Kontaktformulare auf Websites verarbeiten personenbezogene Daten (mindestens Name und E-Mail-Adresse) und unterliegen daher der DSGVO.
Rechtsgrundlage: Die Verarbeitung kann auf Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person) oder auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Kundenanfragen) gestützt werden. Eine Einwilligung ist für das reine Kontaktformular in der Regel nicht erforderlich.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur Daten erhoben werden, die für die Bearbeitung der Anfrage tatsächlich erforderlich sind. Pflichtfelder sollten auf das Minimum beschränkt werden (z.B. Name und E-Mail-Adresse oder Telefonnummer). Felder wie Geburtsdatum, Geschlecht oder Adresse sind nur dann als Pflichtfeld zuläßig, wenn sie für die Beantwortung der konkreten Anfrage notwendig sind.
Privacy by Design (Art. 25 DSGVO): Das Formular sollte datenschutzfreundlich gestaltet sein - also keine überflüßigen Felder enthalten und voreingestellt nur die notwendigen Daten abfragen.
Informationspflicht (Art. 13 DSGVO): Beim Kontaktformular muss ein Hinweis auf die Datenschutzerklärung erfolgen. Der Nutzer muss wissen, wer seine Daten verarbeitet, zu welchem Zweck und wie lange die Daten gespeichert werden.
Verschlüßelung (Art. 32 DSGVO): Die Übertragung der Formulardaten muss verschlüßelt erfolgen (HTTPS/TLS). Die DSK-OH E-Mail-Verschlüßelung (2021) betont, dass Transportverschlüßelung die Mindestmassnahme für den Schutz personenbezogener Daten bei elektronischer Übermittlung ist.
Captchas und Spam-Schutz: Der Einsatz von Google reCAPTCHA ist datenschutzrechtlich problematisch, da hierbei Daten an Google in die USA übermittelt werden. Datenschutzfreundlichere Alternativen (Honeypot-Felder, einfache Rechenaufgaben) sollten bevorzugt werden.