Kontaktformular und Datenschutz Grundverordnung

Warum ich Contact Form 7 nicht mehr verwendet habe, aber jetzt doch wieder einsetze!

von | 11. Januar 2017

Kontaktformulare und der Datenschutz

Bei vielen Websites sind Kontakt Seiten und entsprechende Kontaktformulare installiert. Allerdings hat sich in der Rechtsprechung wieder einiges getan, was einen dringenden Handlungsbedarf erzeugt. Die einen drohen mit einem Bußgeld und die anderen mit einer Abmahnung. Aber eins nach dem anderen.

Update: Inzwischen hat sich mit der neuen EU Datenschutz-Grundverordnung einiges verändert. Die Informationen, auf dem dieser Artikel beruhte, sind nun nicht mehr so zu interpretieren bzw. bekommen durch die DSGVO eine neue Wendung.

Verschlüsselung

In dem Beitrag „Bußgeld für Kontaktformulare ohne Verschlüsselung“ von der Website datenschutzbeauftragter-info.de wird bereits am 30.11.2015 darauf hingewiesen, das:

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Quelle: https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/

Wichtig ist eben, das jedes Kontaktformular, auch das Optin der Newsletter, personenbezogene Daten mittels der Website verschickt. Da reicht bereits die E-Mail Adresse, die verschickt wird. Überträgt also die Website diese Daten unverschlüsselt, dann verstößt dies gegen geltendes Recht und kann zu einem Bußgeld führen.

Hier ist also angesagt, endlich seine Website auf den verschlüsselten Datenaustausch (https) umzustellen. Viele Provider bieten inzwischen Zertifikate kostenlos an oder Du kannst ein kostenloses Zertifikat von LetsEncrypt einbinden. Woher Du ein SSL Zertifikat bekommst und was Automattic als Betreiber von WordPress.com damit zu tun hat, erfährst Du hier (Link). Ich kann Dich gerne dabei unterstützen, da das mit WordPress nicht ganz so einfach ist.

Nachweispflicht [Update zur EU-DSGVO]

Bei dem Newsletter Double Optin Verfahren muss man nachweisen, das diese Bestätigung erfolgt ist. Bei der Übermittlung personenbezogener Daten, muss man nachweisen können, das derjenige die Datenschutzerklärung gelesen und verstanden hat. Erstmal benötigt man also ein Feld, das vom Benutzer abgehakt werden kann und das als zwingend deklariert wird und zum Schluss, muss sich das System auch noch merken, das derjenige den Haken gesetzt hat. In der Datenschutzerklärung sollte natürlich der Passus zum Kontaktformular nicht fehlen.

Hier noch ein weiterer Artikel zum Thema von it-recht-kanzlei.de.

Es gilt übrigens auch, das man nur so viele Daten abfragt, wie unbedingt notwendig sind. Bei einem einfachen Kontaktformular sollte nur die E-Mail Adresse zwingend sein, und natürlich die Nachricht.

Mit der DSGVO wurde das ganz nochmal anders beleuchtet und viele Anwälte kommen inzwischen zu der Meinung, das eine Einwilligung (was so ein Opt-In darstellt) einem nicht dient. Dazu hier der Artikel vom Datenschutz Guru: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

Nach der allgemeinen Auffassung von Rechtsanwäten ist in diesem Fall die Rechtsgrundlage zur Erfassung der personenbezogenen Daten Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung Absatz 1 Punkt b vorvertragliche Maßnahmen.

Ein rechtssicheres Kontaktformular

Nun betrachten wir uns mal das meist verwendete Kontakt Formular Plugin von WordPress mit mehr als einer Million Installationen:

Das Plugin speichert keine Daten in der Datenbank und somit ist ein Einsatz in Deutschland nicht möglich, da der Nachweis fehlt. Als Erweiterung zu Contact Form 7 gibt es das Plugin Flamingo, das die Informationen in der Datenbank ablegt. Ich habe das nicht getestet, da mir Contact Form 7 schon nicht so gut gefallen hatte:

Da man eben nun doch keine Einwilligung benötigt, ist es gemäß DSGVO sinnvoll, die Daten eben nicht nochmal in der Datenbank zu hinterlegen. Das erschwert dann hinterher nur die Löschung, wenn es notwendig werden sollte. Allerdings sind jetzt weiterhin Hinweise zur Datenverarbeitung und den Link zur Datenschutzerklärung notwendig. Beispiele dazu liefert Dr. Schwenke auf seiner Website: https://drschwenke.de/service/kontakt/

Mögliche Plugin Alternativen

Ich habe Ninja Forms ausprobiert:

Ich finde die Bedienung deutlich angenehmer als bei Contact Form 7. In der Free Version kann ich zar nicht so viel am Layout ändern, aber ich kann sehr leicht eine Checkbox für das Thema Nachweis einbauen und die Daten werden direkt in der Datenbank abgelegt.

