Kontaktformular DSGVO Problem
Author: Oliver P.
Visited 5341,
Followers 2,
Shared 0
Problem. Ab Mai greift die DSGVO. Damit haben wir alle mit dem Website X5 Kontaktformular ein Problem. Laut DSGVO sind wir verpflichtet über einen Bestätigungslink sicher zu stellen, dass dem Anmelder im Kontaktformular auch wirklich die angegebene Emailadresse gehört und wir müssen das Dokumentieren. Ich habe noch keine Funktion bei Evulotion 15 gefunden die man dafür einbinden kann. Ideen?
Posted on the
Naja - bloß nicht verrückt machen lassen wegen dieser DSGVO :-)
Mache doch einfach ein zusätzliches obligatorisches Eingabefeld zum ankreuzen wo der "Anmelder" seine Email bestätigt.
Author
Das langt leider nicht :-( Du musst nachweisen dass der Anmelder seine eigene Adresse angegeben hat.
Das was du meinst ist wenn sich ein User registrieren will und er ein Email bekommt auf die angegebene Adresse, damit er diese bestätigen kann und erst dann die Daten des Users gespeichert oder weiterverarbeitet werden.
Ob das bei einem normalen Kontaktformular auch zwingend nötig ist, kann ich aber nicht sagen. Denn wenn man z.B. nur den Vornamen und die Email Adresse im Formlar einfügt, glaube ich nicht, dass unbedingt die Email bestätigt werden muss um dem Webseitenbesitzer eine stinknormale Nachricht zu schicken oder eine Frage zu stellen.
Author
Leider ist das so. Da kommen schwierige Zeiten auf uns zu. Selbst wenn ein Kunde sich zu einem Newsletter einträgt oder wie in meinem Fall für einen Kusr anmeldet muss es eine automatische Email geben mit "Bitte bestätigen Sie Ihre Anmeldung" oder "geben Sie den Code ein", quasi als Autorsponder und das ist zwingend Pflicht und wird bei Nichteinhaltung mit horrenden Bußgeldern bestraft.
Du hättest doch einen Nachweis für die Richtigkeit seiner Email, wenn er deine Autoresponder-Email von der Anmeldung bestätigt? Quasi eine Anmeldung unter einer aufschiebenden Bedingung. Anmeldung seitens deines Kunden Kunden wird erst Wirksam, wenn er deine automatische Bestätigungsmail nochmals "bestätigt" hat. So hast Du den Nachweis das seine Email korrekt ist.
Was ist aber in dem Fall, dass "seine" Email um eine Geschäftsemail seines Arbeitgebers handelt? Dein Kunde ist zwar erreichbar aber es ist nicht seine Email. Ergo müsste er sich mit seiner eigenen privaten Email anmelden?
Irgendwir ist das ganze Zeugs von der Eu nicht reichtig Durchdacht aber hauptsache die nächste Sau wird durch das Dorf getrieben - als ob man keine anderen Probleme hätte!
Author
Irgendwir ist das ganze Zeugs von der Eu nicht reichtig Durchdacht aber hauptsache die nächste Sau wird durch das Dorf getrieben - als ob man keine anderen Probleme hätte!
Jungs, wir müssen uns doch nicht über die Hirnrissigkeit einer solchen Verordnung unterhalten. Ich befasse mich seit 4 Tagen fast mit nichts anderem. Ich brauche eine Lösung und nebenbeibemerkt ihr auch ;-)
Also ich habe jetzt auf die Schnelle nichts gefunden, dass eine Bestätigung der Email verlangt.
https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html
https://www.it-recht-kanzlei.de/online-kontaktformular-einwilligung.html
Author
Das Unternehmen muss im Zweifel belegen können, dass
es eine Einwilligung in die E-Mailwerbung und Kontaktierung auch wirklich von der
bewobenen Person – und nicht von einer anderen Person – erhalten hat.
Dies ist angesichts der Anonymität des Internets oft schwierig, denn
hier kann sich jeder problemlos als eine andere Person ausgeben. Das
Unternehmen muss daher die Identität der einwilligenden Person
überprüfen, bevor es mit der Kontaktaufnahme beginnt.
