Matthias Weber
Datenschutzbeauftragter
Beihnahe jede Webseite bietet sie an – eine Möglichkeit zur Kommunikation mit dem Webseitenbetreiber über ein Formular. Mit Einführung der EU-DSGVO und des BDSG-neu am 25.05.2018 hat sich eine Vielzahl von Änderungen für Webseitenbetreiber ergeben. Im Folgenden möchten wir speziell auf die Kommunikation des Webseitenbesuchers mit dem Webseitenbetreiber und auf die wichtigsten Punkte aus datenschutzrechtlicher Sicht eingehen.
Bei einem auf der Webseite implementiertem Kontaktformular müssen gleich mehrere Punkte beachtet werden. Zunächst einmal muss die Datenübertragung sicher gestaltet werden. Dies bedeutet, dass zum einen die Homepage mit dem Verschlüsselungsstandard „https“ ausgestattet sein muss. Zum anderen muss die Datenübertragung an sich ebenfalls verschlüsselt sein. Dies kann durch ein sogenanntes „SSL-Zertifikat“ gewährleistet werden.
Des Weiteren ist es wichtig, dass nur die personenbezogenen Daten in dem Kontaktfeld erhoben werden, die auch wirklich gebraucht werden. Dies ergibt sich aus dem Grundsatz der Datensparsamkeit nach Art. 5 Abs. 1 lit. c) EU-DSGVO und „Privacy by Default“, der datenschutzfreundlichen Voreinstellungen. Namen und E-Mail–Adresse sollten zur Kontaktaufnahme genügen. Alle weiteren Angaben, wie z.B. Adresse, Telefonnummer, usw. müssen als optionale Angaben freiwillig sein.
Solange keine besonders schützenswerten Daten nach Art. 9 EU-DSGVO erhoben und verarbeitet werden, ist auch eine Einwilligung des Besuchers nicht notwendig, da Sie unproblematisch die Rechtmäßigkeit der Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f EU-DSGVO stützen können, da Sie ein berechtigtes Interesse an der Bearbeitung des Anliegens des Nutzers haben.
Weitere Punkte, die beachtet werden müssen, sind, dass Sie den Webseitenbesucher über den Zweck der Verarbeitung (Verarbeitung der Nachricht), die Speicherdauer (bis Nachricht verarbeitet wurde), den Umfang der Verarbeitung (nur die Verarbeitung des Anliegens) und über die Widerspruchmöglichkeit und die anderen Betroffenenrechte transparent informieren.
Zu erwähnen ist noch, dass in der Datenschutzerklärung der Webseite auf das Kontaktformular hingewiesen wird. Sie brauchen allerdings nicht alle im Kontaktformular erhobenen personenbezogenen Daten aufzählen, sondern es reicht völlig aus, wenn Sie pauschal auf die Eingabefelder im Kontaktformular verweisen.
Grundsätzlich gelten die für das Kontaktformular genannten Punkte auch für das Bewerbungsformular. Zusätzlich muss jedoch beachtet werden, dass der Zweck (Bewerbung) sowie die Speicherdauergenannt werden müssen. Insbesondere dann muss die Speicherdauer angegeben werden, wenn eine Bewerbung über einen längeren Zeitraum aufbewahrt werden soll, damit man später auf den Bewerber zugehen kann.
In diesem Fall sollte man sich von dem Bewerber eine entsprechende schriftliche Einwilligung geben lassen.
Da bei Bewerbungen auch besonders schützenswerte Daten, wie beispielsweise die Religionszugehörigkeit, etwaige Behinderungen oder sonstige körperliche Beeinträchtigungen enthalten sind, sollten Sie neben der https und der SSL Verschlüsselung auch an eine Inhaltsverschlüsselung denken.
Wenn ein externer Dienstleister für die Betreuung des Kontaktformulars eingesetzt wird (was wohl nur bei sehr großen Seiten der Fall sein wird), dann ist darauf zu achten, dass mit diesem externen Dienstleister zwingend ein Auftragsverarbeitungsvertrag (kurz AVV) abgeschlossen ist, da dieser als Auftragsverarbeiter i. S. d. Art. 28 EU-DSGVO für den Seitenbetreiber tätig ist.
Zudem muss wieder in der Datenschutzerklärung darauf hingewiesen werden, dass in diesem Punkt ein externer Dienstleister eingesetzt wird, wobei es nicht notwendig ist, diesen namentlich zu erwähnen. Auch zu nennen ist der Umstand, wenn die Daten in ein Drittland, z.B. die USA, transferiert werden und dieses Land zu benennen.
Bei einem Newsletter-Versand müssen neben den datenschutzrechtlichen Vorschriften ggf. auch Vorschriften des UWG (§7 UWG) eingehalten werden.
Bestandskunden, deren E-Mail-Adressen im Wege einer rechtsgeschäftlichen Beziehung erlangt worden sind, können von Ihnen – auch ohne vorherige Einwilligung- einen Newsletter erhalten. Dies ist sowohl nach dem UWG als auch nach der EU-DSGVO gesetzeskonform. Allerdings muss dies wiederum in der Datenschutzerklärung angegeben werden.
Bei allen anderen potenziellen Kunden, Interessenten oder Webseitenbesuchern gilt, dass für einen Newsletter-Versand eine schriftliche Einwilligung des Betroffenen vorliegen muss. Am besten lässt sich dies durch ein „Double Opt-In“-Verfahren bewerkstelligen.
Eine E-Mail-Adresse, die man beispielsweise für eine Anfrage aus dem Kontaktformular bekommen hat, darf nicht dafür benutzt werden, um einen Newsletter zu verschicken, da hier das sogenannte „Kopplungsverbot“ gemäß Art. 7 Abs. 4 EU-DSGVO greift.
Sollte auch hier ein externer Dienstleister für den Newsletter-versand zuständig sein, so gelten hier die selben Regelungen wie in Punkt 3. Zudem muss auch eine Abmeldefunktion, in Form eines „Double Opt-Out“-Verfahrens und die sonstigen Betroffenenrechte gewahrt werden.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!