DSGVO-konforme Formulare auf Websites

Die EU-DSGVO löst Ende Mai das BDSG final ab; Website-Betreiber müssen sich hier auf zahlreiche Veränderungen einstellen. Insbesondere auf Formular-basierten (Landing-)Pages müssen häufig Veränderungen zur Einhaltung der neuen Datenschutzgrundverordnung vorgenommen werden, die insbesondere das DOI-Verfahren berücksichtigen.

Die EU-DSGVO birgt für viele Website-Betreiber besondere Herausforderungen; sie müssen nicht nur ihre Datenschutzerklärung und den Umgang mit Analyse-Tools prüfen. Häufig erfassen Website-Betreiber auch persönliche Daten von Kunden via Kontaktformular. Das können beispielsweise Informationen von Bewerbern, aber auch Anfragen sein. Wichtig ist demnach, DSGVO-konforme Formulare auf der eigenen Website einzusetzen.

Anforderungen an DSGVO-konforme Formulare

Ab Ende Mai dieses Jahres gilt ausschließlich die Datenschutzgrundverordnung; sie soll den Datenschutz europaweit vereinheitlichen und die Verbraucherrechte stärken. Viele Unternehmen müssen ihre technische Infrastruktur anpassen. Dazu gehört auch die Unternehmenswebsite.

Generell gelten im Prinzip drei Dinge:

  • Die Datenübertragung muss verschlüsselt stattfindenein SSL-Zertifikat bei der Übertragung von personenbezogenen Daten ist also Pflicht.
  • Die Datenverwendung muss klar und möglichst minimal sein – Website-Nutzer müssen also nur die mindestens erforderlichen Daten als Pflichtfeld angeben dürfen. Konkret bedeutet das, dass ein Newsletter-Anmeldeformular nur die E-Mail-Adresse als Pflichtfeld haben darf. Darüber hinaus müssen die Nutzer bei der Angabe ihrer Daten wissen, wozu diese Daten benötigt werden bzw. was Sie zu erwarten haben. So muss zum Beispiel klar sein, dass die Angabe einer Mail-Adresse dazu verwendet wird, nur in diesem einen Kontext zu kommunizieren und nicht beispielsweise auch Newsletter zu erhalten. Diese Verwendung müsste separat abgefragt werden.
  • Die Einverständnis zur Verwendung der Daten muss schriftlich vorliegen – wer also meint, auch im B2B-Kontext auf Basis einer bestehenden Geschäftsbeziehung einfach E-Mail-Newsletter verschicken zu dürfen, täuscht sich. Das ist zwar laut UWG erlaubt, nicht aber mehr nach DSGVO. Für jede Form des Kontakts muss vorher das Double-Opt-In-Verfahren (kurz: DOI) zur Anwendung gekommen sein. Wichtig: Liegt diese Einverständnis nicht vor, kann auch jetzt nicht nach Mai angenommen werden, dass die Kommunikation wie bisher in Ordnung ist. Website-Formulare, die beispielsweise auf der Kommunikation via Telefon mit Mail aufgrund einer Anfrage basieren, müssen diese Kontaktform in Zukunft via DOI abfragen.

DSGVO-konforme Formulare: Das DOI-Verfahren

Diagramm: DSGVO-konforme Formulare mit DOI-Verfahren

Verschlüsselung, Formulargestaltung und Aufklärung scheinen einfach umsetzbar. Die Anwendung des DOI-Verfahrens ist jedoch durchaus kritisch. Kontaktformulare kommen im Prinzip immer dann zur Anwendung, wenn wir Kunden im Anschluss an die Angabe der Daten beispielsweise im Kontext einer Bewerbung kontaktieren wollen oder aber nach der Durchführung einer Aktion auf der Landingpage zu Vertriebszwecken kontaktieren möchten. Das ist ab Ende Mai nicht mehr ohne weiteres möglich. Die Einverständnis hierfür muss schriftlich vorliegen.

Was bedeutet das konkret? Ein Nutzer macht aus einem bestimmten Zweck Angaben in einem Website-Kontaktformular. Nun muss er – beispielsweise via Checkbox – aktiv bestätigen (nach dem Privacy-by-Default-Grundsatz darf das Feld nicht vorausgefüllt sein), dass er aktiv kontaktiert werden darf, etwa via E-Mail oder Telefon. Im Anschluss erhält der Anwender dann etwa zwei E-Mails. Die eine ist die Kopie der Anfrage, die wir auch ohne Erlaubnis schicken dürfen. Die andere Nachricht ist die Bitte um die Bestätigung der Kontaktaufnahme via E-Mail (oder Telefon), die gerade durch die Checkbox angefragt war. Bleibt diese Bestätigung aus, darf der Website-Betreiber die entsprechende nicht weiter kontaktieren.

Achtung: Die Erlaubnis darf nicht im Verbund abgefragt werden. Will ich die Mail-Adresse also nicht nur für die Kontaktaufnahme in diesem Kontext, sondern etwa auch für allgemeine Newsletter nutzen, muss hier eine eigene Checkbox mit eigenem DOI-Verfahren vorliegen. Dasselbe gilt beispielsweise für die Abfrage von E-Mail-Adresse und Telefonnummer. Der Anfragende muss hier zwei Häkchen setzen und beide Erlaubnisse separat voneinander erteilen. Die Erlaubnis muss außerdem jederzeit als widerruflich gekennzeichnet sein.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

Weitere Beiträge in unserem Blog

Arbeitgebermarke

Mitarbeiter sind die wichtigste Ressource

Kreative Problemlöser fördern und Ideenpotentiale ergreifen und umsetzen. Dieser Artikel beschäftigt sich damit, wie partizipative Führung zur Wertschöpfung beitragen kann und wie Verbesserungsvorschlagswesen gelingt. Wer kann dabei alles profitieren?

Weiterlesen »
Arbeitgebermarke

Change Management: Unternehmenswandel erfolgreich umsetzen

Ob Weltkonzern, Mittelstand oder Kleinstunternehmen – sie alle stehen immer wieder vor neuen Herausforderungen und Veränderungen. Täglich werden wichtige Entscheidungen getroffen, die tausende von Mitarbeitern betreffen. Jede Veränderung erfordert eine Umstellung der bisherigen Arbeitsweise und führt in den meisten Fällen zu Vorsicht und Unsicherheit. Aber warum genau stehen wir Menschen Veränderungen mit Skepsis gegenüber und schenken zum Beispiel neuen Technologien anfangs wenig Vertrauen? Dabei könnten wir möglicherweise unseren Alltag viel organisierter, nachhaltiger und vor allem effizienter gestalten. Das Thema Change Management ist ein nicht zu unterschätzender Bereich für ein wettbewerbsfähiges Unternehmen.

Weiterlesen »