Seit kurzem erreichen uns immer mehr Anfragen ob bei Kontaktformularen eine Verschlüsselung der von der Webseite übertragenen Daten notwendig ist. Die einfache Antwort ist Ja! Eine verschlüsselte Datenübertragung (SSL) ist mit dem endgültigen Inkrafttreten der DSGVO am 25.05.2018 Pflicht.
Technisch wird das durch das, auf dem Webserver zu installierende, SSL-Protokoll (Secure Sockets Layer) mit Sicherheitszertifikat durch akkreditierte Organisationen gelöst. Bekannte Aussteller solcher Sicherheitszertifikate sind unter anderen thawte, Symantec, GeoTrust, RapidSSL, Comodo oder LetsEncrypt. Allen gemeinsam ist, dass sie nach einer Ablaufzeit verlängert werden müssen um das Vertrauen zu behalten. Während die kostenpflichtigen Zertifikate Laufzeiten von 1-3 Jahren haben läuft das kostenlose Zertifikat von LetsEncrypt nach 3 Monaten bereits ab. Wir verwenden auf unseren Seiten Zertifikate von Comodo.
Was ist SSL / TLS?
Beim SSL-Protokoll handelt es sich um ein Verschlüsselungsverfahren zur vertraulichen, authentischen und integritätsschützenden Ende-zu-Ende Datenübertragung. Das heute als Standard geltende TLS-Protokoll (Transport Layer Security) ist eine Weiterentwicklung von SSL, wird aber „landläufig“ immer noch als SSL Verschlüsselung bezeichnet.
Datenübertragung durch Kontaktformulare und DSGVO
Bei der Erhebung von personenbezogenen Daten kommt die DSGVO ins Spiel. In einem Kontaktformular werden in der Regel E-Mail Adresse und Name abgefragt. Das sind per se immer personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, deren Erhebung einer Rechtsgrundlage benötigt.
Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage. Die Erhebung und Verarbeitung ist hiernach erlaubt, wenn:
- sie auf einer Einwilligung basiert,
- oder sie durch einen gesetzlichen Tatbestand ausdrücklich erlaubt ist.
Weitere Voraussetzung für den Einsatz eines Kontaktformulars ist, dass der Webseiten-Betreiber in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren muss. Ab dem 25. Mai 2018 richtet sich die Datenschutzerklärung nach Art. 13 DSGVO.
Abschließend kommt als nicht minder wichtiger Aspekt die sichere Übertragung vertraulicher personenbezogener Daten ins Spiel. Dies ist nur durch Verschlüsselung gewährleistet.
SSL Verschlüsselung ist nach DSGVO Kapitel 4 – Art. 32 – Abs. 1a Pflicht
Der Art. 32 Abs. 1a DSGVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1f DSGVO. Hier legt die. DSGVO fest, dass unter der Berücksichtigung von Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. In Art. 32 Abs. 1a DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt.
Die Verschlüsselung mittels des SSL / TLS-Protokolls für Kontaktformulare auf Webseiten entspricht dem Stand der Technik und wird auch vom BSI empfohlen. Zu beachten ist, dass schon unter dem § 13 Abs. 7 TMG ein Verstoß bei unverschlüsselten Kontaktformularen gesehen wurde. Daher sollten Webseiten, die zu gewerblichen Zwecken Kontaktformulare nutzen eine SSL Verschlüsselung verwenden um Abmahnungen und Bußgelder zu vermeiden.
Google Chrome » Firefox & Co
Neben den datenschutzrechtlichen Bedenken ist auch die Darstellung von nicht verschlüsselten Webseiten in aktuellen Browsern zu bedenken. Google Chrome, Firefox, Safari und andere Browser entziehen unverschlüsselten Webseiten schrittweise das Vertrauen. So werden Webseiten die nicht verschlüsselt sind in der URL-Eingabezeile schon heute als unsicher gekennzeichnet, wenn auf der Seite ein Login eingebunden und die Seite unverschlüsselt ist. Prüfen sie daraufhin Ihre Webseite. Eine solche Brandmarkung ist ein immenser Imageverlust Ihres Unternehmens. Hier ein Bild wie Firefox aktuell mit unverschlüsselten Seiten umgeht.
Google Chrome wir ab Juli 2018 noch eindringlicher vor unverschlüsselten Webseiten warnen. Damit einher geht auch ein Ranking-Vorteil in den Google Suchergebnissen für HTTPS-Seiten, der schon jetzt spürbar ist.
Mit SSL verschlüsselte Webseiten erhalten dagegen ein Sicherheit vermittelndes Schloss.