Bußgeld für Kontaktformulare ohne Verschlüsselung

Aus gegebenen Anlass soll an dieser Stelle noch einmal darauf hingewiesen sein, dass das Bayerische Landesamt für Datenschutzaufsicht derzeit Unternehmen in ihrem Zuständigkeitsbereich dahingehend überprüft, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert haben. Die Anforderung betrifft aber nicht nur Webseiten mit Kontaktformularen.

Was ist zu tun?

Es empfiehlt sich, die Webseiten des Unternehmens zu identifizieren, auf denen Personenbezogenen Daten an das Unternehmen übermittelt werden.
Auf diesen Seiten muss ein anerkanntes Verschlüsselungsverfahren implementiert werden.

Was ist ein sicher anerkanntes Verschlüsselungsverfahren?

Ein anerkanntes Verschlüsselungsverfahren für Datennetzwerke ist z.B. die Transport Layer Security (TLS).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit der Technischen Richtlinie TR-02102-2, Kryptographisches Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.
Weitere Empfehlungen geben auf europäischer Ebene die Study on cryptographic protocols (November 2014) der European Union Agency for Network and Information Security (ENISA) sowie auf globaler Ebene die Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (April 2014) des National Institutes of Standards and Technology (NIST).
Sämtliche Institutionen empfehlen grundsätzlich den Einsatz von TLS in der Version 1.2.

Wie ist die Rechtslage?

Die Pflicht eines Webseitenbetreibers, der Diensteanbieter im Sinne des § 2 Nr. 1 Telemediengesetz (TMG) ist, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich direkt nunmehr aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes seit Sommer dieses Jahres gilt.

Dieser besagt:
[…]
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
[…]

Aus dieser gesetzlichen Anforderung ergibt sich aber, dass nicht nur Webseiten mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z.B. Blogs oder Jobportale etc. betreffen.

Was sind die Rechtsfolgen bei Nichtumsetzung?

Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Verschlüsselungstrojaner

Schon seit einiger Zeit verbreitet sich vermehrt Schadsoftware, welche bereits die ein oder andere öffentliche Einrichtung und viele Unternehmen infiziert hat.

Bei einer Infektion werden alle Daten, Dokumente und Datenbanken auf dem betroffenem PC und auf allen erreichbaren Netzlaufwerken verschlüsselt und sind danach nicht mehr lesbar!

Diese Trojaner verbreiten sich hauptsächlich per E-Mailanhang und über Sicherheitslücken in veralteter Software.

Generell gilt, bei E-Mailanhängen von unbekannten Absendern im Zweifel telefonisch beim Absender nachzufragen oder die E-Mail direkt zu löschen.

Anzeichen für eine Infektion sind z.B:

  • Warnmeldungen als Textdatei in jedem Ordner
  • Daten haben andere Dateiendung und lassen sich nicht mehr öffnen
  • Datenbankbasierende Programme lassen sich nicht mehr öffnen

Checkliste für zweifelhafte E-Mails

  • Wurde die korrekte Anrede verwendet oder nur eine nicht-personalisierte Anrede?
  • Ist Grammatik- / Rechtschreibung nicht korrekt?
  • Kommt die Absender-E-Mailadresse aus dem Ausland?
  • Ist die E-Mail nicht in der landestypischen Sprache?
  • Wo führen Links der E-Mail hin? (Mit der Maus über den Link fahren ohne zu klicken)
  • Werden knappe Fristen genannt?
  • Ist der E-Mailanhang eine .xls .xlsx .doc .docx .zip ?
  • Kennen Sie den Absender nicht persönlich?

Wenn diese Eigenschaften zutreffen ist die Gefahr recht hoch.
Prinzipiell kann aber jede E-Mail, auch von bekannten Absendern infiziert sein.

Im Zweifel löschen Sie die E-Mail oder Fragen bei uns nach.

Falls Sie den Verdacht haben, dass Daten im Netzwerk oder auf Ihrem PC verschlüsselt werden, fahren Sie sofort alle PCs im Netzwerk herunter und rufen uns an.