Immer mal wieder taucht die Frage auf, ob eine Verschlüsselung der Kontaktformulare mittels SSL/TLS auf Webseiten notwendig ist. Wir beantworten diese Frage und untersuchen, welche Aussage die DSGVO diesbezüglich macht.
Der Inhalt im Überblick
Was versteht man unter SSL/TLS?
Beim SSL-Protokoll (Secure Sockets Layer) handelt es sich um ein Verschlüsselungsverfahren zur vertraulichen und authentischen Datenübertragung zwischen zwei Kommunikationspartnern. Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll, welches auf SSL aufbaut.
Rechtmäßige Verarbeitung durch Kontaktformulare
Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet. Aufgrund des im deutschen Datenschutzrecht herrschenden Grundsatzes des Verbots mit Erlaubnisvorbehalt, benötigt jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage.
Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage. Hiernach ist eine Verarbeitung erlaubt, wenn:
- sie auf einer Einwilligung basiert,
- oder sie durch einen gesetzlichen Tatbestand ausdrücklich erlaubt ist.
Als gesetzlicher Erlaubnistatbestand für die Erhebung von personenbezogenen Daten durch Kontaktformularen auf Websites bietet sich das berechtigte Interesse aus Art. 6 Abs. 1, S. 1, lit. f) an.
Voraussetzung des Art. 6 Abs. 1, S. 1, lit. f) DSGVO:
- ein berechtigtes Interesse des Webseiten-Betreibers,
- die Bearbeitung der personenbezogenen Daten muss erforderlich sein,
- eine Abwägung darf nicht zu dem Ergebnis kommen, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Hinzukommt, dass der Webseiten-Betreiber in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren muss. Ab dem 25. Mai 2018 richtet sich die Datenschutzerklärung nach Art. 13 DSGVO.
Notwendigkeit einer SSL/TSL Verschlüsselung nach DSGVO
Der Art. 32 Abs. 1 lit. a) DSGVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO. Art. 32 Abs. 1, lit. DSGVO legt fest, dass unter der Berücksichtigung von Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. In Art. 32 Abs. 1 lit a) DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt.
Eine Verschlüsselung mittels eines SSL/TLS für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird auch vom BSI empfohlen. Zu beachten ist auch, dass schon unter dem § 13 Abs. 7 TMG ein Verstoß bei unverschlüsselten Kontaktformularen gesehen wurde und hierfür ein Bußgeld verhängt wurde. Daher sollten zumindest Websites, die zu gewerblichen Zwecken Kontaktformulare nutzen eine SSL/TLS Verschlüsselung verwenden.
reicht SSL/TLS wirklich aus? In der Regel werden die Daten aus einem Kontaktformular von der Webseite per E-Mail an einen Empfänger versendet. Hier ist doch eine komplette Nachrichtenverschlüsselung z.B. per PGP notwendig, oder?
Hallo DRE,
PGP halte ich hier nicht für erforderlich, denn die meisten SMTP-Server sprechen auch verschlüsselt miteinander. Die Daten sind auf dem Weg durchs Internet also „geschützt“. Auf dem einzelnen Server liegen sie aber natürlich kurze Zeit in Klartext vor und auch in Logfiles könnten Metadaten (Email-Adressen) liegen bleiben. Hier muss aber der Serverbetreiber wiederum Sorge tragen, dass dies gelöscht wird.
Email-Verschlüsselung ist aus meiner Sicht (noch nicht) Stand der Technik, sonst wäre es deutlich verbreiteter – hier hat die Bundesregierung vor ~20 Jahren mit ihrer Idee „alle private Keys müssen der Regierung zum mitlesen zur Verfügung stehen“ ganze Arbeit geleitet, das zu verhindern.
Ist die Rechtsgrundlage wirklich Art. 6 Abs. 1 lit. f? Wenn ein Nutzer ein Kontaktformular in der berechtigten Erwartung ausfüllt, dass die Nachricht dem Empfänger zugestellt wird, sehe ich hier eher keine Interessenabwägung, sondern eine Notwendigkeit der Datenverarbeitung, um die angebotene Leistung (Kontaktformular) erfüllen (Zustellung) zu können. Könnte man darin nicht eine Art rechtsgeschäftsähnliches Schuldverhältnis (keine Leistungs- aber Rücksichtnahmepflichten) sehen und dies unter Art. 6 Abs. 1 lit. b fassen?
