Viele Websites bieten ein Kontaktformular an, um die Kommunikation mit den Besuchern zu erleichtern oder um Nachrichten strukturierter und zielgerichteter zu erhalten. Wie viele Daten dürfen zwingend abgefragt werden? Muss der Besucher die Datenschutzerklärung bestätigen? Ja, und Kontaktformulare sorgen immer wieder für Diskussionen, weil man glaubt, schnell mit dem Datenschutz in Konflikt zu geraten. In der Praxis ist es relativ einfach, ein oder mehrere Kontaktformulare datenschutzkonform anzubieten, wenn einige Grundregeln beachtet werden.
Das allgemeine Kontaktformular
Ein Formular ist für fast alles möglich und erlaubt. Es sollte aber nur als erste Anlaufstelle gesehen werden. Es sollte nicht zu einem Killertool mutieren, in dem alle Daten der Welt abgefragt werden. Folgende Daten sollten in einem allgemeinen Formular abgefragt werden:
- E-Mail-Adresse: Nur so kann geantwortet werden.
- Nachricht: Dafür ist das Kontaktformular da.
- Name oder Pseudonym: Oft braucht man nicht den richtigen Namen einer Person. Entscheiden Sie mit gesundem Menschenverstand, ob Sie den richtigen Namen brauchen oder nicht.
- Telefonnummer: Nur wenn sinnvoll und häufig benötigt. Ansonsten als optional kennzeichnen.
Mehr Daten würde ich in einem allgemeinen Formular nicht verlangen. Die meisten Unternehmen kommen jedoch mit den oben genannten Daten aus. Ob Sie weitere allgemeine Daten benötigen, hängt von der Ausrichtung Ihrer Website oder Ihrer Tätigkeit ab.
Obligatorische und optionale Felder
Bei jeder Angabe, die Sie im Formular abfragen, sollten Sie sich überlegen, ob diese Angabe zwingend notwendig ist oder nicht. Erforderlich sind natürlich der Nachrichtentext und die E-Mail-Adresse des Absenders, damit wir antworten können. Der Name des Absenders ist oft nicht so wichtig. Auch bei allgemeinen Newslettern, die nicht an Ihre Kunden verschickt werden, muss der Name des Abonnenten nicht unbedingt bekannt sein.
Bei einem Newsletter-Abonnement frage ich nur nach der E-Mail-Adresse. Alles andere interessiert mich nicht. Wenn mir jemand etwas mitteilen will, bekomme ich eine Mail. In dieser Mail steht dann oft der Name der Person, die mir etwas mitteilen möchte. Das liegt daran, dass diese Person mir ihren Namen freiwillig gibt. Moderne Newsletter-Tools sind in der Lage eine personalisierte Mail zu versenden – auch wenn kein Name angegeben wird. z.B «Guten Tag» oder «Liebe Abonennt:innen».
Der Zweck des Formulars
Wenn Sie nur einen Zweck identifiziert haben, benötigen Sie natürlich nur ein Formular (oder gar keines). Je spezifischer ein Kontaktformular ist, desto mehr Angaben können Sie als Pflichtangaben kennzeichnen. Im Einzelfall ist zu prüfen, welche Angaben Sie nur wünschen und welche aus Ihrer Sicht unbedingt erforderlich sind. In manchen Fällen kann es sein, dass bestimmte Angaben für Sie sehr wünschenswert sind. Markieren Sie diese Felder als «optional».
Allgemeine Kontaktaufnahme: Sie wissen nicht ad hoc, warum Sie jemanden kontaktieren möchten. Möglicherweise bieten Sie Waren oder Dienstleistungen an oder stellen Informationen zur Verfügung. Die Person, die Sie anschreibt, stellt Ihnen eine Frage zu Ihrem Produkt oder hat eine Frage zu dem, was Sie sagen. Oder sie möchte Ihnen etwas anderes mitteilen.
- Kontaktaufnahme im Kundenbereich: Jemand ist Kunde bei Ihnen und hat sich in sein Kundenkonto eingeloggt. Bei Versicherungen können Kunden z.B. Aufträge erteilen, Formulare anfordern oder kündigen.
- Bitte um Rückruf: Sie telefonieren lieber, als E-Mails hin und her zu schicken? Dann bieten Sie diese Möglichkeit an und bitten den Interessenten um seine Telefonnummer und ein passendes Zeitfenster für den Rückruf.
