitung der Anfrage unbedingt nötig sind, dies macht die Kontaktformulare datenschutzkonform.

Doch welche Daten sind unbedingt notwendig?

Tatsächlich benötige ich nur die E-Mail-Adresse und das Nachrichtenfeld bzw. die Möglichkeit den Wunsch einer Kontaktaufnahme anzuklicken. Dieses sind also Pflichtfelder. Viele sehen den Namen ebenfalls als notwendig an, da dieser der Ansprache der Person gilt. Ein Onlineshop benötigt zudem ggf. eine Lieferadresse, aber i.d.R. keine Telefonnummer eines Käufers.

Wenn du weitere Daten erheben möchtest, die aber nicht unbedingt notwendig sind, so darf dies nicht mit einem Pflichtfeld abgefragt werden. Du kannst beispielsweise die nicht zwingend notwendige Telefonnummer abfragen, musst dann aber das Feld als optional kennzeichnen, z.B. über Worte wie „optional“ oder „freiwillige Angabe“ oder du markierst Pflichtfelder mit einem Sternchen (*).

Bei Pflichtfeldern, die über die unbedingt notwendigen Daten hinausgehen, wird im Optimalfall eine Begründung angeben, warum diese Daten erhoben werden (z.B. „Wir erheben ihre Telefonnummer, da wir unsere kostenlose Ersteinschätzung telefonisch erbringen“. Würde die Ersteinschätzung dann aber per E-Mail erfolgen, wäre die Datenabfrage hier nicht zulässig.)

Kontaktformular datenschutzkonform
Kontaktformular DSGVO
Kontaktformular datenschutzkonform

Als Betreiber der Webseite und Verarbeiter der Daten musst du ggf. gut begründen können, warum auf deiner Webseite z.B. die Telefonnummer ein Pflichtfeld ist.

Im Kontaktformular über die Datenverarbeitung aufklären

Du musst im Kontaktformular selbst über die Datenverarbeitung im Hinblick auf das Kontaktformular aufklären. Da du hier Daten erhebst und verarbeitest, musst du hier an dieser Stelle dein Gegenüber über die Datenverarbeitung im Hinblick auf das Kontaktformular aufklären.

Inwieweit musst du aufklären?

Es muss über den Zweck der Verarbeitung der eingegebenen Daten, über die Dauer der Speicherung der Daten sowie über die Möglichkeit informiert werden, dass er der Verarbeitung für die Zukunft widerrufen kann. Optimalerweise mit dem Hinweis, wie dies erfolgen kann. (Dabei darf die Widerrufsmöglichkeit nicht deutlich schwieriger sein, als die Einwilligung).

Kontaktformular DSGVO
Kontaktformular datenschutzkonform

Es muss hier auch auf die reguläre Datenschutzerklärung deiner Webseite verweisen (Link), da dort die Kontaktdaten von dir als Verantwortliche Person genannt werden. (So brauchst du dies nicht auch noch in dein Kontaktformular mit aufzunehmen).

Checkboxen

Ab und zu sieht man Checkboxen, die als Pflichtfeld angelegt sind, und bei denen man der Kenntnisnahme der Datenschutzerklärung zustimmen muss. Dies ist NICHT erforderlich.

Auch die Checkbox vor dem Aufklärungstext, ist nicht erforderlich – erhöht aber die Aufmerksamkeit des Nutzers.

Der Zweck der Datenverarbeitung für ein datenschutzkonformes Kontaktformular

Die im Rahmen des Kontaktformulars erhobenen Daten dürfen nur für den entsprechenden Zweck, also z.B. Kontaktaufnahme zur Beantwortung der Anfrage, verwendet werden. Eine weitere Verwendung ist nicht erlaubt (Art. 5 DSGVO, „Zweckbindungsprinzip“).

Du darfst also nicht, Werbung (darunter fallen auch Newsletter) an die über das Kontaktformular erfasste E-Mailadresse senden. (Einzige Ausnahme: Der Anfragende hat im Rahmen des Kontaktformulars ausdrücklich seine Zustimmung in die Zusendung von Werbung erklärt. Dazu ist eine gesonderte Einwilligung mit eigens anzuklickender Checkbox erforderlich. Hierbei gibt es dann auch noch weitere Dinge zu beachten, um das Kontaktformular datenschutzkonform zu gestalten).

Anti-Spam Mechanismen wie Captcha

Um zu verhindern, dass sog. Spambots dein Formular ausfüllen, gibt es mittlerweile eine ganze Menge an sogenannten Anti-Spam Mechanismen. Dazu gehören z.B. Captcha. Diese sind nicht zwingend erforderlich. Sie zählen zu den sogenannte Technisch-Organisatorischen Maßnahmen, welche du als Verantwortlicher oder Auftragsverarbeiter einsetzt, um personenbezogene Daten zu schützen. Der erforderliche Umfang dieser sog. TOMs richtet sich danach, wie sensibel die Daten sind. Je sensibler die von dir verarbeiteten Daten aber sind (z.B. Gesundheitsdaten), desto sinnvoller ist deren Einsatz.

 

Ich gebe dir nur einen ganz kleinen Einblick, über die geläufigsten:

Captcha: Sicherheitscode, -frage, -bild

 Ein Sicherheitscode stellt ein sog. Captcha dar, welches zufallsbasiert vier Zeichen (Buchstaben u. Zahlen) generiert. Mittlerweile gibt es allerdings Computerprogramme, welche die Zeichen identifizieren können. 

