1. September 2017    Datenschutz-Grundverordnung 2018 :  Kontaktformulare und Verschlüsselung

Kontaktformulare

Ende Mai 2018 wird die Europäische Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten geltendes Recht. Dies betrifft auch die Datenerhebung durch Kontaktformulare.

Websitebetreiber, die in Kontaktformularen bestimmte Daten ihrer Kunden wie Namen, Email oder Telefonnummer abfragen, erheben personenbezogene Daten. Bereits die aktuelle Rechtslage schreibt  mit  § 13 Abs. 1 Telemediengesetz (TMG) vor, dass Besucher der Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und die Verwendung personenbezogener Daten, über die Verarbeitung der Daten, in allgemein verständlicher Form unterrichtet werden müssen.

Die neue Vorschrift des Art. 6 Abs. 1 Unterabsatz 1 lit. f) DSGVO ermöglicht zwar die Datenverarbeitung ohne Einwilligung der Besucher der Website, wenn eine ausführliche Interessenabwägung zugunsten des Webseitenbetreiber ausfällt. Die Verarbeitung personenbezogener Daten ist demnach erlaubt, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Wer sicher sein will künftig im Einklang mit den Gesetzen zu handeln, der sollte bei Verwendung eines Kontaktformulars zuvor die Zustimmung des Kunden zur Datenverarbeitung einholen. Dies kann durch Verwendung einer Datenschutzerklärung geschehen, die ausführlich über die Datenerhebung und -verarbeitung informiert, und den Kriterien von Art. 13 Abs. 1 DSGVO genügt. Am besten hat der Kunde durch Verwendung einer Opt-In-Checkbox seine Zustimmung erteilt. Ferner muss der Seitenbetreiber die technische Protokollierung, die jederzeitige Abrufbarkeit und die Widerruflichkeit der Einwilligung sicherstellen.

Verschlüsselung

Bereits nach jetziger Rechtslage müssen Daten, die in Kontaktformularen erhoben werden, gemäß § 9 BDSG verschlüsselt werden. Auch Art. 5 lit f. DSGVO schreibt bei der Verarbeitung von Daten den sogenannten Grundsatz der Integrität und Vertraulichkeit vor. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Der Grundsatz der Integrität und Vertraulichkeit (Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b DSGVO) gibt einen Maßnahmenkatalog vor, womit Gefahren für Daten durch Dritte abgewehrt werden: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Art. 32 Abs. 1 Satz 1 Hs. 2 DSGVO nennt bereits konkrete Maßnahmen, die die Datensicherheit sicherstellen sollen: Dazu gehören die Pseudonymisierung und Verschlüsselung personenbezogener Daten, sowie die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Daraus folgt: Das Gesetz erachtet die Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Dementsprechend müssen Formulare im Online-Shop verschlüsselt sein, damit dort eingegebene Daten nicht abgegriffen werden können.

Gerne beraten wir Sie zu den Pflichten Ihres Unternehmens. Auch können Sie uns zum externen Datenschutzbeauftragen Ihres Unternehmens bestellen. Schreiben Sie uns eine Email.

weiterführende Links:

Wortlaut der EU-DSGVO (ABl.  L  119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) : Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 

Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung : BT-Drucksache 18/11325 vom 24. Februar 2017