Stolperfalle Kontaktformular

Trennlinie

Stolperfalle Kontaktformular

Hannover im Juli 2016

Beschäftigt man sich mit der Neugestaltung seiner Kanzlei-Webseite, ist ein Kontaktformular häufig automatisch „gesetzt“. Früher machte dieses Formular auch durchaus Sinn, aber mittlerweile ist es zu einem Datenschutz- und Informationssicherheits-Problemfall geworden.

Lesen Sie, warum die Datenschutzberater von scope & focus ihren Kunden von Kontaktformularen auf der eigenen Webseite abraten und empfehlen, unter Kontakt einfach nur eine E-Mail-Adresse anzugeben.

Ein Beitrag von Ulrike Hauser von unserer Tochterfirma scope & focus Service-Gesellschaft mbH.

Gesetzliche Neuregelungen durch das IT-Sicherheitsgesetz

Im Sommer 2015 ist das IT-Sicherheitsgesetz in Deutschland in Kraft getreten (siehe Kasten). In diesem Zuge wurden auch die Anforderungen an die Datenübermittlung bei Kontaktformularen angehoben. Dies betrifft Sie als Betreiber einer Webseite und somit Dienstanbieter im Sinne des

§ 2 Telemediengesetz (TMG). Das Bayerische Landesamt für Datenschutzaufsicht beanstandet aktuell Webseiten, deren Kontaktformulare nicht ausreichend gesichert sind.

In dem neu erstellten § 13 Abs. 7 TMG wird zwar nicht explizit von einer Verschlüsselungspflicht gesprochen, aber von geeigneten Maßnahmen – und diese sind momentan eine https-Verschlüsselung des Kontaktformulars mittels der Transport Layer Security (TLS) in der Version 1.2.

Weitere Informationen dazu hält unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) parat. Die technische Richtlinie TR-02102-2 thematisiert „Kryptische Verfahren: Empfehlungen und Schlüssellängen“ und Teil 2 explizit die „Verwendung von Transport Layer Security (TLS)“

Um die Seite mit dem Kontaktformular zu verschlüsseln, benötigen Sie ein Zertifikat. Diese gibt es kostenlos oder zu kaufen. Auf jeden Fall wird die Einrichtung der Verschlüsselung Ihren Webdesigner Zeit und Geld kosten. Zusätzlich muss Ihr Provider diese Technik unterstützen können.

Zu viele Pflichtfelder verstoßen gegen das Gesetz

Jeder kennt bestimmt die Situation, in der er ein Unternehmen online anschreiben möchte und auf ein Kontaktformular mit gefühlten tausend Pflichtfeldern trifft. Stellt sich Ihnen da nicht auch die Frage, warum Sie Ihre Post-Adresse angeben müssen, wenn Sie die Antwort doch als E-Mail erhalten möchten?

Die Unart, viele Felder in einem Kontaktformular als Pflichtfelder zu programmieren, stößt nicht nur manch einem Nutzer sauer auf, sie verstößt auch gegen § 3a BDSG, den Grundsatz der Datenvermeidung und Datensparsamkeit (siehe Kasten). Ich persönlich habe schon einige Male die Kontaktaufnahme abgebrochen, weil mir die Firma zu neugierig war und habe den Mitbewerber kontaktiert.


§ 3a BDSG - Datenvermeidung und Datensparsamkeit

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

IT-Sicherheitsgesetz vom 25.07.2015

Primär zielt das neue Regelwerk darauf ab, kritische Infrastrukturen, also solche mit essentieller Bedeutung für das staatliche Gemeinwohl, zur Einführung eines einheitlichen und hohen Schutzniveaus für ihre informationstechnologischen Systeme zu verpflichten und so der wachsenden Bedrohung von Cyber-Angriffen vorzubeugen. Dies soll längerfristig die Sicherheit derartiger Netzstrukturen verbessern und insbesondere rechtswidrige Zugriffe auf sensible Daten unterbinden.

