Achtung Abmahnung: Verschlüsselung von Kontaktformularen notwendig

(6 Bewertungen, 5.00 von 5)

Wir hatten bereits darüber berichtet, dass das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist, dass sämtliche Kontaktformulare auf Webseiten nur noch verschlüsselt angeboten werden dürfen. Dazu gibt es nun erste Abmahnungen von Seitenbetreibern mit unverschlüsselten Kontaktformularen.

Worum geht es?

Das Telemediengesetz (TMG) verlangt von Seitenbetreibern ein „anerkanntes Verschlüsselungsverfahren zum Schutz von personenbezogenen Daten“ auf Webseiten:

§ 13 Pflichten des Diensteanbieters

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Neben Bußgeldverfahren der Datenschutzbehörden gegen Seitenbetreiber, die ihre Kontaktformulare nicht verschlüsselt hatten kommt es in den letzten Wochen verstärkt auch zu Abmahnungen wegen unverschlüsselter Kontaktformulare.

Was sollten Seitenbetreiber tun?

Seitenbetreiber sollten prüfen, ob sie auf Ihrer Webseite ein Kontaktformular anbieten. Wenn ja, sorgen Sie umgehend für eine entsprechende Verschlüsselung der Prozesse. Achten Sie darauf, dass Sie möglichst das aktuelle „TLS“ (Transport Layer Security) statt des älteren ursprünglichen SSL-Protokolls wählen.

Auch für Bestellprozesse auf Webseiten und in Shops gilt dasselbe: Ohne (https)Verschlüsselung riskieren Sie Abmahnungen durch Wettbewerber und Bußgelder durch die Datenschutzaufsichtsbehörden.

 

Anzeige
Kommentare  
Oliver
+1 # Oliver 06.12.2017, 16:03 Uhr
Die Verbindung zum Webserver kann recht einfach verschlüsselt werden (https).
Was ist aber mit den mailversendenden Formularen? Diese sind in der Regel nicht verschlüsselt.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Petra
0 # Petra 07.12.2017, 11:14 Uhr
Hallo Oliver, wie kann ich die Verbindung zum Webserver (https) verschlüsseln? Kenne mich leider nicht aus.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
n.Olivier
0 # n.Olivier 07.12.2017, 18:42 Uhr
Hallo

Indem du dir für deine Webseite ein SSL Certificat besorgst.
Fast alle Provider unterstützen mittlerweile Lets Encrypt, was kostenlos ist.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Roland
+1 # Roland 06.12.2017, 20:10 Uhr
Was ist mit generischen Formularen, die zwecks Spamschutz von Fremdanbietern eingebunden werden, z.B. http://foxyform.de/
Die sind oft auch nicht über eine https-Seite zu erreichen. Muss man die dann raus nehmen, um einer Abmahnung den Boden zu entziehen oder reicht es, dass die eigene Seite verschlüsselt ist (also über https)?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Uwe Köhler
0 # Uwe Köhler 06.12.2017, 20:15 Uhr
Wenn nur die Mailadresse des Absenders und ein Nachrichtentext abgefragt wird, dann sollte es sich nicht um personenbezogene Daten handeln? Somit nicht abmahngefährdet sein?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
0 # Rechtsanwalt Sören Siebert 07.12.2017, 10:38 Uhr
Doch, genau das sind personenbezogene Daten.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
MrBird
0 # MrBird 06.12.2017, 20:44 Uhr
Soweit ich es verstehe .. reicht es nicht aus die Seite unter https zu stellen .. was bei kommerziellen Seiten eh Standard sein sollte. Man muss die Übertragung auch verschlüsseln. Dh php Mail ist ja dann nicht mehr möglich .. sondern muss zwingend über SMTP gesendet werden. Einen Fremdanbieter ohne https würde ich persönlich niemanden empfehlen. Egal ob der Service kostenfrei oder nicht ist.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Anne
0 # Anne 07.12.2017, 07:20 Uhr
"Geschäftsmäßig angebotene Telemedien" würde also zB Blogs ohne Gewinnabsicht, also nicht geschäftsmäßig, ausnehmen, oder?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Kuddel
+1 # Kuddel 07.12.2017, 11:31 Uhr
Das ist m.E. ja mal wieder ein unverständlicher Quatsch!?
Aus den ausgefüllten Daten eines Formulars werden E-Mails erstellt und versendet. Jeder weiß, dass E-Mails wie offene Postkarten sind und dass diese von jedem gelesen werden können.
Hier geht es um die "nichtige" Übertragung der Daten vom PC des Formularausfüllers an den Server, der daraus eine (oder zwei) Mails erstellt.