Die Sicherheitsfrage ist ein sehr effektiver Spamschutz, da hier die Möglichkeit besteht, individuelle Fragen zu formulieren. 

Bei Sicherheitsbildern sind z.B. Symbole korrekt anzuordnen oder Dinge auf Fotos zu erkennen und anzuklicken (Bsp.: „Klicken Sie alle Fotos an, auf denen eine Ampel zu sehen ist“.)


Zeitsperren:

 Spambots versenden Nachrichten massenweise und binnen Millisekunden. Mit einer individuell einstellbaren Zeitsperre kannst du festlegen, dass die Nachricht erst nach x Sekunden abgesendet werden kann.

 

Honeypots:

Hierbei handelt es sich um versteckte Input-Felder, die als Falle dienen. Dies ist z.B. ein Feld in dem steht „Hier bitte nichts eintragen“. Spambots füllen i.d.R. alle Felder aus und würde dann hier in die Falle tappen, indem die Nachricht nicht versandt wird.

Des Weiteren bietet sich der Einsatz von sog. Bad Word Filtern / Schwarzen Listen, Klick Check und IP-Sperren oder aber der Verbot oder die Begrenzung, Links in das Nachrichtenfeld eingeben zu können, an (Linkblocker).

 

Bei der Analyse,
ob dein Kontaktformular die Anforderungen der DSGVO erfüllt,
darfst du jedoch nicht nur auf das Formular selbst schauen,
sondern es gibt noch einiges mehr zu beachten!

 

Verschlüsselte Datenübermittlung

Beim Besuch deiner Webseite werden Daten des Webseitenbenutzers (IP-Adresse) an den Host deiner Webseite übermittelt. Beim Absenden des Kontaktformulars werden auch die im Formular angegeben Daten (E-Mail-Adresse, Nachricht, ggf. Name, ggf. Telefonnummer) übermittelt. Der Vorgang der Datenübermittlung muss verschlüsselt ablaufen. Aus diesem Grund ist darauf zu achten, dass deine Webseite über eine SSL- bzw. TLS-Verschlüsselung ist und somit die Anfrage des Webseitenbesuchers  verschlüsselt per https an den Server versandt wird. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in der Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die im Rahmen des Kontaktformulars an dich übermitteln, nicht von weiteren Dritten mitgelesen werden.

Aufnahme des Kontaktformulars in die Datenschutzerklärung deiner Webseite

Sobald auf deiner Webseite ein Kontaktformular eingebunden ist, musst du zwingend dazu einen Passus in der regulären Datenschutzerklärung deiner Webseite aufnehmen, damit es datenschutzkonform wird. Bei Erstellung der Datenschutzerklärung deiner Webseite, kannst du in Generatoren, welche diese erstellen können, diesen Passus mit auswählen.

Kontaktformular datenschutzkonform

Beispiel

Löschung der Daten, sobald der Zweck entfallen ist

Sobald du die Daten nicht mehr brauchst, musst du diese aus deinen Systemen löschen. Die erhobenen Daten sind also unmittelbar zu löschen, sobald der Zweck der Datenerhebung entfallen ist und keine anderweitigen gesetzlichen oder vertraglichen Aufbewahrungspflichten bestehen (Artikel 5 Abs. 1 lit. e DSGVO, „Speicherbegrenzung“).

Aufnahme dieser Datenverarbeitung in dein Verarbeitungsverzeichnis

Du hast die Verpflichtung gemäß Art. 30 DSGVO ein Verzeichnis über alle Verarbeitungstätigkeiten in deinem Unternehmen zu führen. Diese Verpflichtung gilt für alle Unternehmer (Verantwortliche & auch Auftragsverarbeiter).

(Anmerkung: Die deutschen Datenschutzaufsichtbehörden gehen davon aus, dass jede Verarbeitung ein Risiko für die Rechte und Freiheiten betroffener Personen birgt und somit die in der europäischen Datenschutzgrundverordnung festgehaltenen Ausnahmen, äußerst selten erfüllt wird. Faktisch muss damit nahezu jeder Unternehmer solch ein Verzeichnis führen. Du kommst also leider nicht drum herum.)

Auch die Datenerhebung auf deiner Webseite im Rahmen des Kontaktformulars stellt eine Verarbeitungstätigkeit dar und ist von daher in deinem Verzeichnis deiner Verarbeitungstätigkeiten zu führen. Somit machst Du Dein Kontaktformular wirklich datenschutzkonform!

Kontaktformular datenschutzkonform

Karin Steffens ist ausgebildete Datenschutzbeauftragte und beschäftigt sich bereits seit 2017 mit Datenschutz. Sie berät Einzelunternehmer, Startups sowie KMU’s im Datenschutz und bietet auch spezielle Pakete für Virtuelle Assistent*innen an.

 

www.karinsteffens.de

Vertrauensvolle Entlastung im Tagesgeschäft!

Vereinbaren Sie ein unverbindliches Gespräch über mein Terminplanungstool:
Terminvereinbarung
Call Now ButtonEinfach anrufen : )
Termin vereinbaren

Sie wollen wachsen?

Dann lassen Sie uns sprechen!