- Feedback: Lob und Kritik.
- Die Bitte um einen Termin: Dieser Fall tritt häufig im Gesundheitsbereich, bei Beratungen oder Werkstätten auf.
- Kommentar zu einem Artikel. Unter dem Artikel oder auf journalistischen Seiten, wo Leser ihr Feedback abgeben können.
Wenn Sie mehrere Zwecke identifiziert haben, für die Sie ein Formular anbieten möchten, prüfen Sie, welche Informationen im Formular für jeden Zweck benötigt werden. Zwecke, die sich hinsichtlich der benötigten Daten sehr ähneln und auch thematisch nahe beieinander liegen, können in einem Formular zusammengefasst werden.
Hinweise zum Datenschutz
Geben Sie unter dem Formular kurz an, wofür Sie die abgefragten Daten verwenden. Verlinken Sie dann auf die Datenschutzerklärung Ihrer Website. Dies kann z.B. so aussehen und befindet sich unterhalb der Eingabefelder des Formulars und oberhalb des Absende-Buttons:
«Wir verwenden Ihre Angaben zur Beantwortung Ihrer Anfrage. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.»
Bitte beachten Sie, dass sich der Link in einem neuen Fenster öffnet. Nichts ist ärgerlicher als eine Formulareingabe, die verloren geht, weil man noch schnell einen Blick auf die Datenschutzhinweise werfen möchte.
Beispiel für einen Datenschutztext für Kontaktformulare.
«Wenn Sie uns per Kontaktformular Informationen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert und verarbeitet. Ihre Daten werden ausschließlich zweckgebunden zur Beantwortung und Bearbeitung Ihrer Anfrage verwendet. Die Datenverarbeitung erfolgt insoweit auf der Grundlage eines berechtigten Interesses. Im Falle der Betrugs- oder Missbrauchserkennung, z.B. zur Aufdeckung von Hackerangriffen, behalten wir uns vor, Ihre Verbindungsdaten kurzfristig und ausschließlich zu diesem Zweck für einen Zeitraum von nicht mehr als 30 Tagen zu speichern, sofern kein Grund für eine längere Speicherung besteht.»
Wichtig: Nur zur Kenntnis nehmen, nicht bestätigen lassen
Jetzt kommt das Wichtigste: Nehmen Sie die obigen Datenschutzhinweise nur zur Kenntnis. Verlangen Sie keine Bestätigung oder Zustimmung. Sie sollten sich nicht bestätigen lassen, dass jemand Ihre Datenschutzhinweise gelesen hat. Ob der Besucher Ihrer Website liest oder nicht, ist seine Sache und darf nicht von Ihnen vorgeschrieben werden. Eine Datenschutzerklärung ist kein Vertrag. Es ist Ihr legitimes Interesse, die Daten der Person, die Ihnen schreibt, zu verwenden, um die Anfrage zu beantworten oder zu bearbeiten.
Spam-Kontrolle
Verwenden Sie keine Google-Plugins, ausser Sie möchten Ärger mit dem Datenschutz riskieren. Jegliches Google-Plugin darf beispielsweise bei der DSGVO erst nach Einwilligung verwendet werden. Verwenden Sie statt einem Captcha ein Formular mit einem Eingabefeld, in dem das Ergebnis einer einfachen Rechenaufgabe abgefragt wird. Beispiel: Wie viel sind 17 weniger 5. Ich persönlich glaube, dass über Kontaktformulare nicht wesentlich mehr Spam hereinkommt als über direktes Abgreifen von Mailadressen aus Impressumsseiten. Gute Spamfilter helfen viel. Spam lässt sich nie ganz vermeiden.
Antwort an den Absender
Der Absender einer Nachricht erwartet in der Regel eine Antwort von Ihnen. Diese sollten Sie auch geben, wenn Sie es für sinnvoll halten. Es gibt aber auch Bösewichte. Es ist sehr einfach, eine fremde E-Mail-Adresse in ein Kontaktformular einzutragen. Entweder weil jemand böse Absichten hat oder weil sich ein Tippfehler eingeschlichen hat. Wenn Ihnen eine Nachricht merkwürdig vorkommt, antworten Sie im Zweifel nicht. Überprüfen Sie die E-Mail-Adresse. Eine Wegwerfadresse hat die geringste Glaubwürdigkeit. Auch Freemailer (gmx.com, web.de etc.) sind nicht sehr vertrauenswürdig, obwohl sie weit verbreitet sind. Am glaubwürdigsten sind Adressen von Personen oder Firmen, die über eine eigene Mail-Domain verfügen.
