Bußgeld für Kontaktformulare ohne Verschlüsselung

it-sicherheit 35
News

Aus gegebenen Anlass soll an dieser Stelle noch einmal darauf hingewiesen sein, dass das Bayerische Landesamt für Datenschutzaufsicht derzeit Unternehmen in ihrem Zuständigkeitsbereich dahingehend überprüft, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert haben. Die Anforderung betrifft aber nicht nur Webseiten mit Kontaktformularen.

Was passiert derzeit?

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Wie ist die Rechtslage?

Die Pflicht eines Webseitenbetreibers, der Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz (TMG) ist, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich direkt nunmehr aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer dieses Jahres gilt.

Dieser besagt:

[…]
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
[…]

Aus dieser gesetzlichen Anforderung ergibt sich aber, dass nicht nur Webseiten mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z.B. Blogs oder Jobportale etc. betreffen.

Was ist ein sicher anerkanntes Verschlüsselungsverfahren?

Ein anerkanntes Verschlüsselungsverfahren für Datennetzwerke ist z.B. die Transport Layer Security (TLS).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit der Technischen Richtlinie TR-02102-2, Kryptographisches Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.

Weitere Empfehlungen geben auf europäischer Ebene die Study on cryptographic protocols (November 2014) der European Union Agency for Network and Information Security (ENISA) sowie auf globaler Ebene die Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (April 2014) des National Institutes of Standards and Technology (NIST).

Sämtliche Institutionen empfehlen grundsätzlich den Einsatz von TLS in der Version 1.2.

Was ist zu tun?

Es empfiehlt sich, die Webseiten des Unternehmens zu identifizieren, auf denen Webseitenbenutzer ihre personenbezogenen Daten an das Unternehmen als Webseitenbetreiber übermitteln und entsprechend auf diesen Seiten ein anerkanntes Verschlüsselungsverfahren zu implementieren.

Was sind die Rechtsfolgen bei Nichtumsetzung?

Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

15 Kommentare zu diesem Beitrag

  1. Interessanter Artikel. Mich würde interessieren, ob es eine Alternative darstellt, unter ein Formular zu schreiben, dass dieses die Daten nicht verschlüsselt versendet. Oder riskiert man dann trotzdem eine Abmahnung. Nicht jeder Kunde ist beispielsweise bereit (oder in der Lage) das Geld für eine solche Verschlüsselung zu bezahlen.

    Viele Grüße

    • Da es sich bei der Vorgabe zur Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im Rahmen des Einsatzes von Kontaktformularen um eine gesetzliche Pflicht aus § 13 Abs. 7 Satz 1 Nr. 2.a) Telemediengesetz (TMG) handelt und ein Unterlassen dieser gesetzlich vorgeschriebenen Maßnahmen bußgeldbewehrt ist, stellt es unserer Auffassung nach keine Alternative dar, keine angemessene technische (z.B. Verschlüsselung, siehe § 13 Abs. 7 Satz 2 TMG) oder organisatorische Maßnahme zu implementieren und dann auch noch darauf hinzuweisen.

      § 13 Abs. 7 Satz 2 TMG statuiert, was eine angemessene technische Maßnahme ist, nämlich die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Dies ist ein Beispiel. Wenn der Websitebetreiber einer gleichermaßen sichere technische Maßnahme zum Schutz von personenbezogenen Daten der Nutzer treffen kann, steht es ihm frei, diese einzusetzen.

  2. Das würde heißen, dass ich gesetzlich dazu verpflichtet bin, ein als nicht mehr sicher anerkanntes Verschlüsselungsverfahren auf den neuesten Stand der Dinge zu bringen ?

    Haftet generell der Betreiber ? und/oder muss der Webdesigner auch dafür gerade stehen ?

    • Der Gesetzgeber hat in § 13 Abs. 7 Telemediengesetz (TMG) geregelt, dass Diensteanbieter, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen haben, dass
      1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
      2. diese
      a) gegen Verletzungen des Schutzes personenbezogener Daten und
      b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
      gesichert sind.

