Die EU-DSGVO birgt für viele Website-Betreiber besondere Herausforderungen; sie müssen nicht nur ihre Datenschutzerklärung und den Umgang mit Analyse-Tools prüfen. Häufig erfassen Website-Betreiber auch persönliche Daten von Kunden via Kontaktformular. Das können beispielsweise Informationen von Bewerbern, aber auch Anfragen sein. Wichtig ist demnach, DSGVO-konforme Formulare auf der eigenen Website einzusetzen.
Anforderungen an DSGVO-konforme Formulare
Ab Ende Mai dieses Jahres gilt ausschließlich die Datenschutzgrundverordnung; sie soll den Datenschutz europaweit vereinheitlichen und die Verbraucherrechte stärken. Viele Unternehmen müssen ihre technische Infrastruktur anpassen. Dazu gehört auch die Unternehmenswebsite.
Generell gelten im Prinzip drei Dinge:
- Die Datenübertragung muss verschlüsselt stattfinden – ein SSL-Zertifikat bei der Übertragung von personenbezogenen Daten ist also Pflicht.
- Die Datenverwendung muss klar und möglichst minimal sein – Website-Nutzer müssen also nur die mindestens erforderlichen Daten als Pflichtfeld angeben dürfen. Konkret bedeutet das, dass ein Newsletter-Anmeldeformular nur die E-Mail-Adresse als Pflichtfeld haben darf. Darüber hinaus müssen die Nutzer bei der Angabe ihrer Daten wissen, wozu diese Daten benötigt werden bzw. was Sie zu erwarten haben. So muss zum Beispiel klar sein, dass die Angabe einer Mail-Adresse dazu verwendet wird, nur in diesem einen Kontext zu kommunizieren und nicht beispielsweise auch Newsletter zu erhalten. Diese Verwendung müsste separat abgefragt werden.
- Die Einverständnis zur Verwendung der Daten muss schriftlich vorliegen – wer also meint, auch im B2B-Kontext auf Basis einer bestehenden Geschäftsbeziehung einfach E-Mail-Newsletter verschicken zu dürfen, täuscht sich. Das ist zwar laut UWG erlaubt, nicht aber mehr nach DSGVO. Für jede Form des Kontakts muss vorher das Double-Opt-In-Verfahren (kurz: DOI) zur Anwendung gekommen sein. Wichtig: Liegt diese Einverständnis nicht vor, kann auch jetzt nicht nach Mai angenommen werden, dass die Kommunikation wie bisher in Ordnung ist. Website-Formulare, die beispielsweise auf der Kommunikation via Telefon mit Mail aufgrund einer Anfrage basieren, müssen diese Kontaktform in Zukunft via DOI abfragen.
DSGVO-konforme Formulare: Das DOI-Verfahren
Verschlüsselung, Formulargestaltung und Aufklärung scheinen einfach umsetzbar. Die Anwendung des DOI-Verfahrens ist jedoch durchaus kritisch. Kontaktformulare kommen im Prinzip immer dann zur Anwendung, wenn wir Kunden im Anschluss an die Angabe der Daten beispielsweise im Kontext einer Bewerbung kontaktieren wollen oder aber nach der Durchführung einer Aktion auf der Landingpage zu Vertriebszwecken kontaktieren möchten. Das ist ab Ende Mai nicht mehr ohne weiteres möglich. Die Einverständnis hierfür muss schriftlich vorliegen.
Was bedeutet das konkret? Ein Nutzer macht aus einem bestimmten Zweck Angaben in einem Website-Kontaktformular. Nun muss er – beispielsweise via Checkbox – aktiv bestätigen (nach dem Privacy-by-Default-Grundsatz darf das Feld nicht vorausgefüllt sein), dass er aktiv kontaktiert werden darf, etwa via E-Mail oder Telefon. Im Anschluss erhält der Anwender dann etwa zwei E-Mails. Die eine ist die Kopie der Anfrage, die wir auch ohne Erlaubnis schicken dürfen. Die andere Nachricht ist die Bitte um die Bestätigung der Kontaktaufnahme via E-Mail (oder Telefon), die gerade durch die Checkbox angefragt war. Bleibt diese Bestätigung aus, darf der Website-Betreiber die entsprechende nicht weiter kontaktieren.
Achtung: Die Erlaubnis darf nicht im Verbund abgefragt werden. Will ich die Mail-Adresse also nicht nur für die Kontaktaufnahme in diesem Kontext, sondern etwa auch für allgemeine Newsletter nutzen, muss hier eine eigene Checkbox mit eigenem DOI-Verfahren vorliegen. Dasselbe gilt beispielsweise für die Abfrage von E-Mail-Adresse und Telefonnummer. Der Anfragende muss hier zwei Häkchen setzen und beide Erlaubnisse separat voneinander erteilen. Die Erlaubnis muss außerdem jederzeit als widerruflich gekennzeichnet sein.