• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Schnelle Hilfe bei Datenschutzproblemen
Datenschutzkonforme online Formulare

Online-Formulare datenschutzkonform gestalten: wichtige Anforderungen für Unternehmen

Online-Formulare sind ein unverzichtbares Element moderner Websites und Onlineshops. Sie ermöglichen eine schnelle und effiziente Kommunikation zwischen Unternehmen und Kunden, sei es für Kontaktanfragen, Bestellungen oder die Anmeldung zu Newslettern. Die Erhebung personenbezogener Daten unterliegt jedoch strengen rechtlichen Vorschriften. Um Strafen zu vermeiden und das Vertrauen der Kundschaft zu stärken, sollten Unternehmen bei der Gestaltung ihrer Formulare die datenschutzrechtlichen Bestimmungen berücksichtigen.

Inhaltsverzeichnis:

Warum Datenschutz bei Online-Formularen entscheidend ist

Formulare sammeln regelmäßig personenbezogene Daten, wie Name, E-Mail-Adresse oder Geburtsdatum, die eine Identifikation der betroffenen Person ermöglichen. Speziell bei sensiblen Informationen, wie finanziellen Daten oder persönlichen Vorlieben, müssen Unternehmen besondere Vorsicht walten lassen. Laut Datenschutz-Grundverordnung (DSGVO) ist es nur erlaubt, jene Daten zu erheben, die für den vorgesehenen Zweck unbedingt nötig sind.

Die DSGVO fordert den Grundsatz der Datenminimierung. Dieser besagt, dass lediglich die Informationen abgefragt werden dürfen, die zur Erreichung des Ziels erforderlich sind. Damit wirken sich die Vorgaben sowohl auf den Aufbau als auch auf die inhaltliche Gestaltung von Formularen aus.

Neues EuGH-Urteil: Anrede und Geburtsdatum als Pflichtangaben sind oft unzulässig

In einer Entscheidung des Europäischen Gerichtshofs (EuGH) vom 25. Januar 2025 stellte der Gerichtshof fest, dass die Speicherung von Anrede und Geburtsdatum bei Einkäufen in vielen Fällen unzulässig ist, wenn diese Informationen nicht für die Bereitstellung der Dienstleistung notwendig sind. Das Urteil betraf den Onlineshop der französischen Staatsbahn SNCF, der diese Angaben beim Ticketkauf zwingend verlangte. Der EuGH entschied, dass solche Daten nur dann als Pflichtfelder gekennzeichnet werden dürfen, wenn ein zwingender Bedarf besteht.

Die SNCF rechtfertigte die Abfrage der Anrede als Höflichkeitsfloskel. Doch der Gerichtshof erklärte, dass die Verarbeitung personenbezogener Daten nur zulässig ist, wenn sie tatsächlich dem Zweck dient. Das bedeutet, dass die Anrede und das Geburtsdatum in den meisten Fällen nicht als Pflichtfelder genutzt werden dürfen. Diese Praxis verstößt gegen den in der DSGVO verankerten Grundsatz der Datenminimierung.

Das Urteil in vollständiger Fassung können Sie hier nachlesen.

Datenschutz Seminare für Einsteiger und Fortgeschrittene

Ein Mann steht an einem Whiteboard und erklärt lächelnd

Die Datenschutzexperten der KEDUA GmbH bietet für Einsteiger und Fortgeschrittene entsprechende Datenschutzseminare an.

Nicht nur gesetzliche Richtlinien, sondern auch umfangreiche branchen- und bereichsspezifische Informationen gilt es beim Thema Datenschutz zu kennen. Vom Grundlagenseminar bis hin zum tief greifenden Aufbauseminar ermöglichen wir Ihnen zahlreiches Datenschutz-Wissen.

Folgen für Unternehmen

Das Urteil betrifft nicht nur den Onlineshop der SNCF, sondern fordert alle Unternehmen im B2C-Bereich dazu auf, ihre Formularanforderungen zu überprüfen. Viele Anbieter sammeln nach wie vor unnötige Daten wie Geburtsdaten oder persönliche Vorlieben. Diese Praxis verstößt gegen die DSGVO, sofern keine zwingenden Gründe für die Erhebung vorliegen. Unternehmen haben dafür Sorge zu tragen, dass die gewonnenen Daten einen klar nachvollziehbaren Zweck erfüllen.