Dies lässt sich rechtskonform mithilfe des Double-Opt-In-Verfahrens
bewerkstelligen: Nachdem die Person auf der Website des Unternehmens
ihre E-Mailadresse eingegeben hat – z.B. um sich für einen Newsletter
anzumelden – schickt das Unternehmen der Person eine E-Mail
an die angegebene Adresse. In dieser E-Mail befindet sich ein Link auf
die Website des werbenden Unternehmens („Bestätigungslink“). Erst,
wenn die Person diesen Link betätigt, wird die E-Mailadresse endgültig
in den Werbeverteiler aufgenommen. Wird der Link innerhalb einer
festgelegten Zeit von der Person nicht betätigt, werden die Daten vom
Unternehmen gelöscht. Anhand des angeklickten Links in der Bestätigungsemail
kann das werbende Unternehmen nachweisen, dass es die
beworbene Person (oder zumindest jemand, dem der Zugriff auf das
E-Mailkonto eröffnet wurde) war, die in die Werbung eingewilligt hat.
In deinem Fall geht es um Newsletter und generell um Werbe-Emails - jedoch nicht um das "normale" Kontaktformular.
Das stimmt. Wenn man ein Newslettersystem aufbaut, dann hat man sowieso externe Programme und die haben dies schon lange eingebaut.
In WSX5 kann man im Prinzip auch das Kontaktformular für die Newsletteranmeldung "missbrauchen" und da könnte ich mir schon vorstellen, dass man dies dann nicht mehr verwenden kann.
Ich vermisse schon länger ein Widget "Newsletter" das man einbauen kann, aber derzeit ist noch keine Lösung gefunden worden.
Author
Nein, es geht nicht um Newsletteranmeldung sondern um Kursbuchung. Und nein, man hat oder braucht keine externen Programme. Ein Kontaktformular muss meines Erachtens den gesetzlichen Normen genügen. Wenn ein Kunde sich anmeldet, egal zu was muss sichergesetlt werden das das auch die Person ist. Da sehe ich derzeitig ein "Sicherheitsleck" in x5. Auch unter Umständen einen Verstoss gegen DGSV. Das kann ja kein Problem sein diese Kontaktapp nachzurüsten.
ICh gebe dir recht wenn es bei diesem OBjekt um ein "Kursanmeldeformular" geht. Da es aber ein normales Emailformular ist, das nicht nur "deutsch" spricht, sondern alle Sprachen wo WSX5 vertreten ist, kann es nicht so einfach geändert werden. Es bringt aber hier nichts, das Thema weiter zu diskutieren, denn jeder hat eine andere MEinung, deshalb kann man nur einen neuen Threat aufmachen als "IDEE" oder "Anregung" kennzeichnen (damit es die Entwickler lesen) und genauestens erklären was gewünscht wird um es in der nächsten VErsion in Betracht genommen wird.
Ein normales Kontaktformular, was dazu dient um mit einer Person oder einem Unternehmen in Kontakt zu treten, erfüllt m E. Website durch sein Kontaktformular
Hier sehe ich nicht, dass hier nachgebessert werden müsste. Was Du nun aber ansprichst sind keine Kontakranfragen sondern Geschäftsabschlüsse oder Verträge die über ein Formular zustande kommen. Hier ist sicherlich das eigentliche Kontaktformular von Website nicht geeignet. Evtl. wäre es mit dem Shopsystem von Website möglich oder Du müsstest - wie Andreas schon mitteilte - einen neuen Thread mit einer Idee aufmachen.
https://www.lpsp.de/blog/einwilligung-dsgvo-double-opt-in-verfahren
Das Einholen der Einwilligung in die Verarbeitung personenbezogener Daten stellt an sich keine Neuerung dar. Dass das Opt-Out nun ausnahmslos durch das Opt-In Verfahren ersetzt werden muss, jedoch schon. Angesichts der hohen Sanktionen sollten Sie dies auch früh genug umsetzen. Stellen Sie jetzt noch direkt auf das Double-Opt-In Verfahren um, kommen Sie Ihrer Nachweispflicht bestmöglich nach und schützen sich so vor hohen Strafzahlungen.
