Unverschlüsselte Kontaktformulare sind ein erstes Indiz für Datenschutzmängel

Mindestens 25 Prozent der deutschen Webseiten sind noch nicht DSGVO-konform. Ein wichtiges Indiz für Probleme bei der Umsetzung der DSGVO ist die fehlende Verschlüsselung bei der Übertragung von Daten aus Kontaktformularen.

Ein SSL-Zertifikat ist nur eine der erforderlichen Maßnahmen

Die Datenschutzgrundverordnung (DSGVO) schreibt u. a. vor, dass personenbezogene Daten nur verschlüsselt übertragen werden dürfen (Art. 32 Abs. 1a DSGVO). Sobald personengebundene Daten auf einer Webseite verarbeitet werden, z. B. über einen Login oder ein Kontaktformular, ist HTTPS als Transportverschlüsselung eine erforderliche Sicherheitsmaßnahme.

Die meisten Online-Shops verfügen bereits über ein solches SSL-Zertifikat. Jedoch ist auch die korrekte Umsetzung nach den aktuellen Sicherheitsempfehlungen zu berücksichtigen.

Abhilfe leisten können Provider, Webmaster oder Agenturen, die für die Ausstellung eines solchen SSL-Zertifikats beauftragt werden können.

Das ein solches für eine Webseite besteht, ist daran erkennbar, dass bei einem Besuch der Formularseite das Signum „https“ als Initial erscheint. Dabei kann bereits das Fehlen des SSL-Zertifikates Grund für eine Abmahnung sein.

Auch Kleinbetriebe können von der Abmahnwelle getroffen werden

Verstößt ein Unternehmen gegen die DSGVO-Auflagen, können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Gesamtumsatzes verhängt werden. Aber das ist noch längst nicht alles. Abhängig von dem jeweiligen Land können weitere Datenschutzbestimmungen gelten, die sich von den in Deutschland festgesetzten Richtlinien unterscheiden.

Daher kann es auch auf einer lokalen Ebene zu weiteren Bußgeldern kommen und die Verantwortlichen zu einer persönlichen Haftung herangezogen werden. Das deutsche Bundesdatenschutzgesetz sieht neben möglicher Ordnungsgelder sogar Haftstrafen für die Verantwortlichen von bis zu drei Jahren vor.

Dementsprechend befinden sich Anwaltskanzleien bereits in umfangreichen Vorbereitungsarbeiten, um den ersten Gerichtsprozessen gerecht werden zu können. Die möglichen Abmahnungen können, auch wenn deren Ausmaß je nach Fall variiert, Unternehmen und Geschäftsführer hart, aber auch persönlich treffen. Daher besteht nicht nur eine gesetzliche, sondern auch eine zeitliche Notwendigkeit zu handeln.

Brauchen Sie einen Datenschutzbeauftragten? – Testen Sie es jetzt kostenlos!

(inkl. Testergebnis zum Download)


Eine DSGVO-gerechte Umstellung ist aufwändig und komplex

Die Datenschutzpraxis des eigenen Unternehmens zu überprüfen, verlangt zahlreiche Maßnahmen und ist zeitintensiv. Die Neuerungen können dabei je nach Branche variieren, abhängig davon, welche spezifischen Datenverarbeitungsprozesse und Verträge zu überprüfen sind und welche Auswirkung die geänderten Vorschriften für die jeweiligen Unternehmensprozesse haben.

Generell für jeden Betrieb relevant ist jedoch, das Impressum, sowie die Datenschutzerklärung zu überarbeiten und an die neuen Richtlinien anzupassen. Der Nutzer muss über jede Form der Verarbeitung seiner persönlichen Daten ersichtlich aufgeklärt werden. Das beginnt bereits damit, ihn darüber zu informieren, inwiefern seine persönlichen Informationen aus E-Mails und Kontaktformularen weiterverarbeitet werden.

Doch eine Überarbeitung von datenschutz-betreffenden Formularen ist erst der Anfang.

Ein Datenschutzbeauftragter (DSB) kann Betriebe entlasten

Eine DSGVO-Anpassung ist mit einem großen Arbeitsaufwand verbunden. Gleichermaßen anspruchsvoll ist es jedoch, über die für den jeweiligen Betrieb auch wirklich zutreffenden Gesetzgegebenheiten informiert zu sein, aber zukünftig auch zu bleiben.
Daher tendieren zahlreiche Firmen dazu, die Beratung eines Datenschutzbeauftragten (DSB) in Anspruch zu nehmen. Dafür gibt zwei Optionen.

Unterschiede zwischen internen und externen DSBs

Interne Datenschutzbeauftrage

Einerseits besteht die Möglichkeit, einen externen DSB zu engagieren, der als beglaubigter Datenschutzexperte, dem Unternehmen als Dienstleister zur Verfügung steht. Als Alternative dazu ist es ebenfalls möglich, einen betriebsinternen DSB zu engagieren. Der Unterschied zwischen diesen beiden Formen eines DSBs liegt vordergründig in den anfallenden Kosten.

Für einen internen DSB fallen neben dem regelmäßigen Gehaltszahlungen zusätzlich
Aus- und Fortbildungskosten an. Auch die Ausgaben für fachspezifische Literatur etc. hat der Betrieb zu tragen.

Externe Datenschutzbeauftrage

Externe DSBs haben den Vorteil, dass deren Leistungsumfang vorab vertraglich und transparent geregelt ist. Auch hinsichtlich der Haftung ist das Unternehmen mit einem externen DSB klar im Vorteil. Falls der interne DSB eine Fehlberatung leistet, bürgt dieser nur mit einer beschränkten Arbeitnehmerhaftung.

Die vollumfängliche Konsequenzen hat jedoch der Geschäftsführer zu tragen. Ein externer DSB stellt für das Unternehmen damit ein geringeres Risiko dar, da dieser selbst zur Rechenschaft gezogen wird. Der Nachteil eines externen DSBs liegt dafür in einer sehr langfristigen Einarbeitung in betriebsinterne Prozesse, die, vor allem in Anbetracht der nahe rückenden DSGVO Verordnung, zu einem langfristigen Aufschub führen kann. Viele Geschäftsführer sind jedoch verunsichert, inwiefern für ihr Unternehmen der Bedarf an einem DSB besteht.

Machen Sie jetzt einen ersten Schnelltest und finden heraus, welche Schritte sie noch heute unternehmen können.

Brauchen Sie einen Datenschutzbeauftragten? – Testen Sie es jetzt kostenlos!

(inkl. Testergebnis zum Download)