      Vorkehrungen nach § 13 Abs. 7 Satz 1 TMG müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

      Das bedeutet, es muss ein zur Gewährleistung des geforderten Schutzes geeignetes und angemessenes Verfahren eingesetzt werden, z.B. ein als sicher anerkanntes Verschlüsselungsverfahren. Ein nicht mehr als sicher anerkanntes Verschlüsselungsverfahren sollte daher gegen ein als sicher anerkanntes Verfahren ausgetauscht werden.

      Diensteanbieter ist nach § 2 Nr. 1 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert. Dieser ist verantwortlich und muss beauftragte Dienstleister wie z.B. einen Webdesigner entsprechend beauftragen, geeignete und angemessene Sicherheitsmaßnahmen im Sinne des § 13 Abs. 7 TMG zu treffen. Zudem sollte der Diensteanbieter den Dienstleister diesbezüglich auch auf Einhaltung der Verpflichtung kontrollieren und dies dokumentieren.

  3. Gilt dies auch wenn das Kontaktformular die Daten in Form einer E-Mail an den Dienstleister weitergibt anstatt in einer Datenbank speichert?

    • Die Frage kann leider nicht einem eindeutigen „Unbedenklich“ oder „Bedenklich“ beantwortet werden, da § 13 Abs. 7 TMG noch recht neu ist.

      Laut Gesetzesbegründung soll die Regelung dazu dienen, die technische Sicherheit im Internet zu erhöhen und durch besser geschützte Webseiten z.B. die Verbreitung von Malware zu verhindern. Dies könnte dafür sprechen, dass ein Versand per E-Mail nicht bedenklich ist.

      Allerdings soll die Regelung auch dazu dienen, Verletzungen des Schutzes personenbezogener Daten zu verhindern. Da der Versand von unverschlüsselten E-Mails grundsätzlich auch ein nicht unerhebliches Risiko darstellt, ist der wahrscheinlich sicherste Weg eine Verschlüsselung auch des Kontaktformulars einzusetzen.

      • Nochmal präzise gefragt: Ein Kontaktformular, in dem der Kunde seine Daten einträgt und das dann nur per einfacher Mail an den Mailaccount des Dienstleisters verschickt wird, ist ok?

        • Sofern über eine Webseite Betroffene personenbezogene Daten eingeben können, sind gem. § 9 BDSG in Verbindung mit Anlage zu § 9 Satz 1 BDSG Maßnahmen zu treffen. Die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Eine Maßnahme der Weitergabekontrolle ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Für angemessene Maßnahmen betreffend Ihr konkretes Verfahren wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten.

  4. Was ich schade finde, das solche Gesetze auf dem Rücken der vielen kleinen Webseiten ausgetragen werden.
    Ich möchte das etwas konkretisieren:

    ‘dass Diensteanbieter, soweit dies technisch möglich und wirtschaftlich zumutbar ‘

    Als die Formulierung des Gesetztes gemacht wurde, hat sich der Gesetzgeber dabei etwas gedacht (so hoffe ich). Eine wirtschaftliche Umsetzung kann schon in Frage gestellt werden wenn ein kostenfreier Blog (ohne Werbung) plötzlich mit Kosten belegt wird. Wirtschaflich zumutbar ist nach allgemeinen Verständnis etwas wenn die Einnahmen die Ausgaben übersteigen. Bei 0 Einnahmen ist jede Ausgabe nicht mehr Wirtschaftlich.

    Weiter ‘Verantwortlichkeit für geschäftsmäßig angebotene Telemedien’ muß die Frage gestellt werden was ‘geschäftsmäßig’ bedeutet. Ich erinnere mich an die Impressumpflicht auch für die eigene Hompage. Auch hier wurde am anfang JEDEM eine ‘geschätsmäßigkeit’ unterstellt was heute zum Glück nicht mehr der fall ist.

    Ist es nicht viel mehr so, das hier ein Gesetzt mit Gewalt versucht wird durchzusetzen um den Datenschutzbeauftragten der Länder eine Daseinsberechtigung zu geben?