Nach der DSVGO ist bei jeglicher Kontaktaufnahme der betreffenden Webseite an eine natürliche Person eine Nachweispflicht der gewollten Kontaktaufnahme zu erbringen und zwar EU-weit! Andere Länder können das entspannter sehen, da dort infolge unserer weltweit einmaligen Gesetze keine Abmahn-Industrie existiert.
Es wäre deshalb angebracht auch das Kontaktformular mit dem double-opt-in Verfahren, analog wie bereits in der Zugangsverwaltung, zu versehen.
Ach Leute man kann auch in Panik verfallen.
Wenn Ihr unbedingt einen Nachweis haben wollt, dass der Nutzer seine Daten mit dem Kontaktformular übertragen will und mit der Weiterverarbeitung einverstanden ist, macht ein Obligatorisches Feld wo der Nutzer dies bestätigen muss - und fertig.
Ihr habt somit den Nachweis für die Einwilligung durch den Nutzer. Dem Nutzer könnt Ihr in seiner Bestätigungsmail zusätzlich nochmals darauf Hinweisen und evtl. einen Link einbauen, wo er der Nutzung seiner Daten (auch nachträglich) widersprechen kann.
Nein, anscheinend muss ein Feld eingebaut werden der ein Fenster aufmacht für einen Netzhautscan der dann in einer Datenbank überprüft wird ob man der ist der dieses Formular wegschickt. Das müsste doch machbar sein, oder?
Ich verwende immer den Blutscanner damit die DNA überprüft werden kann. Danach noch ein kurzer Check der Kreditkarte mit einem Alkoholtest mit dem Alkomat und schwups kann der Nutzer das Kontaktformular ausfüllen und absenden. Alle Daten werden für 100 Jahre in einem autarken Server in einem Atomsicheren Salzstollen gespeichert. Schöne beue Welt.
Author
Freunde, das wird ein Fest für Abmahnanwälte. Fakt ist das Emailfeld von WX5 ist in der EU nicht mehr Gesetzeskonform und außer ganz wenigen scheint das keinen zu stören. Versteh ich nicht :-(
Insbesondere wenn sie die Seite "Rechtliches" lesen, sofern die Domain überhaupt gefunden wird.
Guten Tag Oliver,
Die Unternehmen werden von DSGVO wie folgt betroffen:
1) Die Rechnungsangaben (und die damit verbundenen Angaben) müssen 10 Jahre lang bewahrt werden. Dafür sind die Buchhaltung- und Verwaltungsbereich verantwortlich.
2) Der Benutzer muss die Möglichkeit haben, seine eigenen Angaben zu bearbeiten oder entfernen. Das bedeutet aber nicht, dass der Benutzer das selbständig durch eine dafür gedachte grafische Benutzeroberfläche machen muss. Es ist tatsächlich genug, in der Datenschutzbestimmung mitzuteilen, dass es möglich ist, nach der Bearbeitung oder Entfernung der Angaben zu fragen, indem man die Unternehmen kontaktiert, zum Beispiel an einer eigens dafür vorgesehen E-Mail Adresse.
Hätten Sie andere Informationen gefunden, posten Sie bitte hier den Link zur Quelle, damit wir auch überprüfen können.
Danke! Mit freundlichen Grüßen.
Also mal ein kleines Praxisbeispiel für die Zeit ab dem 25.05.2018
Ein anonymer User (AU) kann Person A (vornehmlich ein Abmahnanwalt mit bekannter E-Mail Adresse) sowie FirmaXYZ nicht leiden. Besagte Firma betreibt eine Webseite mit Newsletter/Kontaktformular mit Single-Opt-In.
AU gibt E-Mail Adresse von A in Newsletter Anmeldung von XYZ ein. Person A "freut" sich über die unan-geforderte "Willkommen" E-Mail und schaut gleich mal noch vorbei, ob andere Elemente der Webseite denn wenigstens DSGVO konform sind. Für diese Tätigkeit schreibt Person A eine Kostennote an XYZ.
Dieses Vorgehen funktioniert natürlich nur, mit in Deutschland ansässigen Firmen oder Personen (laut Impressum)!