§13 TMG - neu eingefügter Abs. 7

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese

a) gegen Verletzungen des Schutzes personenbezogener Daten und

b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.


Kein Mehrwert bei Nutzung eines Kontaktformular

Wird das Kontaktformular von einem Interessenten ausgefüllt, bekommen Sie eine ganz normale E-Mail in Ihr Postfach. In größeren Unternehmen kann der Vorauswahlbereich wie z.B. „Versand & Lieferung“, „Mein Konto“ oder „Bezahlen & Rechnung“ sehr sinnvoll sein. Dies kann jedoch auch durch die Einrichtung von so genannten Funktions-E-Mails gesteuert werden, wie z.B. rechnung@xyz.de oder versand@xyz.de.

Bei einem Kontaktformular sieht der Anfragende nicht, wo die Nachricht hingeschickt wird, es fehlt die Transparenz. Hat er jedoch eine E-Mail-Adresse und schickt eine E-Mail aus seinem E-Mail-Programm, so hat er die Nachricht unter „gesendete E-Mails“ in seinem System. Dies dient auch dem Dokumentationszweck.

Jeder, der schon mal ein Kontaktformular auf seinem Smartphone ausfüllen wollte oder musste, hat dieses bestimmt verflucht. Durch die vielen Felder gestaltet sich dieses Unterfangen als sehr umständlich. Eine einfache E-Mail-Adresse würde die eigene E-Mail-Anwendung öffnen, und es könnte einfach der Text getippt werden.

Versand von E-Mails

Auch bei der Kommunikation mittels E-Mail müssen mittlerweile erhöhte Anforderungen erfüllt werden, denn auch hier müssen die Daten der E-Mail-Absender geschützt werden. Erreicht wird dies ebenfalls durch den Einsatz von TLS 1.2. Das Bayerische Landesamt für Datenschutzaufsicht führt in seinem 6. Tätigkeitsbericht für die Jahre 2013 und 2014 auf Seite 165 dazu aus:

„[…] Aus diesem Grund müssen E-Mail-Server, die am Versand und Empfang personenbezogener Daten […] beteiligt sind, […] (die) Verschlüsselung unterstützen.[…] Eine Absicherung der E-Mail-Kommunikation […] erhöht den Schutz der Vertraulichkeit von E-Mail-Kommunikation bezüglich passiver Angriffe (z. B. Mitlesen eines E-Mail-Inhalts an einem Internet-Knotenpunkt) deutlich. […] Eine Ende-zu-Ende Verschlüsselung (ist) […] bei besonderen Arten personenbezogener Daten (u. a. Gesundheitsdaten) zwingend zusätzlich einzusetzen."

Weiterführende Informationen

Gesetze

http://www.gesetze-im-internet.de/tmg/__13.html

http://www.gesetze-im-internet.de/tmg/__14.html

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015

http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%255B@attr_id=%27bgbl115s1324.pdf%27%255D#__bgbl__%2F%2F*[%40attr_id%3D%27bgbl115s1324.pdf%27]__1462957896817

Kostenlose Zertifikate

https://www.openssl.org/

https://letsencrypt.org/

Technische Richtlinie TR-02102-2 - Kryptographische Verfahren: Empfehlungen und Schlüssellängen vom Bundesamt für Sicherheit in der Informationstechnik

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf?__blob=publicationFile&&v=1

6. Tätigkeitsbericht für die Jahre 2013und 2014 vom Bayerischen Landesamt für Datenschutzaufsicht Punkt 22.8 auf Seite 165

https://www.lda.bayern.de/media/baylda_report_06.pdf

Weiterführende Artikel zu diesem Thema

https://www.shopanbieter.de/news/archives/9483-keine-webformulare-ohne-ssl-akute-abmahngefahr.html

https://www.onlinehaendler-news.de/recht/20190-ssl-verschluesselung-kontaktformulare.html