SSL-Verschlüsselung von Kontaktformularen - Wohnungsbau-Gesellschaften im Visier der Datenschutzbehörden

Wie die Frankfurter Allgemeine Zeitung (F.A.Z.) im Oktober 2016 berichtete, haben mehrere Wohnungsbaugesellschaften hochsensible Daten ungeschützt auf ihren Internetseiten erhoben und dann weiterverarbeitet. Ungeschützt bedeutet in diesem Zusammenhang, dass die Daten unverschlüsselt auf den Internetseiten zur Verfügung gestellten Web-Formularen (Kontakt- Interessenten- und Suchformularen) erhoben wurden, obwohl die Unternehmen teilweise mit Datenschutzzertifizierungen auf ihren Websites warben.

Dabei wurden persönliche Daten über Einkommen, Arbeitsverhältnis und Sozialleistungen der Betroffenen erhoben und sodann unverschlüsselt über das Internet übermittelt.

Nach Angaben der F.A.Z. sollen mindestens neun Wohnungsbau-Unternehmen in fünf Bundesländern mit einem Bestand von insgesamt 230.000 Wohnungen, unter ihnen große Vermieter in Frankfurt, Köln, Duisburg, Stuttgart, Lübeck und Erfurt, betroffen sein.

Gesetzliche Vorgaben

Die gesetzliche Grundlage einer Pflicht zur Verschlüsselung der Daten lässt sich aus § 9 Bundesdatenschutzgesetz (BDSG) i.V.m. § 13 Abs. 7 TMG herleiten. Demnach müssen öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, ihnen zumutbare technische und organisatorische Maßnahmen treffen, um diese Daten zu schützen. In der Anlage zu § 9 Satz 1 BDSG werden die zu treffenden Maßnahmen wiederum konkretisiert. Insbesondere sollen die Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Anlage Nr. 4 - Weitergabekontrolle). Die Verwendung eines Verschlüsselungsverfahrens, welches dem Stand der Technik entspricht, wird am Ende der Anlage ausdrücklich als mögliche Maßnahme zur Erfüllung der Vorgaben des § 9 BDSG genannt.

Die Verwendung eines Verschlüsselungsverfahrens wird somit nicht direkt vom Gesetzgeber gefordert, sondern lediglich als Maßnahme, mit welcher der Schutz der Daten gewährleistet werden kann, hervorgehoben. Eine Verpflichtung besteht dementsprechend nur bezüglich des Schutzes der Daten vor unbefugten Zugriff. Zumindest theoretisch gestattet das Gesetz somit auch alternative Maßnahmen, die verbotene Zugriffe auf personenbezogene Daten verhindern. Im Rahmen von Web-Kontaktformularen und der Übertragung der dort eingegebenen personenbezogenen Daten, stellt die Verschlüsselung jedoch die technisch einzige Maßnahme zum angemessenen Schutz der Daten dar und kann dementsprechend als verpflichtend angesehen werden. So sehen dies auch alle Landesdatenschutzbehörden, die sich bislang hierzu geäußert haben (vgl. hier).

Stand der Technik

Um den Vorgaben des § 9 BDSG und § 13 Abs. 7 TMG gerecht zu werden, muss die Verschlüsselungstechnik dem Stand der Technik entsprechen und gleichzeitig den verarbeitenden Stellen zumutbar sein. Nach heute überwiegender Ansicht wird die Verwendung einer Secure Sockets Layer (SSL) Verschlüsselung (HTTPS) als Stand der Technik eingestuft. Aufgrund der relativ einfachen und ohne größeren finanziellen Aufwand möglichen Implementierung ist es den gewerblichen Betreibern von Websites auch zumutbar, eine SSL - Verschlüsselung zu verwenden. Details hier können Sie dem Blog-Beitrag unserer Tochtergesellschaft, der Website-Check GmbH entnehmen.    

Im Visier der Datenschutzbeauftragten

Mittlerweile ist die Problematik der unverschlüsselten Übermittlung von personenbezogenen Daten im Zusammenhang mit Web-Kontaktformularen auch zum Thema der Datenschutzbeauftragten der Bundesländer geworden. So berichtet die F.A.Z. in ihrem Artikel, dass die Landesämter für Datenschutz diesen Fällen nun nachgehen werden. Allen voran das Bayerische Landesamt für Datenschutz, welches derzeit eine Massenprüfung von Websites vorbereitet.

Fazit

Eine Verschlüsselung der Dateneingabe und Datenübermittlung bei Web-Kontaktformularen via SSL - Verschlüsselung entspricht heute dem Stand der Technik und wird von den Datenschutzbeauftragten der Länder in Zukunft kontrolliert. Aufgrund der immer häufigeren Ahndung von datenschutzrechtlichen Verstößen und den im Zusammenhang mit der kommenden Datenschutzgrundverordnung steigenden Bußgeldern, ist den Verwendern von Web-Kontaktformularen dringend zu raten, eine SSL – Verschlüsselung zu implementieren.

Fest steht, dass das Thema Datenschutz in Zukunft weiterhin an Bedeutung gewinnen wird und sich die Unternehmen bei Missachtung der gesetzlichen Vorgaben einer erhöhten Abmahngefahr aussetzen.

Bildquelle: mein auto mein boot mein schloss carlitos photocase.com