Müssen nun alle Websites mit Secure Sockets Layer (SSL) verschlüsselt werden? (Update)

datenschutz stempel und sicherheitsschloss ferkelraggae fotolia comWir empfehlen grundsätzlich, dass die komplette Website via Secure Sockets Layer (SSL) abgesichert wird. § 13 Abs. 7 TMG zwingt Diensteanbieter – so auch Betreiber von Internetseiten und Online-Shops – dazu, geeignete Vorkehrungen zu treffen, um ihre Präsenzen vor verboteneren Zugriffen auf personenbezogene Daten zu schützen. SSL ist derzeit als „Stand der Technik“ anzusehen und wird daher empfohlen. In diesem Beitrag erklären wir, was Sie beachten sollten.

Bildnachweis: datenschutz stempel und sicherheitsschloss – © ferkelraggae – foto

 

Grundlage – Das IT-Sicherheitsgesetz vom 17. Juli 2015

Nahezu unbemerkt trat eine Gesetzesänderung, für Betreiber von Internetseiten und Online-Shops, in Kraft. Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein sog. „Artikelgesetz“, durch welches verschiedene Fachgesetze überarbeitet bzw. ergänzt wurden. Es hat so zu einer Änderung des Telemediengesetztes (TMG) geführt.

§ 13 Abs. 7 Telemediengesetz

So heißt es nun in § 13 Abs. 7 TMG (in Kraft seit 1. Januar 2016):

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
„Stand der Technik“ und „anerkannte Verschlüsselungsverfahren“ als unbestimmte Rechtsbegriffe

Fraglich ist also was genau mit „Stand der Technik“ und „anerkanntem Verschlüsselungsverfahren“ gemeint ist. Obwohl es jüngst zu Angriffen auf SSL-Verbindungen kam, ist SSL (bzw. zumindest das weiterentwickelte TLS) dennoch, u.a. auch mangels Alternativen, als „Stand der Technik“ anzusehen. Theoretisch denkbar sind auch andere Methoden, um verbotene Zugriffe auf personenbezogene Daten verhindern. Welche das sein könnten, ist derzeit wohl noch unbekannt.

Folge bei Verstößen

Verstöße gegen diese neue Vorschrift können unter Umständen abgemahnt werden und sind bußgeldbewährt. So können staatliche Stellen gem. § 16 TMG bis zu 50.000 Euro Bußgeld verhängen.

Handlungsempfehlung- „force-SSL“

Stellen Sie sicher, dass keine manuellen Aufrufe von http:// mehr möglich sind. Entweder schreiben Sie dazu die .htaccess um, oder stellen Ihr CMS, bzw. Ihren Online-Shop auf „force-SSL“.

Update vom 26.06.2017

Ab dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Spätestens ab diesem Stichtag ist SSL für alle Formulare (Kontaktformulare, Bestellformulare, Online-Widerrufsformulare, etc.), sowie Newsletteranmeldungen und Online Shop Bestellprozesse gesetzlich vorgeschrieben.

Grundsatz für die Verarbeitung personenbezogener Daten: Integrität und Vertraulichkeit

Bei der Datenerhebung und -verarbeitung nach der EU-Datenschutzgrundverordnung gilt gemäß Art. 5 lit. f DSGVO der Grundsatz der Integrität und der Vertraulichkeit:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Fazit

Die Website oder der Online-Shop sollten durch eine SSL-Verschlüsselung (https://) abgesichert werden. Verschiedene Datenschutzaufsichtsbehörden fordern schon länger eine SSL-Verschlüsselung bei Kontaktformularen, Login-Bereichen und Bestellprozessen. Rechtsprechung zu dieser Frage liegt bislang noch nicht vor. Wir empfehlen aus Vorsichtsgründen, trotzdem alle (zumindest gewerblichen) Internetseiten mit einer SSL-Verschlüsselung auszustatten. Ab dem 25. Mai 2018 gilt die SSL-Pflicht ohnehin, so dass sich kaum noch Gründe gegegn SSL finden lassen. Je nach Hoster und Ausstattung des SSL-Zertifikat kommen hierbei Kosten in Höhe von ca. 100-300 € pro Jahr und Domain auf Sie zu. Kostenfreie SSL-Zertifikate sind seit kurzem erhältlich. Diese erhalten Sie unter https://www.letsencrypt.org. Die Einbindung ist ohne Dienstleister jedoch recht kompliziert und das Zertifikat muss alle 3 Monate verlängert werden. Es gibt div. Haftungsausschlüsse, so dass bei gewerblichen Internetseiter derzeit eher zu kommerziellen Zertifikaten zu raten ist. Eine SSL-Verschlüsselung kann außerdem zu einem besseren Ranking bei Google führen und sieht für den Seitenbesucher seriöser aus. 

Autor: Johnny Chocholaty LL.B. (Verfasst am 28. Juli 2016)

Johnny Chocholaty LL.B. ist Wirtschaftsjurist und Geschäftsführender Gesellschafter bei der Website-Check GmbH. Außerdem ist er vom TÜV-Rheinland zertifizierter interner und externer Datenschutzbeauftragter. Johnny Chocholaty ist verantwortlich für die Betreuung von mehr als 1.000 Website-Check Kunden im In – und Ausland.
Xing Twitter Facebook Linkedin

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!