Teilen Teilen Kommentare Drucken

SSL-Verschlüsselung bei der Verwendung von Kontaktformularen

Veröffentlicht: 22.10.2015 | Autor: Peggy Sachse | Letzte Aktualisierung: 23.10.2015 | Gelesen: 16893 mal

Online-Händler bekommen eine Menge Steine vom Gesetzgeber in den Weg gelegt. Nun verlangen Datenschutzbehörden auch die Einhaltung von datenschutzrechtlichen Vorgaben auf den Webseiten. Überprüfungen finden hierzu durch das Bayerische Landesamt für Datenschutzaufsicht statt. Es fordert, in einem Schreiben, das uns vorliegt, dass für Kontaktformulare eine SSL-Verschlüsselung verwendet wird.

Verschlüsselung: Schloss

(Bildquelle Verschlüsselung: wk1003mike via Shutterstock)

Das Bayerische Landesamt für Datenschutzaufsicht versendet aktuell Schreiben an Betreiber von Webseiten und beanstandet hierin die verwendeten Kontaktformulare. Dabei liegt die Problematik aus Sicht des LDA Bayern in der technischen Umsetzung der Übertragung sensibler Kundendaten. D

Gerügt wird darin, dass die personenbezogenen Daten, wie Name, Telefonnummer und E-Mail-Adresse nicht mithilfe einer HTTPS-Verschlüsselung bzw. der Verschlüsselungstechnik Perfect Forward Secrecy übertragen werden. Die Datenschützer führen aus, dass Maßnahmen zum Schutz personenbezogener Daten, die über ein Kontaktformular übertragen werden, zu ergreifen sind oder das Kontaktformular von Seite entfernt werden muss.

Gesetzliche Grundlagen für die SSL-Verschlüsselung

Gemäß § 9 Bundesdatenschutzgesetz (BDSG) müssen öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, entsprechende Maßnahmen treffen, um diese Daten zu schützen. Solche Maßnahmen können sowohl technischer also auch organisatorischer Natur sein. Allerdings müssen Websitebetreiber nur Maßnahmen ergreifen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

In der Anlage zu § 9 BDSG ist festgehalten, welche Ziele die Maßnahmen verfolgen müssen: Sie sollen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierfür sind Verschlüsselungsverfahren nach dem Stand der Technik zu verwenden.

Umsetzung der gesetzlichen Vorgaben auf den Webseiten

Inzwischen ist aus der SSL-Verschlüsselung die TLS (Transport Layer Security) geworden. TLS stellt eine Weiterentwicklung von Secure Sockets Layer (SSL) dar. Bei beiden Verfahren werden die Informationen während der Übertragung gesichert, meist mit HTTPS. Durch die Verwendung von Perfect Forward Secrecy wird die SSL-Verschlüsselung weiter gesichert.

Die Verwendung einer SSL-Verschlüsselung mit HTTPS ist inzwischen weit verbreitet, und damit eigentlich schon als Standard einzustufen. Die Implementierung ist relativ einfach und ohne größeren finanziellen Aufwand möglich. Daher ist es allen gewerblichen Betreibern von Webseiten auch im Sinne des Gesetzes zumutbar, eine solche SSL-Verschlüsselung einzubinden.

Darüber hinaus bietet eine SSL-Verschlüsselung auch weitere Vorteile. So werden von Google in einem Ranking Seiten mit HTTPS bevorzugt. Aber auch Kunden werden die Verwendung von SSL-Verschlüsselungen wohlwollend zur Kenntnis nehmen.

Kommentare  

#8 Redaktion 2017-06-13 14:11
Hallo Martin Vardy,

entscheidend ist, dass die personenbezogen en Daten verschlüsselt übertragen werden. Dabei spielt es unseres Erachtens nach keine Rolle, ob die ganze Seite verschlüsselt ist oder nur der "Kanal" in dem die Kontaktformular daten übertragen werden.

Beste Grüße
die Redaktion
Zitieren
#7 Martin Vardy 2017-06-13 08:06
Hallo,

mal ne Frage, wie sieht es denn aus wenn ich ein Kontaktformular via iframe von einer verschlüsselten Seite einbinde, dann werden die Daten verschlüsselt übertragen ohne das die Komplette Seite durch ein eigenes Zertifikat gesichert ist.
Zitieren
#6 Redaktion 2016-04-26 12:59
Hallo Svenja,

vielen Dank für Ihre Frage. SSL-Verschlüsse lungen sollten jedoch standardmäßig verwendet werden. Ein Hinweis, dass die Daten nicht verschlüsselt übersendet werden, kann hierfür keine rechtliche Abhilfe schaffen, denn hier geht es primär um den Schutz personenbezogen er Daten.


Viele Grüße,
die Redaktion
Zitieren
#5 Svenja 2016-04-25 11:03
Interessanter Artikel. Mich würde interessieren, ob es eine Alternative darstellt, unter ein Formular zu schreiben, dass dieses die Daten nicht verschlüsselt versendet. Oder riskiert man dann trotzdem eine Abmahnung. Nicht jeder Kunde ist beispielsweise bereit (oder in der Lage) das Geld für eine solche Verschlüsselung zu bezahlen.

Viele Grüße
Zitieren
#4 Redaktion 2015-11-12 09:35
Hallo Frank Seltmann,

in der Tat müssen auch solche Seiten verschlüsselt werden, wie Sie hier noch einmal genauer nachlesen können: https://www.shopanbieter.de/news/archives/9483-keine-webformulare-ohne-ssl-akute-abmahngefahr.html


Die Redaktion
Zitieren
#3 Frank Seltmann 2015-11-12 08:57
Sind den Kommentarfelder wie dieses hier auch betroffen? Schließlich werden personenbezogen e Daten ebenfalls übermittelt, auch wenn diese auf dem Server verbleiben.
Zitieren
#2 Derek Hermanns 2015-11-02 08:53
Man muss ja irgendwo Anfagen. Mit der Arguementation kann man ja als nächstes mit E-Mail verschlüsselung beginnen
Zitieren
#1 Henrik Steffen 2015-10-28 14:15
Es ist ja prinzipiell eine sehr gute Idee, dass Kontaktformular e per SSL oder TLS verschlüsselt an den Webserver übertragen werden.

Hat denn mal jemand darüber nachgedacht, was anschließend mit den Daten passiert? In der Regel schickt der Webserver die erhaltenen Daten per E-Mail unverschlüsselt an die zuständige Abteilung in der Firma des Empfängers.

Was bringt vorne raus eine Verschlüsselung , wenn es im nächsten Schritt bei 99% aller Kontaktformular dennoch unverschlüsselt weitergeleitet wird?
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.