Die meisten DSGVO-Leitfäden erklären die Verordnung abstrakt. Dieser konzentriert sich auf etwas Spezifischeres: was die DSGVO tatsächlich erfordert, wenn Sie Daten über Online-Formulare sammeln, und was Sie überprüfen müssen, bevor Sie eines veröffentlichen.
Wenn Ihre Organisation Daten von Personen in der EU sammelt. durch ein Kontaktformular, ein Lead-Generierungsformular, eine Veranstaltungsregistrierung oder ein anderes Formular, das personenbezogene Daten berührt. kann die DSGVO auf Sie zutreffen, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat.
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie einen qualifizierten Datenschutzexperten für spezifische Anleitungen für Ihre Organisation.
Auf dieser Seite
- Wen die DSGVO betrifft
- Was im Kontext eines Formulars als personenbezogene Daten zählt
- Rechtliche Grundlage: Welche gilt für Ihr Formular?
- Einwilligungsfelder: Was macht sie DSGVO-konform?
- Datenminimierung: Nur sammeln, was Sie benötigen
- Datenaufbewahrung: Wie lange können Sie Formularantworten aufbewahren?
- Das Recht auf Löschung: Was es für eingereichte Formulare bedeutet
- Ihr Formularersteller als Datenverarbeiter: Was zu verlangen ist
- DSGVO-Compliance-Checkliste
Wen die DSGVO betrifft
Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Organisation, die:
- In der EU ansässig ist, unabhängig davon, wo die Datenverarbeitung stattfindet, oder
- Personenbezogene Daten von Personen in der EU verarbeitet, auch wenn die Organisation selbst außerhalb der EU ist, wenn diese Verarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Personen in der EU steht oder deren Verhalten überwacht
Das bedeutet, dass ein in den USA ansässiges Unternehmen, das ein Lead-Generierungsformular betreibt, das von Personen in der EU eingereicht werden kann, der DSGVO unterliegen kann, wenn die Bedingungen in Artikel 3 erfüllt sind. Ein SaaS-Unternehmen mit europäischen Kunden, das Daten über Onboarding-Formulare sammelt, kann auf derselben Grundlage unter die DSGVO fallen. Der territoriale Anwendungsbereich der Verordnung ist breit. wenn Sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten überwachen, kann die DSGVO auf Sie zutreffen, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat.
Was im Kontext eines Formulars als personenbezogene Daten zählt
Unter der DSGVO sind personenbezogene Daten alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Im Kontext von Online-Formularen umfasst dies:
- Direkt identifizierende Daten: Name, E-Mail-Adresse, Telefonnummer, physische Adresse, Geburtsdatum
- Indirekt identifizierende Daten: IP-Adresse (wenn bei der Einreichung erfasst), Gerätekennungen, Standortdaten
- Sensible Daten (besondere Kategorien): Gesundheitsinformationen, religiöse Überzeugungen, politische Meinungen, rassische oder ethnische Herkunft, biometrische Daten. diese unterliegen strengeren Regeln gemäß Artikel 9 und erfordern eine spezifische Bedingung aus der Liste in Artikel 9(2), bevor die Verarbeitung rechtmäßig ist
Wenn Ihr Formular eines der oben genannten Daten sammelt, gelten die DSGVO-Compliance-Anforderungen für diese Daten.
Rechtliche Grundlage: Welche gilt für Ihr Formular?
Die DSGVO erfordert eine rechtliche Grundlage für jede Instanz der Verarbeitung personenbezogener Daten (Artikel 6). Für Online-Formulare sind die relevantesten Grundlagen:
Einwilligung. Die betroffene Person hat eine klare, spezifische, informierte und eindeutige Einwilligung gegeben. Dies ist geeignet für Marketingformulare, Newsletter-Anmeldungen und optionale Datenerhebungen. Die Einwilligung muss freiwillig gegeben werden und ebenso leicht zu widerrufen sein, wie sie gegeben wurde.
Vertrag. Die Verarbeitung ist notwendig für die Erfüllung eines Vertrags oder um auf Wunsch der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen. Dies gilt für Bestellformulare, Buchungsformulare und Dienstleistungsvereinbarungen.
