Die EU-DSGVO birgt für viele Website-Betreiber besondere Herausforderungen; sie müssen nicht nur ihre Datenschutzerklärung und den Umgang mit Analyse-Tools prüfen. Häufig erfassen Website-Betreiber auch persönliche Daten von Kunden via Kontaktformular. Das können beispielsweise Informationen von Bewerbern, aber auch Anfragen sein. Wichtig ist demnach, DSGVO-konforme Formulare auf der eigenen Website einzusetzen.

Anforderungen an DSGVO-konforme Formulare

Ab Ende Mai dieses Jahres gilt ausschließlich die Datenschutzgrundverordnung; sie soll den Datenschutz europaweit vereinheitlichen und die Verbraucherrechte stärken. Viele Unternehmen müssen ihre technische Infrastruktur anpassen. Dazu gehört auch die Unternehmenswebsite.

Generell gelten im Prinzip drei Dinge:

DSGVO-konforme Formulare: Das DOI-Verfahren

Diagramm: DSGVO-konforme Formulare mit DOI-Verfahren

Verschlüsselung, Formulargestaltung und Aufklärung scheinen einfach umsetzbar. Die Anwendung des DOI-Verfahrens ist jedoch durchaus kritisch. Kontaktformulare kommen im Prinzip immer dann zur Anwendung, wenn wir Kunden im Anschluss an die Angabe der Daten beispielsweise im Kontext einer Bewerbung kontaktieren wollen oder aber nach der Durchführung einer Aktion auf der Landingpage zu Vertriebszwecken kontaktieren möchten. Das ist ab Ende Mai nicht mehr ohne weiteres möglich. Die Einverständnis hierfür muss schriftlich vorliegen.

Was bedeutet das konkret? Ein Nutzer macht aus einem bestimmten Zweck Angaben in einem Website-Kontaktformular. Nun muss er – beispielsweise via Checkbox – aktiv bestätigen (nach dem Privacy-by-Default-Grundsatz darf das Feld nicht vorausgefüllt sein), dass er aktiv kontaktiert werden darf, etwa via E-Mail oder Telefon. Im Anschluss erhält der Anwender dann etwa zwei E-Mails. Die eine ist die Kopie der Anfrage, die wir auch ohne Erlaubnis schicken dürfen. Die andere Nachricht ist die Bitte um die Bestätigung der Kontaktaufnahme via E-Mail (oder Telefon), die gerade durch die Checkbox angefragt war. Bleibt diese Bestätigung aus, darf der Website-Betreiber die entsprechende nicht weiter kontaktieren.

Achtung: Die Erlaubnis darf nicht im Verbund abgefragt werden. Will ich die Mail-Adresse also nicht nur für die Kontaktaufnahme in diesem Kontext, sondern etwa auch für allgemeine Newsletter nutzen, muss hier eine eigene Checkbox mit eigenem DOI-Verfahren vorliegen. Dasselbe gilt beispielsweise für die Abfrage von E-Mail-Adresse und Telefonnummer. Der Anfragende muss hier zwei Häkchen setzen und beide Erlaubnisse separat voneinander erteilen. Die Erlaubnis muss außerdem jederzeit als widerruflich gekennzeichnet sein.