Datenschutzhinweis im Kontaktformular
Beschwerde über eine Webseite wegen fehlender Datenschutzhinweise im Kontaktformular
Webseitenbetreiber bieten zur Kontaktaufnahme oft ein Kontaktformular an. Aus datenschutzrechtlicher Sicht sind dabei eine Transportverschlüsselung nach dem Stand der Technik erforderlich, wenn personenbezogene Daten abgefragt werden und der Grundsatz der Datensparsamkeit zu beachten ist.
Kontaktformulare, die auf Webseiten eingesetzt werden, ermöglichen es, die zur Bearbeitung einer Anfrage erforderlichen Informationen strukturiert zu erfassen. Auch bei Verwendung eines Kontaktformulars gilt der Grundsatz der Datensparsamkeit. Es dürfen nur die Daten erhoben werden, die auch tatsächlich für die Anfrage benötigt werden. Die Pflichtfelder im Kontaktformular müssen gekennzeichnet werden. Im Normalfall sind der Name und die E-Mail-Adresse oder die Telefonnummer für die Bearbeitung ausreichend.
Die im Kontaktformular erhobenen personenbezogenen Daten dürfen nur für den angegebenen Zweck verwendet werden. Nach der Zweckerfüllung müssen die Daten umgehend gelöscht werden und dürfen nicht für andere Zwecke verwendet werden. Der Verantwortliche der Webseite hat, wenn er über ein Kontaktformular personenbezogene Daten erhebt, nach Art. 32 Datenschutz-Grundverordnung (DSGVO) geeignete – dem Stand der Technik entsprechende – technische und organisatorische Maßnahmen zum Schutz dieser Daten zu treffen. Vielmals erfolgt die Datenübermittlung an den Verantwortlichen jedoch unverschlüsselt. Ist die Adresszeile mit einem „http“ versehen, zeigt dies, dass die Webseite nicht gesichert ist. Eine sichere Verbindung ist nur dann gewährleistet, wenn stets „https“ angezeigt wird. Ohne eine SSL-Verschlüsselung ist eine Webseite anfällig für Missbrauch der Daten Dritter. Werden vom Verantwortlichen keine Maßnahmen ergriffen, erfolgt eine unverschlüsselte Übermittlung. Die transportierten Inhalte können von allen Rechnern oder Netzwerkteilnehmern, die sich im gleichen Netzwerk befinden, mitgelesen oder verändert werden. In allen Fällen betrachtet der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) eine https-Verschlüsselung unabhängig vom Schutzbedarf als erforderlich. Bei einem normalen Schutzbedarf, also keine Übertragung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO, sondern lediglich Name, Telefonnummer oder E-Mail-Adresse, ist eine Transportverschlüsselung mit „https“ notwendig und ausreichend. Werden im Kontaktformular besonders schutzbedürftige Daten nach Art. 9 DSGVO abgefragt, ist zusätzlich zur https-Verschlüsselung auch eine Ende-zu-Ende-Verschlüsselung erforderlich.
Um dem Gebot der Transparenz zu entsprechen, ist es unerlässlich, dass das Kontaktformular einen Datenschutz-Hinweis mit den Informationen gemäß Art. 13 DSGVO enthält. Dieser sollte so platziert werden, dass er für die Webseitenbesucher leicht zugänglich ist. Die Datenschutzerklärung muss sich auch auf das Kontaktformular beziehen. Sie muss die Angaben enthalten, welche Daten im Kontaktformular erhoben werden und die Zweckbindung für die einzelnen Angaben.
Aufgrund mehrerer Beschwerden hat der TLfDI festgestellt, dass immer noch unverschlüsselte Kontaktformulare auf Webseiten eingesetzt werden. Daraufhin wurden die Webseitenbetreiber auf die Mängel hingewiesen und es wurde auf eine datenschutzkonforme Verarbeitung hingewirkt.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks