Formulare und Cookie-Hinweise auf Webseiten: Was ist nach der neuen DSVGO zu beachten?

Titelbild zeigt einen Keks, der Krümel auffrisst. Headline im Bild: Cookies, Formulare und die DSGVO, (c) Matthias Dörzbacher

Viele Unternehmen sind mit Blick auf die kürzlich in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) spürbar verunsichert. Brauchen Seitenbetreiber überhaupt einen Cookie-Hinweis? Was genau muss der Text für die Cookie-Warnung beinhalten? Ist der Cookie-Hinweis an eine bestimmte Form gebunden? Was genau ist bei Formularen zu beachten? Welche Hinweise müssen in der Datenschutzerklärung stehen? …

Fragen, wie sie auch uns zuletzt häufig gestellt werden. Grund genug also, uns nach unserem Blogeitrag DSGVO: Neue Regeln. Neue Pflichten. Hohe Strafen erneut mit dem Thema DSGVO zu beschäftigen.

Heute soll es dabei ganz konkret um die Unsicherheiten rund um die Punkte Formulare und Cookie-Hinweise gehen. Vielleicht können wir auf diesem Weg ja schon ein paar Verunsicherungen entschärfen und die eine oder andere Frage beantworten.

Die DSVGO-Vorgaben hinsichtlich Transparenz, Dokumentation und Einholung der Einverständniserklärungen von Nutzern sind sehr streng.

Vor der Erarbeitung Ihrer Einverständniserklärungen / Cookie-Hinweise und Formulare für Ihre Benutzer sollten Sie zunächst prüfen, ob die zu bearbeitenden personengebundenen Daten dem Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung entsprechen.

Kontaktformulare, Newsletter
und der Datenschutz

Bisher haben Unternehmen Kontaktformulare gerne dazu genutzt, möglichst viele Informationen von Ihren Kunden abzufragen. Und sicher haben sich diese gelegentlich gefragt, ob wirklich alle Daten auch tatsächlich erforderlich sind. Nach der DSGVO ist das so ohne weiteres nicht mehr zulässig. Sie als Websitebetreiber sollten immer folgende Grundsätze in Bezug auf Ihre Kontaktformulare im Auge behalten:

1) Datenminimierung und Zweckbindung

Bevor Sie ein Formular erstellen, lohnt der Blick auf DSGVO Art. 5 Abs. 1 lit. b und c, wo die Grundsätze der personenbezogenen Datenerhebung beschrieben werden. Für die Formulargestaltung und Umsetzung besonders relevant ist der Hinweis, dass die persönlichen Daten nur »für festgelegte, eindeutige und legitime Zwecke erhoben werden« (Zweckbindung) sowie »dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt« sind (Datenminimierung).

Die für den jeweiligen Verwendungszweck erforderlichen Felder, sind in diesem Zusammenhang als Pflichtfelder zu kennzeichnen.
Für eine Newsletter-Anmeldung zum Beispiel ist in der Regel nur die E-Mail-Adresse des Newsletter-Bestellers erforderlich. Die Erhebung zusätzlicher persönlicher Daten wie Name, Wohnort, Geburtstag, etc. ist selten begründet und erfolgt daher allenfalls freiwillig.

Grafik zeigt zwei Formularfelder, von denen eines als Pflichtfeld gekennzeichnet ist

Achten Sie in allen Fällen darauf, dass Sie einen Einwilligungsnachweis des Nutzers/Kunden jederzeit vorweisen können (siehe hierzu auch den nächsten Abschnitt zum Datenschutzhinweis).
Um all dies rechtlich sicher zu gewährleisten, ist das Double opt-in das einzige Verfahren, das seit dem 25. Mai 2018 noch rechtssicher ist.

2) Datenschutzhinweis

Bei Kontaktformularen und Newslettern bedarf die Erhebung und Verarbeitung personenbezogener Daten grundsätzlich immer der Einwilligung des Betroffenen. Zu jedem Kontaktformular gehört deshalb immer auch der Verweis auf Ihren Datenschutzhinweis. Gemäß Artikel 7 DSGVO müssen Ihre Nutzer in klar verständlicher Sprache über Art, Zweck und Umfang Ihrer Datenerhebung und die Nutzung der personenbezogenen Daten informieren.
Dazu gehört übrigens auch der verständlich und klar formulierte Hinweis auf das Widerrufsrecht. Eine einmal gegebene Einwilligung ist keine für immer gültige Einwilligung, sondern sie kann vom Nutzer jederzeit widerrufen werden.

