Abmahnwelle unverschlüsselter Kontaktformulare

Im Kontaktformular einer Webseite werden personenbezogene Daten eingegeben und an die Webseitenbetreiber übermitteln. Das stellt eine Übertragung personenbezogener Daten dar, die ein anerkanntes Verschlüsselungsverfahren benötigen - doch die wenigsten erfüllen das.

Wir klären ob die Verschlüsselung Pflicht ist und wie Sie diese implementieren können.

Verschlüsselung der Daten Pflicht?

Das Telemediengesetz (TMG) besagt in §2 Nr. 1, dass die Pflicht eines Webseitenbetreibers im Rahmen der Verwendung von Kontaktformularen zur Übertragung ein anerkanntes Verschlüsselungsverfahren ist.

Daraus geht ganz klar hervor: Die Verschlüsselung ist Pflicht.
Übrigens gilt dies für alle personenbezogenen Daten - auch wenn man mit gutem Anwalt, knädigen Richtern und Co auch einmal davon kommen kann, so wäre theoretisch auch die Eingabe der E-Mail für einen Newsletter verschlüsselungspflichtig.

Wie implementiere ich solch eine Verschlüsselung?

Zur Integration einer anerkannten Verschlüsselung wird unter anderem TLS (Transport Layer Security) verwendet.
Dazu implementiert man ein Zertifikat - ausgestellt durch vertrauenswürdige Seiten - für seine Domain.
Durch jüngste bekannte Sicherheitslücken in alten Zertifikaten durch veraltete Technologien empfiehlt sich stets die Verwendung von TLS in der Version 1.2. So ziemlich alle modernen Anbieter geben auch gar keine alten Verschlüsselungen mehr heraus.

Der Ablauf:

1. Verbindungsaufbau mit dem Server
2. Der Server antwortet mit seinem Zertifikat
3. Der Browser prüft das Zertifikat

In diesem Prozess (da gibt es unterschiedliche Verfahren) ein geheimer Schlüssel generiert, den nur der Browser (Client) und die Webseite (Server) kennt. Alle zu übertragenden Daten werden mit diesem Schlüssel verschlüsselt - und lassen sich auch nur darüber entschlüsseln.

Die meisten Provider bieten dazu voll automatisierte Services für Webspaces an. Dazu muss man lediglich den Instruktionen der Antragsformulare folgen. Bei Root-Servern und virtuellen Servern hingegen muss man meist die Integration selbst übernehmen, jedoch wird die Ausstellung oft automatisiert.
Sie müssen dazu aber nicht unbedingt ein Zertifikat über Ihren aktuellen Provider kaufen. Ein kostenloses erhalten Sie z.B. auch über startssl.com.

Gerne können auch wir Sie im gesamten Prozess unterstützen.

Webseite ganz verschlüsseln?

Im Kontaktformular, sofern vorhanden zur Newsletteranmeldung auf der Startseite, in der Registrierung, jeglichem Checkout, Befragungen & Co sind verschlüsselungspflichtig. Ist es dabei nicht empfehlenswert die ganze Webseite zu verschlüssen?

In unserem Beitrag "Rankingboost mit HTTPS" sind wir bereits auf diesem Thema eingegangen.
Allein durch die (wenn auch marginalen) Rankingverbesserung, der erhöhten Sicherheit aber auch das gesteigerte Vertrauen Ihrer Kunden empfehlen wir ein ganzheitliches Verwenden des SSL Zertifikates für Ihre Webseite - jeglicher Art.