Berechtigte Interessen. Die Verarbeitung ist notwendig für die berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern diese Interessen nicht durch die Rechte und Interessen der betroffenen Person überwogen werden. Dies erfordert einen dokumentierten dreiteiligen Abwägungstest (Zweck, Notwendigkeit, Abwägung). Es ist kein Allheilmittel, und die betroffenen Personen behalten das Recht, der Verarbeitung auf dieser Grundlage gemäß Artikel 21 zu widersprechen. obwohl Verantwortliche diesen Widerspruch übergehen können, wenn sie zwingende berechtigte Gründe nachweisen können, die die Interessen der betroffenen Person überwiegen.
Gesetzliche Verpflichtung. Die Verarbeitung ist gesetzlich vorgeschrieben. Gilt für Compliance-Formulare, Steuerdokumentationen und regulatorische Einreichungen.
Praktische Anleitung: Die meisten Marketing- und Lead-Generierungsformulare erfordern Einwilligung als rechtliche Grundlage. Die meisten Transaktionsformulare (Käufe, Buchungen, Verträge) stützen sich auf die Vertragsgrundlage. Die falsche rechtliche Grundlage zu verwenden. oder Einwilligung zu beanspruchen, wenn der Benutzer keine echte Wahl hatte. ist eine der häufigsten DSGVO-Verstöße.
Einwilligungsfelder: Was macht sie DSGVO-konform?
Wenn Ihre rechtliche Grundlage die Einwilligung ist, ist der Mechanismus zur Einholung dieser Einwilligung entscheidend. Die DSGVO legt spezifische Anforderungen fest:
Wie gültige Einwilligung aussieht:
- Eine klare, bestätigende Handlung. ein nicht angekreuztes Kontrollkästchen, das der Benutzer aktiv ankreuzen muss, nicht ein vorab angekreuztes
- Spezifisch für den Zweck. separate Kontrollkästchen für separate Zwecke (z. B. eines für die Verarbeitung der Formulareinreichung, ein separates für Marketing-E-Mails)
- Informiert. begleitet von einer kurzen Erklärung, wofür die Daten verwendet werden, und einem Link zu Ihrer vollständigen Datenschutzerklärung
- Freiwillig gegeben. der Benutzer muss in der Lage sein, das Formular einzureichen, ohne gezwungen zu sein, einer nicht verwandten Verarbeitung zuzustimmen, und es darf kein Machtungleichgewicht oder Nachteil für die Verweigerung der Einwilligung bestehen
Wie ungültige Einwilligung aussieht:
- Vorab angekreuzte Kontrollkästchen
- Einwilligung, die in die Annahme von Geschäftsbedingungen eingebunden ist
- “Durch das Absenden dieses Formulars stimmen Sie zu…” ohne einen separaten expliziten Einwilligungsmechanismus
- Einwilligung zu Marketing kombiniert mit Einwilligung zur Bearbeitung der Anfrage. diese müssen getrennt sein
- Asymmetrisches visuelles Design, das Benutzer zur Einwilligung drängt. zum Beispiel ein prominenter “Akzeptieren”-Button, gepaart mit einer ausgegrauten oder versteckten “Ablehnen”- oder “Einstellungen”-Option. DSGVO-Behörden haben konsequent festgestellt, dass solche dunklen Muster die Anforderung “freiwillig gegeben” untergraben, selbst wenn ein technisches Opt-out existiert
Widerruf der Einwilligung: Die DSGVO verlangt, dass der Widerruf ebenso einfach ist wie die Erteilung der Einwilligung. Für über Formulare gesammelte Daten bedeutet dies, einen klaren Opt-out-Mechanismus bereitzustellen und Löschanfragen zu honorieren, wenn die Einwilligung die einzige rechtliche Grundlage ist.
Datenminimierung: Nur sammeln, was Sie benötigen
Das Prinzip der Datenminimierung der DSGVO (Artikel 5(1)(c)) besagt, dass Sie nur die personenbezogenen Daten sammeln sollten, die angemessen, relevant und auf das Notwendige beschränkt sind, um den angegebenen Zweck zu erfüllen.
