DSGVO konforme Kontaktformulare

Webmaster Apr. 13, 2020

Natürlich werden bei einem Kontaktformular personenbezogene Daten verarbeitet, immerhin ist bei so gut wie allen Kontaktformularen zumindest der Name, die Email Adresse und die Nachricht jeweils ein Pflichtfeld. Ohne diese Angaben wäre es auch wenig sinnvoll, Kontakt zu einem Webseitenbetreiber aufzunehmen. Daher befinden wir uns im Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO).[1]

Für Webmaster gibt es zwei verschiedene Möglichkeiten ein Kontaktformular zu integrieren.
Entweder man hostet es selbst und verarbeitet die Daten damit auf seinem eigenen Server, oder man verwendet Services wie jotform.com.

Selber Hosten

self-hosting-abschnittsbanner

Bild von Fullvector / Freepik.com

Die datenschutzrechtlich sicherste Variante für Webmaster ist das Kontaktformular auf dem eigenen Server zu verarbeiten. Hier gibt es DSGVO konforme Vorlagen wie zB von kontaktformular.com.
Ein erster wichtiger Schritt ist damit getan: Die Daten des Absenders landen nicht auf den Servern des Kontaktformularanbieters.

Um bei dieser Variante DSGVO konform zu sein, müssen folgende Maßnahmen getroffen werden:

  1. So wenig Daten wie möglich. Name, Email und Nachricht genügt. Unnötige Pflichtfelder wie Telefonnummer, Adresse, etc. sollten vermieden werden, da es nicht erforderlich ist um Kontakt mit dem Absender des Formulars aufzunehmen.
  2. Zweckbindung der Daten. Personenbezogene Daten sollten nur für den angegebenen Zweck (Kontaktaufnahme) verwendet werden, nicht um sie in irgendwelche Verteiler reinzugeben oder sie sonst für Marketigzwecke zu missbrauchen.
  3. Die Seite muss Verschlüsselt sein.[2] Das bedeutet, dass sie über ein SSL Zertifikat verfügt, also über https:// und nicht bloß per http:// aufrufbar ist.
    Gratis Zertifikate gibt es bei Let's Encrypt.
    Pro Tipp: Niemals seine Daten auf einer Homepage eingeben, die nur unverschlüsselt aufrufbar ist!
  4. Der Email Versand muss verschlüsselt erfolgen.[2:1] Konkret sollte die Nachricht über SMPT bzw. TLS versendet werden.
  5. Datenschutzerklärung einbinden.[3] Entweder alle notwendigen Informationen stehen direkt unter dem Kontaktformular, oder dieses wird mit einem Link zur Datenschutzerklärung versehen (die sowieso auf jeder Homepage sein sollte). Folgende Informationen in Bezug auf das Kontaktformular sollte diese enthalten:
    • Was wird mit den Daten gemacht?
    • Wie lange werden die Daten aufgehoben?
    • Bonus: Verweis auf die Datenschutzerklärung für weitere Hinweise zur Website.
  6. Datenverarbeitungsverträge mit Hostingprovidern.[4] Hier wird es knifflig. Eigentlich benötigst jeder Webseitenbetreiber einen schriftlichen Vertrag mit jedem Anbieter, der die personenbezogenen Daten verarbeitet. Die WKO hat dazu ein Musterformular auf ihrer Homepage. Das beste ist allerdings, man erkundigt sich direkt bei seinem Provider.
  7. Führe ein Verzeichnis der Verarbeitungstätigkeiten (VdV).[5] In diesem Verzeichnis müssen alle DSGVO relevanten Verarbeitungsvorgänge aufgelistet werden. Die DSGVO schreibt vor, dass jeder Verantwortliche, der personenbezogene Daten verarbeitet, seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren muss. Woher kommen die Kundendaten im Unternehmen? Wo gehen diese Daten hin? Wie lange werden Daten gespeichert? Was passiert mit Daten, wenn man sie nicht mehr benötigt?

Serviceanbieter

serviceanbieter-abschnittsbanner

Bild von kanawatvector / Freepik.com

Schaltet man jetzt noch einen Drittanbieter dazwischen, wird die Sache natürlich nicht gerade leichter. Hier ein paar Grundregeln:

  1. Die Kommunikation muss ebenfalls verschlüsselt erfolgen. (Hier ein Beispiel)
  2. Der Anbieter sollte seinen Firmensitz und seine Server in Europa haben. Anbieter außerhalb Europas erfüllen DSGVO Anforderungen in den seltensten Fällen.
  3. Ein Blick in die Datenschutzerklärung des Anbieters lohnt sich. Diese Verrät den Umgang des Anbieters mit der Thematik. Gibt es keine, sollte man die Finger davon lassen.
  4. Manche Anbieter haben eine spezielle "DSGVO konform" Funktion.
  5. Schauen, ob ein Vertrag zur Datenverarbeitung abgeschlossen wurde.

  1. Art 4 Nr 1 DSGVO, eur-lex.europa.eu ↩︎

  2. Art 12 - 14 DSGVO, eur-lex.europa.eu ↩︎ ↩︎

  3. Art 32 Abs 1 DSGVO, eur-lex.europa.eu ↩︎

  4. Art 28 DSGVO, eur-lex.europa.eu ↩︎

  5. Art 30 DSGVO, eur-lex.europa.eu ↩︎


Webmaster - lawyered.at
Eine Artikelreihe für Webmaster, die auf Nummer sicher gehen wollen.
Datenschutz - lawyered.at
Alles rund um das Thema Datenschutz.

Tags

Andreas Maierhofer

Jurist / Administrator von lawyered.at

Großartig! Das Abonnement wurde erfolgreich abgeschlossen.
Großartig! Schließe als Nächstes die Kaufabwicklung ab, um vollen Zugriff zu erhalten.
Willkommen zurück! Du hast dich erfolgreich angemeldet.
Erfolg! Dein Konto ist vollständig aktiviert, du hast jetzt Zugang zu allen Inhalten.