Das Formular-Dilemma

Die Nutzung von Formularen auf Webseiten ist eine recht praktische Sache, allerdings hat deren Nutzung auch unerfreuliche Seiteneffekte, die sich mit einer simplen Alternative beheben lassen.

Ein Kernproblem des Formularversands ist die DSGVO. Genau genommen müsste vor Nutzung des Formulars mit dem Nutzer vertraglich vereinbart werden, dass seine Daten auf dem eigenen Server verarbeitet werden. Ein Häkchen, dass er sich damit einverstanden erklärt, genügt aus meiner Sicht diesem Anspruch kaum, denn es belegt in keiner Weise, dass die Datenschutzbestimmungen tatsächlich vorlagen und ihnen tatsächlich von der Person, deren Name im Formular eingesetzt ist, zugestimmt wurde.

Unabhängig von der Eloquenz mancher Anbieter bei den Texten, mit denen das Häkchen dann doch eine DSGVO-Konformität zusichern soll: Da die Identität des Absenders letztendlich keiner ernsthaften Kontrolle unterliegt, befindet sich ein Anbieter damit auf sehr dünnem Eis.

Zusätzlich übernimmt der Anbieter für den Versand der Daten die vollständige Verantwortung. Dieser muss Server-seitig vollständig verschlüsselt erfolgen – was den technischen Aufwand signifikant erhöht.

Ein aus meiner Sicht viel ärgerlicherer Aspekt von Formularen: Sie können sehr einfach mit falschen oder temporären E-Mail-Adressen genutzt, sowie durch Automaten mit Werbung befüllt und an mich verschickt werden.

All das lässt sich umgehen, indem auf ein bewährtes Verfahren zugegriffen wird: die E-Mail:

  • Für deren Versand zeichnet allein der Versender verantwortlich.
  • Das Fälschen von E-Mail-Adressen im E-Mail-Programm ist aufwändig, was für „Spaß-Anfragen“ die Hürde sehr hoch legt und eine recht hohe Gewähr für die „echte“ Identität darstellt. Für die möglicherweise missbräuchliche Nutzung eines E-Mail-Accounts durch Dritte müssen vom Empfänger keine Vorkehrungen getroffen werden1.
  • Automatenmissbrauch lässt sich stark einschränken und leicht herausfiltern.

Die klassischen „E-Mail-Grabber“ suchen im Quelltext nach »mailto:« und fischen die damit verbundene E-Mail-Adresse heraus. Das ist für deren Aktivitäten eine Steilvorlage. Die Versuche der Verschleierung mit „(at)“, „ät“ usw. oder gar E-Mail-Adressen als Bild, das Nutzer zum Abschreiben oder selbst eintippen zwingt, sind wenig elegant und fehleranfällig. Für das von mir gern eingesetzte YELLOW CMS habe ich daher die Erweiterung „cmail“ entwickelt, mit der die Nutzung des »mailto:«-Protokolls stark verschleiert wird. Wenn es ein Adress-Sammler trotzdem schafft, daraus die Adresse zu extrahieren, wird er – zumindest bei mir – an einer zweiten Hürde scheitern.

Wie es funktioniert

Für die Kommunikation benötigt ein Interessent eine valide E-Mail-Adresse. Damit ich als Empfänger weiß was Anfragende von mir wollen oder wovon die Rede ist, benötige ich eine Idee, von wo oder warum ich eine Nachricht bekomme. Das erledigt die Erweiterung automatisch:

  • Es wird eine E-Mail im Standardprogramm mit dem Standard-E-Mail-Account des Nutzers geöffnet.
  • Es wird ein »Betreff« übergeben, der Elemente enthält, die für die Spamfilterung genutzt werden können.
  • Die Nachricht enthält einen Link zur Seite, auf der die E-Mail erzeugt wurde – mutmaßlich der Grund für die Kontaktaufnahme.

„cmail“ macht sich Zunutze, dass alle (modernen) Browser und Betriebssysteme typischerweise in der Lage sind, mit Protokoll-Handlern umzugehen. Ein mailto:name@domain.tld in die Adresszeile des Browsers eingegeben, wird an das E-Mail-Programm weitergegeben.

Wird ein mit „cmail“ generierter Link angeklickt, verweist der jedoch auf eine Webseite, die wieder auf die ursprüngliche Seite zurück führt. Auf dem Weg „dazwischen“ wird jedoch eine standardisierte E-Mail im Mailprogramm auf den Weg gebracht.

Ich habe keine Gewissheit, ob das gute E-Mail-Grabber tatsächlich vom abgreifen der Adresse abhält. Seit ich diese Methode verwende, hat sich mein Spam-Aufkommen jedoch drastisch reduziert. Was zumindest ein Indiz für „tut es“ ist.

Als zweiten Schutzwall fungiert die standardisierte Nachricht. In ihr werden Textelemente vorgegeben, die so belassen werden sollen ( Ausprobieren! ). Damit lässt sich beispileweise mit ein paar RegEx-Filtern ein Spam-Filter so einstellen, dass er Mails an die (dafür eingerichtete) E-Mail-Adresse als »SPAM« markiert, denen diese Elemente fehlen. Das ist eine „standardisierte Individualisierung“, die für Massen-Spam schlicht zu aufwändig ist – selbst wenn die Notwendigkeit dafür erkannt würde.

Womöglich verhindert der vorgegebene Text bei einigen Zeitgenossen das Absenden der Nachricht. Ohne dass ich dazu verbindliche Zahlen hätte unterstelle ich jedoch, dass die daran gescheitere Kontaktaufnahme für mich keinen konkreten Verlust darstellt – vermutlich sogar eher einen Gewinn, weil mir Zeit und Ärger erspart wird.

Auf diesem Weg werden auch Kommentare auf meinen Seiten bearbeitet. Da mich der Gesetzgeber zur Kontrolle von Kommentaren verpflichtet, weil ich für deren Inhalte bei Veröffentlichung hafte, ist das die einfachste Kontrollmethode: Beiträge kommen nur dann überhaupt in die Webseite, wenn sie den gesetzlichen (und meinen) Anforderungen genügen. Das bremst zwar die Dynamik, die einige Foren unterhaltsam machen, doch steigert es die inhaltliche Qualität.

Wer sich jetzt noch fragt, warum eine E-Mail einem Webseiten-Formular vorzuziehen ist: Ich kann und will niemanden hindern, mir Post zu schicken. Das ermögliche ich, letztendlich geschieht das aus freien Stücken mit eigenen Mitteln und in eigener Verantwortung. Wie diese Post zu mir kommt, liegt jedoch in der Verantwortung der Absendenden. Was mir übermittelt wird entscheiden sie selbst, denn sie bestimmen den Inhalt der E-Mail. Für freiwillig und aus freien Stücken zugesandte Post muss ich im Vorfeld kein DSGVO-Buhei veranstalten.

Das Bild stammt von Pixabay.


  1. Zumindest, was den Empfang betrifft. Ob und in welcher Weise aus einer E-Mail ggf. ein „Rechtsgeschäft“ entsteht, ist etwas anderes. ↩︎