Würde man auf Art. 6 Abs. 1 lit. f gehen, sehe ich zwei Probleme:
1. Ich müsste bei jedem ausgefüllten Formular eine Interessenabwägung vornehmen – auch abhängig von den vom Nutzer ausgefüllten Daten. Das wird praktisch nicht möglich und auch vom Betroffenen nicht zu erwarten sein.
2. Gibt ein Nutzer in einem Kontaktformular besondere Kategorien personenbezogener Daten an, ist die Übermittlung stets unzulässig, weil eine Interessenabwägung nach Art. 9 nicht in Frage kommt. Kann das sein?
Die Möglichkeit in diese Richtung zu argumentieren besteht natürlich auch. Jedoch würde es meines Erachtens gegen die Anwendung von Art. 6 Abs. 1 lit. b sprechen, dass zum Zeitpunkt des Ausfüllens des Kontaktformulars noch kein Vertrag zustande gekommen ist.
Hallo,
Ich würde mich auch für die Beantwortung von Frage 2 interessieren.
Die Verarbeitung von besonderen Kategorien personenbezogenen Daten ist grundsätzlich untersagt. Der Art. 9 II DSGVO macht hiervon einige Ausnahmen. Nach Art. 9 II lit. a) DSGVO ist eine Verarbeitung möglich, wenn der Betroffene dazu eingewilligt hat. Eine Lösung für Kontaktformulare, in denen auch Daten nach Art. 9 I DSGVO erhoben werden, könnte darin bestehen, dass eine solche Einwilligung vor dem Ausfüllen des Kontaktformulars abgegeben wird.
Die Einwilligung muss nicht vor den Ausfüllen abgegeben werden, sondern sie wird durch das Ausfüllen abgegeben.
Wer ein Kontaktformular ausfüllt, der willigt dadurch ein, dass seine Daten verarbeitet werden. Das ist ja der Zweck der Sache.
Hierzu ist anzumerken, dass das OLG Köln (Az.: 6 U 121/15) eine Checkbox mit Einwilligungstext unter einem Kontaktformular fordert. Daher ist das Ausfüllen des Kontaktformulars noch keine Einwilligung im datenschutzrechtlichen Sinne.
Es gilt demnach aber doch auch die Einwilligung, oder? Wenn ich vor das Formular schreibe: „indem ich dieses Formular nutze, willige ich in die Verarbeitung der übertragenen Daten ein“.
Im deutschen Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Grundsätzlich ist eine Verarbeitung von personenbezogenen Daten verboten, außer sie kann sich auf eine Rechtgrundlage stützen. Die Einwilligung stellt die Rechtgrundlage dafür dar, dass die Daten übermittelt werden dürfen. Durch die Einwilligung an sich, wird eine sichere Datenübertragung noch nicht gewährleistet.
Das Kontaktformular dient zur ersten Kontaktaufnahme zu einer bestimmten Sache.
Bei Anfragen zu Objekten über die Portale, wird ausser Name, Adresse, Telefonnummer, E-Mail häufig noch nach dem Einkommen und die Personenzahl gefragt.
Ist das noch konform mit der neuen DSGVO ?
Auch unter der DSGVO gilt das Datenminimierungsprinzip. Nach Art. 5 Abs.1 lit.c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
In einem Kontaktformular ist nur die Angabe der E-Mail-Adresse und des Anliegens immer zwingend zur Kontaktaufnahme erforderlich. Andere Angaben können in Einzelfällen zur Abwicklung hilfreich sein, sie sind aber nicht immer zwingend erforderlich. Dazu gehören auch die Angaben zur Personenzahl und zum Einkommen. Sie sind daher als freiwillig zu kennzeichnen.
Angenommen eine Webseite verwendet überhaupt keine Kontaktformular, und auch sonst kein Formular wo Daten eingegeben werden können.
Ist SSL dann trotzdem Pflicht?
Nehmen mir mal das Beispiel vimz.de – Pures HTML, kein CMS, keine Formulare
Eine reine HTML Seite ohne Kontaktformular o.ä. benötigt laut der neuen DSGVO dann (weiterhin) weder SSL/TLS noch einen Hinweis auf Verwendung von Cookies (wenn keine verwendet werden)?
Wie sieht es mit einer Datenschutzerklärung aus? Die IP Adressen der Besucher werden ja vermutlich weiterhin beim Hosting Provider der Website gespeichert, auch wenn man kein Logging wünscht. Dann sollte man doch auch darüber aufklären?
