Drei Tipps für datensparsame Formulare

»Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«, steht so oder ähnlich in der DSGVO und den kirchlichen Datenschutzgesetzen – Datenminimierung ist ein Grundsatz für die Verarbeitung personenbezogener Daten, der theoretisch sehr einleuchtend ist. In der Praxis erhebt man aber gerne viel mehr Daten, als man eigentlich braucht – sei’s, weil man sie irgendwann brauchen könnte, sei’s weil man’s schon immer so gemacht hat und das Formular zur Datenerhebung nunmal die Felder hat, die es hat.

Ein Steuerformular, das noch nicht ausgefüllt ist – und das wird dauern, weil lang und schmerzhaft. Der Stift liegt schon bereit.
Sicher kein Best-practice-Beispiel für ein gutes Formular. Aber immerhin wahrscheinlich mit ordentlicher Rechtsgrundlage für jedes auszufüllende Feld. (Symbolbild, Photo by Leon Dewiwje on Unsplash)

Zu einem guten Datenschutzmanagement gehört daher, einen Blick darauf zu werfen, welche Daten man erhebt – und ob es die wirklich braucht. Mit einer klugen Gestaltung von Formularen lässt sich viel erreichen – das gilt sowohl für Web-Formulare wie für Formulare, die am Bildschirm oder auf Papier ausgefüllt und ausgedruckt oder digital verschickt werden.

1. Pflichtfelder vermeiden

Nicht alle Felder müssen ausgefüllt werden. Bei der Gestaltung von Formularen sollte man bei jedem abgefragten Datum nachdenken: Ist die Information nice to have oder need to know? Ein häufiges Beispiel sind Newsletter-Anmeldungen: Für einen E-Mail-Newsletter ist technisch nur eine E-Mail-Adresse erforderlich – mehr nicht. Name und Geschlecht braucht es nicht unbedingt – der Newsletter funktioniert auch, wenn man Empfänger*innen nicht namentlich und mit geschlechtsspezifischer Anrede ansprechen kann.

Bevor ein Feld als Pflichtfeld definiert wird, sollte eine Kontrollfrage stehen: Was passiert, wenn ich die Information nicht habe? Kann ich dann mein eigentliches Ziel noch erreichen? Ohnehin muss in den Datenschutzinformationen transparent gemacht werden, wozu die Daten verwendet werden – das kann man auch gleich im Formular kenntlich machen: »Wir verwenden das Geburtsdatum, um Ihnen zu gratulieren und eine kleine Aufmerksamkeit zukommen zu lassen, außerdem werten wir damit aus, welche Altersgruppen wir erreichen«, oder »Wir sprechen Sie gern mit Ihrem Namen an, wenn Sie ihn uns verraten«. Generell ist Transparenz auch bei Papierformularen gut: Auch hier kann man explizit kennzeichnen, welche Daten benötigt werden, welche freiwillig sind.

Gerade bei Kontaktdaten lohnt es sich zu überlegen, was man wirklich will: Brauche ich wirklich Festnetz- und Mobil- und berufliche Nummer – oder reicht mir ein allgemeines Feld, in dem ich eine Nummer abfrage, unter der die Person erreicht werden will? Brauche ich Telefonnummer, Post- und E-Mail-Adresse – oder genügt es, einen beliebigen gewünschten Kontaktkanal abzufragen?

2. Was abfragen, nicht warum

Bei Veranstaltungen gilt es, auf vieles Rücksicht zu nehmen: Barrierefreiheit, gesundheitliche Aspekte wie Allergien, persönliche Vorlieben, Jugendschutz, Förderrichtlinien von Zuschussgebern und einiges mehr. Dabei können auch einige sensible Daten anfallen, bis hin zu den besonderen Kategorien personenbezogener Daten – sobald Verpflegung im Spiel ist, ist es wahrscheinlich, dass Daten über Allergien und Unverträglichkeiten erhoben werden.

Naheliegend ist es, bestimmte Gründe, Lebensumstände und Daten abzufragen: Liegen Allergien vor? Welche Behinderungen hat die betroffene Person? Welches Geschlecht hat die Person? Oder auch nur: Was ist das Geburtsdatum? Oft braucht man aber diese Gründe, das Warum, gar nicht. Es interessiert gar nicht, ob die Person einen Rollstuhl nutzt, blind ist oder Zöliakie hat. Interessant ist, was die Person braucht: Braucht sie einen ebenerdigen Zugang und Rampen? (Egal ob wegen Rollstuhl oder Zwillingskinderwagen.) Will sie als Herr, Frau oder neutral mit »Guten Tag« angeredet werden? Will sie Essen ohne bestimmte Inhaltsstoffe? (Egal, ob sie allergisch reagiert, religiöse Pflichten erfüllt oder per Low-Carb-Methode abnehmen will. Auf die Erhebung von Daten über die Religionszugehörigkeit kann man übrigens oft verzichten, wenn man vegane Verpflegung anbietet.)

