Zum Inhalt springen Zur Navigation springen
Bußgeld für Kontaktformulare ohne Verschlüsselung

Bußgeld für Kontaktformulare ohne Verschlüsselung

Aus gegebenen Anlass soll an dieser Stelle noch einmal darauf hingewiesen sein, dass das Bayerische Landesamt für Datenschutzaufsicht derzeit Unternehmen in ihrem Zuständigkeitsbereich dahingehend überprüft, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert haben. Die Anforderung betrifft aber nicht nur Webseiten mit Kontaktformularen.

Was passiert derzeit?

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Wie ist die Rechtslage?

Die Pflicht eines Webseitenbetreibers, der Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz (TMG) ist, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich direkt nunmehr aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer dieses Jahres gilt.

Dieser besagt:

[…]
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
[…]

Aus dieser gesetzlichen Anforderung ergibt sich aber, dass nicht nur Webseiten mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z.B. Blogs oder Jobportale etc. betreffen.

Was ist ein sicher anerkanntes Verschlüsselungsverfahren?

Ein anerkanntes Verschlüsselungsverfahren für Datennetzwerke ist z.B. die Transport Layer Security (TLS).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit der Technischen Richtlinie TR-02102-2, Kryptographisches Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.

Weitere Empfehlungen geben auf europäischer Ebene die Study on cryptographic protocols (November 2014) der European Union Agency for Network and Information Security (ENISA) sowie auf globaler Ebene die Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (April 2014) des National Institutes of Standards and Technology (NIST).

Sämtliche Institutionen empfehlen grundsätzlich den Einsatz von TLS in der Version 1.2.

Was ist zu tun?

Es empfiehlt sich, die Webseiten des Unternehmens zu identifizieren, auf denen Webseitenbenutzer ihre personenbezogenen Daten an das Unternehmen als Webseitenbetreiber übermitteln und entsprechend auf diesen Seiten ein anerkanntes Verschlüsselungsverfahren zu implementieren.

Was sind die Rechtsfolgen bei Nichtumsetzung?

Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Interessanter Artikel. Mich würde interessieren, ob es eine Alternative darstellt, unter ein Formular zu schreiben, dass dieses die Daten nicht verschlüsselt versendet. Oder riskiert man dann trotzdem eine Abmahnung. Nicht jeder Kunde ist beispielsweise bereit (oder in der Lage) das Geld für eine solche Verschlüsselung zu bezahlen.

    Viele Grüße

    • Da es sich bei der Vorgabe zur Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Rahmen des Einsatzes von Kontaktformularen um eine gesetzliche Pflicht aus § 13 Abs. 7 Satz 1 Nr. 2.a) Telemediengesetz (TMG) handelt und ein Unterlassen dieser gesetzlich vorgeschriebenen Maßnahmen bußgeldbewehrt ist, stellt es unserer Auffassung nach keine Alternative dar, keine angemessene technische (z.B. Verschlüsselung, siehe § 13 Abs. 7 Satz 2 TMG) oder organisatorische Maßnahme zu implementieren und dann auch noch darauf hinzuweisen.

      § 13 Abs. 7 Satz 2 TMG statuiert, was eine angemessene technische Maßnahme ist, nämlich die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Dies ist ein Beispiel. Wenn der Websitebetreiber einer gleichermaßen sichere technische Maßnahme zum Schutz von personenbezogenen Daten der Nutzer treffen kann, steht es ihm frei, diese einzusetzen.

  • Das würde heißen, dass ich gesetzlich dazu verpflichtet bin, ein als nicht mehr sicher anerkanntes Verschlüsselungsverfahren auf den neuesten Stand der Dinge zu bringen ?

    Haftet generell der Betreiber ? und/oder muss der Webdesigner auch dafür gerade stehen ?

    • Der Gesetzgeber hat in § 13 Abs. 7 Telemediengesetz (TMG) geregelt, dass Diensteanbieter, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen haben, dass
      1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
      2. diese
      a) gegen Verletzungen des Schutzes personenbezogener Daten und
      b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
      gesichert sind.

