Visforms und die Datenschutz Grundverordung DSGVO
Am 25.5.2018 ist die Datenschutzgrundverordnung DSGVO in Kraft getreten. Insbesondere bei Webseitenbetreibern hat dies zu einer erheblichen Verunsicherung darüber geführt, welchen Einfluss dies auf den Betrieb der eigenen Webseite insgesamt und die Verwendung von Formularen im Besonderen hat. Die immer wieder geäußerte Vermutung, dass es aufgrund der DSGVO einfacher sei, auf der eigenen Webseite überhaupt keine Formulare mehr zu verwenden, ist jedoch unserer nach Meinung falsch und resultiert aus Halbwahrheiten und Unwissen.
Bei jeder Webseitennutzung werden persönliche Daten erhoben, die der DSGVO unterliegen
Die Begriffsbestimmung der DSGVO ist so weit gefasst, dass praktisch jede Information die an eine Webseite übermittelt wird, als persönliche Daten interpretiert werden muss. In diesem Sinne werden bei jeder Nutzung einer Webseite - auch wenn diese nur angesehen wird - persönliche Daten übermittelt und z.B. in Server Log Dateien gespeichert und es müssen die Bestimmungen der Verordnung eingehalten werden. Inbesondere benötigt also jede Webseite eine Datenschutzerklärung, die auf die konkrete Implementierung Ihrer Webseite abgestimmt ist, mit den in der Verordnung festgelegten umfangreichen Pflichtangaben. Die Verwendung von Formularen auf der Webseite stellt nur einen graduellen Unterschied dar und erfordert nicht prinzipiell andere oder zusätzliche Maßnahmen um die Webseite DSGVO konform zu gestalten.
Dreh- und Angelpunkt der DSGVO ist es nicht die Erhebung persönlicher Daten zu verhindern, sondern sicherzustellen, dass nicht wahrlos und ohne Wissen und Zustimmung der betroffenen Person persönliche Daten gesammelt, gespeichert, verknüpft und im Sinne eines Profilings gezielt ausgewertet werden, sondern dass der Anwender weiß, welche Daten erhoben und gespeichert werden, wie diese verwendet werden und dass persönliche Daten in einer angemessenen Art und Weise geschützt werden, d.h. je sensibler die Daten, desto höher sind die Anforderungen an ihren Schutz. Darüber hinaus stehen dem Anwender Rechte zu hinsichtlich der Löschung und Berichtigung seiner Daten.
Unverschlüsselter Versand von Formulardaten per E-Mail
Insbesondere die Frage, ob ein unverschlüsselter Versand von Formulardaten per E-Mail überhaupt noch erlaubt sei, bereitet vielen Webseitenbetreibern kopfzerbrechen. Die DSGVO spricht von einem der Sensibilität der persönlichen Daten angemessenen Schutz durch Maßnahmen die dem Stand der Technik entsprechen. Verschlüsselung von E-Mail entspricht sicher zum aktuellen Zeitpunkt nicht dem Stand der Technik, denn ein Standardbenutzer ist nicht in der Lage eine an ihn gerichtete verschlüsselte E-Mails zu lesen. Zwar mag es den ein oder anderen Sonderfall geben, in dem mit dem Formular erhobene Daten wirklich so sensibel sind, dass diese nicht mit einer unverschlüsselten Mail verschickt werden sollten, aber dies betrifft wirklich nur Ausnahmefälle (und Visforms bietet Ihnen dann Alternativen). Stattdessen halten wir es für eine sinnvolle Lösung in der Datenschutzerklärung explizit darauf hinzuweisen, dass aus Gründen der Praktikabilität und Schnelligkeit der Austausch von Daten und Informationen per unverschlüsselter E-Mail erfolgt. Selbst viele Anwaltskanzleien, die sicherlich relativ sensible persönliche Daten handhaben, halten dies für ausreichend.
Die Datenschutzerklärung
Der wichtigste Schritt, um Ihre Webseite DSGVO konform zu gestalten ist es, eine sachlich richtige Datenschutzerklärung zu erstellen. Dies ist nur möglich, indem Sie analysieren, welche Daten auf Ihrer Webseite erhoben werden und wie diese gegebenenfalls gespeichert und verarbeitet werden. Im Hinblick auf ein Formular auf Ihrer Webseite stellen sich also z.B. folgende Fragen. Welche Daten werden erhoben? Wie werden die übermittelten Daten dem Webseitenbetreiber zur Verfügung gestellt? Wie wird der Benutzer informiert? Werden Daten gespeichert und wenn ja wie lange? Diese Informationen müssen Sie dem Anwender in Ihrer Datenschutzerklärung geben, wobei Visforms Ihnen hier zahlreiche Varianten bietet um diesen Prozess auszugestalten, die auch den Schutz sensibler persönlicher Daten ermöglichen.
