Immer mal wieder taucht die Frage auf, ob eine Verschlüsselung der Kontaktformulare mittels SSL/TLS auf Webseiten notwendig ist. Wir beantworten diese Frage und untersuchen, welche Aussage die DSGVO diesbezüglich macht.

Was versteht man unter SSL / TLS?

Beim SSL-Protokoll (Secure Sockets Layer) handelt es sich um ein Verschlüsselungsverfahren zur vertraulichen, authentischen und integritätsschützenden Ende-zu-Ende Datenübertragung. Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll, welches auf SSL aufbaut.

Rechtmäßige Verarbeitung durch Kontaktformulare

Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet. Aufgrund des im deutschen Datenschutzrecht herrschenden Grundsatzes des Verbots mit Erlaubnisvorbehalt, benötigt jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage.

Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage. Hiernach ist eine Verarbeitung erlaubt, wenn:

·        sie auf einer Einwilligung basiert,

·        oder sie durch einen gesetzlichen Tatbestand ausdrücklich erlaubt ist.

Als gesetzlicher Erlaubnistatbestand für die Erhebung von personenbezogenen Daten durch Kontaktformularen auf Websites bietet sich das berechtigte Interesse aus Art. 6 Abs. 1, S. 1, lit. f) an.

Voraussetzung des Art. 6 Abs. 1, S. 1, lit. f) DSGVO:

• ein berechtigtes Interesse des Webseiten-Betreibers,

• die Bearbeitung der personenbezogenen Daten muss erforderlich sein,
• eine Abwägung darf nicht zu dem Ergebnis kommen, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
  

Hinzukommt, dass der Webseiten-Betreiber in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren muss. Ab dem 25. Mai 2018 richtet sich die Datenschutzerklärung nach Art. 13 DSGVO.

Notwendigkeit einer SSL/TSL Verschlüsselung nach DSGVO

Der Art. 32 Abs. 1 lit. a) DSGVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO. Art. 32 Abs. 1, lit. DSGVO legt fest, dass unter der Berücksichtigung von Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. In Art. 32 Abs. 1 lit a) DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt

Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird auch vom BSI empfohlen. 

Zu beachten ist auch, dass schon unter dem § 13 Abs. 7 TMG ein Verstoß bei unverschlüsselten Kontaktformularen gesehen wurde und hierfür ein Bußgeld verhängt wurde. Daher sollten zumindest Websites, die zu gewerblichen Zwecken Kontaktformulare nutzen eine SSL- oder TLS Verschlüsselung verwenden.