Formulare auf Webseiten

Formulare auf Webseiten

Webseiten erfüllen nicht nur die Möglichkeit für ein Unternehmen, einen Verein, eine Arztpraxis etc., sich ausschließlich online zu präsentieren. Sie ermöglichen es auch, den Webseiten-Betreiber möglichst einfach über die Webseite zu kontaktieren, Verträge abzuschließen oder etwas zu melden. Um dies umzusetzen, nutzen Webseiten-Betreiber auch Formulare auf Webseiten. Was es dabei aus Sicht des Datenschutzes zu beachten gibt, betrachten wir in diesem Beitrag näher.

Formulare aus Sicht des Webseiten-Besuchers

Besucht eine betroffene Person eine Webseite, gibt es verschiedene Varianten, wie sie Formulare auf einer Webseite nutzen kann.

Kontaktformular

Am bekanntesten dabei ist wahrscheinlich das oftmals das Formular, was wohl oftmals als Kontaktformular bekannt ist. Es ist stilistisch dem Webseiten-Layout und -Design angepasst. Der Besucher trägt die gefragten Informationen ein und sendet sie an den Webseiten-Betreiber direkt über die Webseite.

Interaktives Formular zum Ausfüllen auf der Webseite

Dieses Formular öffnet ein Webseiten-Besucher beispielsweise über einen Link und füllt es dann aus. Anschließend kann sie es direkt über die Webseite an den Adressaten – also den Webseiten-Betreiber – senden oder auch auf dem eigenen Gerät speichern.

Formular zum Herunterladen

Eine weitere Möglichkeit, die als wahrscheinlich die umständlichste Variante angesehen werden kann, ist die Bereitstellung eines Dokumentes. Wünscht eine betroffene Person, dies auszufüllen, lädt sie es sich herunter – beispielsweise um es dann auszudrucken und per Hand auszufüllen oder mithilfe eines dafür vorgesehenen Programmes. Anschließend kann sie es dann postalisch, per E-Mail oder wie auch immer an den Webseiten-Betreiber ausgefüllt senden.

Inwiefern ist hier der Datenschutz wichtig?

Bei Formularen jeglicher Art ist es wahrscheinlich, dass der Webseiten-Betreiber bei der Eingabe oder Übermittlung der Informationen personenbezogene Daten verarbeitet. Die Verarbeitung dabei kann auf verschiedene Weisen stattfinden:

1) Auch hier besteht die Möglichkeit, Cookies einzusetzen. Hilfreich können Sie sein, um den Fortschritt festzuhalten, falls der Webseiten-Besucher das Fenster ohne Absenden schließt.

2) Während der Eingabe an sich werden die ggf. Daten – selbst, wenn das Dokument letztendlich eventuell nicht abgeschickt wird – auf den Servern des Webseiten-Betreibers oder seines Dienstleisters zwischengespeichert.

3) Beim Versand der im Formular eingegebenen personenbezogenen Daten kommt es zur Verarbeitung dieser. Im Zuge des Versandes werden die Daten möglicherweise zusätzlich in eine E-Mail an den Webseiten-Betreiber umgewandelt.

Einbindung externer Dienstleister

Je nach Aufbau der Webseite entscheidet ein Webseiten-Betreiber oder dessen -Designer eventuell externe Dienstleister einzusetzen. Dabei besteht die Möglichkeit, dass diese Dienstleister personenbezogene Daten verarbeiten. Demnach ist es wichtig, einen Vertrag abzuschließen, der die Verarbeitung der personenbezogenen Daten entsprechend regelt. Verarbeitet der Dienstleister die Daten ausschließlich im Auftrag des Auftraggebers (Webseiten-Betreiber oder -Designer – je nachdem, zwischen welchen Parteien der relevante Dienstleistungsvertrag abgeschlossen wurde), ist es notwendig, einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen.