Weiterhin müssen Sie prüfen, ob Sie Visforms so konfiguriert haben, dass es evtl. zur Weitergabe von Daten kommen kann, wenn der Benutzer das Formular ausfüllt. Schauen Sie sich hierzu den Abschnitt "Wann kann es bei der Verwendung von Visforms zur Datenweitergabe kommen?" weiter unten auf dieser Seite an.
Nachdem Sie ein sachlich richtige Datenschutzerklärung erstellt haben müssen Sie noch sicherstellen, dass der Benutzer diese auch akzeptiert, bevor er das Formular absenden kann. Schauen Sie sich hierzu den Abschnitt "Link auf Datenschutzerklärung und Bestätigung dass Datenschutzerklärung akzeptiert ist" an.
Das Formular
Link auf Datenschutzerklärung und Bestätigung dass Datenschutzerklärung akzeptiert ist
Dies kann beispielsweise mit Hilfe eines Feldes vom Typ "Checkbox" einfach realisiert werden. Legen Sie ein Feld vom Typ Checkbox an. Feldlabel ist z.B. "Datenschutzhinweis zur Kenntnis genommen". Machen Sie das Feld zu Pflichtfeld. Vergeben Sie als "Wert" das Wort "ja" und stellen Sie sicher, dass die Option "Checked" nicht angehakt ist. Geben Sie in der Feldkonfiguration auf dem Reiter "Erweitert" bei "Benutzerdefinierter Text" einen kurzen erklärenden Text ein, z.B. "Die Speicherung und Weiterverarbeitung Ihrer vorstehend erhobenen personenbezogenen Daten erfolgt gemäß unserer Datenschutzerklärung", wobei Sie auf das Wort "Datenschutzerklärung" einen Link legen, der auf Ihre Datenschutzerklärung verweist. Setzen Sie die Option "Position Benutzerdefinierter Text" auf "Über dem Label".
Hat der Benutzer die entsprechende Checkbox im Formular nicht aktiviert, kann er das Formular nicht absenden.
Speichern Sie die übermittelten Daten in der Datenbank, so wird automatisch auch die Benutzerselektion der Checkbox (die ja immer "ja" sein muss) gespeichert. Sie haben auch die Möglichkeit die Benutzereingabe dieses Feldes in den Mails, die von Visforms verschickt werden können, mit einzufügen.
Verifizieren, dass eingegebene E-Mail Adresse existiert
Visforms erlaubt es Ihnen zu überprüfen, ob die E-Mail Adresse, die der Benutzer im Formular eingegeben hat, tatsächlich existiert, indem ein Verfizierungscode erzeugt, dieser an die angegebene E-Mail Adresse geschickt und überprüft wird, ob der Benutzer den Code im Formular korrekt eingegeben hat.
Nachdem das Formular abgeschickt wurde
Die mit dem Formular übertragenen Daten (Anfragen, Bestellungen, Buchungen....) müssen Ihnen in irgend einer Form zugänglich gemacht werden, damit Sie diese weiter bearbeiten können. Mit Visforms haben Sie hier zwei Optionen. Sie können die Daten (vollständig oder teilweise) per Mail versenden und/oder in der Datenbank speichern und dann berechtigten Personen für die Weiterbearbeitung zugänglich machen.Individuelle E-Mail Konfiguration
Die DSGVO spricht von einem der Sensibilität der persönlichen Daten angemessenen Schutz durch Maßnahmen die dem Stand der Technik entsprechen. Verschlüsselung von E-Mail entspricht sicher zum aktuellen Zeitpunkt nicht dem Stand der Technik, da ein Standardbenutzer nicht in der Lage eine an ihn gerichtete verschlüsselte E-Mails zu lesen. Ob die Daten, die Sie mit Ihrem Formular erheben so sensibel sind, dass sie nicht per Mail verschickt werden sollten, oder ob ein Teil der Daten nicht per Mail verschickt werden sollten, müssen Sie selbst entscheiden. Alle Optionen lassen sich mit Visforms realisieren.
- Sie können individuell festlegen ob überhaupt eine Bestätigungsmail und/oder ein Benutzermail verschickt werden soll.
- Sie können vollkommen individuell gestalten, welche Inhalte mit welcher Mail verschickt werden.
- Sie können alle Texte individuell gestalten und für alle mit dem Formular übermittelten Daten individuell festlegen, ob diese mit der Mail verschickt werden sollen.
D.h. von einer vollkommen anonymisierten Mail an sich selbst, die Sie nur darauf hinweißt, dass ein Benutzer das Formular verschickt hat, über eine Mail, die unter datenschutzrechtlichen Gesichtspunkten wenig sensible, für Sie aber wichtige Daten (den Anfragetext) enthält bis hin zu einer Mail die alle Daten, die mit dem Formular übermittelt enthält, ist alles möglich.