Datenschutzkonforme Gestaltung von Online-Formularen

Für die Umsetzung von DSGVO-konformen Formularen sollten Unternehmen die folgenden Punkte beachten:

1. Datenminimierung

Erheben Sie nur die Daten, die für den jeweiligen Zweck erforderlich sind. Ein Kontaktformular sollte beispielsweise nur den Namen, die E-Mail-Adresse und das Nachrichtenfeld enthalten. Daten wie Geburtsdatum oder Telefonnummer dürfen nur dann abgefragt werden, wenn sie wirklich notwendig sind. Alle anderen Angaben bleiben freiwillig.

2. Transparente Datenschutzhinweise

Stellen Sie sicher, dass Kunden über die Verarbeitung ihrer Daten informiert werden. Ein klarer Verweis auf die Datenschutzerklärung sollte im Formular integriert sein. Darüber hinaus müssen Kunden wissen, wie ihre Informationen genutzt werden und welche Rechte ihnen zustehen. Eine kurze, verständliche Erklärung im Formular, wie etwa „Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet“, schafft Transparenz.

3. Rechtsgrundlage der Datenverarbeitung

Die Erhebung und Verarbeitung von Daten muss in Übereinstimmung mit Art. 6 der DSGVO erfolgen. In den meisten Fällen basiert die Datenverarbeitung auf der Vertragserfüllung oder vorvertraglichen Maßnahmen. Wird ein Formular jedoch für Marketingzwecke genutzt (z. B. für den Versand eines Newsletters), ist die ausdrückliche Zustimmung des Kunden erforderlich.

4. Opt-in-Verfahren für Marketingzwecke

Die Zustimmung für Marketingzwecke, etwa zum Empfang von Newslettern, muss aktiv und bewusst erteilt werden. Es dürfen keine vorab angekreuzten Kästchen oder voreingestellten Optionen verwendet werden. Auf diese Weise wird gewährleistet, dass die Einwilligung freiwillig und informiert zustande gekommen ist.

5. Sichere Datenübertragung

Um die Sicherheit der übertragenen Daten zu gewährleisten, sollte die Übertragung aller Formulardaten ausschließlich über HTTPS (SSL-Verschlüsselung) erfolgen. Dies schützt die Informationen vor einer unbefugten Einsichtnahme oder Manipulation während der Übertragung.

Dokumentation der Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO sind Unternehmen verpflichtet, ihre Datenverarbeitungsprozesse zu dokumentieren. Ein Verzeichnis der Verarbeitungstätigkeiten sollte erstellt und regelmäßig aktualisiert werden. Es umfasst die erhobenen Daten, den jeweiligen Verarbeitungszweck sowie die angewandte Rechtsgrundlage. Das Verzeichnis dient als Nachweis für die datenschutzkonforme Verarbeitung und kann bei einer Kontrolle durch die Aufsichtsbehörden vorgelegt werden.

Betroffenenrechte gemäß der DSGVO

Die DSGVO gewährt den betroffenen Personen eine Reihe von Rechten, die auch im Zusammenhang mit Online-Formularen berücksichtigt werden müssen. Diese Rechte umfassen:

  • Recht auf Auskunft: Kunden können erfahren, welche personenbezogenen Daten über sie gespeichert sind.
  • Recht auf Berichtigung und Löschung: Kunden haben die Möglichkeit, unrichtige Daten zu korrigieren oder deren Löschung zu verlangen.
  • Recht auf Einschränkung der Verarbeitung: In bestimmten Situationen können Kunden die Verarbeitung ihrer Daten einschränken.
  • Recht auf Widerspruch: Kunden können der Verarbeitung ihrer Daten, insbesondere im Hinblick auf Direktmarketing, widersprechen.

Diese Rechte müssen den Kunden klar und transparent vermittelt werden, z. B. durch eine entsprechende Erklärung in der Datenschutzerklärung oder im Formular selbst.