      Vorkehrungen nach § 13 Abs. 7 Satz 1 TMG müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

      Das bedeutet, es muss ein zur Gewährleistung des geforderten Schutzes geeignetes und angemessenes Verfahren eingesetzt werden, z.B. ein als sicher anerkanntes Verschlüsselungsverfahren. Ein nicht mehr als sicher anerkanntes Verschlüsselungsverfahren sollte daher gegen ein als sicher anerkanntes Verfahren ausgetauscht werden.

      Diensteanbieter ist nach § 2 Nr. 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert. Dieser ist verantwortlich und muss beauftragte Dienstleister wie z.B. einen Webdesigner entsprechend beauftragen, geeignete und angemessene Sicherheitsmaßnahmen im Sinne des § 13 Abs. 7 TMG zu treffen. Zudem sollte der Diensteanbieter den Dienstleister diesbezüglich auch auf Einhaltung der Verpflichtung kontrollieren und dies dokumentieren.

  • Gilt dies auch wenn das Kontaktformular die Daten in Form einer E-Mail an den Dienstleister weitergibt anstatt in einer Datenbank speichert?

    • Die Frage kann leider nicht einem eindeutigen „Unbedenklich“ oder „Bedenklich“ beantwortet werden, da § 13 Abs. 7 TMG noch recht neu ist.

      Laut Gesetzesbegründung soll die Regelung dazu dienen, die technische Sicherheit im Internet zu erhöhen und durch besser geschützte Webseiten z.B. die Verbreitung von Malware zu verhindern. Dies könnte dafür sprechen, dass ein Versand per E-Mail nicht bedenklich ist.

      Allerdings soll die Regelung auch dazu dienen, Verletzungen des Schutzes personenbezogener Daten zu verhindern. Da der Versand von unverschlüsselten E-Mails grundsätzlich auch ein nicht unerhebliches Risiko darstellt, ist der wahrscheinlich sicherste Weg eine Verschlüsselung auch des Kontaktformulars einzusetzen.

      • Nochmal präzise gefragt: Ein Kontaktformular, in dem der Kunde seine Daten einträgt und das dann nur per einfacher Mail an den Mailaccount des Dienstleisters verschickt wird, ist ok?

        • Sofern über eine Webseite Betroffene personenbezogene Daten eingeben können, sind gem. § 9 BDSG in Verbindung mit Anlage zu § 9 Satz 1 BDSG Maßnahmen zu treffen. Die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Eine Maßnahme der Weitergabekontrolle ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Für angemessene Maßnahmen betreffend Ihr konkretes Verfahren wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten.

  • Ich benötige aber keine SSL-Verschlüsselung, wenn ich von meiner Seite direkt auf den Mail-Account des Kunden leite, richtig?

  • Was ich schade finde, das solche Gesetze auf dem Rücken der vielen kleinen Webseiten ausgetragen werden.
    Ich möchte das etwas konkretisieren:

    ‚dass Diensteanbieter, soweit dies technisch möglich und wirtschaftlich zumutbar ‚

    Als die Formulierung des Gesetztes gemacht wurde, hat sich der Gesetzgeber dabei etwas gedacht (so hoffe ich). Eine wirtschaftliche Umsetzung kann schon in Frage gestellt werden wenn ein kostenfreier Blog (ohne Werbung) plötzlich mit Kosten belegt wird. Wirtschaflich zumutbar ist nach allgemeinen Verständnis etwas wenn die Einnahmen die Ausgaben übersteigen. Bei 0 Einnahmen ist jede Ausgabe nicht mehr Wirtschaftlich.

    Weiter ‚Verantwortlichkeit für geschäftsmäßig angebotene Telemedien‘ muß die Frage gestellt werden was ‚geschäftsmäßig‘ bedeutet. Ich erinnere mich an die Impressumpflicht auch für die eigene Hompage. Auch hier wurde am anfang JEDEM eine ‚geschätsmäßigkeit‘ unterstellt was heute zum Glück nicht mehr der fall ist.

    Ist es nicht viel mehr so, das hier ein Gesetzt mit Gewalt versucht wird durchzusetzen um den Datenschutzbeauftragten der Länder eine Daseinsberechtigung zu geben?