Also muss es doch wohl auch genügen, auf der Formularseite einen Hinweis zu platzieren, dass die ausgefüllten Daten transparent zum Server geschickt werden und dort als E-Mail weitergeleitet werden. Wer diese offene Übertragung nicht möchte, der soll stattdessen eine ebenson offene E-Mail schicken!

Nein, normal ist das wieder mal nicht und wenn das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist ..., dann sollte man das schon schnell wieder vergessen. Aber so ein Quatsch kommt ja meistens von der EU, das wird ja dann wohl auch nicht mehr lange dauern!? :-(
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
mumpel
0 # mumpel 22.05.2018, 21:47 Uhr
Es geht doch nicht um die Art in welcher Form die Email versendet wird, sondern darum dass sich kein Dritter ("Man in the Middle") zwischen Browser und Server setzen kann und das ein Dritter die Formulare nicht manipulieren kann.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Mandy
0 # Mandy 10.12.2017, 18:23 Uhr
Solange nur das Bayerische Landesamt Theater macht, geht es noch. Irgendjemand fängt mit Vorschlägen / Begründungen an. Ich denke nicht, dass die EU da mit einsteigt.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Ulrike
+1 # Ulrike 05.01.2018, 13:25 Uhr
Ich betreue eine Autorenseite, die bei einem Anbieter gehostet wird, der keine SSL-Verschlüsselung ermöglicht (ist für das 1. Quartal 2018 geplant). Wenn ich jetzt das Kontakformular von der Seite nehme und nur eine verlinkte Mailadresse z.B. in der Seitenleiste habe, ist das abmahnungswürdig?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Assmuss
-2 # Assmuss 17.01.2018, 22:31 Uhr
Ich find' schon lustig, dass weder diese Website noch das Kontaktformular selbst verschlüsselt angeboten wird ... Hier kann man doch eigentlich erwarten, dass mit einen guten Beispiel vorangegangen wird - oder?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
0 # Rechtsanwalt Sören Siebert 18.01.2018, 09:17 Uhr
@Assmuss

Was genau meinen Sie?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
+3 # Rechtsanwalt Sören Siebert 18.01.2018, 09:16 Uhr
https, grünes Schloss-Symbol, Global Sign Zertifikat, 256 Bit Schlüssel TLS...
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Alex
+1 # Alex 06.02.2018, 12:49 Uhr
Was ist mit Kommentarfunktion innerhalb eines Blogs? Wir sprechen immer nur von Kontaktformularen. Benötigt eine Seite, die eine Kommentarfunktion hat (meist in WordPress aktiviert) ein SSL-Zertifikat?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
mumpel
0 # mumpel 22.05.2018, 21:41 Uhr
Die DSGVO betreffend wird sehr viel Wirbel gemacht. Sogar privaten Seitenbetreibern wird eingeredet sie könnten Abmahnungen von Abmahnanwälten erhalten. Dieser Ansicht bin ich jedoch nicht. Denn wo soll da der Wettbewerb liegen? Bußgelder sind wieder ein anderes Thema. Mal davon abgesehen ist nichts 100%-ig sicher. Wer behauptet dass SSL/TLS 1005-ig sicher sei gehört dreimal täglich ausgepeitscht.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
mumpel
0 # mumpel 22.05.2018, 21:42 Uhr
zitiere mumpel:

1005-ig.

100%-ig natürlich (die Tastatur wieder). ;)
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Lerandy
+1 # Lerandy 28.05.2018, 13:25 Uhr
ist ein Kontaktformular überhaupt Pflicht? Falls nicht, werde ich mein Kontaktformular löschen, so habe ich ein Problem weniger !
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Anne
0 # Anne 31.05.2018, 13:51 Uhr
Kann man denn Seiten melden die nicht verschlüsselt sind? Wenn ja wo?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
fischB
0 # fischB 01.06.2018, 11:03 Uhr
zitiere Anne:
Kann man denn Seiten melden die nicht verschlüsselt sind? Wenn ja wo?

