Home » NEWS » Verschlüsselungspflicht von Kontaktformularen
image_pdfimage_print

Verschlüsselungspflicht von Kontaktformularen

Das Bayerische Landesamt für Datenschutzaufsicht beanstandet zurzeit Webseiten, die trotz Verwendung von Kontaktformularen, mittels derer personenbezogene Daten elektronisch übertragen werden, keine angemessenen Schutzmaßnahmen wie beispielsweise eine verschlüsselte Datenübertragung implementiert haben.

Die Rechtslage sieht hierbei wie folgt aus:
Die Pflicht eines Webseitenbetreibers, der Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz(TMG) ist, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich direkt nunmehr aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer dieses Jahres gilt.

Was ist ein sicher anerkanntes Verschlüsselungsverfahren?
Ein anerkanntes Verschlüsselungsverfahren für Datennetzwerke ist z.B. die Transport Layer Security (TLS).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit der Technischen Richtlinie TR-02102-2, Kryptographisches Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.
Weitere Empfehlungen geben auf europäischer Ebene die Study on cryptographic protocols (November 2014) der European Union Agency for Network and Information Security (ENISA) sowie auf globaler Ebene die Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (April 2014) des National Institutes of Standards and Technology (NIST). Sämtliche Institutionen empfehlen grundsätzlich den Einsatz von TLS in der Version 1.2.

Was ist zu tun?
Es empfiehlt sich, die Webseiten des Unternehmens zu identifizieren, auf denen Webseitenbenutzer ihre personenbezogenen Daten an das Unternehmen als Webseitenbetreiber übermitteln und entsprechend auf diesen Seiten ein anerkanntes Verschlüsselungsverfahren zu implementieren.
Was sind die Rechtsfolgen bei Nichtumsetzung?
Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Was sind die Rechtsfolgen bei Nichtumsetzung?
Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Comments are closed.