Für das Formulardesign bedeutet dies:
- Überprüfen Sie Ihre Felder. dient jedes Feld dem angegebenen Zweck? Ein Kontaktformular benötigt kein Geburtsdatum. Eine Webinar-Anmeldung benötigt keine Telefonnummer, es sei denn, Sie planen, Teilnehmer anzurufen.
- Machen Sie nicht wesentliche Felder optional. wenn ein Feld nützlich, aber nicht erforderlich ist, markieren Sie es als optional und verlangen Sie es nicht für die Formularübermittlung.
- Sammeln Sie keine Daten, die Sie nicht verarbeiten. wenn Sie ein Feld sammeln, es aber nie verwenden, schafft es unnötige Compliance-Risiken.
Datenminimierung ist auch ein praktischer Vorteil: Kürzere Formulare haben höhere Abschlussraten. DSGVO und gutes UX weisen in dieselbe Richtung.
Datenaufbewahrung: Wie lange können Sie Formularantworten aufbewahren?
Das Prinzip der Speicherbegrenzung der DSGVO (Artikel 5(1)(e)) verlangt, dass personenbezogene Daten nicht länger als notwendig für den Zweck, für den sie gesammelt wurden, aufbewahrt werden.
Es gibt keine einheitliche DSGVO-vorgeschriebene Aufbewahrungsfrist. die angemessene Dauer hängt vom Zweck, den anwendbaren Sektorvorschriften und dem nationalen Recht ab. Die folgende Tabelle veranschaulicht häufige Überlegungen, aber Ihre spezifischen Aufbewahrungsfristen sollten in Absprache mit Ihrem Datenschutzbeauftragten oder Rechtsberater festgelegt werden:
| Formularart | Typische Überlegungen zur Aufbewahrung |
|---|---|
| Kontakt-/Supportformulare | Dauer der Supportbeziehung + angemessene Nachbearbeitungszeit |
| Lead-Generierungsformulare | Dauer der aktiven Verkaufstätigkeit; dokumentieren Sie die Grundlage für eine verlängerte Aufbewahrung |
| Veranstaltungsregistrierung | Bis zur Veranstaltung, plus jede gesetzlich vorgeschriebene Aufbewahrungsfrist |
| Vertrags-/Dienstleistungsformulare | Dauer des Vertrags + anwendbare gesetzliche Verjährungsfrist |
| Bewerbungsformulare | Geregelt durch das nationale Arbeitsrecht, das erheblich variieren kann. zum Beispiel schafft das deutsche AGG (Allgemeines Gleichbehandlungsgesetz) einen praktischen Fall für die Aufbewahrung von Unterlagen für etwa 6 Monate, um sich gegen Diskriminierungsklagen zu verteidigen, während andere Gerichtsbarkeiten unterschiedlich sind. Konsultieren Sie Ihren DPO oder Rechtsberater, bevor Sie eine Aufbewahrungsfrist festlegen |
Was dies in der Praxis bedeutet: Sie benötigen eine dokumentierte Datenaufbewahrungsrichtlinie, und Ihre Formulareinreichungsdaten müssen gelöscht oder anonymisiert werden, wenn die Aufbewahrungsfrist endet.
PlatoForms bietet Ihnen konfigurierbare Datenaufbewahrung auf Kontoebene. von 0 Tagen (Daten werden sofort nach der Synchronisierung mit Ihrem Cloud-Laufwerk entfernt) bis für immer, mit Optionen für 7 Tage, 30 Tage, 3 Monate, 6 Monate, 1 Jahr und 3 Jahre dazwischen. Siehe die Dokumentation zur Datenaufbewahrungsrichtlinie für Einrichtungsdetails.
