DSGVO umgesetzt! Aber auch an alles gedacht?

Wahrscheinlich würde jeder zustimmen, wenn wir behaupten, dass wir alle wortwörtlich mit der DSGVO zu kämpfen hatten. Für die meisten Autohändler ist das vermutlich auch insgeheim das Unwort des Jahres. Jedoch ist das Thema Datenschutzgrundverordnung immer noch aktuell. Zwar ist die befürchtete Abmahnwelle im Rahmen der neuen Datenschutz-Grundverordnung bislang ausgeblieben, doch findige Juristen haben wieder Lücken gefunden. Derzeit erhalten Autohändler Abmahnungen wegen fehlender SSL-Zertifikate bei Kontaktformularen.

Datenschutzfalle: Unverschlüsselte E-Mails

Ein sorgloser Klick, eine unüberlegte Auskunft am Telefon, eine einfache Mail an einen Kunden – manchmal merken Mitarbeiter gar nicht, dass Sie gegen die DSGVO verstoßen. Fiese Datenschutzfallen für Autohändler, in die Ihr Team stolpern kann.

Wenn Sie eine E-Mail senden, könnten verschiedene Benutzer, z. B. der IT-Administrator im Unternehmen oder der Internetdienstanbieter, den Inhalt lesen, wenn diese das möchten. Daher wird das Senden einer normalen E-Mail mit persönlichen oder vertraulichen Informationen ohne Verschlüsselung als illegal im Sinne der DSGVO betrachtet.

Als Unternehmen erheben Werkstätten und Autohäuser in vielfältiger Weise Daten von ihren Kunden. Ein häufiges Tool dabei ist das Kontaktformular auf der Unternehmens-Webseite. Bereits bisher mussten Daten, die in Kontaktformularen erhoben wurden, verschlüsselt werden, damit sie nicht abgegriffen werden können. Daran hat sich durch die DSGVO nichts geändert. Nach dem Grundsatz der Integrität und Vertraulichkeit sind Autohäuser gut beraten, wenn sie ein verschlüsseltes Kontaktformular anbieten. Doch viele Autohändler haben noch unverschlüsselte Kontaktformulare bzw. Webseiten ohne SSL-Verschlüsselung.

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Datenschutzfalle: Kontaktformular

Häufig ist ein Kontaktformular auf Webseiten so konzipiert, dass man als Kunde eine Vielzahl von persönlichen Daten preisgeben muss, um überhaupt mit dem Autohaus in Kontakt treten zu können. Als notwendige Angaben im Kontaktformular gelten jedoch nur Name und E-Mail-Adresse des Interessenten und natürlich das Anliegen.

Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet. Daher sind bei der Erstellung eines Kontaktformulars auf der Homepage mehrere Dinge zu beachten:

Bei Kontaktformularen dürfen nur so viele personenbezogene Daten erhoben werden, wie zur Bearbeitung der jeweiligen Anfrage unbedingt notwendig sind.

Personenbezogene Daten dürfen nur für den angegebenen Zweck verwendet werden und sind nach der Erfüllung des Zwecks zu löschen.

Jede von der Datenerhebung betroffene Person muss vor der Speicherung von persönlichen Daten umfassend über Art und Umfang der Datenerhebung informiert werden.

Problematisch ist die Abfrage der Telefonnummer oder der Adresse des Interessenten. Aus Gründen der Datensparsamkeit (eines der Hauptanliegen der DSGVO) darf eine Telefonnummer nur als Pflichtfeld gekennzeichnet werden, wenn sie zur Erfüllung von Geschäftszwecken unbedingt notwendig ist. Dies dürfte bei einem einfachen Kontaktformular in der Regel nicht der Fall sein. Welche zusätzlichen Abfragen möglich und nötig sind, ist im Einzelfall unter Berücksichtigung des Zwecks des Kontaktformulars zu beurteilen.

Möchte man dennoch weitere, freiwillige Informationen vom Kunden abfragen, kennzeichnet man die notwendigen Angaben beispielsweise mit einem * und erklärt im Formular »Pflichtfelder sind mit einem * gekennzeichnet«. Dabei empfiehlt sich auch ein Hinweis zur datenschutzkonformen Verwendung der personenbezogenen Daten aus dem Kontaktformular. Weiterhin sollte das Autohaus in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren.

Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage.

Notwendigkeit einer SSL/TSL Verschlüsselung nach DSGVO

Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, sollten Autohändler ihre Unternehmens-Websiten durch eine SSL-bzw. TLS-Verschlüsselung sichern. Damit sind Daten, die über diese Website übermittelt werden, für Dritte nicht mitlesbar. Zu erkennen ist eine verschlüsselte Verbindung an der »https://« Adresszeile im Browser. Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird von verschiedenen Datenschutzbehörden empfohlen.

Derzeit verschickt ein Berliner Rechtsanwalt Forderungsschreiben an Unternehmen, in denen er nicht unerhebliche Schadensersatzansprüche geltend macht. Der Anwalt und seine Mandanten beanstanden Internetseiten mit Kontaktformularen, die personenbezogene Daten ohne SSL-Zertifikat (also nicht als „https“) transportieren. Aus Sicht des Anwalts begründet der unverschlüsselte Transport Anspruch auf Ersatz eines immateriellen Schadens (Schmerzensgeld). Dabei beruft sich der Jurist auf Art. 82 Abs. 1 DSGVO.

Fazit: Wer Formulare, Newsletter oder andere Möglichkeiten zum Eintragen persönlicher Daten anbietet, muss diese laut DSGVO jetzt verschlüsselt übertragen.  Sie dürfen ausschließlich nur personenbezogene Daten erheben, die zur Beantwortung einer Anfrage erforderlich sind.

Um Autohäusern die Kommunikation mit ihren Kunden rechtssicher und doch so einfach wie möglich zu gestalten, haben wir unser CXBox Tool WebRequest fit für die DSGVO gemacht. Nutzen Sie die Möglichkeiten von WebRequest und machen Sie nicht nur Ihre Kontaktformulare DSGVO-konform. WebRequest vereint drei praktische Funktionalitäten für die DSGVO-konforme Verarbeitung von Kundendaten: Ein Kontakt-Widget für Ihre Homepage, den einfachen Import von E-Mail Anfragen via Fahrzeugbörsen sowie den automatischen Import von Kunden E-Mails aus Ihren weiteren Web-Kontaktformularen.

Haben Sie Fragen zur LDB CXBox und den Tools für die Umsetzung der DSGVO?
Rufen Sie uns gerne an. Wir sind für Sie da.