Die bayerische Datenschutzbehörde prüft aktuell verstärkt ob Unternehmen auf ihren Kontaktformularen anerkannte Verschlüsselungsverfahren im Einsatz haben. Das BayLDA möchte sehen, dass personenbezogene Daten, wie Name, Telefonnummer, Adresse und E-Mail-Adresse nur mithilfe einer HTTPS-Verschlüsselung oder Perfect Forward Secrecy übermittelt werden.
WORAUF BASIERT DIESE FORDERUNG?
Die Aufsichtsbehörde leitet die Notwendigkeit dieser Verschlüsselung aus dem § 9 BDSG ab: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“ bzw. aus § 13 TMG:
„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- 2. diese
- a) gegen Verletzungen des Schutzes personenbezogener Daten und
- b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
WIE SOLL MAN DAS UMSETZEN?
Heutzutage ist eine SSL-Verschlüsselung mit HTTPS eigentlich schon Standard. Wer hier aber wirklich noch Nachholbedarf hat, braucht keine Angst zu haben. Die Implementierung ist mit keinen nennenswerten Kosten verbunden und auch nicht schwierig oder zeitintensiv. Das genau ist aber auch der Grund warum das BayLDA diese auch in jedem Falle nach § 9 BDSG als „technisch möglich und wirtschaftlich zumutbar“ ansieht. Im optimalsten Falle verschlüsseln Sie die komplette Homepage, da § 13 TMG durchaus so auszulegen ist, dass hier alle Online-Services – über die Nutzer personenbezogene Daten übertragen -drunterfallen, und nicht nur Kontaktformulare – zu denen auch Newsletter-Anmeldeformulare zu zählen sind.
MUSS DAS WIRKLICH SEIN?
JA! Nicht nur, dass Sie die Daten Ihrer Kunden und Interessenten schützen sollten, Sie werden auch feststellen, dass diese eine Verschlüsselung Ihrer Webseite registrieren und dankbar annehmen werden. Abgesehen davon, ist natürlich mit Bußgeldern zu rechnen, die durchaus bis zu 50.000 Euro hoch ausfallen können. Die sind sicher anderweitig besser investiert.