Datenübermittlung an Dritte

Viele Unternehmen übermitteln die erfassten Daten an Dritte, etwa an Dienstleister für die Zahlungsabwicklung, CRM-Systeme oder Marketingplattformen. In diesen Fällen muss ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen werden, um sicherzustellen, dass die Dritten die Daten nur im Einklang mit der DSGVO verarbeiten. Dementsprechend müssen Kunden über die Weitergabe ihrer Daten und den Zweck der Übermittlung informiert werden.

Verwendung von Cookies

Viele Online-Formulare setzen Cookies ein, um die Nutzererfahrung zu verbessern und Formulardaten zu speichern. Gemäß der DSGVO müssen Unternehmen ihre Kunden klar und verständlich über den Einsatz von Cookies aufklären und deren Zustimmung einholen. Der Kunde muss zudem die Möglichkeit erhalten, seine Präferenzen hinsichtlich der Nutzung von Cookies zu verwalten.

Sicherheitsmaßnahmen bei der Verarbeitung sensibler Daten

Wenn Online-Formulare besonders sensible Daten, wie Gesundheitsdaten oder finanzielle Informationen, erfassen, gelten strengere Sicherheitsanforderungen. Unternehmen haben die Pflicht, Daten durch starke Verschlüsselungen und Zugriffsbeschränkungen zu schützen. Eine explizite Einwilligung der betroffenen Person ist in diesen Fällen erforderlich. Darüber hinaus sollten regelmäßige Sicherheitsüberprüfungen durchgeführt werden, um potenzielle Risiken zu minimieren.

Häufige Fehler bei der Gestaltung von Online-Formularen

Obwohl die DSGVO klare Vorgaben macht, treten immer noch Fehler auf, die Unternehmen bei der Gestaltung ihrer Formulare unterlaufen. Zu den häufigsten gehören:

unnötige Pflichtfelder: Die Erhebung von nicht zwingend erforderlichen Daten, wie Geburtsdatum oder Anrede, ohne einen klaren Verarbeitungszweck ist problematisch.

unzureichende Transparenz: Kunden werden nicht ausreichend darüber informiert, wie ihre Daten verarbeitet werden oder welche Rechte ihnen zustehen.

voreingestellte Einwilligungen: Checkboxen, die bereits angekreuzt sind, stellen einen Verstoß gegen die DSGVO dar. Die Einwilligung muss immer aktiv erteilt werden.

zwei Geschäftsmännerarme die sich die Hand geben
Partnerschaftliche Zusammenarbeit

Sie haben weitere Fragen oder benötigen Hilfe?

Unsere Datenschutz-Experten unterstützen Sie, geben Hilfestellung und bieten maßgeschneiderte, individuelle Lösungen für Ihr Unternehmen. Wir kümmern uns um Ihren Datenschutz – von der einfachen Beratung, bis hin zur Erstellung eines Datenschutz-Managementkonzeptes.

FAQ

ÄHNLICHE BEITRÄGE

  • LfDI-Anforderungen an Social Media für Unternehmen

    Governance und Konzept statt „Post-by-Post“ Der LfDI fordert (für Behörden, aber übertragbar) ein dokumentiertes Konzept mit Zweck, Zielgruppen, Kanälen, Verantwortlichkeiten, Monitoring, Moderations-/Löschregeln, alternativen Kommunikationswegen und […]

    Weiterlesen →

  • Datenschutz im Homeoffice

    Rechtsrahmen und Verantwortlichkeit Governance: Richtlinien, Zuständigkeiten, Nachweisführung Risikoanalyse des Datenschutzes im Homeoffice TOM im Homeoffice Datenschutz Seminare für Einsteiger und Fortgeschrittene FAQ

    Weiterlesen →

  • Microsoft 365 datenschutzkonform nutzen: ein umfassender Leitfaden

    Inhaltsverzeichnis: Datenschutzrechtliche Herausforderungen bei Microsoft 365 Microsoft 365 umfasst zahlreiche Online-Dienste, die personenbezogene Daten verarbeiten. Dabei ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Datenübermittlung in Drittländer Unklare […]

    Weiterlesen →