Eine offene Frage beim Formular (»Was sollen wir bei Ihrer Verpflegung beachten?«) ermöglicht es, beim Formularausfüllen selbst zu wählen, wie detailliert man wird – wer bei Erdnusskontakt tot umfällt wird diese Frage anders beantworten als wer nur Rosenkohl nicht sonderlich mag. Diese Methode hat auch Grenzen: Bei Kindern oder Menschen mit geistigen Einschränkungen ist es sicherer, explizit nach medizinischen Bedürfnissen zu fragen, während man bei Menschen, die für sich selbst in vollem Umfang Verantwortung übernehmen können, offener fragen kann.

Gern abgefragt wird auch das Geburtsdatum. Das kann man wirklich brauchen – wenn etwa eine Förderrichtlinie nicht auf Datensparsamkeit setzt und das zur Pflichtangabe macht. Oft will man aber gar nicht den Geburtstag wissen, sondern ob eine Person alt genug ist, egal ob aus Jugendschutz-, Förderrichtlinien- oder Seniorenrabattgründen. Um diese Form der Datensparsamkeit geht es auch in einem aktuellen Urteil zu unnötig abgefragten Daten bei einer Online-Apotheke: »Das Gericht hat ausgeführt, dass soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werden dürfe (Prinzip der Datenminimierung)«, schreibt die KDSA Ost dazu. Aber öffnet das nicht Schummelei Tür und Tor? Auch nicht weniger, als die Abfrage eines kompletten Geburtsdatums – auch das kann man sich frei ausdenken. Wer rechtssicher Alter checken will, braucht ohnehin eine andere Methode als ein frei ausfüllbares Feld. (Bei Veranstaltungen kann man den Ausweis prüfen und selbst das Feld »über 18« ankreuzen, ohne den Geburtstag zu dokumentieren, und auch der 3G-Status sollte geprüft und abgehakt, nicht aufgeschlüsselt und dokumentiert werden.)

3. Formulare klug strukturieren

Oft braucht man für einen Vorgang viele Daten – aber nicht alle brauchen alle Daten. Wenn in einem Verein der Vorstand über die Aufnahme neuer Mitglieder entscheidet, braucht er nicht alle Kontaktdaten und die Bankverbindung – die braucht nur die Geschäftsstelle. Der Caterer braucht nicht zu wissen, wer besondere Ernährungsbedürfnisse hat, er braucht nur Zahlen. Wenn man bei Seminaren auswerten will, wie unter den Teilnehmenden die Verteilung von Geschlecht, Migrationshintergrund, Religionen oder politische Einstellung ist (das sind keine erfundenen Beispiele, sondern Anforderungen mancher Förderrichtlinien), erhebt man das am besten mit anonymen Formularen und nicht mit der notwendig personalisierten Anmeldung.

Bei elektronischen Formularen können solche Datenauswertungen auf need-to-know-Basis programmiert werden. Aber auch bei Papierformularen kann man durch kluge Strukturierung Datensparsamkeit unterstützen: Das Beitrittsformular zum Berufsverband, der nur bestimmte Berufsgruppen aufnimmt, lässt sich etwa so aufbauen, dass auf einer Seite nur die Daten stehen, die der Vorstand zur Entscheidung braucht, auf der zweiten Seite die Stammdaten für Mitglieder- und Beitragsverwaltung. Der Vorstand muss dann für seine Entscheidung nur die erste Seite sehen. (Ein Beispiel dafür ist das Formular meines Berufsverbands, der Gesellschaft Katholischer Publizisten).

Aufmerksam sollte man immer bei Listen sein, in die sich Menschen selbst eintragen: Das ist meistens keine gute Idee, weil die vorherigen Einträge zu sehen sind. Hier sind einzelne Formulare besser geeignet, mindestens aber das (fehleranfällige) Abdecken der vorigen Einträge – da sollte dank der Corona-Kontaktverfolgungsmaßnahmen schon eine gewisse Routine und Sensibilität bestehen. Zur Frage, wie man Teilnehmerlisten am besten gestaltet, gab es hier schon einige Tipps: Teilnehmerlisten bei Veranstaltungen – geht das noch?

Fazit

Datenminimierung ist sinnvoll: Nicht nur, weil man so respektvoll mit den Daten anderer Menschen umgeht. Sondern auch deshalb, weil man nur verlieren oder versehentlich veröffentlichen kann, was man auch hat. Es lohnt sich, kritisch über eigene Formulare zu gehen, ordentlich auszumisten und nur das abzufragen, was man wirklich braucht.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert