Kommt das Bußgeld für Kontaktformulare ohne Verschlüsselung?

Derzeit prüft gerade das Bayerische Landesamt für Datenschutzaufsicht Unternehmen allerdings nur in Bayern, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert haben. Die Anforderung betrifft aber nicht nur Webseiten mit Kontaktformularen. Beanstandet werden kann, dass trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, unter Umständen keine angemessenen Schutzmaßnahmen wie eine verschlüsselte Datenübertragung beispielsweise implementiert sind.

Im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ist es Pflicht eines Website-Betreibers als Diensteanbieter ein anerkanntes Verschlüsselungsverfahren im Sinne des § 2 Nr. 1 Telemediengesetz (TMG), welches sich direkt nunmehr aus § 13 Abs. 7 TMG ergibt und im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer letzten Jahres gilt, zu implementieren.

Dieses besagt:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    1. gegen Verletzungen des Schutzes personenbezogener Daten und
    2. gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Somit ergibt sich aus der dieser gesetzlichen Anforderung, dass nicht nur Websites mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z. B. Blogs oder Jobportale etc. betreffen.

Für Datennetzwerke ist z. B. die Transport Layer Security (TLS) ein anerkanntes Verschlüsselungsverfahren. Mit der Technischen Richtlinie TR-02102-2, gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Empfehlung für das Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.

Auf der europäischen Ebene geben die Study on Cryptographic Protocols (November 2014) der European Union Agency for Network and Information Security (ENISA) sowie auf globaler Ebene die Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (April 2014) des National Institutes of Standards and Technology (NIST) weitere Empfehlungen.

Grundsätzlich empfehlen sämtliche Institutionen den Einsatz von TLS in der Version 1.2. Von daher ist es geboten, die Websites zu identifizieren, auf denen Benutzer ihre personenbezogenen Daten an das Unternehmen als Websitebetreiber übermitteln und auf diesen Seiten ein anerkanntes Verschlüsselungsverfahren zu implementieren.

Bei Verstößen gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG droht gem. § 16 Abs. 2 Nr. 3 bzw. Abs. 3 TMG (Ordnungswidrigkeit) eine Geldbuße von bis zu 50.000,- EUR je Verstoß.

Wir von der COMPRA unterstützen Sie natürlich gerne bei der korrekten Konfiguration Ihrer Website. Sollten Sie fragen zu dem Thema haben, setzen Sie sich einfach mit uns über +49 5121 7486 02 direkt per Mail an info@compra.de oder über unser Kontaktformular in Verbindung. Wir freuen uns über Ihre Kontaktaufnahme!