ELISA: hat mit obigen beiden Punkten Recht. Das betrifft insbesondere alle schon vorhandenen Kunden (Stammdaten). Wo es in diesem Problemfall geht sind neue unbekannte Kunden zu gewinnen z.B. für eine Newsletter Anmeldung. Meines Erachtens ist heute schon die unangeforderte Kontaktaufnahme, gleich welcher Art nicht zulässig und aus welchem Grund auch immer (z.B. Werbeanrufe mittels Telefon). Die Prozedur der "Strafverfolgung" ist im Moment nur zu umständlich und lohnt sich aufgrund der eingeschränkten Bussgeldhöhe noch nicht.
Als Übergangslösung könnte man natürlich das Kontaktformular Applet nur für registrierte Benutzer in der User Account Seite anzeigen. Die Benutzer Registrierung erfolgt ja schon nach Double-Opt-In Verfahren. Dann würde ich mir allerdings wünschen, das das Kontaktformular vorhandene Userdaten wie z.B. E-Mail Adresse schon aus der Datenbank vorbelegen kann.
Genau so muss es sein und das ist Double-Opt-In. Geht leider nicht im Applet des Kontaktformulars sondern nur in der Benutzerverwaltung von X5.
Für alle die noch eine Datenschutzerklärung nach DSVGO als Startbasis brauchen, gibt es von der Deutschen Gesellschaft für Datenschutz einen kostenlosen Generator hier:
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
@Martin P. Kannst Du bitte mal den Link bzw. Quellenangabe zur DSGVO posten wo explizit darauf hingewiesen wird, dass Kontaktformulare nach den Double opt in Verfahren ausgeführt werden müssen?
Das ist nur für Online MArketing wie Newsletter oder Anmeldungen wichtig. Für ein stinknormales Email Formular in dem man dem Empfänger eine kleine Nachricht schickt ist das nicht relevant. Denn wenn ich jetzt eine Nachricht an dich schicke und der automatische Responser schickt mir eine Retourmail mit "sind sie auch wirklich der Absender, dann klicken sie auf den LINK" und erst dann wird an den Absender das Formular geschickt, ist schlicht weg unsinnig. Außer bei Newsletter oder Anmeldungen habe ich das noch nie gesehen und gehört und in der DSVGO ist das auch sicherlich nicht enthalten. Jedenfalls nicht in so einer Form.
Gesponsert von "Wilde Beuger Solmecke GbR" mit der Maßgabe von dort mit Werbung zugemüllt zu werden. Vielen Dank, das braucht kein Mensch.
Ist so nicht ganz richtig. Auch für die gilt die DSVGO. Darfst nur die optionale Checkbox nicht markieren und bisher habe ich auch noch nichts bekommen. Der Link stammt übrigens aus der aktuellen CT von heise.de. Kannst das Formular aber auch mit Phantasienamen ausfüllen und nach dem Download dann alle Bezüge gegen den richtigen Firmennamen ersetzen.
Also ich habe einiges gefunden, sind aber eben alles von Rechtsanwälten geschrieben, die die DSVGO so interpretieren, dass alles 100% konform ist. Nach dem Lesen des 1. Links ist mir bald schlecht geworden. Dann müsste ich nämlich noch ein SSL Zertifikat für meine Domains bestellen. Da ich aber ausschließlich englische Firmen habe, warte ich aber zunächst mal ab, wie das Ganze in der Praxis abläuft. Würde ich auch jedem anderen empfehlen, wenn es in Deutschland nicht das Problem der Abmahnungen gäbe.
https://www.ts-itconsult.de/dsgvo-kontaktformular-auf-der-webseite/
https://www.lpsp.de/blog/einwilligung-dsgvo-double-opt-in-verfahren
Nachtrag:
hier ist noch der direkte Link zum Urteil.
http://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2016/I_15_U_64_15_Urteil_20160317.html
Zusammengefasst für ein normales Kontaktformular einer Vereinshomepage genügt das "Single-Opt-In" Verfahren in dem man aktiv ein Häkchen setzen muss für das Einverständniss für die Verarbeitung meiner Daten.