Standort etwaiger Dienstleister

Beim Einsatz von Dienstleistern, die eventuell bei der technischen Realisierung von Formularen auf Webseiten helfen, ist es natürlich auch hier wichtig, zu betrachten, wo sich der Standort des Dienstleisters befindet. Eine der wichtigen Fragen dabei ist, ob personenbezogene Daten in der EU, dem EWR oder in einem unsicheren Drittland (z. B. China, USA, Australien) verarbeitet werden. Dabei muss der Verantwortliche die Frage stellen, ob der Anbieter Server in einem Land, welches eine der Vorgaben nach Artt. 4447 DSGVO einhält, besitzt. Ist dies nicht der Fall, muss er entweder entsprechende Maßnahmen ergreifen, um einen Zugriff aus solch einem Land zu unterbinden oder er kann den Dienstleister nicht einsetzen.

Hierbei erinnern wir übrigens an das EuGH-Urteil vom 16.07.2020, in dem es das EU-US-Privacy Shield für ungültig erklärte. – Mehr zu diesem Thema können Sie hier lesen. –

Rechtsgrundlagen

Wichtig ist auch, zu beachten, dass personenbezogene Daten ausschließlich verarbeitet werden dürfen, wenn es eine Rechtsgrundlage dafür gibt. Um diese Frage zu beantworten, hilft es zu betrachten, weshalb der Verantwortliche das Formular einsetzt. Beruht der Einsatz beispielsweise auf seinem berechtigten Interesse (Art. 6 Abs. 1 lit. f) DSGVO), dient es der Anbahnung und des Abschlusses eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO), benötigt er hierfür die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) oder ist eine andere Rechtsgrundlage zutreffend?

– Wenn Sie mehr zum Thema der Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten erfahren möchten, können Sie gern diesen Beitrag lesen. –

Datenschutzinformation

Auch in der Datenschutzinformation dürfen die Erläuterungen zur Verarbeitung personenbezogener Daten im Zuge der Nutzung eines Formulars auf der Webseite nicht fehlen. Der Verantwortliche muss die Webseiten-Besucher also auch diesbezüglich darüber informieren, inwiefern ihre Daten zu welchen Zwecken für wie lange mithilfe welcher externen Parteien aufgrund welcher Rechtsgrundlage verarbeitet. – Mehr zum notwendigen Inhalt einer Datenschutzinformation können Sie hier erfahren. –

Weitere relevante Dokumentation

Zusätzlich ist die Verarbeitung personenbezogener Daten bei Einsatz von Formularen auf der Webseite im Verzeichnis von Verarbeitungstätigkeiten zu vermerken. Auch muss es Richtlinien geben, bspw. an wen eine E-Mail, die aus einem ausgefüllten Formular generiert worden ist, intern weiterzuleiten ist, für den Fall, solche E-Mails gehen beispielsweise an ein allgemeines Postfach. Dies umfasst auch Prozesse zur Meldung eines eventuellen Datenschutzvorfalls ein, um die 72-Stunden-Frist einzuhalten (Art. 33 Abs. 1 DSGVO).

Des Weiteren muss auch geregelt sein, wo die personenbezogenen Daten, die durch das Ausfüllen von Online-Formularen erhoben werden, gespeichert werden. Dies ist schließlich wichtig, um dem Wunsch einer betroffenen Person, die von ihren Recht nach Artt. 1522 DSGVO Gebrauch macht, entsprechen nachzukommen.

Auch ist es sehr wichtig, technische und organisatorische Maßnahmen zu implementieren, um u. a. einen unbefugten Zugriff oder einen Verlust der Daten zu vermeiden. Dabei ist es auch wichtig, den Code für das Online-Formular ordnungsgemäß einzubauen, um sicherzustellen, dass ein Cyber-Krimineller diesen nicht zu seinen Gunsten ändern kann. Hierbei kann auch ein Berechtigungskonzept helfen, um sicherzustellen, dass nicht jeder Beschäftigte Änderungen an der Webseite vornehmen kann.

Die aufgezählte notwendige Dokumentation ist bei Weitem nicht vollständig, bietet aber erste Ansätze dafür, was zu beachten ist.

Fazit

Es kann sich als sehr nützlich erweisen, es auf der Webseite zu ermöglichen, Formulare online auszufüllen und versenden zu können oder allgemein mit dem Webseiten-Betreiber darüber Kontakt aufzunehmen. Dabei ist es aber dennoch wichtig, die DSGVO zu beachten und ihre Vorgaben umzusetzen. Gern unterstützen und beraten wir Sie dabei. Kontaktieren Sie uns dazu noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.