Datenschutzaufsicht: Bußgeld bei unverschlüsseltem Kontaktformular auf Website

Wie uns aus aktuellen Meldungen bekannt ist, beanstandet das Bayrische Landesamt für Datenaufsicht (LDA Bayern) Webseiten, die mittels Kontaktformularen persönliche Daten abfragen und diese ohne HTTPS-Verschlüsselung übertragen. Das LDA Bayern ist unter anderem für die Überwachung und die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern zuständig. 

Wenn Webseitenbesuchern, beispielsweise über Formulare, personenbezogene Daten eingeben und über das Internet übertragen, betrachten die Datenschützer die Verwendung einer Transportverschlüsselung (TLS bzw. HTTPS) für erforderlich, um auf dem Transportweg für den Schutz dieser personenbezogenen Daten zu sorgen. Gleichzeitig sei es notwendig, dass hierbei Verfahren zum Einsatz kämen, die auch eine nachträgliche Entschlüsselung des abgeschöpften Datenverkehrs erschweren (sog. Perfect Forward Secrecy).

Hintergrund dieser Anforderung sei, dass eine nicht-öffentliche Stelle nach § 9 BDSG die technischen und organisatorischen Maßnahmen treffen muss, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Im Rahmen der Zugangs-, Zugriffs- und Weitergabekontrolle (Anlage zu § 9 BDSG Satz 2 Nrn. 2 bis 4) seien insbesondere Verschlüsselungsverfahren nach dem Stand der Technik entsprechende Maßnahmen.

Dass persönliche Nutzerdaten besonders abgesichert werden müssen stellt grundsätzlich keine Neuerung dar. In der Online-Praxis sind jedoch sehr viele Anwendungen von dem Erfordernis der Verschlüsselung betroffen. Bereits bei einer Login- oder Kommentar-Funktion werden personenbezogene Daten, wie z.B. Name und E-Mail-Adresse, angegeben.

Nach Ansicht der LDA Bayern ist eine Absicherung durch eine Verschlüsselung über HTTPS ausreichend. Es müsse jedoch sichergestellt werden, dass die Verschlüsselung nicht umgangen werden kann.

Wenn im E-Mail-Verkehr schützenswerte Daten übermittelt werden, muss der Mail-Server

„so konfiguriert werden, dass diese eine opportunistische Transportverschlüsselung mittels SSL/TLS […] insbesondere auch STARTTLS zur Verschlüsselung unterstützen“.

Die E-Mail-Inhalte zu verschlüsseln und erst beim Empfänger wieder zu entschlüsseln, ersetzen die Pflicht zu STARTTLS nicht.

Was sollten Sie tun?

Wir empfehlen, alle Webformulare, die personenbezogene Daten abfragen, über SSL/HTTPS einzubinden, sowie einen direkten Seitenaufruf über http zu verhindern.

Auf Ihrem Mail-Server sollten Sie STARTTS als Übertragungsart einstellen (Prüfen Sie hier, ob Ihr Mail-Server STARTTS als Übertragungsart unterstützt).