Recherchieren Sie bei Bedarf und Möglichkeit kurz, um die Nachricht sowie einen eventuell angegebenen Namen (in der Nachricht oder im Namensfeld) damit in Einklang zu bringen. Wenn Sie viele Zweifel haben, schreiben Sie möglichst werbefrei an den vermeintlichen Absender der Nachricht und fragen Sie, ob von dessen Mailadresse eine Nachricht über Ihr Kontaktformular abgeschickt wurde. Die vorgeschlagene Ansprache ist wichtig, um im DSGVO-Bereich den Anschein von (unerlaubter) Werbung zu vermeiden.
Weitere Vorschläge
Verwenden Sie ein eigenes Formular und keine vorgefertigten Lösungen wie beispielsweise Microsoft Forms. Angebote von Drittanbietern werfen regelmäßig rechtliche Probleme auf. Zudem stellt sich bei Firmen wie Microsoft die Frage, ob der Datentransfer mit USA-Bezug erwünscht ist.
Es kann sinnvoll sein, bei Kontaktaufnahme die IP-Adresse des Absenders zu speichern, um bei rechtlichen Problemen etwas in der Hand zu haben. Hier liegt ein berechtigter Grund vor. Ein entsprechender Passus sollte in Ihrer Datenschutzerklärung enthalten sein. Daten, die Sie über ein Kontaktformular erhalten, behandeln Sie genau so, als hätten Sie eine E-Mail mit diesen Daten erhalten. Es gibt hier keinen wesentlichen Unterschied. Benötigte Daten werden aufbewahrt, nicht mehr benötigte Daten werden nach einer gewissen Zeit gelöscht. In der Regel sollten Sie Daten nicht sofort löschen, da es sein kann, dass Ihnen jemand Ärger machen will. In diesem Fall wäre es gut, etwas in der Hand zu haben, was den Ablauf plausibel macht.
SSL-Zertifikat
Statt eines Formulars dürfen Sie auch einfach den Link zu Ihrer E-Mail-Adresse angeben. Sie müssen kein Formular anbieten. Den Link zu einer E-Mail-Adresse geben Sie wie eine normale Webadresse (URL) an, aber mit dem Text mailto:Auf der Webseite sieht das dann so aus:
Schreiben Sie mir
Wenn Sie ein CMS wie z.B. WordPress verwenden, definieren Sie einfach einen Link und verwenden mailto: gefolgt von Ihrer Mailadresse als Linkadresse. Wichtig ist, dass Sie nur dann Formulare verwenden, wenn Sie ein SSL-Zertifikat für Ihre Webseite verwenden. Ihre Website ist dann nur noch über https und nicht mehr über http erreichbar. Bei einem aktivierten SSL-Zertifikat erscheint im Browser links neben der Adresse Ihrer Website ein Schloss. Dann ist das SSL-Zertifikat vorhanden.
Zusammenfassend
- Wenn Sie keine Formulare anbieten wollen, dann bieten Sie keine an.
- Je weniger Daten Sie in einem Formular abfragen, desto weniger müssen Sie beachten. Daten, die Sie nicht haben, brauchen Sie auch nicht anzugeben. Als Stichwort sei hier nur das Auskunftsrecht der Betroffenen genannt. Daten, die Sie nicht abgefragt haben, sind für Sie zunächst unkritisch.
- Kontaktformulare sollten so wenig Daten wie möglich und so viele Daten wie nötig abfragen (Privacy by Design & Default). Für unterschiedliche Zwecke mit unterschiedlichem Datenbedarf sollten unterschiedliche Formulare angeboten werden.
- Wenn Ihnen jemand über ein Formular unbedingt weitere Daten mitteilen will, obwohl Sie im Formular oder auf der Webseite keinen Anlass dazu gegeben haben, gehen Sie mit diesen Daten genauso sorgsam um wie mit allen anderen.
- Löschen Sie im Zweifelsfall unaufgefordert zugesandte sensible Informationen und ignorieren Sie die Nachricht (oder bitten Sie um eine andere Art der Kontaktaufnahme), sofern sie keine rechtliche Relevanz hat.
Zur Beruhigung: Ein Kontaktformular allein stellt in der Regel kein Datenschutzproblem dar.