Datenschutz auf Websites: Warum die Verschlüsselung von Kontaktformularen etc. wichtig ist

15.08.2018

Passwort

Die Website ist eine wichtige Schnittstelle zum Kunden. Sie dient nicht nur der Bereitstellung von Informationen, sondern ebenso dem Informationsaustausch. Je nach Website können Nutzer z.B. Fragen stellen oder Produkte kaufen. Hierbei ist die Übermittlung personenbezogener Daten möglich. Entsprechend haben Seitenbetreiber mehrere datenschutzrechtliche Aspekte zu berücksichtigen.

DSGVO verlangt sichere Übermittlung der Daten

Ein Aspekt ist die sichere Datenübermittlung. Sobald es sich um Daten mit Personenbezug (z.B. Name des Nutzers, seine Kontaktdaten etc.) handelt, ist die Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen. Website-Betreiber sind dazu angehalten, den Schutz besagter Daten zu gewährleisten.

Konkret verlangt die DSGVO im Hinblick auf die Übermittlung der Daten das Ergreifen organisatorischer und technischer Maßnahmen, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Im Fokus steht die Kommunikation bzw. der Datenaustausch zwischen Nutzer und Seitenbetreiber.

Diese Bereiche einer Website sind betroffen

Im Zusammenhang mit der gesicherten Datenübermittlung auf Websites wird häufig über Kontaktformulare gesprochen. Dies überrascht nicht, denn seit Inkrafttreten der DSGVO kam es diesbezüglich schon zu mehreren Abmahnungen. Grund war zumeist der, dass Nutzer entsprechende Formulare ausfüllen und z.B. ihre Namen oder E-Mail Adressen eintragen und versenden konnten, jedoch keine Verschlüsselung stattfand.

Der Nutzer verwendet typischerweise ein Endgerät, wie z.B. einen Laptop oder ein Smartphone, welches mit der Website bzw. dem Server des Unternehmens kommuniziert. Dritte, wie z.B. Internetprovider, könnten diese Daten einsehen. Genau dies ist das Problem des unverschlüsselten Datenaustauschs.

Allerdings sind keineswegs nur Kontaktformulare betroffen. Angenommen ein Kunde bestellt ein Produkt in einem Online-Shop. Schlussendlich muss er sich als Verbraucher gegenüber dem Shopbetreiber zu erkennen geben bzw. personenbezogene Daten mitteilen, damit ein rechtskräftiger Kaufvertrag zustandekommen kann. Ebenso muss er seine Adressdaten mitteilen, um den Versand der Ware zu ermöglichen.

Hinzu kommen viele weitere Bereiche, die auf eine Website betroffen sein können. Hierzu zählen u.a. Online-Umfragen, Petitionen und Anmelde-Felder für Newsletter. Somit ist der Datenschutz überall dort von Bedeutung, wo Daten mit Personenbezug erfasst und übermittelt werden.

Datenübermittlung am besten via Verschlüsselung absichern

Das Stichwort Verschlüsselung wurde bereits aufgegriffen. Das Feld der „technischen Maßnahmen“ bietet allerdings noch weitere Optionen, um eine sichere Übermittlung personenbezogener Daten zwischen Webbrowser (Nutzer) und Website (Seitenbetreiber) zu ermöglichen.

Eine Alternative zum Verschlüsseln der Daten ist die Pseudonymisierung. D.h. anstelle von Klarnamen werden Pseudonyme über das Internet übermittelt. Im Hinblick auf die Praxis scheint dieses Mittel jedoch eher ungeeignet zu sein, zumindest wenn sich Nutzer und Seitenbetreiber nicht kennen und somit keine Regeln hinsichtlich der Pseudonymisierung festlegen können.

Die Verschlüsselung personenbezogener Daten stellt eine Lösung für die sichere Datenübermittlung dar, die in der Praxis leichter zu handhaben ist. In der Praxis wird die Website-Kommunikation mittels SSL- oder TLS-Verschlüsselung abgesichert. Streng genommen basieren die heutigen Technologien fast allesamt auf TLS, doch bei den Seitenbetreibern / Webmastern hat sich die Bezeichnung SSL etabliert.

Die technische Realisierung gestaltet sich in den meisten Fällen relativ leicht. Der Seitenbetreiber sichert seine Website mit einem SSL-Zertifikat ab. Die meisten Webhoster / Betreiber von Rechenzentren bieten solche Zertifikate gegen niedrige Gebühren an. Die Einbindung erfolgt im Regelfall so, dass nicht nur einzelne Unterseiten (z.B. Kontaktformulare oder Checkout-Seiten im Online-Shop), sondern sämtliche Seiten der Domain abgesichert sind.

Welche Konsequenzen drohen bei einem Verstoß gegen die Datenschutzvorschriften?

Bei Datenschützen können mehrere Parteien gegen den Betreiber einer Website vorgehen. Da wäre zunächst die betroffene Person, deren Daten womöglich ohne Schutz übermittelt wurden. Ebenso kann die zuständige Aufsichtsbehörde für Datenschutz des jeweiligen Bundeslandes ihres Amtes walten und gegen den Seitenbetreiber vorgehen.

In der Praxis sind zunehmend häufiger wettbewerbsrechtliche Abmahnungen festzustellen. Wettbewerber, die beispielsweise ihre Kontaktformulare mittels SSL-Zertifikat abgesichert haben, gehen gegen Unternehmen vor, die keine Verschlüsselung oder andere Maßnahmen zum Schutz der Daten einsetzen.

Unabhängig davon, wer einen Verstoß beanstandet, hat der Seitenbetreiber mit ernsthaften Konsequenzen zu drohen. Sofern Betroffene oder Aufsichtsbehörden aktiv werden, droht die Verhängung eines Bußgeldes. Bei wettbewerbsrechtlichen Abmahnen wurden gegen Seitenbetreiber sogar schon Schadensersatzansprüche geltend gemacht. Bei Letzteren bleibt allerdings noch abzuwarten, wie sich die Rechtsprechung an deutschen Gerichten entwickelt bzw. diese bejaht oder abgelehnt werden.

Wir unterstützen Sie beim Datenschutz

Wir betreuen Unternehmen beim betrieblichen Datenschutz. Als externer Datenschutzbeauftragter entwickeln wir praxisgerechte Datenschutzkonzepte und kümmern und zugleich um deren Umsetzung. Gerne stehen wir auch Ihrem Unternehmen zur Seite. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 oder über unser Kontaktformular.