    Der Wunsch das Internet mit diesem Gesetz sicherer zu machen ist eine Illusion. Das Internet ist Global und bezieht sich nicht nur auf Deutsch gesetzte.

    • Das ist ein wenig hinfällig, seitdem es lets encrypt gibt.

      Wenn man es selber technisch dann nicht hinbekommt, dann halt der Hoster, bei dem die Webseite liegt. SSL/TLS-Verschlüsselung ist nicht kompliziert.

      Und ja, an der Stelle muss Datenschutz wichtiger sein.

  • Guten Tag,

    mal ehrlich, was heißt auf den Rücken der vielen kleinen Webseiten? Jeder Content Anbieter muss Sorge tragen, dass wenn man mit Benutzern in direkten Kontakt tritt, auch die User Daten zu schützen sind. Wenn Sie beispielsweise mit ihren Bankberater über einen Dispo Verhandeln, möchten Sie, dass der ganze Kassenraum ihr Anliegen mithört? Ich denke nein.

    Und finanziell sind 0 EUR für ein kostenfreies SSL-Zertifikat nicht zu viel. Das Problem liegt eigentlich wo anders. Nicht wenige private, aber auch gewerbliche Webseiten von KMU`s im Netz werden von Personen erstellt, z.B. der 12 jährige Neffen (der will ja mal später Informatik studieren), welche lieber die Finger davon lassen sollten. Kein Zweifel das dabei eine schöne Website raus kommt, weil WordPress kann jeder administrieren nur von Dingen wie strict-transport-security, x-frame-options, content-security-policy, x-xss-protection oder x-content-type-options, haben diese Personen noch nie was gehört und wie das TCP/IP Protokoll funktioniert, was es mit PORT 80 / 443 etc. auf sich hat. Was ist IP-Floating, welche wichtig Rolle spielt dabei der 53 Port?

    Alles im Allen wird von den großen Hostern mit großen Werbeaufwand verkauft, jeder kann eine Webseite erstellen, OHNE PROGRAMMIERKENNTNISSE, richtig erstellen ja, aber damit online gehen nein. Maximal als Arbeitsvorlag der Agentur ihres Vertrauens übergeben.

    Als IT-Admin/Programmierer habe ich auch ein paar kleine mediale Vertriebe von Anwaltskanzlein etc. im Depot, und mtl. Kosten von 6,90 EUR für einen vServer, eine gehärtete Serverkonfiguration für einmalig 299 EUR (inkl. aller Server-Updates, Serverhaftung für 1 Jahr), dann kann man seine WP-Installation drauf spielen lassen, und noch mit Sicherheitsanpassungen die WP-Installation optimieren, denn „Out of the Box“ sollte auch keine WP-Installation online gehen. Mit dieser Vorgehensweise ist man als KMU auf der sicheren Seite. Wenn einem diese Dienstleistung zu teuer erscheint als KMU, kann ich nur solche Vorgaben und finanziellen Sanktionen befürworten, weil genau solche schlecht aufgestellten, unsichere Webprojekte, gehackt werden und als Mailwareschleudern online sind, und erst dadurch für die gesetzliche Verschärfungen gesort haben.

    Würden Sie am offenen Herzen lieber vom ASSI oder von einem Chirurg mit langjähriger Praxis operiert werden, Garantien gibt es bei keinem, aber die Chancen, dass im Ernstfall richtig reagiert wird, sind beim langjährig gedienten bestimmt höher.

    Beste Grüße
    cyber-konzept

    • Hier muss ich, selbst Programmier, mal massiv widersprechen. Das Internet ist keine Eliteveranstaltung und es sollte jedem möglich sein Inhalte online zu bringen. Wenn ich als Hacker auf ihre Daten scharf bin, denn bekomme ich die auch. Da helfen all diese Vorkehrungen recht wenig, irgendeinen Exploit gibt es immer. Gerade bei selbst verwalteten vServer ist das in der Regel nicht besonders schwierig. Dieses Gesetzt macht mal wieder wenig Sinn.

