Kontaktformulare richtig verschlüsseln – es drohen Abmahnungen!

Kontaktformulare auf Webseiten müssen verschlüsselt werden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kündigt an, dies nun umfangreich zu überprüfen. Seitenbetreiber, die unverschlüsselte Kontaktformulare auf ihrer Website anbieten, riskieren hohe Bußgelder und Abmahnungen. Wie eine richtige Verschlüsselung aussieht und wie sie umgesetzt wird, erfahren Sie hier.

Bußgelder von bis zu 50.000 Euro drohen

Ein neues Gesetz gibt es zwar nicht, allerdings hat das BayLDA eine „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ gestartet, wie kürzlich in einer Pressemitteilung angekündigt. Die Beamten haben es dabei besonders auf Kontaktformulare abgesehen, weil bei einer unzureichenden Verschlüsselung Kundendaten schwach oder gar nicht verschlüsselt übertragen werden und dadurch abgegriffen werden können. Wer sich nicht an die Regelungen hält, dem drohen Bußgelder von bis zu 50.000 Euro und Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände.

Nicht nur bayerische Seitenbetreiber sollten spätestens jetzt aktiv werden. Da das BayLDA bei technischen Prüfungen oft eine Vorreiterrolle einnimmt, ist es wahrscheinlich, dass die Aufsichtsbehörden anderer Bundesländer nachziehen. Experten gehen davon aus, dass es eine Abmahnwelle geben könnte.

Kontaktformulare mit HTTPS verschlüsseln

Was sollten Seitenbetreiber also tun, um keine Abmahnungen und Bußgelder zu riskieren? Kontaktformulare (dazu gehören auch Formulare zur Newsletteranmeldung) sollten dringend nach dem Stand der Technik verschlüsselt werden. Das ist momentan das bei HTTPS benutzte TLS (Transport Layer Security), auch bekannt als SSL (Secure Sockets Layer). Dieses Verschlüsselungsverfahren wird auch vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlen.

SSL-Zertifikat kostenlos und kostenpflichtig

Auf dem Weg zur HTTPS-Verschlüsselung brauchen Seitenbetreiber ein SSL-Zertifikat. Diese gibt es kostenlos zum Beispiel bei der Zertifizierungsstelle Let`s Encrypt, die von Google, Mozilla und Facebook unterstützt wird. Ein kostenloses Zertifikat reicht aus, wenn Daten verschlüsselt werden sollen. Soll zusätzlich auch die Identität der Website überprüft werden, das heißt, soll der Seitenbesucher sicher gehen können, dass hinter der besuchten Website auch der gewünschte Betreiber steckt, reichen kostenlose Zertifikate nicht aus. Kostenpflichtige SSL-Zertifikate mit Identitätsprüfung gibt es beispielsweise bei Thawte, Symantec, GeoTrust oder Rapid SSL.

Haben Seitenbetreiber ein SSL-Zertifikat erworben, muss dieses auf dem Server installiert werden. Die meisten Hosting-Anbieter übernehmen das für ihre Kunden. Die Installation kann aber auch selbst durchgeführt werden – meist ist sie in wenigen Schritten erledigt.

Extra-Tipps:

Diese Fehler bei der HTTPS-Verschlüsselung vermeiden

Wenn Sie wissen wollen, welche Fehler Sie bei der HTTPS-Implementierung auf keinen Fall machen sollten, dann empfehlen wir das Fundstück auf dem Blog des exali.de Geschäftsführers Ralph Günther: „10 Fehler, die ihr bei der HTTPS-Implementierung vermeiden solltet.“

HTTPS-Check des BayLDA

Das BayLDA bietet auf seiner Website den HTTPS-Check an. Dort kann jeder, also auch Seitenbetreiber selbst, die eigene oder andere Webseiten hinsichtlich HTTPS überprüfen lassen. Diesen Service gibt es derzeit jedoch nur für bayerische Websites. Anmerkung: Derzeit pausiert der HTTPS-Check des BayLDA. Alternativ können Sie auch den SSL-Check von EXPERTE.de nutzen.

Telemediengesetz verlangt „anerkanntes Verschlüsselungsverfahren“

Die gesetzliche Grundlage für die notwendige Verschlüsselung ist das Telemediengesetz (TMG). Danach müssen Seitenbetreiber ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ anwenden. In § 13 Abs. 7 TMG heißt es:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese

a) gegen Verletzungen des Schutzes personenbezogener Daten und

b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Business richtig absichern

Wer Kontaktformulare auf seiner Seite gar nicht oder nicht richtig verschlüsselt, dem drohen teure Abmahnungen. Doch nicht nur dabei kann datenschutzrechtlich etwas danebengehen. Mit der Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, kommen noch mehr Neuerungen auf alle zu, die in irgendeiner Form Daten verarbeiten. Wie beim Thema Verschlüsselung ist es auch bei der DSGVO wahrscheinlich, dass es zu Abmahnwellen kommen wird.

Damit bei einem Verstoß nicht gleich das ganze Business in finanzielle Schieflage gerät, sollten Sie frühzeitig an eine passende Absicherung denken. Die Berufshaftpflichtversicherungen über exali.de bieten den passenden Schutz individuell für Ihr Business. Im Falle einer Abmahnung wegen einer Datenrechtverletzung oder anderer Gründe prüft der Versicherer auf eigene Kosten, ob diese gerechtfertigt ist und übernimmt im Ernstfall die Schadenersatzzahlung.

Weitere interessante Artikel: