Die Verwendung unverschlüsselter Kontaktformulare auf Websites birgt erhebliche Gefahren – sowohl für die Nutzer als auch die Betreiber von Internetangeboten. Neben dem Interesse der Betroffenen am Schutz ihrer personenbezogenen Daten stellen sich zudem Fragen nach der Haftung des Anbieters.
Die Funktionsweise der unverschlüsselten Datenübertragung im Internet
Die Übertragung von Informationen in Datennetzwerken wie dem Internet erfolgt mit Hilfe von Übertragungsprotokollen. Ein äußerst geläufiges Übertragungsprotokoll ist etwa http (Hypertext Transport Protocol), das im Wesentlichen dafür genutzt wird, Websites in Webbrowsern darzustellen. Dazu sendet der Webclient (Nutzer) mittels Browser eine Anfrage (bspw. in Form einer Web-Adresse) an den Webserver. Dieser verarbeitet die Anfrage und sendet eine Antwort als html-Datei zurück. Die html-Datei beinhaltet neben unterschiedlichen unsichtbaren Informationen (Header) auch die eigentlichen Inhalte (Body) der Website in codierter Textform. Diese werden durch den Webbrowser ausgelesen und dem Nutzer grafisch dargestellt. Eine umgekehrte Kommunikation, nämlich die Übertragung von Daten des Webclients an den Webserver ist ebenfalls über http möglich, wobei dazu serverseitig ein zusätzliches Programm oder Skript eingesetzt werden muss.
Problem http – Kontaktformulare ohne Verschlüsselung
Problematisch an der Datenübertragung mittels http ist, dass die übermittelten Informationen uneingeschränkt auslesbar sind. Die transportierten Inhalte können also von allen Rechnern oder sonstigen Netzwerkteilnehmern, die sich insbesondere im gleichen Netzwerk befinden, mitgelesen werden. Dies mag auf den ersten Blick unkritisch erscheinen, schließlich sind die vom Webserver abgerufenen Inhalte meist ohnehin jedem zugänglich. Die Möglichkeit der einfachen Überwachung der aufgerufenen Inhalte durch Dritte führt allerdings dazu, dass ein systematisches Profil des Nutzers erzeugt werden kann. Darüber hinaus stellt sich aus datenschutzrechtlicher Sicht ein weiteres gravierendes Problem dar: Die Übermittlung von Daten des Webclients an den Webserver erfolgt bei der Verwendung http-basierter Kontaktformulare vollkommen unverschlüsselt. Somit können personenbezogene Daten, die der Nutzer über ein Kontaktformular eingibt, durch Unbefugte abgefangen und missbraucht werden.
Konsequenzen und Bedeutung unverschlüsselter Kontaktformulare
Da die Übermittlung personenbezogener Daten mittels Kontaktformular einerseits sehr bedeutsam für die Funktionalität etlicher Internetangebote ist, der Schutzbedarf der betroffenen Personen jedoch ebenfalls sehr hoch zu gewichten ist, überrascht es nicht, dass der Gesetzgeber hier die Notwendigkeit einer Regelung entdeckt hat. Mit dem Inkrafttreten des IT-Sicherheitsgesetzes am 14. August 2016 wurde dem Telemediengesetz (TMG) eine Bestimmung hinzugefügt (§13 Abs. 7 TMG), die Websitebetreiber verpflichtet, ihre Dienste gegen die Verletzungen des Schutzes personenbezogener Daten zu sichern. Insbesondere und explizit nennt der Gesetzgeber, die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens, als entsprechend adäquate Sicherungsmaßnahme. Die Unterlassung der Vornahme ausreichender Schutzmaßnahmen ist als Ordnungswidrigkeit bußgeldbewährt.