      • Kleiner Nachtrag, niemand sagt, dass das Internet eine Elite Veranstaltung sein soll, nur man soll sich mit der Materie befassen und nicht nur danach gehen, dass die Site hübsch ist. Die Naivität ist das, was uns Admins etwas ärgert.

        „Gerade bei selbst verwalteten vServer ist das in der Regel nicht besonders schwierig.“

        Jetzt kann ich nur aus meiner beruflichen Erfahrung etwas schmunzeln, ich übernehmen die Haftung für meine Arbeit, also sollte das schon etwas schwieriger sein, als nur mittels veralteten Exploit von Kali auf einen vServer los zugehen.

        Und sollte doch mal eine DNS-Floating anstehen, dann schalten sich die angegriffenen Server ab und default-server übernehmen den Job. Sollen die Script-Kidds doch im Honigtopf spielen. :o)

      • Ich kann mich meinem Vorredner nur anschliessen. Die selbsternannte „Elite“ scheint vergessen zu haben, dass die Nerds von Einst die Technik entwickelt und sie mit dem Ergebnis heute scheinbar ihr Geld verdienen. Wie schon bei der Verabschiedung von Normen scheint man hier nur durch Lobbyarbeit Beschlüsse zu fassen die anschliessend durch clevere Bürokraten zur Abmahnung genutzt werden. SSL ist weder Sicher noch eine Garant, dass deshalb irgendwas „Sicherer“ wird. Es soll wohl eher dazu dienen den Verkauf von Zertifikaten zu sichern und wieder den Rechtsabteilungen neue Möglichkeiten zu geben trotz erfolglosem Geschäft sein Heil durch Abmahnungen zu suchen. Man vergisst aber, dass die Gefahr eigentlich von Nicht-EU Domains kommt und selbst grosse Anbieter häufig gehackt werden. Die Millionen erbeuteten Daten konnte auch SSL bisher nicht verhindern. Wie auch wenn die Technik dahinter auf Standardeinstellungen und bekannten Sicherheitslöchern fusst. Während dessen kann man mühelos alle Vorschriften umgehen in dem man einfach eine Webseite in den USA hostet. Unsere Konkurrenten machen das z.B. und man findet weder einen Betreiber, noch einen Zuständigen Admin für die Webseite, weil diese nicht offengelegt werden müssen. Ein Pseudonym reicht völlig aus. Also was soll SSL ändern? Eben nichts, es erhöht nur den Aufwand, Kosten und das Risiko für rechtliche Belange weil es hier rein nach Kommasetzung zu gehen scheint. Ich würde mir wünschen das der Datenschutzbeauftragte eher dafür sorgen würde, dass Betreiber die aus dem Ausland ihr Geschäfte bei uns betreiben lokale Datenschutzbelange einhalten.

    • Wow, „ganze Kassenraum mithoert“, ist etwas uebertrieben.
      Nach 18 Jahren in der IT security industrie, bin ich NICHT in der lage das kabel-modems meines nachbarn abzuhoeren, (ohne vorher kriminell in sein Haus einzusteigen).

      Hier wird mit dem Term „Secure Socket Layer“ extrem schindluder getrieben.

      Selbst gegen phishing (auch schon eine illegale handlung in Deutschland) hilft TLS nicht wirklich. Oder wer weiss wem z.B. TuerkTrust zertificate mit wild-card ausstellt?

  • Grundsätzlich sollte eine SSL Verschlüsselung für den Weg vom Client zum Server kein größeres Problem darstellen. Es gibt diese Verschlüsselung bzw. das Zertifikat kostenfrei unter startssl.com. Nebenbei erhöht das auch noch die Einstufung der Seite bei Google ein wenig. Nur so als kleiner Tipp.

  • Jetzt wird´s offenbar zu unüberschaubar, kompliziert und gefährlich.. Soll ich jetzt überhaupt aufhören mit den Websites?

  • So wie ich das gelesen habe bezieht sich das auf Geschäftskunden also Gewerbe für eine private Webseite ohne finanziellen Hintergrund die ein Kontaktformular nutzt gilt diese SSL Verschlüsselung nicht?