Das Recht auf Löschung: Was es für eingereichte Formulare bedeutet
Unter der DSGVO haben betroffene Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen (Artikel 17). Für über Formulare gesammelte Daten bedeutet dies:
- Wenn jemand ein Kontaktformular einreicht und später die Löschung seiner Daten verlangt, müssen Sie in der Lage sein, seine Einreichung zu identifizieren und zu löschen
- Wenn die Einwilligung widerrufen wird, müssen die auf der Grundlage dieser Einwilligung gesammelten Daten gelöscht werden (es sei denn, es gilt eine andere rechtliche Grundlage)
- Löschanfragen müssen unverzüglich und in jedem Fall innerhalb eines Monats bearbeitet werden (mit der Möglichkeit einer zweimonatigen Verlängerung für komplexe Fälle gemäß Artikel 12(3))
Praktische Anforderungen:
- Sie müssen in der Lage sein, Einreichungen nach Personen zu identifizieren (durchsuchbar nach E-Mail oder Name)
- Sie müssen in der Lage sein, spezifische Einreichungen zu löschen, nicht nur Ihre Datenbank in großen Mengen zu löschen
- Wenn Einreichungsdaten in andere Systeme (CRM, Cloud-Laufwerk, E-Mail) exportiert wurden, müssen diese Kopien ebenfalls gelöscht oder anonymisiert werden. es sei denn, es besteht eine separate rechtliche Grundlage für deren Aufbewahrung in diesem System
PlatoForms ermöglicht es Ihnen, Einreichungen zu durchsuchen und einzelne Datensätze über das Dashboard zu löschen. Die Funktion “Alle Einreichungen löschen” ermöglicht die Massenlöschung bei Bedarf.
Ihr Formularersteller als Datenverarbeiter: Was zu verlangen ist
Unter der DSGVO, wenn Sie einen Drittanbieter-Formularersteller verwenden, um personenbezogene Daten zu sammeln, agiert dieser Formularersteller als Datenverarbeiter in Ihrem Auftrag. Sie sind der Datenverantwortliche. Dies schafft spezifische Verpflichtungen gemäß Artikel 28.
Sie sollten eine Datenverarbeitungsvereinbarung (DPA) mit Ihrem Formularersteller haben. Eine DPA ist ein Vertrag, der spezifiziert:
- Welche Daten der Verarbeiter bearbeitet
- Die Zwecke und Dauer der Verarbeitung
- Technische und organisatorische Sicherheitsmaßnahmen
- Anforderungen an die Offenlegung und Autorisierung von Unterverarbeitern
- Verpflichtungen im Falle eines Datenschutzvorfalls
Die Verwendung eines Formularerstellers ohne DPA zur Sammlung von EU-Personendaten kann Sie in Verletzung der DSGVO-Anforderungen gemäß Artikel 28 bringen, selbst wenn der Formularersteller technisch sicher ist.
Grenzüberschreitende Datenübertragungen: Wenn Ihr Formularersteller Daten außerhalb der EU/EWR speichert oder verarbeitet, gelten zusätzliche Anforderungen gemäß DSGVO Kapitel V. wie Standardvertragsklauseln (SCCs) oder die Abhängigkeit von einem Angemessenheitsbeschluss. Bestätigen Sie, wo Ihre Einreichungsdaten gespeichert sind und welcher Übertragungsmechanismus in Kraft ist.
Worauf Sie bei einem Formularersteller achten sollten:
- Eine DPA zur Überprüfung und Unterzeichnung verfügbar
- Daten, die an bekannten, offengelegten Standorten gespeichert werden (mit EU-Datenresidenzoptionen, wo relevant)
- Transparenz der Unterverarbeiter (mit welchen Drittanbietern teilt der Formularersteller Daten, und haben Sie deren Verwendung autorisiert?)
- Verschlüsselung während der Übertragung und im Ruhezustand
- Zugriffskontrollen und Protokollierung von Audits
- Ein dokumentierter Prozess zur Benachrichtigung bei Datenschutzverletzungen
PlatoForms bietet eine herunterladbare Datenverarbeitungsvereinbarung (DPA) und eine vollständige Übersicht über die Sicherheitsinfrastruktur, Unterverarbeiter und Zertifizierungen im Trust Center.
