DSGVO: Müssen Kontaktformulare jetzt verschlüsselt werden?

Fachbeitrag

Immer mal wieder taucht die Frage auf, ob eine Verschlüsselung der Kontaktformulare mittels SSL/TLS auf Webseiten notwendig ist. Wir beantworten diese Frage und untersuchen, welche Aussage die DSGVO diesbezüglich macht.

Was versteht man unter SSL/TLS?

Beim SSL-Protokoll (Secure Sockets Layer) handelt es sich um ein Verschlüsselungsverfahren zur vertraulichen, authentischen und integritätsschützenden Ende-zu-Ende Datenübertragung. Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll, welches auf SSL aufbaut.

Rechtmäßige Verarbeitung durch Kontaktformulare

Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet. Aufgrund des im deutschen Datenschutzrecht herrschenden Grundsatzes des Verbots mit Erlaubnisvorbehalt, benötigt jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage.

Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage. Hiernach ist eine Verarbeitung erlaubt, wenn:

  • sie auf einer Einwilligung basiert,
  • oder sie durch einen gesetzlichen Tatbestand ausdrücklich erlaubt ist.

Als gesetzlicher Erlaubnistatbestand für die Erhebung von personenbezogenen Daten durch Kontaktformularen auf Websites bietet sich das berechtigte Interesse aus Art. 6 Abs. 1, S. 1, lit. f) an.

Voraussetzung des Art. 6 Abs. 1, S. 1, lit. f) DSGVO:

  • ein berechtigtes Interesse des Webseiten-Betreibers,
  • die Bearbeitung der personenbezogenen Daten muss erforderlich sein,
  • eine Abwägung darf nicht zu dem Ergebnis kommen, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Hinzukommt, dass der Webseiten-Betreiber in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren muss. Ab dem 25. Mai 2018 richtet sich die Datenschutzerklärung nach Art. 13 DSGVO.

Notwendigkeit einer SSL/TSL Verschlüsselung nach DSGVO

Der Art. 32 Abs. 1 lit. a) DSGVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO. Art. 32 Abs. 1, lit. DSGVO legt fest, dass unter der Berücksichtigung von Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. In Art. 32 Abs. 1 lit a) DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt.

Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird auch vom BSI empfohlen. Zu beachten ist auch, dass schon unter dem § 13 Abs. 7 TMG ein Verstoß bei unverschlüsselten Kontaktformularen gesehen wurde und hierfür ein Bußgeld verhängt wurde. Daher sollten zumindest Websites, die zu gewerblichen Zwecken Kontaktformulare nutzen eine SSL- oder TLS Verschlüsselung verwenden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

7 Kommentare zu diesem Beitrag

  1. reicht SSL/TLS wirklich aus? In der Regel werden die Daten aus einem Kontaktformular von der Webseite per E-Mail an einen Empfänger versendet. Hier ist doch eine komplette Nachrichtenverschlüsselung z.B. per PGP notwendig, oder?

  2. Hallo DRE,

    PGP halte ich hier nicht für erforderlich, denn die meisten SMTP-Server sprechen auch verschlüsselt miteinander. Die Daten sind auf dem Weg durchs Internet also „geschützt“. Auf dem einzelnen Server liegen sie aber natürlich kurze Zeit in Klartext vor und auch in Logfiles könnten Metadaten (Email-Adressen) liegen bleiben. Hier muss aber der Serverbetreiber wiederum Sorge tragen, dass dies gelöscht wird.
    Email-Verschlüsselung ist aus meiner Sicht (noch nicht) Stand der Technik, sonst wäre es deutlich verbreiteter – hier hat die Bundesregierung vor ~20 Jahren mit ihrer Idee „alle private Keys müssen der Regierung zum mitlesen zur Verfügung stehen“ ganze Arbeit geleitet, das zu verhindern.

  3. Ist die Rechtsgrundlage wirklich Art. 6 Abs. 1 lit. f? Wenn ein Nutzer ein Kontaktformular in der berechtigten Erwartung ausfüllt, dass die Nachricht dem Empfänger zugestellt wird, sehe ich hier eher keine Interessenabwägung, sondern eine Notwendigkeit der Datenverarbeitung, um die angebotene Leistung (Kontaktformular) erfüllen (Zustellung) zu können. Könnte man darin nicht eine Art rechtsgeschäftsähnliches Schuldverhältnis (keine Leistungs- aber Rücksichtnahmepflichten) sehen und dies unter Art. 6 Abs. 1 lit. b fassen?

    Würde man auf Art. 6 Abs. 1 lit. f gehen, sehe ich zwei Probleme:
    1. Ich müsste bei jedem ausgefüllten Formular eine Interessenabwägung vornehmen – auch abhängig von den vom Nutzer ausgefüllten Daten. Das wird praktisch nicht möglich und auch vom Betroffenen nicht zu erwarten sein.

    2. Gibt ein Nutzer in einem Kontaktformular besondere Kategorien personenbezogener Daten an, ist die Übermittlung stets unzulässig, weil eine Interessenabwägung nach Art. 9 nicht in Frage kommt. Kann das sein?

    • Die Möglichkeit in diese Richtung zu argumentieren besteht natürlich auch. Jedoch würde es meines Erachtens gegen die Anwendung von Art. 6 Abs. 1 lit. b sprechen, dass zum Zeitpunkt des Ausfüllens des Kontaktformulars noch kein Vertrag zustande gekommen ist.

  4. Es gilt demnach aber doch auch die Einwilligung, oder? Wenn ich vor das Formular schreibe: „indem ich dieses Formular nutze, willige ich in die Verarbeitung der übertragenen Daten ein“.

    • Im deutschen Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist eine Verarbeitung von personenbezogenen Daten verboten, außer sie kann sich auf eine Rechtgrundlage stützen. Die Einwilligung stellt die Rechtgrundlage dafür dar, dass die Daten übermittelt werden dürfen. Durch die Einwilligung an sich, wird eine sichere Datenübertragung noch nicht gewährleistet.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.