Mögliche Lösung – Verschlüsselung des Kontaktformulars mit https
Eine Möglichkeit der verschlüsselten Übertragung der Daten beim Einsatz von Kontaktformularen bietet die Verwendung von http in Verbindung mit TLS (Transport Layer Security), deren kombinierte Anwendung https (http Secure) bezeichnet wird. TLS ist als Fortentwicklung des bekannteren SSL Protokolls (Secure Socket Layer) zu verstehen. Die Anwendung der älteren SSL-basierten Verschlüsselung ist mittlerweile nicht mehr empfehlenswert, da sie als unsicher gilt. Allerdings werden TLS und SSL häufig synonym verwendet, sodass im Zweifelsfalle stets zu klären ist, welche Technologie tatsächlich zum Einsatz kommt.
Mit Hilfe des kryptographischen Protokolls TLS kann die Datenübertragung verschlüsselt und damit ungleich sicherer gestaltet werden. Ein wesentlicher Bestandteil des TLS-Protokolls ist der sog. Handshake: Vor der Übertragung von Daten zwischen Webclient und Webserver muss zwischen den beiden Kommunikationsteilnehmern eine gesicherte Verbindung aufgebaut werden. Der Server übersendet dabei dem Client auf dessen Anfrage (Eingabe der https-Adresse) ein Zertifikat, wodurch die tatsächliche Identität des Servers bestätigt werden soll. Nach der Prüfung der Gültigkeit des Zertifikats durch den Client wird ein gemeinsamer Sitzungsschlüssel erzeugt, der beidseitig für die Ver- und Entschlüsselung benötigt wird. Die Informationen, die über die entstandene gesicherte Verbindung übermittelt werden, können zwar ausgelesen aber nicht dekodiert werden, da nur Client und Server über diesen individuellen Sitzungsschlüssel verfügen. Eine verschlüsselte und somit gesicherte Übertragung von personenbezogenen Daten des Webclients an den Webserver, unter Zuhilfenahme eines Kontaktformulars, ist nun also möglich. Zu erkennen ist die sichere Verbindung an dem grünen Schlosssymbol in der Adressleiste des Browsers.
Voraussetzung für die Implementierung von TLS ist der Erwerb eines Zertifikates für den Webserver. Die eigentliche Implementierung des Zertifikates und des TLS-Protokolls erfolgt in der Regel recht unkompliziert durch den Hosting-Dienstleister. Gleichwohl sollte bei der Umstellung auf TLS und https einiges beachtet werden.
Weitere Vorteile der Implementierung von https für Kontaktformulare
Die Erreichbarkeit einer Website über https dient zuvorderst der Sicherheit der übermittelten Daten und damit auch dem Datenschutz. Zudem kann die Implementierung der Verschlüsselung, in Abhängigkeit zu den Möglichkeiten des konkreten Webauftrittes, gesetzlich vorgeschrieben sein. Daneben gibt es aber noch mehr gute Gründe für die Umstellung Ihrer Website auf https. Die Außenwirkung Ihres Internetauftritts gewinnt durch die gewissenhafte Einbindung von Verschlüsselungsmöglichkeiten an Seriosität. Ein weiterer nicht zu vernachlässigender Effekt ist, dass Websites in https von Suchmaschinen wie Google gegenüber Websites in http bevorzugt und damit besser gerankt und prominenter aufgelistet werden.
Fazit
Die Umstellung Ihrer Website von http auf https kann viele positive Effekte mit sich bringen. In erster Linie dient sie der (gesetzlich angezeigten) Sicherung von personenbezogenen Daten. Ob Sie von der gesetzlichen Pflicht zur Einbindung von Verschlüsselungsverfahren betroffen sind, kann Ihnen Ihr Datenschutzbeauftragter erläutern. Ebenso unterstützen wir Sie gerne bei der Umsetzung und erklären Ihnen, worauf Sie bei der Umstellung achten müssen und welches Vorgehen sich bei der Übermittlung personenbezogener Daten im Internet generell empfiehlt. Die Verwendung von Kontaktformularen ohne Verschlüsselung ist in jedem Fall als äußerst kritisch zu betrachten, da unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen können. Sollten Sie nach wie vor unverschlüsselte Kontaktformulare auf Ihrer Website anbieten, empfehlen wir Ihnen dringend tätig zu werden.
