Bei fast allen Webseiten von Firmen und Freiberuflern sind Formulare selbstverständlich. Dabei sind es nicht nur die Kontaktformulare, sondern auch Formulare, um einen Newsletter zu bestellen. Man registriert sich mit seinen Daten für einen Download, den man danach per E-Mail erhält. Oder man hinterlässt ganz einfach einen kurzen oder längeren Kommentar. Formulare überall! Man kommuniziert digital auf Websites und Blogs meistens über Eingabefelder, einen „Absenden-Button“ und schon hat der Anbieter des Formulars mindestens die E-Mail-Adresse oder sogar noch weitere Daten des Besuchers.

Soweit, so nichts wirklich Neues. Das kennen wir schon aus den Urzeiten des Internets. Doch nach und nach kamen immer mehr Einschränkungen hinzu, die gesetzlich festgelegt wurden. Daran müssen wir uns halten. Manchmal ist auch erstaunlich, was man alles beachten muss. Selbst wenn man nur ein kleines Blog führt, auf dem ein paar Affilliate-Links (generieren Einnahmen, also schon kein privates Blog mehr!) platziert sind und man Kommentare zulässt. Jede Business-Website ist davon ebenso betroffen, wenn sie nur ein Formular, egal welcher Art, vorhält. Fangen wir mit der ersten Vorschrift an:

Datenschutzerklärung beim Bereitstellen eines Formulars

Nun gibt es das Telemediengesetz (TMG), § 13 Pflichten des Diensteanbieters und es sagt in Absatz (1) folgendes:

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Das heißt in aller Kürze für uns:
Wenn ich eine Website habe, dann muss der Besucher vor dem Absenden eines Formulars wissen, was mit den persönlichen Daten passiert.

Das heißt also, ich muss – neben einem ordentlichen Impressum – eine Datenschutzerklärung haben, die auf meine Webpräsenz zugeschnitten ist. Nun ist die Datenschutzerklärung noch für viel mehr Dinge nötig, als nur für das Formular. Auch wenn es – wie gesagt – auch nur ein ganz kleines Formular ist. Sobald Daten übertragen werden, ist es soweit. Und bei einer Website werden auch andere Daten übertragen. Hier geht es jedoch primär erstmal nur um das Formular. Alle anderen Dinge wie Speicherung von Statistikdaten zu Website-Besuchen und Social Media Buttons und so weiter, sind ebenso wichtig. Bitte erkundigen Sie sich! Ich empfehle, eine gut aufbereitete Erklärung von Rechtsanwalt Thomas Schwenke zur Datenschutzerklärung aufmerksam durchzulesen. Sogar ein Datenschutzgenerator ist dabei. Vorsichtig jedoch bei Spezialfällen, da fragen Sie bitte unbedingt den Rechtsanwalt Ihres Vertrauens.

Bereitstellung der Datenschutzerklärung

Ganz klar muss diese Datenschutzerklärung auch gut auffindbar sein. Denn wenn jemand – zurück zum Formular auf der Website – seine Daten an den Anbieter einer Website schicken möchte, muss mit einem Klick die Datenschutzerklärung zu finden sein. Verstecken gilt nicht!

Achtung, auch die Cookie-Hinweise, beispielsweise am Fuße einer Website, dürfen die Links – im sogenannten Footer – nicht überdecken. Nirgendwo nie! Wenn man diese erst weg klicken muss, dann ist das schon nicht rechtens! Prüfen Sie das unbedingt auch bei der mobilen Ansicht auf Smartphones und Tablets. Gilt für Datenschutzerklärung und Impressum!

Sicherheit für Formulare

Es gibt noch viele weitere Punkte zu beachten. Zum Beispiel in Absatz (7) sagt das TMG § 13:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass […] gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Sie“ haben Verschlüsselungsverfahren gesagt!

So wie ich das interpretiere, muss also nun jeder Diensteanbieter dafür sorgen, dass jeder – noch so winzige – Blogkommentar verschlüsselt übertragen wird. Das heißt also SSL-Zertifikate für alle! Heutzutage gibt es aber sogar immer noch Online-Shops auf unverschlüsselter Basis (Internetadresse beginnt mit http:// statt mit https://)! Da habe ich nun wirklich kein Verständnis mehr für – weder als Verbraucher noch aus der Sicht der Freiberuflerin. Aber was sollen denn alle „kleinen“ Blogbetreiber machen? Die sollten wohl ebenso umstellen auf Verschlüsselung! Sicher ist sicher! Abgesehen davon ist es heutzutage gar kein Problem mehr, an ein kostenloses SSL-Zertifikat zu kommen. Jedoch ist für manche der technische Aufwand zu hoch, eine Hürde, die Vorschriften im IT-Sicherheitsgesetz* zu befolgen. Sonst hätten doch schon viel mehr Webseiten die SSL-Verschlüsselung, oder?

Für Freiberufler und Firmen ist nun der Zeitpunkt gekommen, den IT-Spezialisten zu fragen oder selber Hand anzulegen. Machen Sie Ihre Seiten sicher. Nicht nur, weil das Gesetz uns dazu „zwingt“, sondern auch weil eine Verschlüsselung bei der Datenübertragung Sinn macht. Ein Ausspähen von Daten durch Hacker aus einer mit 256 Bit verschlüsselten Kommunikation ist nur mit gewissem technischen und finanziellen Aufwand möglich.

Cyberkriminalität vorbeugen und Datenschutzverstöße absichern

Was kann man weiterhin tun? Alle Gesetze zu befolgen, ist natürlich das Beste. Das geht aber nicht immer reibungslos und es treten auch mal ungewollte oder unerwünschte Fehler auf. Nobody is perfect. Darum sollte man sich absichern. Mittlerweile ist jedes zehnte Industrieunternehmen gegen Cyberkriminalität versichert. Firmen können sich neben der Versicherung von IT-Risiken – mit Unterstützung im Krisenfall – auch gegen eigene Datenschutzverstöße absichern. Hiscox bietet für Freiberufler und Firmen Versicherungsschutz mit 20 Jahren IT-Erfahrung. Vom ersten Formular auf dem Corporate Blog – bis zum Onlineshop.

Infografik NET IT und IT Freelancer by HISCOXWeitere Informationen zu Versicherungen bei Hiscox:

* Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt.

Dieser Artikel beinhaltet keine Rechtsberatung. Die Autorin übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen die Verfasserin, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich im weitest zulässigen Rahmen ausgeschlossen.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.