Am besten beim BayLDA! Die haben ein Onlineformular dafür ;)
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Thomas Lennartz
0 # Thomas Lennartz 17.06.2018, 12:19 Uhr
Ich versuche das Problem mal von der Umsetzungsseite zu lösen, d.h.: wäre denn die "sichere" Verschlüsselung eines Kontaktformulars - und zwar nicht nur auf dem Transport zum Server via SSL, sondern bis zum Empfänger, möglich?
Ja, dann sollte die Nachricht aber bereits clientseitig, d.h. im Webbrowser, so verschlüsselt werden, dass bis zur Ankunft beim Empfänger - und zwar nicht nur auf seinem Webserver oder seinem E-Mail-Postfach - die Nachricht von keinem Dritten gelesen werden kann.
Dafür habe ich mittels consultimator.com eine Lösung entwickelt, die hier vielleicht interessiert. Wenn nicht, bitte als Spam löschen:
Die Daten eines Kontaktfomulars werden dabei einschließlich Anhang bereits im Webbrowser des Absenders lokal per Javascript mittels AES und RSA verschlüsselt. Dazu wird ein RSA Public Key des Empfängers verwendet, der im Formular bereits hinterlegt ist. Die Daten werden dann in dem Zustand zunächst per SSL an den consultimator Server weitergeleitet, von dort an die E-Mail-Adresse des Empfängers. Ja, die "letzte Meile" ist ggf. nicht verschlüsselt, aber die Daten sind ohnehin so verschlüsselt, dass sie nur noch vom Empfänger gelesen werden können.
Der Empfänger kann die Daten dann in seinem Webbrowser - aber natürlich auch wieder nur lokal, mit seinem RSA Private Key entschlüsseln.
Der Absender bekommt von der gesamten Verschlüsselungsgeschichte nichts mit, muss sich darüber keinen Kopf machen.
Ich werde die Lösung voraussichtlich ab 1.7.2018 auch "offiziell" anbieten. Wer sie aber ggf. schon einmal vorab ausprobieren möchte, ist herzlich eingeladen. Kurze E-Mail an reicht. Oder einfach das auf der Seite consultimator.com vorhandene verschlüsselte Kontaktformular nutzen... ;-)
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
DW
0 # DW 18.06.2018, 09:49 Uhr
Diese Abmahnungen haben scheinbar Methode. Gerade ist eine Abmahnung wegen fehlender Verschlüsslung eines Kontaktformulars eingetroffen.

12.500 Euro von einem Anwalt in Berlin bei einem Immobilienmakler in Bayern für einen Kunden in Niedersachsen.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
OLG Frankfurt: Gegenabmahnung ist nicht rechtsmissbräuchlich Gerade im Internet sind wettbewerbsrechtliche Abmahnungen an der Tagesordnung. Wettbewerbsvereine oder auch direkte Mitbewerber können sich so gegen unlautere A...
Weiterlesen...
Filesharing Abmahnungen: Gesetzentwurf gegen Abmahnabzocke (nun doch) beschlossen   Am Mittwoch einigte sich die Bundesregierung auf das Gesetz gegen unseriöse Geschäftspraktiken im Abmahnwesen. Künftig beträgt der Streitwert bei erstma...
Weiterlesen...
Vorsicht Abmahnung - Unternehmen müssen Pflichtangaben in eMails beachten Alle Unternehmen, auf die das HGB, das AktG oder das GmbHG anwendbar ist, müssen in ihren Geschäftsbriefen verschiedene Pflichtangaben machen. Dazu gehören unte...
Weiterlesen...
Erstellen Sie kostenlos Ihr Impressum: der eRecht24 Impressums-Generator ist online Abmahnungen wegen unvollständiger Impressums-Angaben sind im Internet weiterhin an der Tagesordnung. Beugen Sie vor und erstellen Sie mit unserem Impressums-Gen...
Weiterlesen...
Fotoklau: Doppelte Lizenzgebühr bei fehlender Urhebernennung? Bei der einer Abmahnung wegen der nicht-lizensierten Verwendung von Bildern im Internet wird nicht selten über die Höhe des zu zahlenden Schadensersatzes gest...
Anzeige Datenschutz-Kit
Anzeige
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.        

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details