DSGVO-Compliance-Checkliste für Online-Formulare
Bevor Sie ein Formular veröffentlichen, das EU-Personendaten sammelt:
Rechtliche Grundlage
- Identifizieren Sie die rechtliche Grundlage für die Verarbeitung (Einwilligung, Vertrag, berechtigte Interessen, gesetzliche Verpflichtung oder andere Grundlage gemäß Artikel 6)
- Dokumentieren Sie die rechtliche Grundlage. verlassen Sie sich nicht auf das Gedächtnis
- Wenn Sie berechtigte Interessen verwenden: Führen und dokumentieren Sie einen Abwägungstest; stellen Sie sicher, dass die betroffenen Personen ihr Widerspruchsrecht ausüben können (Artikel 21)
Besondere Kategorien von Daten
- Wenn Sie sensible Daten sammeln (Gesundheit, Religion, Ethnizität usw.), identifizieren Sie eine spezifische Bedingung gemäß Artikel 9(2). explizite Einwilligung ist eine Option, aber nicht die einzige
- Wenden Sie geeignete zusätzliche technische Schutzmaßnahmen für besondere Kategorien von Daten an (z. B. Verschlüsselung, eingeschränkte Zugriffskontrollen)
Einwilligung (wenn Einwilligung Ihre rechtliche Grundlage ist)
- Verwenden Sie nicht angekreuzte Kontrollkästchen, keine vorab angekreuzten
- Separate Einwilligung für separate Zwecke (Einreichungsverarbeitung vs. Marketing)
- Fügen Sie eine kurze Zweckbeschreibung und einen Link zu Ihrer Datenschutzerklärung hinzu
- Stellen Sie sicher, dass der Widerruf der Einwilligung ebenso einfach ist wie die Erteilung der Einwilligung
Datenminimierung
- Überprüfen Sie jedes Feld. dient jedes dem angegebenen Zweck?
- Machen Sie nicht wesentliche Felder optional
- Entfernen Sie Felder, die Sie nicht tatsächlich verarbeiten
Datenaufbewahrung
- Dokumentieren Sie Ihre Aufbewahrungsfrist für die Daten dieses Formulars (bestimmt mit rechtlicher/DPO-Eingabe, wo erforderlich)
- Konfigurieren Sie die automatische Löschung oder setzen Sie eine Kalendrierinnerung, um alte Einreichungen zu löschen
- Stellen Sie sicher, dass Ihr Formularersteller konfigurierbare Aufbewahrung unterstützt
Recht auf Löschung
- Sie können Einreichungen nach Personen identifizieren
- Sie können auf Anfrage einzelne Einreichungen löschen
- Sie haben einen Prozess zur Bearbeitung von Löschanfragen ohne unangemessene Verzögerung und innerhalb eines Monats
Verarbeiter- und Übertragungsanforderungen
- Sie haben eine unterzeichnete DPA mit Ihrem Formularersteller
- Sie wissen, wo Ihre Formulareinreichungsdaten gespeichert sind
- Sie wissen, welche Unterverarbeiter Ihr Formularersteller verwendet, und haben deren Verwendung autorisiert
- Wenn Daten außerhalb der EU/EWR übertragen werden, ist ein gültiger Übertragungsmechanismus (SCCs, Angemessenheitsbeschluss usw.) in Kraft
Die DSGVO-Compliance für Formulare dreht sich weniger um rechtliche Theorie und mehr um betriebliche Entscheidungen: was Sie sammeln, wie Sie Einwilligung einholen, wie lange Sie sie aufbewahren und welche Vereinbarungen Sie mit Ihren Tools haben.
Die obige Checkliste deckt das praktische Minimum ab. Für komplexe Verarbeitungsszenarien. besondere Kategorien von Daten, umfangreiche Lead-Sammlung, grenzüberschreitende Datenübertragungen oder Bewertungen berechtigter Interessen. sollte ein qualifizierter Datenschutzbeauftragter oder Rechtsberater Ihre spezifische Einrichtung überprüfen.
Für die Compliance-Dokumentation von PlatoForms, herunterladbare DPA und Sicherheitsarchitekturübersicht siehe das Trust Center.