DSGVO: Kontaktformulare

Von 2. Mai 2018DSGVO

In unserer Blogreihe zur DSGVO möchten wir nach bestem Wissen darüber aufklären und Tipps* geben, was für eine DSGVO-konforme Webseite benötigt wird und die unserer Meinung nach nötigen Maßnahmen vorstellen.

* Wir möchten klarstellen, dass wir keine Datenschützer oder Rechtsanwälte sind, dies also keine rechtsverbindlichen Aussagen sind und auch keine Rechtsberatung darstellen. Bitte lassen Sie die Maßnahmen für Ihren Einsatz von einem Fachanwalt prüfen.

Warum sind Formulare ein Thema?

Das Problem der Kontaktformulare ist einfach dargelegt: Der Besucher hat keine Kontrolle und auch keinerlei Kenntnis darüber, was mit seinen personenbezogenen Daten geschieht. Bislang war es theoretisch möglich, allerlei Schindluder mit solchen Datensätzen zu treiben. Dies ist nicht konform mit der DSGVO, nach welcher die personenbezogenen Daten besonders schützenswert sind und geeignete Maßnahmen zu ihrem Schutz eingerichtet sein sollen. Gerne bieten wir kostenfrei an, Ihre Webseite auf Konformität zu prüfen.

 

Was geschieht beim Senden eines Formulars?

Um das datenschutzrechtliche Problem bei den Kontaktformularen verstehen zu können, muss man näher beleuchten, was genau beim Absenden eines Kontaktformulars geschieht. Üblicherweise sind das die folgenden Schritte:

  1. Der Nutzer drückt auf den „Absenden“-Button im Kontaktformular
  2. Die Webseite kontaktiert den Email-Service und übergibt die notwendigen Daten des Formulars
  3. Der Email Service versendet die Nachricht an den Empfänger (oder einen internen Verteiler)
  4. Die Daten werden vom Empfänger weiter verarbeitet; die genaue Verwendung ist dem Interessenten allerdings unklar und verborgen.

Kontaktformulare – das Problem verstehen:

Grundsätzlich ist jedem Nutzer natürlich klar, dass die von ihm eingegebenen Daten beim Klick auf „Absenden“ in irgendeiner Form beim Webseitenbetreiber als Empfänger landen. Nun ist die Technik aber so fortgeschritten, dass keineswegs von außen erkennbar wäre, welche Services vom Empfänger verwendet werden.

Daten schützen!

Auch bei der Übergabe an den Email Service!

Es ist für den Laien (ohne weiter Hilfsmittel oder Blick in den Quelltext) schon nicht zu erkennen, ob auf einer Webseite ein Content-Management-System (CMS) verwendet wird oder auf ob die Webseite auf einem deutschen Server betrieben wird. Wie soll der Nutzer dann wissen, ob seine Eingaben direkt beim Empfänger landen oder noch Umwege über Dritte nehmen, z.B. bei einem Dienstleister für den Mailversand.

Daher obliegt es dem Betreiber einer Webseite, hier einen sauberen und vor Allem sicheren Ablauf zu garantieren und ebenso zu dokumentieren.

Mögliche Berührungspunkte beim Absenden eines Kontaktformulars

Webseiten-Hoster
Server-Log
Email-Service
Office 365
Newsletter Tool
externe Dienstleister
Partner

Diverse Datenwege sind möglich

Betrachtet man die üblichen Schritte, so sind hier schon diverse Möglichkeiten gegeben, wie die Daten übergeben werden. Selbstverständlich muss die Webseite über ein SSL Zertifikat verfügen, doch dieses hilft ja nur so lange, wie die Daten auf der Webseite verbleiben. Mit dem Klick auf „Absenden“ wird dieser SSL-gesicherte Raum nämlich verlassen und die Daten an ein anderes Daten-Layer übergeben.

Offene Fragen zur DSGVO:

Folgende Fragen gehören in Bezug auf die DSGVO geklärt:

  • Welche personenbezogenen Daten werden erhoben?
  • Was ist der Grund für die Erhebung?
  • Sind alle erhobenen Daten notwendig?
  • Wird die Email gesichert über SMTP / TLS versendet?
  • Wird ein externer Dienst genutzt, z.B. ein Email-Marketing-Service?
  • Was geschieht mit den Daten?
  • Wie lange werden die Daten aufbewahrt, wann werden sie gelöscht?
  • Ist dieser Prozess in der Datenschutzerklärung eingebettet?

Sie ahnen es schon: Das Kontaktformular muss höchstwahrscheinlich inhaltlich und technisch angepasst werden, um der DSGVO zu genügen. Es drohen hohe Strafen bei Verstößen.

5-Schritt-Anleitung:

Damit sind wir beim Herzstück angelangt. Dies ist unsere 5-Schritt-Anleitung, um Kontaktformulare DSGVO-konform zu machen. Oft sind Punkte technischer Natur, doch leider funktioniert die durchgängige Verschlüsselung nur dann, wenn alle Punkte korrekt eingehalten sind. Wir bitten daher um besondere Aufmerksamkeit beim Lesen. Wenn Fragen offen sind, sind wir selbstverständlich zur Stelle. Wir bieten kostenfrei an, Ihre Webseite auf Konformität zu prüfen.

Doch nun zur 5-Schritt-Anleitung:

Schritt 1

1. SSL-Verschlüsselung

Die Webseite muss mit einem SSL Zertifikat verschlüsselt sein. Man erkennt das daran, dass die Webseite im Browser mit https:// anstatt mit http:// notiert ist. Ein SSL Zertifikat stellt Ihr Hoster bereit. Die Bandbreite an Zertifikaten reicht dabei von einem kostenlosen (selbst ausgestellten) Zertifikat über branchenübliche Zertifikate für ca. 80-120 Euro im Jahr bis hin zu hochklassigen und besonders gesicherten SSL Zertifikaten für mehrere hundert Euro pro Jahr. Letztere sind jedoch für normale Webseiten von KMUs eher selten nötig, meist genügen die branchenüblichen Zertifikate.

Schritt 2

2. Mailversand mit TLS

So wie SSL die Webseite verschlüsselt, verschlüsselt Transport Layer Security (TLS) den Versand von Emails. Der kritischste Punkt beim Kontaktformular ist der Versand der Email. Hat eine Webseite ein SSL-Zertifikat, so ist das toll, doch es genügt nicht in Bezug auf den Datenschutz. Die Email kann nämlich (und wird es auch üblicherweise) völlig unverschlüsselt gesendet werden.

An dieser Stelle sollte der Webbetreuer eingeschaltet werden, denn dies ist ein enorm technisches Thema. Es geht darum, dass der Versand der Emails aus dem Formular nicht über den Server-Standard geschieht, sondern über ein TLS-gesichertes SMTP Email Konto. Dazu werden separate Zugangsdaten und ein Versand über (normalerweise) Port 587 benötigt.

Schritt 3

3. Datenschutzerklärung

Es ist Pflicht, dass jede Webseite eine Datenschutzerklärung besitzt. Diese muss auf den neuesten Stand aktualisiert werden, um der DSGVO zu genügen. Hier gilt es, umfassend Auskunft über die erhobenen Daten, sowie deren Verwendung Auskunft zu geben.

Schritt 4

4. Passus bei Formularen

Bei allen (Kontakt-)formularen ist ein Text ähnlich dem folgenden zu ergänzen:

Die abgesendeten Daten werden nur zum Zweck der Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Der Link zur Datenschutzerklärung soll barrierefrei verlinkt sein, also auf eine direkt lesbare Seite leiten. Ein Link zu einer PDF Datei würde als Barriere angesehen, da der Nutzer ja z.B. den Adobe Reader installieren müsste, bevor er die Datenschutzerklärung dann lesen kann.

Außerdem ist betriebsintern im Datenschutzhandbuch ein Abschnitt einzufügen, wie mit den Daten weiter verfahren wird, welche Mitarbeiter mit den Daten in Kontakt kommen und wann die Daten wieder gelöscht werden.

Schritt 5

5. Vertrag mit Dienstleistern

Firmen müssen mit Hostern, Email Provider und Dienstleistern einen sog. Vertrag zur Auftragsdatenverarbeitung (ADV) unterzeichnen. Eine ADV wird von einigen Hostern schon bequem im Backend des Hosting-Accounts angeboten (so z.B. bei WebGo). Diese ADV müssen vor 25.05.2018 geschlossen sein.

Ebenso gehören diese Dienstleister in das eigene Datenverarbeitungsverzeichnis eingefügt.

Steht damit alles für die DSGVO-konforme Website?

Nein. Doch ein wichtiger Teil davon. Kommen Sie bitte regelmäßig im Blog auf unserer Webseite vorbei, um die neuesten Updates zu erhalten.

Hinterlasse einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.