  • Hören Sie endlich auf unbescholtene Bürger damit zu tyranisieren.

  • Mich würde interessieren ob ein Formular die Daten auf einer HTTP Seite auf eine HTTPS Seite senden kann? Dann würden doch wie gewünscht die Daten per SSL verschickt?

  • Dazu habe ich jetzt mal eine ganz blöde Frage:

    Wie schützt die Transportverschlüsselung vor – wie in $13 Abs. 7 Satz 2 TMG – unerlaubtem Zugriff auf die für ihre Telemedienangebote genutzten TECHNISCHEN EINRICHTUNGEN?

    Und warum macht das z.B. Spiegel Online immer noch nicht?
    Und ich wette, wenn ich 1000 Seiten mit Kontaktformularen suche, finde ich eine, die das verschlüsselt, und das wäre heise.de.

  • + In Ihrem Artikel beziehen Sie sich auf Kontaktformulare, dann etwas allgemeiner auf Webseiten wo Daten an das Unternehmen übermittelt wird:
    – Wie verhält es sich mit Umfragen, letztendlich auch nur Formulare, mit Angabe der E-Mail Adresse, ggflls sogar Name ?
    – Wie verhält es sich mit der Anforderung des Newsletter mit Hilfe eines Formulars (Angabe der E-Mail Adresse, ggflls sogar Name) ?
    + Wie schön das dieses Kommentarformular als eine „sichere Verbindung“ gekennzeichnet ist.

  • Wie kann man sicher sein, dass bei der Nutzung einer Homepage-Plattform wie z.B. beepworld oder von Homepage-Baukästen wie Strato oder 1und1, bei der auch Kontaktformulare angeboten werden, eine Verschlüsselung verwendet wird?? Man ist da auch nur Nutzer und sich für seine gebastelte Homepage dann als Diensteanbieter definieren zu lassen, ist auch schon sehr abenteuerlich. Das Internet sollte das Leben einfacher machen und nicht die Nutzer vor den Kadi bringen oder der Abmahnindustrie in die Hände spielen.

    • Strato-Shop bietet zwar eine sichere Übermittlung beim Kontaktformular an, allerdings hat man selber bisher keine Chance einen Verweis auf die Datenschutzerklärung einzubauen deren Akzeptanz per Pflchtfeld akzeptiert wird.

  • Hallo Zusammen!,
    Ich hab da eine frage, wo ich in moment nicht weis, ja es ist Pflicht, die neue Verschlüsselung haben zu müssen. Ich betreibe aus privater Hand ein nicht kommerzielles Webradio ohne finanziellen Hintergrund. Es werden auf Facebook des öfteren ständig Panikmache betrieben, ich möchte hiermit Klarheit mir darüber verschaffen über dieses Thema. Hinweis klar wir besitzen Bewerbungs und Kontaktformular und Werbung machen wir auch aber nehmen kein Geldbetrag ein, also machen das for free, weil wir Internetwebradios keine Gewinne erziehlen dürfen, sonst wäre die Steuernummer im Impressium Pflicht und man müsste dann Buch führen etc.Verlinkung zu Facebook wäre auch vorhanden, wobei das Anmeldefenster sich öffnet. Würde mich über eine Antwort freuen Lg der singende Poldy

  • Das alles kommt mir “päpstlicher vor als der Papst“. Ich muss also meinen kleinen Shop verschlüsseln, was mich evt. 300 Euronen kostet und ich einen jährlichen Umsatz von 100 Euro habe. Für einen Laien (so einer wie ich) ist es schwierig, die Seite zu verschlüsseln, trotz “Let’s Encrypt“.

    Pretty.Belinda 20.09.2047

  • Hallo, gewerbliche Seiten ohne Kontaktformular bzw. überhaupt ohne irgendwelcher Datenübertragungsformulare brauchen auch keine Verschlüsselung?

    • Soweit auf dieser Seite keine personenbezogenen Daten von Nutzern übertragen werden, ist eine Verschlüsselung nicht zwingend erforderlich.

