Was ändert sich durch die DSGVO bei Kontaktformularen?
Category : Allgemein , Datenschutz
Mittlerweile bieten sehr viele Webseiten und nahezu alle Online Shops die Kontaktaufnahme über ein Kontaktformular an. Dies ist in der Regel eine sehr einfache Form, mit dem Unternehmen bzw. Webseiten-Betreiber im Allgemeinen in Kontakt zu treten. Was ändert sich für Webseiten mit Kontaktformular mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) zum 25.05.2018?
Datenvermeidung und Datensparsamkeit
Ein Webseiten-Betreiber, der ein Kontaktformular auf seiner Seite einbindet benötigt in der Regel ein Mindestmaß an personenbezogenen Daten, um die Anfragen sinnvoll beantworten zu können. Hierbei sollte nach dem Grundsatz der Datenvermeidung und Datensparsamkeit verfahren werden, wie es der Gesetzgeber bereits in §3a BDSG formuliert mit der Entsprechung in Art. 5 Abs. 1 DSGVO. Um eine simple Anfrage zu einem Produkt oder einer Dienstleistung zu beantworten ist es etwa nicht zwingender weise nötig, z.B. das Geburtsdatum abzufragen, das Gehalt oder den Familienstand. Allerdings kann es Sinn machen, nötige Informationen einzuholen (wie eine Projektbeschreibung) um etwa ein konkretes Angebot zu erstellen, zur Authentifizierung eine beiden Seiten vorliegende Information wie Vertrags- oder Kunden-Nummer usw. abzufragen, bei automatisierten Prozessen auch detailliertere Infos etwa zur Preis-Ermittlung – man denke an ein Gebrauchtwagen-Portal, was einen verbindlichen Preis für ein KFZ ermitteln soll.
Absolutes Minimum für Kontaktaufnahme
Absolutes Minimum wird wohl meist die Email-Adresse und / oder Telefon-Nummer sein, um eine Anfrage beantworten zu können, der Name kann auch nicht schaden, den man möchte ja sein Gegenüber korrekt anreden. Und als Anbieter des Kontaktformulars auch nicht mit Spam zugeschüttet werden.
Aber pauschal lässt sich das nicht sagen, die Anforderungen an ein Kontaktformular sind je nach Angebot der Website unterschiedlich.
Datenschutzerklärung
Ob es bei einem einfachen Kontaktformular nötig ist, explizit in die Datenverarbeitung und -Speicherung per Opt-In, also etwa eine Checkbox, einzuwilligen, ist selbst unter Experten strittig, den der Nutzer sucht ja selbst den Kontakt und würde etwa alternativ auch eine Email schreiben.
Es kann jedoch nicht schaden, wenn ein Webseiten-Betreiber im Kontaktformular erneut auf die Datenschutzerklärung der eigenen Website verweist und diese mit Abschicken des Forms quasi implizit abgenickt wird. Das geht konform mit Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person.
Das ist ein großer Unterschied etwa zum gleichzeitigen Abonnieren eines Newsletters! Hier müsste der Nutzer sich explizit durch aktives Einwilligen (etwa Häkchen in nicht vorausgewählte Checkbox machen) einverstanden erklären. Und zusätzlich müsste er auf die Datenschutzerklärung hingewiesen werden und per Double Opt-In das Newsletter-Abonnement erneut bestätigen, etwa durch Klicken eines weiteren Bestätigungs-Email-Links.
Verschlüsselung
Art. 32 DSGVO Sicherheit der Verarbeitung sieht vor, dass der Websiten-Betreiber geeignete Maßnahmen zur Sicherstellung der Integrität der Daten zur Verfügung stellt. Explizit wird hier unter Art. 1 (a) auf die Verschlüsselung hingewiesen. Galt das prinzipiell nach dem deutschen Bundesdatenschutzgesetz implizit auch, so ist mit der Formulierung die SLL-Verschlüsselung per https als Quasi „Stand der Technik“ zu werten, wobei dies etwa mit Let’s Encrypt auch mittlerweile für Laien umsetzbar und erschwinglich geworden ist.
Darüberhinaus macht die https Verschlüsselung auch aus SEO Sicht Sinn, da dies für Google seit einiger Zeit ein Rankingfaktor ist und es ist davon auszugehen, dass dieser in Zukunft stärker gewichtet wird, bzw. unverschlüsselte Seiten einen Nachteil haben werden, vergleichbar mit nicht mobilfähigen Webseiten.