    Der Wunsch das Internet mit diesem Gesetz sicherer zu machen ist eine Illusion. Das Internet ist Global und bezieht sich nicht nur auf Deutsch gesetzte.

  5. Guten Tag,

    mal ehrlich, was heißt auf den Rücken der vielen kleinen Webseiten? Jeder Content Anbieter muss Sorge tragen, dass wenn man mit Benutzern in direkten Kontakt tritt, auch die User Daten zu schützen sind. Wenn Sie beispielsweise mit ihren Bankberater über einen Dispo Verhandeln, möchten Sie, dass der ganze Kassenraum ihr Anliegen mithört? Ich denke nein.

    Und finanziell sind 0 EUR für ein kostenfreies SSL-Zertifikat nicht zu viel. Das Problem liegt eigentlich wo anders. Nicht wenige private, aber auch gewerbliche Webseiten von KMU`s im Netz werden von Personen erstellt, z.B. der 12 jährige Neffen (der will ja mal später Informatik studieren), welche lieber die Finger davon lassen sollten. Kein Zweifel das dabei eine schöne Website raus kommt, weil WordPress kann jeder administrieren nur von Dingen wie strict-transport-security, x-frame-options, content-security-policy, x-xss-protection oder x-content-type-options, haben diese Personen noch nie was gehört und wie das TCP/IP Protokoll funktioniert, was es mit PORT 80 / 443 etc. auf sich hat. Was ist IP-Floating, welche wichtig Rolle spielt dabei der 53 Port?

    Alles im Allen wird von den großen Hostern mit großen Werbeaufwand verkauft, jeder kann eine Webseite erstellen, OHNE PROGRAMMIERKENNTNISSE, richtig erstellen ja, aber damit online gehen nein. Maximal als Arbeitsvorlag der Agentur ihres Vertrauens übergeben.

    Als IT-Admin/Programmierer habe ich auch ein paar kleine mediale Vertriebe von Anwaltskanzlein etc. im Depot, und mtl. Kosten von 6,90 EUR für einen vServer, eine gehärtete Serverkonfiguration für einmalig 299 EUR (inkl. aller Server-Updates, Serverhaftung für 1 Jahr), dann kann man seine WP-Installation drauf spielen lassen, und noch mit Sicherheitsanpassungen die WP-Installation optimieren, denn “Out of the Box” sollte auch keine WP-Installation online gehen. Mit dieser Vorgehensweise ist man als KMU auf der sicheren Seite. Wenn einem diese Dienstleistung zu teuer erscheint als KMU, kann ich nur solche Vorgaben und finanziellen Sanktionen befürworten, weil genau solche schlecht aufgestellten, unsichere Webprojekte, gehackt werden und als Mailwareschleudern online sind, und erst dadurch für die gesetzliche Verschärfungen gesort haben.

    Würden Sie am offenen Herzen lieber vom ASSI oder von einem Chirurg mit langjähriger Praxis operiert werden, Garantien gibt es bei keinem, aber die Chancen, dass im Ernstfall richtig reagiert wird, sind beim langjährig gedienten bestimmt höher.

    Beste Grüße
    cyber-konzept

    • Hier muss ich, selbst Programmier, mal massiv widersprechen. Das Internet ist keine Eliteveranstaltung und es sollte jedem möglich sein Inhalte online zu bringen. Wenn ich als Hacker auf ihre Daten scharf bin, denn bekomme ich die auch. Da helfen all diese Vorkehrungen recht wenig, irgendeinen Exploit gibt es immer. Gerade bei selbst verwalteten vServer ist das in der Regel nicht besonders schwierig. Dieses Gesetzt macht mal wieder wenig Sinn.

  6. Grundsätzlich sollte eine SSL Verschlüsselung für den Weg vom Client zum Server kein größeres Problem darstellen. Es gibt diese Verschlüsselung bzw. das Zertifikat kostenfrei unter startssl.com. Nebenbei erhöht das auch noch die Einstufung der Seite bei Google ein wenig. Nur so als kleiner Tipp.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.