Wir hatten bereits darüber berichtet, dass das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist, dass sämtliche Kontaktformulare auf Webseiten nur noch verschlüsselt angeboten werden dürfen. Dazu gibt es nun erste Abmahnungen von Seitenbetreibern mit unverschlüsselten Kontaktformularen.
Worum geht es?
Das Telemediengesetz (TMG) verlangt von Seitenbetreibern ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ auf Webseiten:
§ 13 Pflichten des Diensteanbieters
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Neben Bußgeldverfahren der Datenschutzbehörden gegen Seitenbetreiber, die ihre Kontaktformulare nicht verschlüsselt hatten kommt es in den letzten Wochen verstärkt auch zu Abmahnungen wegen unverschlüsselter Kontaktformulare.
Was sollten Seitenbetreiber tun?
Seitenbetreiber sollten prüfen, ob sie auf Ihrer Webseite ein Kontaktformular anbieten. Wenn ja, sorgen Sie umgehend für eine entsprechende Verschlüsselung der Prozesse. Achten Sie darauf, dass Sie möglichst das aktuelle „TLS“ (Transport Layer Security) statt des älteren ursprünglichen SSL-Protokolls wählen.
Auch für Bestellprozesse auf Webseiten und in Shops gilt dasselbe: Ohne (https)Verschlüsselung riskieren Sie Abmahnungen durch Wettbewerber und Bußgelder durch die Datenschutzaufsichtsbehörden.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Was ist aber mit den mailversendenden Formularen? Diese sind in der Regel nicht verschlüsselt.
Indem du dir für deine Webseite ein SSL Certificat besorgst.
Fast alle Provider unterstützen mittlerweile Lets Encrypt, was kostenlos ist.
Die sind oft auch nicht über eine https-Seite zu erreichen. Muss man die dann raus nehmen, um einer Abmahnung den Boden zu entziehen oder reicht es, dass die eigene Seite verschlüsselt ist (also über https)?
Aus den ausgefüllten Daten eines Formulars werden E-Mails erstellt und versendet. Jeder weiß, dass E-Mails wie offene Postkarten sind und dass diese von jedem gelesen werden können.
Hier geht es um die "nichtige" Übertragung der Daten vom PC des Formularausfüllers an den Server, der daraus eine (oder zwei) Mails erstellt.
Also muss es doch wohl auch genügen, auf der Formularseite einen Hinweis zu platzieren, dass die ausgefüllten Daten transparent zum Server geschickt werden und dort als E-Mail weitergeleitet werden. Wer diese offene Übertragung nicht möchte, der soll stattdessen eine ebenson offene E-Mail schicken!
Nein, normal ist das wieder mal nicht und wenn das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist ..., dann sollte man das schon schnell wieder vergessen. Aber so ein Quatsch kommt ja meistens von der EU, das wird ja dann wohl auch nicht mehr lange dauern!? :-(
Was genau meinen Sie?
100%-ig natürlich (die Tastatur wieder). ;)
Am besten beim BayLDA! Die haben ein Onlineformular dafür ;)
Ja, dann sollte die Nachricht aber bereits clientseitig, d.h. im Webbrowser, so verschlüsselt werden, dass bis zur Ankunft beim Empfänger - und zwar nicht nur auf seinem Webserver oder seinem E-Mail-Postfach - die Nachricht von keinem Dritten gelesen werden kann.
Dafür habe ich mittels consultimator.com eine Lösung entwickelt, die hier vielleicht interessiert. Wenn nicht, bitte als Spam löschen:
Die Daten eines Kontaktfomulars werden dabei einschließlich Anhang bereits im Webbrowser des Absenders lokal per Javascript mittels AES und RSA verschlüsselt. Dazu wird ein RSA Public Key des Empfängers verwendet, der im Formular bereits hinterlegt ist. Die Daten werden dann in dem Zustand zunächst per SSL an den consultimator Server weitergeleitet, von dort an die E-Mail-Adresse des Empfängers. Ja, die "letzte Meile" ist ggf. nicht verschlüsselt, aber die Daten sind ohnehin so verschlüsselt, dass sie nur noch vom Empfänger gelesen werden können.
Der Empfänger kann die Daten dann in seinem Webbrowser - aber natürlich auch wieder nur lokal, mit seinem RSA Private Key entschlüsseln.
Der Absender bekommt von der gesamten Verschlüsselungsgeschichte nichts mit, muss sich darüber keinen Kopf machen.
Ich werde die Lösung voraussichtlich ab 1.7.2018 auch "offiziell" anbieten. Wer sie aber ggf. schon einmal vorab ausprobieren möchte, ist herzlich eingeladen. Kurze E-Mail an contact
12.500 Euro von einem Anwalt in Berlin bei einem Immobilienmakler in Bayern für einen Kunden in Niedersachsen.