Wir hatten bereits darüber berichtet, dass das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist, dass sämtliche Kontaktformulare auf Webseiten nur noch verschlüsselt angeboten werden dürfen. Dazu gibt es nun erste Abmahnungen von Seitenbetreibern mit unverschlüsselten Kontaktformularen.
Worum geht es?
Das Telemediengesetz (TMG) verlangt von Seitenbetreibern ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ auf Webseiten:
§ 13 Pflichten des Diensteanbieters
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Neben Bußgeldverfahren der Datenschutzbehörden gegen Seitenbetreiber, die ihre Kontaktformulare nicht verschlüsselt hatten kommt es in den letzten Wochen verstärkt auch zu Abmahnungen wegen unverschlüsselter Kontaktformulare.
Was sollten Seitenbetreiber tun?
Seitenbetreiber sollten prüfen, ob sie auf Ihrer Webseite ein Kontaktformular anbieten. Wenn ja, sorgen Sie umgehend für eine entsprechende Verschlüsselung der Prozesse. Achten Sie darauf, dass Sie möglichst das aktuelle „TLS“ (Transport Layer Security) statt des älteren ursprünglichen SSL-Protokolls wählen.
Auch für Bestellprozesse auf Webseiten und in Shops gilt dasselbe: Ohne (https)Verschlüsselung riskieren Sie Abmahnungen durch Wettbewerber und Bußgelder durch die Datenschutzaufsichtsbehörden.
Was ist aber mit den mailversendenden Formularen? Diese sind in der Regel nicht verschlüsselt.
Indem du dir für deine Webseite ein SSL Certificat besorgst.
Fast alle Provider unterstützen mittlerweile Lets Encrypt, was kostenlos ist.
Die sind oft auch nicht über eine https-Seite zu erreichen. Muss man die dann raus nehmen, um einer Abmahnung den Boden zu entziehen oder reicht es, dass die eigene Seite verschlüsselt ist (also über https)?
Aus den ausgefüllten Daten eines Formulars werden E-Mails erstellt und versendet. Jeder weiß, dass E-Mails wie offene Postkarten sind und dass diese von jedem gelesen werden können.
Hier geht es um die "nichtige" Übertragung der Daten vom PC des Formularausfüllers an den Server, der daraus eine (oder zwei) Mails erstellt.
Also muss es doch wohl auch genügen, auf der Formularseite einen Hinweis zu platzieren, dass die ausgefüllten Daten transparent zum Server geschickt werden und dort als E-Mail weitergeleitet werden. Wer diese offene Übertragung nicht möchte, der soll stattdessen eine ebenson offene E-Mail schicken!
Nein, normal ist das wieder mal nicht und wenn das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist ..., dann sollte man das schon schnell wieder vergessen. Aber so ein Quatsch kommt ja meistens von der EU, das wird ja dann wohl auch nicht mehr lange dauern!? :-(