  • Wie verhält es sich, wenn man ein SSL-Zertifikat von Wosign oder StartCOM verwendet, die nicht mehr von jedem Browser unterstützt werden? Technisch ist die Bedingung der Verschlüsselung erfüllt, jedoch können einige Browser die Domain nicht mehr mit SSL aufrufen.

  • Ich finde das ist kompletter Unfug. Undifferenziert so eine Forderung aufzustellen. Es macht doch wohl einen fundamentalen Unterschied ob bsp. das Kontaktformular eines Rechtsanwaltes, Arztes, eines online-Shops betroffen ist, wo ausser einer Nachricht und einer Antwortadresse auch relevantere Daten anliegen oder ob ein Hobbyist ein Kontaktformular für Interessenten an seinen Modellflugzeugen öffentlich macht. Insbesondere da der grossteil der Webseiten ja so strukturiert ist (Joomla, WordPress, Drupal, etc. pp.) dass das Kontaktformular die Daten erfasst und dann per email also inherent unverschlüsselt an eine nicht öffentlich mail-Adresse schickt. Was die ganze Anforderung generell ad absurdum führt. Kontaktformulare sind doch nur dazu da, vollständigere Informationssätze zu bekommen damit nicht 5 mal per email nachgefragt werden muss. Manche Formulare werden vom HTML-Formular sogar direkt per email (mailto) versendet. Ohne inhaltliche Qualifizierung diese Anforderung durchsetzen zu wollen, ist meiner Meinung nach nur Schikane bzw. Beutelschneiderei! Sinnvoll wäre eine Differenzierung kommerzieller (Verschlüsselung!) und privater (Hinweis auf fehlende Verschlüsselung wäre da hinreichend) Dienste/Webseiten. Sinnvoll wäre eine Differenzierung nach informativen Anfragen und Anfragen mit finanzieller oder rechtlicher Relevanz. Geschäften sind die damit verbundenen Aufwände zumutbar und die haben üblicherweise auch komplexere System im Backend als nur eine email. Der private Anbieter kennt zumeist das Gesetz nicht, bekommt (Achtung Satire!) eh nur 5 mails im Jahr über das Kontaktformular und 3 davon sind SPAM. Es soll doch nur wieder die Einstiegshürde für kleine und private Anbieter hochgestellt werden um die dann erst mal um ein „Eintrittsgeld“ zu erleichtern. So bereits vorgelebt durch ein verfehltes Signaturgesetz, diverse desaströse Secure-eMail Initiativen des Staates, CE Unfug den die BNetzA bei Import von Elektronik Komponenten betreibt, was unser Land beschädigt und im internationalen Wettbewerb zurückwirft. Und nicht zuletzt der ausufernde Abmahnwahnsinn im Land. Jetzt will also die Behörde das kostenpflichtige Abmahnen nicht mehr den Anwälten überlassen, ist ja auch verlorenes Geld. Das bringt doch viel mehr im schon so gebeutelten Staatssäckel.

  • Wie sieht es denn bei privaten Internetseiten aus? Wenn ich zB ein Webradio oder eine Clanseite betreibe, bei denen es keine Einnahmen gibt und alles privat finanziert wird.

    Ist SSL dort Pflicht, oder geht es um rein gewerbliche Seiten?

    Ich wäre über eine Antwort sehr froh, da ja doch aktuell alle über dieses Thema reden.

  • Der Link zu TMG für die im letzten Abschnitt genannten Rechtsfolgen bzw. Bußgelder ist defekt, da der §16 nicht mehr existiert, wie mir scheint! Bitte korrigieren!

    • Vielen Dank für den Hinweis. In der Tat handelt es sich hier um eine alte Fassung des TMG (§ 16 Abs. 2 Nr. 3 TMG aF), die spätestens mit dem Inkrafttreten des TTDSG im Dezember letzten Jahres abgelöst wurde. Die alte Fassung finden Sie bspw. unter: buzer.de/gesetz/7616/al115698-0.htm. Der Blogbeitrag stammt jedoch von November 2015, sodass dem Beitrag die zu diesem Zeitpunkt bestehende Rechtslage zugrunde lag.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.