Damit sie DSGVO-konform sind, gelten für Online-Kontaktformulare spezifische technische und informatorische Voraussetzungen, die wir Dir inklusive hilfreicher Musterformulierungen vorstellen.
Sowohl auf Präsentationswebseiten als auch im eigenen Online-Shop sind Online-Kontaktformulare kaum wegzudenken. Sie sollen interessierten Besuchern die schnelle und direkte Kontaktaufnahme zum Seitenbetreiber ermöglichen und dienen letzterem dazu, das Serviceerlebnis zu optimieren und potenzielle neue Kunden zu gewinnen oder zu binden. Folgende Voraussetzungen und Regelungen unter Geltung der Datenschutzgrundverordnung musst Du dabei gewährleisten bzw. beachten.
I. Die Verarbeitung personenbezogener Daten per Online-Kontaktformular
Online-Kontaktformulare dienen der Herstellung eines Kontakts und dem Austausch von Informationen zwischen dem Seitenbetreiber und dem jeweiligen Interessenten.
Neben einem Eingabefeld für die eigentliche Anfrage bzw. Nachricht sehen Kontaktformulare typischerweise gewisse Pflichtfelder vor, bei denen die Angabe von Daten mit Personenbezug (etwa Vorname, Nachname, Anschrift, Email-Adresse oder Telefonnummer) verlangt wird, bevor das Formular abgeschickt werden kann.
Im Rahmen der Nutzung eines Kontaktformulars werden daher in aller Regel durch den Seitenbetreiber personenbezogene Daten des Interessenten erhoben und für Zwecke der Befassung mit dem jeweiligen Anliegen weiterverarbeitet.
In der Folge sind Online-Kontaktformulare Gestaltungselemente, die sich zwingend an den datenschutzrechtlichen Regelungen der EU-Datenschutzgrundverordnung (DSGVO) messen lassen müssen.
Die DSGVO stellt für Seitenbetreiber in Bezug auf Online-Kontaktformulare Datensicherheits- und Datensparsamkeitsvorgaben, Zweckbindungsauflagen sowie Informationspflichten auf.
II. Datensicherheit: Verschlüsselte Übertragung (SSL) der Formulardaten
Die Übertragung der Daten im Rahmen von Online-Kontaktformularen ist zwingend durch eine sichere Verbindung (SSL-Verschlüsselung) zu schützen.
Die Kurzform SSL steht für „Secure Sockets Layer“ und stellt ein hybrides Verschlüsselungsprotokoll dar. Mithilfe dieses Verschlüsselungsprotokolls werden personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert.
Dies hat den Effekt, dass Daten vor Zugriffen von Dritten bei der Eingabe (bspw. in ein Kontaktformular) und während der Übermittlung an den Empfänger geschützt werden. Die SSL-Technologie hat sich als Standard für die Verschlüsselung von (Internet-)Inhalten etabliert, denn ihre Implementierung erfordert weder viel Zeit, noch ist sie sehr kostenintensiv.
Im Internet ist die SSL-Verschlüsselung omnipräsent und auch für technische Laien leicht identifizierbar: Die URL in der Browserzeile einer per SSL verschlüsselten Website enthält nach dem Standard-Übertragungsprotokoll „http“ den Zusatz eines „s“, also „https“ (das „s“ steht für das englische Wort „secure“).
Die SSL-Verschlüsselung stellt unter Idealbedingungen stets sicher, dass die verschlüsselten Daten lediglich durch den berechtigten und bestimmten Empfänger dekodiert werden können. Sie leistet somit einen wichtigen Beitrag zur Aufrechterhaltung eines hohen Datenschutzniveaus.
Unter Geltung der DSGVO ist die Einrichtung einer SSL-Verschlüsselung für die Übertragung von Daten aus Online-Kontaktformularen Pflicht. Sie gilt als unabdingbare technische Maßnahme zur Gewährleistung der Integrität und Vertraulichkeit von personenbezogenen Datenübertragungen.
III. Datensparsamkeit: Nur Erhebung der notwendigen Kontaktdaten
Bei der Ausgestaltung von Online-Kontaktformularen und insbesondere der darin auszufüllenden Pflichtfelder ist das Gebot der Datenminimierung zu beachten.
Dieses Gebot besagt, dass nur solche personenbezogenen Daten erhoben und weiterverarbeitet werden dürfen, die für den konkreten Zweck zwingend benötigt werden.
Datenverarbeitungen im Rahmen von Online-Kontaktformularen dienen dem ausschließlichen Zweck der Erfassung und der Bearbeitung des kommunizierten Anliegens. Zur Erreichung dieses Zwecks genügen allerdings bereits eine geringfügige Menge an Daten des Interessenten und somit regelmäßig allein Informationen für eine direkte Kontaktaufnahme.
Dies hat zur Folge, dass bei der Ausgestaltung von Pflichtfeldern im Online-Kontaktformular die folgenden Grundsätze zu beachten sind:
- Sowohl die Anredeform (Herr/Frau/divers) als auch Vor- und Nachname müssen als freiwillige Eingabefelder ausgestaltet sein. Diese Personendaten sind für die Bearbeitung des Anliegens nicht zwingend erforderlich.
- Nur die Abfrage der Mailadresse oder diejenige der Telefonnummer darf als Pflichtfeld ausgestaltet sein, nicht beides. Ein Kontaktweg genügt. Ein zweiter, alternativer Kontaktweg darf nur als freiwillige Eingabeoption geführt werden.
IV. Zweckgebundenheit: Keine Verwendung der Daten zu anderen Zwecken
Bezüglich der über das Online-Kontaktformular erfassten Daten ist der Seitenbetreiber gehalten, den Grundsatz der Zweckgebundenheit unbedingt zu respektieren.
Dieser besagt, dass die erhobenen Daten grundsätzlich nur für den dem Interessenten erkennbaren Zweck, also der Bearbeitung seines Anliegens, verarbeitet werden dürfen. Für die Verarbeitung zu anderen Zwecken muss der jeweilige Interessent – also die Person, die das Kontaktformular ausfüllt – dahingegen seine ausdrückliche Einwilligung erteilen.
Keineswegs dürfen die per Formular erfassten Daten also ohne Weiteres für die werbliche Ansprache von Nutzern im Wege von Newsletter- oder sonstigen Marketing-Mails verwendet werden. Auch die telefonische Kontaktaufnahme zu Werbezwecken ohne entsprechende Erlaubnis verbietet sich.
Möchte der Seitenbetreiber über Kontaktformulare bereitgestellte Daten auch zu Werbezwecken nutzen, bedarf es hierfür also zwingend der ausdrücklichen Einwilligung des Interessenten.
Für die Wirksamkeit einer solchen Einwilligung muss der Interessent hinreichend über ihren Gegenstand informiert werden. Außerdem muss sie freiwillig sein.
Technisch umsetzen ließe sich dies mit einem optional anklickbaren Opt-In-Feld in Nähe des Absende-Buttons, das der Nutzer für die Kontaktaufnahme zu werbezwecken freiwillig und aktiv betätigen kann. In räumlicher Nähe zum Opt-In-Feld muss unzweideutig geschildert werden, für welche Zwecke der Nutzer seine Einwilligung erteilt, und dass diese jederzeit mit Wirkung für die Zukunft auch widerrufen werden kann.
Zudem wäre technisch sicherzustellen, dass die vom werbeinteressierten Formularnutzer angegebenen Kontaktdaten auch tatsächlich mit seiner Person korrespondieren. Hierfür hat sich das sog. Double-Opt-In-Verfahren etabliert, mit dem als Zwischenschritt zunächst eine Bestätigungsanfrage an den angegebenen Kontaktweg versendet wird und eine Verwendung zu Werbezwecken erst beginnt, wenn der Interessent seine Werbeeinwilligung (etwa per Klick auf einen Link) bestätigt. So wird sichergestellt, dass Werbemaßnahmen nicht an Dritte adressiert werden, deren Kontaktdaten missbräuchlich von Nutzern verwendet wurden und die tatsächlich nie eine Einwilligung erteilt hatten.
V. Informationspflichten: Klausel in Datenschutzerklärung und Hinweis in Kontaktformular
Schließlich muss der Seitenbetreiber über Art, Umfang und die rechtlichen Grundlagen der Datenverarbeitungen bei der Nutzung von Kontaktformularen zwingend in seiner Datenschutzerklärung informieren.
Nach der DSGVO sind spätestens im Zeitpunkt der Erhebung nämlich umfangreiche Informationen zu den Zwecken, der Rechtsgrundlage, dem Umfang und weiteren Umständen einer Verarbeitung von personenbezogenen Daten bereitzustellen.
Eine rechtskonforme Datenschutzklausel für die Verarbeitung von Daten im Rahmen eines Online-Kontaktformulars könnte etwa wie folgt lauten:
„Im Rahmen der Nutzung meines/unseres Online-Kontaktformulars werden gewisse personenbezogene Daten erhoben, deren Umfang aus der Eingabemaske unter www.xyz.de/konktatformular ersichtlich ist. Diese Daten werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verwendet. Rechtsgrundlage für die Verarbeitung dieser Daten ist unser berechtigtes Interesse an der Beantwortung Ihres Anliegens gemäß Art. 6 Abs. 1 lit. f DSGVO. Zielt Ihre Kontaktierung auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht. Dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.“
Anders als in diversen Quellen im Internet behauptet, ist die Nutzung von Online-Kontaktformularen allerdings grundsätzlich nicht einwilligungspflichtig. Seitenbetreiber müssen im Zusammenhang mit der Absendung von Online-Kontaktformularen keine Nutzereinwilligungen einholen, wenn alleiniger Zweck der Verarbeitung die Bearbeitung des Anliegens ist. Diese Verarbeitung ist nämlich hinreichend durch das von der DSGVO alternativ zur Einwilligung anerkannte berechtigte Interesse des Seitenbetreibers an der zielführenden Auseinandersetzung mit dem Anliegen gerechtfertigt.
Daher genügt es, wenn Seitenbetreiber – spiegelbildlich zur Aufnahme einer Klausel in ihre Datenschutzerklärung – dem Online-Kontaktformular in der Nähe des „Sende-Buttons“ den folgenden Hinweis bereitstellen
„Bitte beachten Sie meine/unsere Datenschutzerklärung.“
und die Datenschutzerklärung entsprechend verlinken.
Ein Opt-In-Feld oder sonstige Einwilligungsschaltflächen müssen für die Erfassung von Formularanfragen allein zu Zwecken der Bearbeitung des Anliegens nicht bereitgestellt werden.
VI. Fazit
Bei der Nutzung von Online-Kontaktformularen verarbeiten Seitenbetreiber zwangsweise personenbezogene Daten. Sie müssen daher unbedingt die diversen Vorgaben einhalten, welche die EU-Datenschutzgrundverordnung aufstellt.
Neben einer SSL-Verschlüsselung für die Übertragung von Formulardaten ist in diesem Sinne einerseits zu beachten, dass als Pflichtinformationen im Formular nur die Daten abgefragt werden dürfen, die für die Bearbeitung des Anliegens auch zwingend erforderlich sind. Andere Eingaben müssen freiwillig sein.
Des Weiteren dürfen Seitenbetreiber die Formulardaten ohne entsprechende ausdrückliche Einwilligung nicht zu anderen Zwecken (insbesondere Werbezwecken) als demjenigen der Auseinandersetzung mit der Anfrage nutzen.
Schließlich müssen Seitenbetreiber über Art, Umfang und rechtliche Grundlagen der Datenverarbeitung per Online-Kontaktformular in Ihrer Datenschutzerklärung informieren und auf deren Geltung in der Nähe der Sende-Schaltfläche im Online-Kontaktformular per Verlinkung hinweisen.
The post Datenschutz: Rechtliche Anforderungen an Online-Kontaktformulare appeared first on STRATO Blog.