3) Verschlüsseln von Kontaktformularen

Ihre Website sollte nur durch ein gesichertes Übertragungsprotokoll https erreichbar sein und ein gültiges SSL-Zertifikat besitzen (SSL ist die Abkürzung für Secure Socket Layer).
Uns fällt immer wieder auf, dass viele Websitebetreiber dem noch nicht nachgekommen sind.

Zwei Grafiken. Die linke Grafik zeigt eine generische Webadresse, die unter eine Lupe genommen wird. Die rechte Grafik zeigt iconografisch ein Vorhängschloss mit dem ergänzenden Text SSL-Zertifikat

Formulare müssen nach Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO generell verschlüsselt sein, damit die dort eingegebenen Daten nicht von Unbefugten abgegriffen werden können.

Sind Cookie-Hinweise Pflicht?

Die rechtlich sicherste Antwort lautet:
Websitebetreiber sollten sich auf jeden Fall die Einwilligung Ihrer Nutzer einholen. Bereits beim ersten Aufruf Ihrer Seite sollte eine Einwilligungserklärung bzw. Cookie-Hinweis eingeblendet werden. Der Einwilligungstext sollte sehr konkret ausdrücken, von welchen Daten gesprochen wird, wozu diese genutzt werden und ob die Daten an Dritte weitergegeben werden. Der Nutzer muss den Einwilligungstext auf jeden Fall mit einem Klick bestätigen können und über sein Widerspruchsrecht informiert werden.

Wenn der Einsatz von Cookies für Ihre Seite benötigt wird, weil Sie Daten erheben, reicht es also nicht mehr einen kurzen Hinweis auf Cookies zu geben. Das stillschweigende Einverständnis, stellt keine rechtskonforme Lösung dar.

Ihr Kunde sollte früh über die Zwecke der Cookies informiert werden. Wenn Sie den Cookie-Hinweis DSGVO-konform umsetzen möchten, sollten Sie Ihren Kunden fundierte Entscheidungsmöglichkeiten anbieten, damit diese sämtliche Cookies zulassen oder detaillierte Informationen abrufen können.
Das heißt: Sie geben Ihren Kunden die Möglichkeit, sämtliche Cookies einzeln zuzulassen oder detaillierte Informationen abzurufen.

Eine Möglichkeit ist, das Mitteilungsfeld zur Einverständniserklärung um eine ausklappbare Listung aller aktiven Cookies zu erweitern. So können Ihre Kunden sämtliche Cookies auf deren Herkunft, Zweck und Aktivitätsdauer prüfen und selbst entscheiden, welche Cookies sie zulassen oder ablehnen.


Bitte beachten Sie zudem, dass es neben der DSGVO auch noch eine ePrivacy-Verordnung (ePV) geben wird, die gemeinsam betrachtet werden müssen. Sie als Unternehmen sollten wissen, wie die Beziehung der Verordnungen zueinander ist. Behalten Sie daher in den nächsten Wochen und Monaten die Anpassungen, Änderungen und Updates gut im Auge, denn die ePrivacy-Verordnung wird voraussichtlich erst 2019 final formuliert und verabschiedet werden. Einen schönen Artikel zu diesem Thema finden Sie auch unter: https://www.searchsecurity.de/lernprogramm/DSGVO-vs-E-Privacy-Verordnung-Besteht-ein-Widerspruch

Und bitte denken Sie immer daran: Sie haften für den Schutz Ihrer Websitebesucher und sollten Ihnen daher eindeutige Informationen und Wahlmöglichkeiten bieten. Außerdem sollten Sie Ihren Datenschutzhinweis um einen Cookie-Passus erweitern, der Ihre Nutzer darüber informiert, wie sie das Setzen von Cookies verhindern können.