Wer als Unternehmer den Begriff „Datenschutzproblem“ hört denkt an ein Webformular in seinem Internetauftritt wahrscheinlich zuletzt. Personaldokumente und den Zugang/Zugriff/Zutritt dazu, ja das hat doch was mit Datenschutz zu tun. Kollegen mit etwas Ahnung im IT-Bereich fallen dann vielleicht auch noch Stichworte wie „IP-Adressen“ und „Tracking“ (Google Analytics und Co.) ein. Bei E-Mail wird es dann vermutlich schon dünn, vielleicht kennt einer noch die Marketing-Luftnummer namens „De-Mail“. Mit dieser Wissenslücke räumt, zumindest in Bayern, das dortige Landesamt für Datenschutzaufsicht (LDA) auf.
Was hat ein Webformular mit Datenschutz zu tun?
Auf vielen Internetseiten wird ein Webformular angeboten, über das man mit der betreffenden Organisation in Kontakt treten kann. Zunehmend werden diese Formulare als einzige Kontaktoption angeboten (Geheimtipp: Im jeweiligen Impressum sollte eine obligatorische E-Mail-Sammeladresse stehen). Darin wird verpflichtend gefordert, mindestens einen Rückkanal anzugeben: Mailadresse, Telefonnummer, Nachrichtensofortversand (engl.: Messenger) oder ähnliches. Macht ja auch Sinn, denn wohin soll sonst die Antwort gehen? Meist muss auch noch der Name angegeben werden. Und voilà, schon haben wir personenbezogene Daten.
Es gibt auf vielen Webseiten aber auch noch mindestens ein weiteres Formular, das personenbezogene Daten verarbeitet — genau, die Authentisierungs- oder Login-Seite, die z. B. den Zugang zu einem Kundenbereich erlaubt. Oder die es einem erst erlaubt, Blogs zu kommentieren.
Begriffshygiene
Bevor ich jetzt weitermache definiere ich erst ein paar Begriffe, wie ich sie hier verwende:
- Server: Ein Softwareprogramm, dass eine bestimmte Funktionalität bereitstellt. Beispiele sind Mailserver, Webserver, Datenbankserver, usw.
- Rechner: Eine Umgebung, in der Server ausgeführt werden, sprich „laufen“. Das kann eine physische Blechkiste mit Mutterbrett, Zentralverarbeitungseinheit, Willkürlichkeitszugriffsspeicher und dem ganzen Kladderadatsch für die Bedienung sein. Oder aber eine „virtuelle Maschine“, also ein Softwareprogramm, das nur vorgaukelt, so eine Blechkiste zu sein („Fake“ Rechner).
- Nutzer: Die Person, die ihre Daten in das Webformular eingibt.
- Web-CMS: Ein Softwareprogramm („Content Management System“), das auf einem Webserver läuft. Damit kann man viel einfacher Webseiten erstellen, verwalten und pflegen.
- PHP: Eine Skriptsprache für Webserver. Viele Web-CMS werden damit geschrieben.
Was macht das Webformular mit den Daten?
Die Informationen in einem Webformular nützen nichts, wenn sie nicht irgendwo weiterverarbeitet werden. Also werden sie weitergereicht, übertragen:
- Die erste Übertragung findet vom Nutzer zum Webserver des Unternehmens statt.
- Informationen, die nicht auf dem Webserver selbst weiterverarbeitet werden, müssen ein zweites Mal übertragen werden. Die Inhalte werden aus dem Webformular entweder direkt als Datenpaket in eine Datenbank oder per E-Mail an einen Empfänger auf dem Mailserver des Unternehmens geschickt.
Was erwartet die Datenschutzaufsicht?