Individuelle Gestaltung es Ergebnistext
Visforms bietet Ihnen die Möglichkeit den Ergebnistext, der dem Benutzer auf der Webseite angezeigt wird, nachdem das Formular erfolgreich verschickt wurde, individuell zu gestalten und dort auch die Benutzereingaben im Formular zu verwenden. Anstatt dem Benutzer die übermittelten Daten per Mail zu schicken, können Sie dieses Feature nutzen, dem Benutzer noch einmal eine Übersicht über die von ihm übermittelten Daten zu geben, ohne dass diese den Rahmen der Webseite verlassen.
Daten in der Datenbank speichern
Übermittelten Daten können für die Weiterbearbeitung auch in der Datenbank gespeichert werden. Visforms bietet Ihnen viele Möglichkeiten dies in einer Art und Weise zu tun, die mit der DSGVO konform ist.
- Speichern der IP Adresse kann wahlweise an-/abgeschaltet werden
- Daten können geändert werden (Recht auf Berichtigung)
- Zugriff auf Daten kann über Joomla! ACL auf berechtigte Personengruppe begrenzt werden
- Daten können selektiv im Frontend angezeigt werden, z.B. wenn Sie der berechtigten Person keinen Zugriff auf die Administration der Webseite geben wollen oder können. Der Zugriff auf die Datenansicht im Frontend kann über Joomla! ACL auf berechtigte Personen begrenzt werden. Für jedes Feld kann individuell entschieden werden, ob es angezeigt wird oder nicht
- Daten können manuell gelöscht werden
- Daten können automatisch nach einer selbst festgelegten Zeitspanne gelöscht werden
- Bei automatisiertem Löschen kann zusätzlich ein Logfile geschrieben werden, dass die ID des gelöschten Datensatzes enthält
- Jeder Datensatz hat eine eigene ID, auf die z.B. in Mails Bezug genommen werden kann. Z.B. auch um später nachzuweisen, dass der entsprechende Datensatz gelöscht wurde.
- Individuell konfigurierbarer CSV-Export, auch einzelner Datensätze. Kann z.B. bei Auskunftsnachfrage verwendet werden.
Wann kann es bei der Verwendung von Visforms zur Datenweitergabe kommen?
Visforms Spamschutz Plugin
Visforms enthält ein Spamschutz Plugin, das prüft, ob das Formular potentiell von einem Spambot ausgefüllt wurde und das standardmäßig aktiviert ist. Für die Überprüfung wird die IP-Adresse von der aus das Formular versandt wird und (wenn vorhanden) die E-Mail Adresse des Formularbenutzers gegen in der Formularkonfiguration ausgewählten Spambotdaten geprüft. Hierzu wird die IP sowie die E-Mail Adresse an den jeweiligen Anbieter. der Online Spambot Datenbank übermittelt. Standarsmäßig ist die Überprüfung gegen die Datenbanken folgender Anbieter aktiviert.
- stopforumspam.com
- spamCop.net
- sorbs.net
Weiterhin können Sie die Überprüfung gegen die Datenbank des Anbieter projecthoneypot.org aktivieren.
Die Nutzung der Daten beim Anbieter erfolgt gemäß deren jeweiligen Datenschutzbestimmungen, die nach unserem Wissen aktuell unter folgenden Url verfügbar sind: https://stopforumspam.com/privacy, https://www.spamcop.net/fom-serve/cache/168.html, http://www.projecthoneypot.org/privacy_policy.php und http://www.sorbs.net/.
Google Dienste
Wenn Sie innerhalb von Visforms Google-Dienste Verwenden, kann es zu einer Datenweitergabe an Google kommen, die Sie in Ihrer Datenschutzerklärung abhandeln müssen. Solche Dienste sind:
- Das Google Recaptcha Plugin: Wird verwendet, wenn Sie im Formular das Google Recaptcha aktiviert haben
- Die Google Maps API: Wird verwendet, wenn Sie im Formular ein Feld vom Typ Standort/Karte haben
Manche Anwender bauen Google Analytics manuell in den Prozess des Versenden eines Visforms Formulars ein. Auch in diesem Fall erfolgt eine Datenweitergabe, die in einem entsprechenden Abschnitt in der Datenschutzerklärung abgehandelt werden muss.
Geplante zusätzliche Feature
- PDF-Generator, der es ermöglicht PDF's über die Webseite zu erstellen und herunterzuladen (auf SSL-Verschlüsselten Webseiten dann automatisch verschlüsselt und geschützt.) Wer was sehen und machen darf wird über ACL geregelt.
Einige der hier angeführten Feature sind nur in der Visforms Subscription enthalten.