Nach der Aktivierung ist auch ein fertiges Kontaktformular vorhanden, auf dem man aufsetzen kann. Die Gestaltung ist jetzt seit der Version 3 noch viel einfacher geworden.

Mit der älteren Version hatte ich einige Probleme beim Design und einbinden des CSS. Diese sind wohl ausgeräumt. Hiermit ist die Erstellung eines Datenschutzkonformen Formulars einfach möglich (Link zur Datenschutzerklärung nicht vergessen). Das ganze sieht dann so aus:

Jetzt nach in Kraft treten der EU-DSGVO ohne explizite Einwilligung:

 

 

Mögliche Alternativen der Kontaktaufnahme

Als ich mich mit einer Webdesignerin unterhalten hatte, kamen wir auch auf das Thema Kontaktformular. Die Leute sind faul geworden und füllen einfach gar nicht gerne Formulare aus. Außerdem heißt es ja im Gesetzestext, das man nur die Daten anfordern darf, die zur Ausführung des Auftrags notwendig sind. Also eigentlich eh nur die E-Mail Adresse und ein Feld um was rein zu schreiben. Mal ganz ehrlich wie viele Eurer Kunden haben Euch über das Kontaktformular zum ersten Mal angesprochen. Meine Designerin sagte, das die Anzahl der Kontakte durch Umstellung auf ein Termin Plugin um den Faktor 7 höher geworden ist. Was allerdings nicht zu mehr Kunden geführt hätte.

Stelle ich mir also die Frage, ob es überhaupt sinnvoll ist, ein Kontaktformular zu haben.

Meine Antwort ist eher nein und daher hier mal ein kleiner Tipp für die Einbindung eines Mailto Buttons. Bei einem Mailto Button wird das E-Mail Programm des Benutzers aufgerufen, was auch auf jedem Smartphone oder Tablet funktioniert. Nur die, die kein E-Mail Programm auf Ihrem Desktop PC installiert haben, haben damit etwas Probleme, aber können dann die E-Mail Adresse einfach kopieren. Damit ist der Benutzer in seiner gewohnten Umgebung und man kann ihm über den Mailto Link sogar gleich das Subjekt mit liefern:

Mailto mit Thunderbird

Dazu muss ich folgendes in meinen Link einfügen:

mailto:wolfram@wolfspress.de?subject="Ich%20möchte%20Dich%20sprechen!"

Damit bist Du auch aus der Verantwortung, die Übermittlung der Daten zu verschlüsseln oder das Lesen der Datenschutzerklärung zu protokollieren. Er benutzt sein E-Mail Programm und schreibt Dir eine Nachricht.

Fazit

Ich selbst verwende für mich und meine Kunden kein Contact Form 7 mehr. Lässt sich der Einsatz eines Kontaktformulars vermeiden, rate ich eher zu der mailto Button Alternative. Auch bei Terminbuchungen kommt man zu dem selben Problem, das man personenbezogene Daten erfasst.

Ich habe jetzt für diesen Beitrag mein Kontaktformular wieder reaktiviert (Link). Inzwischen hatte ich ein kostenfreies SSL Zertifikat von Let’s Encrypt eingerichtet und somit liefert meine Seiten ihre Daten verschlüsselt aus. Inzwischen habe ich mit einem Kollegen über sein Kontaktformular gesprochen, da dieses recht komplex ist und viele Daten anfordert. Er nutzt es dafür, gleich möglichst viele Angaben über die Anforderungen und Probleme zu ermitteln. Er sagte mir, das er einen Großteil seiner Aufträge über dieses Formular generiert.

Also ein Thema viele Meinungen. Hier habe ich Euch gezeigt, was möglich ist und was Ihr im Bezug auf den Datenschutz beachten solltet. Mich würde nun interessieren, ob Euer Kontaktformular Euch neue Anfragen liefert.

Brauchst Du Unterstützung melde Dich gerne bei mir, ich begleite Dich.

Gemeinsam. Online. Wachsen