Wenn die Website keine SSL/TSL-Verschlüsselung und keine Cookies verwendet, müssen diese Punkte nicht in die Datenschutzerklärung der Website aufgenommen werden.
In der Datenschutzerklärung für die Website muss der Besucher darüber aufgeklärt werden, welche Daten von ihm erhoben werden, z.B. durch Webanalyse-Tools oder bei eine Anmeldung zu einem Newsletter. Auch über die Daten, die erhoben werden, wenn die Website besucht wird, ohne dass ein Login erfolgt, muss die Datenschutzerklärung Informationen beinhalten.
Ich versuche das Problem mal von der Umsetzungsseite zu lösen, d.h.: wäre denn die „sichere“ Verschlüsselung eines Kontaktformulars – und zwar nicht nur auf dem Transport zum Server via SSL, sondern bis zum Empfänger, möglich? Ja, dann sollte die Nachricht aber bereits clientseitig, d.h. im Webbrowser, so verschlüsselt werden, dass bis zur Ankunft beim Empfänger – und zwar nicht nur auf seinem Webserver oder seinem E-Mail-Postfach – die Nachricht von keinem Dritten gelesen werden kann.
Dafür habe ich mittels consultimator.com eine Lösung entwickelt, die hier vielleicht interessiert. Wenn nicht, bitte als Spam löschen:
Die Daten eines Kontaktfomulars werden dabei einschließlich Anhang bereits im Webbrowser des Absenders lokal per Javascript mittels AES und RSA verschlüsselt. Dazu wird ein RSA Public Key des Empfängers verwendet, der im Formular bereits hinterlegt ist. Die Daten werden dann in dem Zustand zunächst per SSL an den consultimator Server weitergeleitet, von dort an die E-Mail-Adresse des Empfängers. Ja, die „letzte Meile“ ist ggf. nicht verschlüsselt, aber die Daten sind ohnehin so verschlüsselt, dass sie nur noch vom Empfänger gelesen werden können. Der Empfänger kann die Daten dann in seinem Webbrowser – aber natürlich auch wieder nur lokal, mit seinem RSA Private Key entschlüsseln. Der Absender bekommt von der gesamten Verschlüsselungsgeschichte nichts mit, muss sich darüber keinen Kopf machen.
Ich werde die Lösung voraussichtlich ab 1.7.2018 auch „offiziell“ anbieten. Wer sie aber ggf. schon einmal vorab ausprobieren möchte, ist herzlich eingeladen. Kurze E-Mail an contact@consultimator.com reicht. Oder einfach das auf der Seite consultimator.com vorhandene verschlüsselte Kontaktformular nutzen… ;-)
Gilt das hier beschriebene auch im B2B-Umfeld oder nur ggü. dem Endverbraucher, also bei Kontaktformularen auf kommerziellen Webseiten, die sich an private Endkunden richten?
Meines Erachten gilt die im B2B und B2C Umfeld gleichermaßen.
Habe diesen Artikel zu einem Kunden als Argumentation weiterleiten können, vielleicht stellt er das ja dann um und verdiene noch was ;-) Besser hätte ichs auch nicht argumentiert können!
Hallo,
unsere Homepage [Link entfernt] hat ein Kontaktformular. Wir sind ausschließlich gemeinnützig und nicht gewerblich. Ist eine SSL-Verschlüsselung notwendig (für uns etwas teuer) oder reicht der Hinweis beim Kontaktformular, dass der Versand der eingegebenen Daten nicht SSL-verschlüsselt erfolgt mit Verweis auf unsere Datenschutzerklärung. Ist dieser Hinweis juristisch überhaupt nötig?
F. Kretschmer
Let’s Encrypt stellt Ihnen ein kostenloses SSL/TLS-Zertifikat aus und der technische Aufwand zur Einrichtung hält sich in Grenzen. Ob Nutzer aktiv auf technische und organisatorische Maßnahmen durch den Verantwortlichen nach Stand der Technik (wie es z.B. die Verschlüsselung ist) zum Schutz ihrer personenbezogenen Daten verzichten können, ist juristisch umstritten.
Ssl/tls ist keine ende-zu-ende Verschlüsselung!!!
Es ist nur eine Transportverschlüsselung.
Vielen Dank für den Hinweis. Wir haben den Beitrag entsprechend angepasst.