Kontaktformulare auf Webseiten müssen stets richtig verschlüsselt werden. Das bayrische Landesamt für Datenschutzaufsicht (BayLDA) kündigte bereits im Oktober 2017 an, dies umfangreich zu überprüfen. Webseitenbetreiber sind angehalten, die Verschlüsselung von Kontaktformularen zu überprüfen. Bei Datenschutzverstößen riskieren sie sonst nicht nur Abmahnungen durch Konkurrenten, sondern auch hohe Bußgelder von den Datenschutzbehörden.
Fehlerhafte Kontaktformulare – Es drohen Abmahnungen
Die Pflicht, Kontaktformulare auf Websites zu verschlüsseln, ist nicht neu. Allerdings hat das BayLDA mit der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ eine intensivere Prüfung gestartet. Aus der Pressemitteilung geht hervor, dass insbesondere Kontaktformulare zukünftig vermehrt überprüft werden. Der Grund dafür ist, dass bei einer unzureichenden Verschlüsselung schnell die personenbezogenen Daten abgegriffen werden können.
Doch nicht nur bayrische Firmen sollten nun aktiv werden. Das Vorgehen des BayLDA können auch andere Aufsichtsbehörden des Landes auf den Plan rufen.
Bundesamt für Sicherheit empfiehlt Verschlüsselungsverfahren wie SSL oder TLS
Firmen wird grundsätzlich angeraten, die von dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlenen Verschlüsselungsverfahren einzuführen.
So dient das kryptographische Protokoll Transport Layer Security (TLS) der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen. Hierzu gibt das BSI weitere Informationen (Version: 2018-01).
Kostenlose SSL-Zertifikate oftmals ausreichend
Zur ausreichenden HTTPS-Verschlüsselung reicht meist ein SSL-Zertifikat. Dieses gibt es oftmals sogar kostenlos.
Dieses Zertifikat reicht allerdings nur zur Verschlüsselung von Daten. Soll zusätzlich auch die Identität der Website überprüft werden, reichen diese kostenlosen Zertifikate nicht aus. Soweit der Seitenbesucher sich also sicher sein soll, dass hinter der besuchten Website auch der gewünschte Betreiber steckt, so sollte der Websitebetreiber auf eine kostenpflichtige Variante der SSL-Zertifikate mit Identitätsprüfung zurückgreifen.
Gesetzliche Vorgaben in diesem Bereich stammen u.a. auch aus dem Telemediengesetz (TMG). Danach müssen Seitenbetreiber ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ anwenden. Ferner heißt es in § 13 Abs. 7 TMG:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese
- gegen Verletzungen des Schutzes personenbezogener Daten und
- gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Ein Verstoß kann als Ordnungswidrigkeit nach § 16 Abs. 3 TMG mit einer Geldbuße von bis zu EUR 50.000,00 geahndet werden.
Auch DS-GVO birgt neue Gefahren ab Mai 2018
Eine unzureichende Verschlüsselung ist nicht der einzige Punkt der schief gehen kann und von den Landesämtern für Datenschutz überprüft wird.
Mit der neuen Datenschutzgrundverordnung (DS-GVO), die Ende Mai 2018 in Kraft tritt, kommen noch weitere Neuerungen auf datenverarbeitende Firmen und Websitebetreiber zu. Der zu beachtende Katalog an Anforderungen ist lang. Um hier Fehler zu vermeiden, kann die Prüfung durch einen externen Datenschutzberater helfen.
