Kontaktformulare sind einfache Lösungen, um schnell eine Anfrage zu senden oder einen Termin zu vereinbaren. Der Knackpunkt: Hier werden teils sensible Daten und Informationen geteilt, die ohne die nötigen Sicherheitsmaßnahmen schnell in falsche Hände gelangen. Erfahren Sie in diesem Beitrag, was Sie bei Ihren Kontaktformularen in Sachen Datenschutz wissen müssen.
Checkpoint 1: Die sicher verschlüsselte Webseite als Grundlage für Datenschutz im Kontaktformular
Fangen wir mit diesem Punkt an – denn wenn die Webseite nicht sicher ist, bringt auch der beste Datenschutz um Kontaktformular selbst nichts. Ohne sachgemäße SSL-Verschlüsselung können Angreifer sämtliche Daten abgreifen, die Nutzer Ihnen über Ihr Kontaktformular senden. Und das auch noch im Klartext.
Sagen wir als Beispiel, Sie betreiben einen Onlineshop für Tierfutter, bei dem die Datenübertragung nicht verschlüsselt ist. Aufgrund von Problemen mit dem Paketdienstleister hat eine Kundin ihr Paket nicht erhalten und schreibt Ihrem Support-Team eine Nachricht. Darin enthalten: Ihre Kundennummer sowie ihre vollständige Anschrift und die Telefonnummer („Lassen Sie uns das am besten telefonisch besprechen!“). Ein Angreifer kann ohne Schwierigkeiten auf diese sehr sensiblen Daten zugreifen und sie womöglich ausnutzen!
Achten Sie deshalb als allererstes darauf, dass Ihre Webseite sicherheitstechnisch auf dem neuesten Stand ist. Aktuell ist der Standard dafür HTTPS.
Checkpoint 2: Der sparsame Umgang mit Daten
Artikel 5 der DSGVO sagt eindeutig:
Wenn Sie das Kontaktformular Ihrer Webseite also gemäß geltender Datenschutzbestimmungen anlegen möchten, müssen Sie die Datenabfrage auf das Nötigste beschränken. Und das Nötigste ist in diesem Fall eigentlich nur die E-Mail-Adresse oder Telefonnummer und der Name, über die mit der jeweiligen Person Kontakt aufgenommen werden kann. Alle weiteren Informationen müssen rechtlich gesehen eine freiwillige Angabe bleiben.
Ganz klar von der Abfrage ausgeschlossen sind dagegen Daten, die für die Kontaktaufnahme bzw. das Klären der Anfrage keinerlei Relevanz haben. Also beispielsweise Alter, Geschlecht oder Familienstatus.
Checkpoint 3: Die Zweckbindung der Datenerhebung – für datenschutzkonforme Kontaktformulare ein besonders wichtiger Punkt
Weiterhin erfahren Sie in Artikel 5 der DSGVO:
Personenbezogene Daten müssen […] für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Einfacher ausgedrückt: Sie müssen transparent darstellen, wofür Sie die Daten erfassen und dürfen Sie dann nicht für etwas anderes nutzen. Hier ergeben sich zwei mögliche Szenarien:
- Sie brauchen die Daten wirklich nur für diesen einen Zweck, beispielsweise weil Sie als Arztpraxis das Kontaktformular zum Vereinbaren von Terminen anbieten möchten. In diesem Fall müssen Sie die erfassten Daten löschen, sobald der Termin festgelegt ist – denn der Zweck ist erfüllt, an den diese Daten gebunden sind.
- Sie möchten erfasste E-Mail-Adressen von Interessenten auch gleich mit nutzen, um dorthin Ihre Unternehmens-Newsletter zu schicken. Das ist so nicht zulässig! In diesem Fall muss vor dem Absenden des Kontaktformulars eine ausdrückliche Einwilligung gegeben werden, dass Sie die Adresse im Anschluss für diesen Zweck weiterverwenden dürfen.
Das leitet uns zum vierten Punkt für Datenschutz beim Kontaktformular.
Checkpoint 4: Die Datenschutzerklärung
Diesen Punkt wollen wir nur der Vollständigkeit halber hinzufügen – denn eine Datenschutzerklärung gehört mittlerweile zur Webseite wie die Hausnummer zur Adresse.
Natürlich ist es eher die Regel als die Ausnahme, dass eine Datenschutzerklärung nicht gelesen wird. Um sich rechtlich abzusichern, müssen Sie als Webseite-Betreiber diese trotzdem einbinden. Besonders im Kontaktformular sollte dann darauf hingewiesen werden, beispielsweise per Link direkt unter dem Formular.
Checkpoint 5: Die sichere Aufbewahrung der Daten
Ein weiterer Blick in Artikel 5 der DSGVO verrät uns zum Thema Datenschutz im Kontaktformular:
Personenbezogene Daten müssen […] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Und außerdem
[…] in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Deshalb ist es nicht nur wichtig, ob Ihr Kontaktformular „vorn herum“ datenschutzkonform ist. Prüfen Sie darüber hinaus, ob Sie auch alle nötigen Schritte ergreifen, um die Daten Ihrer Kunden, Nutzer und Interessenten sicher aufzubewahren. Geeignete Maßnahmen sind beispielsweise:
- Eine Firewall
- Antiviren- und Security-Software
- Sichere Passwörter
- Regelmäßige Sicherheits- und Software-Updates
- Grundlegendes Wissen Ihrer Mitarbeiter rund um das Thema Cybersecurity, das in regelmäßigen Abständen überprüft und aufgefrischt wird
Vor allem auf den letzten Punkt sollten Sie besonders achten. Eine aktuelle Studie verdeutlicht nämlich: Mitarbeiter sind die größte Schwachstelle, was Cybersecurity in Unternehmen betrifft. Einmal achtlos einen Link in einer E-Mail geklickt und schon gelangen sensible Daten in fremde Hände, die Sie zuvor über ein mühevoll abgesichertes Kontaktformular gesammelt haben.
Unser Fazit:
Datenschutzkonforme Kontaktformulare haben zwei Seiten – kümmern Sie sich um beide! Wenn Sie sich nicht sicher sind, ob Ihr Formular allen Anforderungen der DSGVO entspricht, sollten Sie das auf jeden Fall mit Ihrem Datenschutzbeauftragten abklären. Denn beim Thema Datenschutz gilt: Lieber einmal zu viel nachfragen, als ein Bußgeld zu kassieren!
