Was ist neu bei der Datenschutzverordnung?

Heute, am 25. Mai 2918, tritt die die neue Datenschutzverordnung DSGVO in Kraft und wird in allen Mitgliedstaaten geltendes Recht. Für jeden, der mit einer eigenen digitalen Präsenz –  sei es mit einer Website, einem Blog oder durch Nutzung von Social Media Kanälen – im Business-Bereich aktiv ist, gelten diese Neuerungen und sollten daher Beachtung geschenkt werden. Jeder sollte prüfen, an welchen Stellen Änderungen wie z. B. in der Datenschutzerklärung notwendig sind.

Bei der neuen DSGVO geht es vor allem um ein einheitliches Regelwerk in der ganzen EU zum Schutz personenbezogener Daten. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Verwendung von einem Datenschutz-Generator ist nützlich und zum Teil kostenlos (für diesen Service sollte mit dem Urheber bzw. der Rechtsanwaltskanzlei verlinkt werden). Um eine passgenaue Datenschutzerklärung zu generieren, sollte der Website-Betreiber genau wissen, an welchen Stellen seiner Website personenbezogene Daten erhoben werden. Das ist insbesondere durch die Verwendung von Cookies bei Google Analytics, Social Media PlugIns oder Newsletter-Services wie MailChimp und Kontaktformularen der Fall. Gute Erfahrung habe ich mit datenschutz-generator.de gemacht.

Erhebung von personenbezogenen Daten am Beispiel vom Kontaktformular

Entscheidend ist, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Ein Personenbezug liegt bei Daten, die typischerweise in Kontaktformularen abgefragt werden (wie Name und Kontaktdaten), eindeutig vor. Danach ist die Verarbeitung von Daten nur zulässig, wenn

1. sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
2. der Nutzer eingewilligt hat.

Es muss also zunächst ein berechtigtes Interesse vorliegen, zu dessen Wahrung die Datenverarbeitung erforderlich ist. Dies kann im Rahmen eines bestehenden Vertragsverhältnisses oder auch außerhalb der Erfüllung eines Vertrages bestehen.

Für Kontaktformulare folgt daraus: Der Nutzer des Kontaktformulars hat ein Interesse an der Beantwortung seiner Anfrage. Darüber hinaus haben aber auch Website-Betreiber ein wirtschaftliches Interesse an der Kontaktaufnahme (potenzieller) Kunden über ein Kontaktformular. Kontaktformulare stellen zusätzliche Serviceleistungen von Website-Betreibern dar, die Kunden eine schnelle und unkomplizierte Kontaktaufnahme ermöglichen. Auf diese Weise können sich Websites durch guten Kundenservice von Konkurrenten abheben und das Vertrauen in ihr Unternehmen stärken. Ein berechtigtes Interesse des Website-Betreibers an der Datenverarbeitung liegt somit nach Auffassung des Verfassers vor. Die Datenverarbeitung ist zudem erforderlich, um die Kundenanfrage bearbeiten zu können.

Die Kontaktanfrage geht vom Kunden selbst aus, der seine Daten aktiv in das Kontaktformular zwecks Kontaktaufnahme eingibt. Es liegt keine unbemerkte Datenübertragung vor, wie zum Beispiel bei Social Plugins erfolgt. Der Kunde kann vielmehr konkret absehen, welche Daten vom Unternehmen abgefragt und zu welchem Zweck (Kontaktaufnahme und Bearbeitung des Anliegens) diese verarbeitet werden. Die Interessenabwägung fällt folglich zugunsten des Website-Betreibers aus.

Die Datenerhebung und –verarbeitung durch Kontaktformulare ist nach Auffassung des Verfassers gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gerechtfertigt. Eine Einwilligung des Nutzers in die Datenerhebung und –verarbeitung ist nicht erforderlich.

Um auf Nummer sicher zu gehen, würde ich trotzdem immer einen Einwilligungspassus unter das Kontaktformular mit Verlinkung zur Datenschutzerklärung setzen.

Achtung: Dies rechtfertigt nur die Datenerhebung und -verarbeitung, die unmittelbar zum Zwecke der Bearbeitung des Kundenanliegens erforderlich sind. Eine Speicherung oder Weitergabe der Daten zu anderen Zwecken kann dadurch nicht gerechtfertigt werden.

Weiterhin sollten in Kontaktformularen nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind, um die Anfrage zu beantworten. Diese zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Website-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.

Formulare auf der Website müssen verschlüsselt sein (am besten mit einer TLS-Verschlüsselung), damit dort eingegebene Daten nicht abgegriffen werden können.