Dass Sie die Daten geschützt übertragen. Und zwar möglichst auch die Metadaten, also die „Daten über die Daten“. Daraus ergibt sich nach Meinung der Datenschutzaufsicht, dass es nicht reicht, die Informationen beispielsweise mit Verfahren wie PGP oder S/MIME zu verschlüsseln. Umgekehrt muss man die Daten nicht verschlüsseln, wenn sie über sichere Kanäle übertragen werden. Durch Verschlüsselungsprotokolle wie beispielsweise „Secure Sockets Layer“ (SSL) oder „Transport Layer Security“ (TLS) kann man die Übertragung sichern. Die Sicherung der Kanäle muss laut Telemediengesetz §13 Absatz 7 „dem Stand der Technik“ entsprechen, was nach bayerischer Auffassung bedeutet, dass Sie mindestens TLS in der Version 1.2 verwenden.
Was folgt für das Unternehmen?
Wer personenbezogene Daten über offene Wege wie das Internet überträgt sollte sicherstellen, dass er verschlüsselte Kanäle benutzt.
- Bei der ersten Übertragung auf Webseiten geschieht das durch die Verwendung von TLS (https://). Am besten so, dass die betreffende Seite gar nicht unverschlüsselt (http://) aufgerufen und damit der Schutz umgangen werden kann. Im Zeitalter von „Let’s Encrypt“ sind Kosten auch für diejenigen, die sonst kein Schlüsselzertifikat benötigen, keine Ausrede mehr. Am besten konfigurieren Sie den Webserver so, dass er alle Seiten nur noch verschlüsselt überträgt. Dann kann da auch keine Seite versehentlich „im Klartext“ durchrutschen.
- Bei der zweiten Übertragung betrachte ich jetzt nur den Versand per E-Mail, wie er von den Web-CMS oder deren Erweiterungen wie z. B. dem beliebten WordPress-Einbaumodul „Contact Form 7“ durchgeführt wird. Das ruft eine PHP-Funktion namens ‚mail()‘ auf. Bei den vielfach auf Linux basierenden Webservern wird dann ein ebenfalls auf dem Rechner laufender Mailserver (sendmail oder ähnliches) dazu verwendet, die Nachricht zu übertragen. Wenn dieser darauf eingestellt ist, den Versand über „STARTTLS“ durchzuführen, und wenn der empfangende Mailserver TLS-Verbindungen akzeptiert, ist alles gut. Allerdings kann man davon bei Webhosting-Angeboten, bei denen viele Webseiten zum günstigen Preis auf einem Server laufen, nicht unbedingt ausgehen. Dann bleibt als Alternative, ein weiteres Einbaumodul für das Web-CMS zu verwenden. Dieses ersetzt die „mail()“-Funktion so, dass die E-Mail direkt TLS-gesichert an den eigenen Mailserver geschickt wird. Sprechen Sie mal mit Ihrem Systemadministrator oder dem Webhoster, um herauszufinden, ob und wo Sie handeln müssen.
Sie können aber auch alles so belassen wie es ist und hoffen, dass Ihnen keine Datenschutzaufsicht, kein Unternehmer mit Abmahngeschäftsmodell und kein Kunde mit Bedürfnis nach Privatsphäre auf die Schliche kommt. Oder dass die Interessenvertreter der Datenhändler die gesetzlichen Grundlagen des Datenschutzes weiter aufweichen. Letzteres befürchten manche Kommentatoren im Internet im Rahmen der Anpassung des Bundesdatenschutzgesetzes auf die revidiere Europäische Datenschutz-Grundverordnung.
Zum Schluß
Das bayerische LDA prüfte Webseiten von Unternehmen daraufhin, ob sie die in einem Webformular anfallenden Daten auch geschützt übertragen. Wenn nicht, dann kam eine Mahnung mit der Aufforderung, innerhalb einer festgesetzten Frist für diesen Schutz zu sorgen. In den letzten Monaten ist es darum etwas ruhiger geworden. Hören wir weniger davon, oder wird weniger kontrolliert oder gefunden? Ich weiß es nicht. Wir übertragen verschlüsselt.
Bildnachweis: (C) notnixon, CC0 v1.0, Pixabay
Quellen: Nicola Straub, 30.11.2015, shopanbieter.de; Korbinian Zellner, 5.2.2016, datenschutzerklaerung.info; weitere Kanzlei- und Onlinehändler-News im Internet