Wenn man einen SHOP hat zusätzlich noch ein Zertifikat für die SSL Verschlüsselung (https) erwerben.
Damit müsste man ausreichend gesichert sein (inkl. Datenschutzerklärungsseite) die man mit einem Banner bestätigen kann.
Wenn man aktiv für seinen SHOP mit Marketing und NEWSLETTER arbeitet, wo man viele personenbezogene Daten speichert, ist das Double-Opt-In Verfahren empfehlenswert zusätzlich zum https. Wobei das ja auch nur für die größeren SHOPS zwingend ist, die sowieso nicht WSX5 benutzen. Oder man bindet ein spezielles Newsletter Skript ein, dass dieses System unterstützt.
@Martn P.
Im Urteil geht es um Werbemails nicht um eine normale Anfrage über das Kontaktformular.
Bei den beiden Links geht es um Newsletter und Email-Marketing und nicht um eine normale Anfrage über das Kontaktformular.
Mit einer VPN-Verbindung funktioiert das jedenfalls nicht. Ein Schelm der da Böses denkt!?
Ich suche noch eine Textvorlage für die Zahlungsoptionen Kreditkarte, Paypal, Überweisung,....
Schau/Lies mal hier!
Und hier: https://www.kuketz-blog.de/dsgvo-muster-generatoren-sind-haeufig-datensammler/
@Martin
Kannst du erklaren wie du dein jetziges Kontaktformular auf deiner Webseite angelegt hast? Hauptsächlich den unteren Bereich. Welches Feld hast du verwendet? Wie bekomme ich den Kasten? Wie mache ich das Feld "Zustimmen" mit dem Kästchen? Wie platziere ich das Symbol neben dem Kasten? Passiert da etwas wenn der Kunde "Zustimme" ankreuzt?
Noch 2 Fragen.
Speichert eine Seite ohne Shop und nur einem Kontaktformular auch Cookies? Auf was muss ich achten wenn ich Google Maps und Google Fonts verwende?
@Siegbert
Ich habe im Kontaktformular Feldtyp "Vetragsbedingungen" ausgewählt.
Das kleine Symbol erscheint, wenn man unter Vertragsbedingungen -> Optionen -> Feldbeschreibungen, den Link zur Datenschutzerklärung eingesetzt
@Martin
kann es sein,dass sein dass du dein Kontaktformular geändert hast?
Wie hast du den Text bei Datenschutz angelegt, dass die Datenschutzerklärung verlinkt ist?
Er hat es in der Beschreibung eingefügt, denn anscheinen geht in der "Beschreibung" HTML Code was aber in den "Vertragsbedingungen" nicht funktioniert! Allerdings fehlt eben das Häkchen für das Akzeptieren der Bedingungen !
@Siegbert
ich habe das Feld "Beschreibung" verwendet und im Text die Verlinkung zur Datenschutzerklärung so eingebaut:
<a href="https://www.deineSeite.de/datenschutzseite.html">Datenschutzerklärung</a>
@Martin P. @Oliver P.
Bei einem "normalen" Kontaktformular (zur Kontaktaufnahme und nicht der Werbung) werde ich keine Bestätigung zum absenden seiner Daten einbinden. Hier sind andere Maßnahmen hinsichtlich der DSGVO wichtiger (z.B. https, Datenschutzerklärung und Möglichkeit zum Widerruf).
Ob eine Bestätigung durch eine Checkbox in einem reinen Kontaktformularnun vorgeschrieben bzw. notwendig ist, wird selbst von RA unterschiedlich bewertet
https://www.datenschutz-ist-pflicht.de/kontaktformular/
https://www.e-recht24.de/news/abmahnung/10651-abwarnung-kontaktformulare-einwilligung.html
https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Also so klar wie der Themenstarter das seither beschrieben hat, ist die Sachlage nicht und jeder kann letztendlich selbst entscheiden was er wie in das Kontaktformular einbinden will.
@Martin
Wo kann ich den Text für die Verlinkung einbauen? Ich kenne mich in HTML nicht aus.
@Martin
Jetzt hab ich es geschnallt. Der Link ersetzt das Wort Datenschutzerklärung.