Update zur DSGVO – Muss die komplette Website SSL-verschlüsselt werden?

Gemäß Artikel 5 Abs. 1 lit. f DSGVO i.V.m. Art. 32 Abs. 1 lit. a DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
Es ist jedoch noch nicht abschließend geklärt, ob nach diesen Vorschriften nur besondere Funktionen der Website, wie Kontaktformular oder Newsletter-Anmeldung mit einer Verschlüsselung geschützt werden müssen.

Problem 1: Fallen bei jedem Internetseitenbesuch personenbezogene Daten an?

Zunächst muss geklärt werden, was personenbezogene Daten sind. Nach Art. 4 DSGVO (Datenschutzgrundverordnung) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Dies bedeutet, es muss eine natürliche Person mit Hilfe der Daten bestimmbar sein. Hierbei reichen z.B. „Standortdaten“, eine E-Mail Adresse bzw. eine Kennnummer aus. Daher sind alle in Kontaktformularen, Newsletteranmeldungen, Login-Daten, Bewerbungsformularen etc. eingegebenen Daten personenbezogene Daten im Sinne der DSGVO.

ACHTUNG: Weite Auslegung des Begriffs der personenbezogenen Daten und einzelne Meinungen!

Der Begriff der personenbezogenen Daten ist aus Gründen der Vorsicht entsprechend weit auszulegen. Beim Betreiben einer Internetseite fallen naturgemäß Log-Dateien und Zuordnungsdateien mit (dynamischen) IP-Adressen an. Diese IP-Adressen werden benötigt, um die Daten der Internetseite für den Seitenaufbau vom Hoster (Serverbetreiber) der Internetseite zum Internetseitennutzer (Empfänger der Daten) transportieren zu können. Ähnlich der Postanschrift werden diese Daten mit einer IP-Adresse versehen, die den Empfänger eindeutig identifiziert. Die IP-Adressen werden meist dynamisch vergeben und können sich regelmäßig ändern. Dynamisch sind IP-Adressen deshalb, weil sie durch die Router regelmäßig verändert werden. Nur so ist das Surfen auf einer Internetseite erst möglich. Der Webhoster (Serverbetreiber wie z.B. Strato, 1&1, All-Inkl, Jimdo) hat deshalb Einblick, welchem Nutzer er zu welcher Zeit welche dynamische IP-Adresse mit welchem Seiteninhalt zugeordnet hat. Der EuGH hat in einem Urteil vom 24.11.2011 – C-70/10 hierzu bereits festgestellt, dass es sich bei den dynamischen IP-Adressen für die Webhoster um personenbezogene Daten handelt. Das bedeutet, beim Webhoster fallen personenbezogene Daten an. Nach einer neuesten Rechtsprechung des EuGH handelt es sich bei der IP-Adresse auch für den Websitebetreiber um personenbezogene Daten. Jedoch nur dann, wenn dem Websitebetreiber rechtliche Mittel zustehen, Daten, die eine Identifikation ermöglichen, vom Internetzugangsanbieter (Provider) herauszuverlangen. Als »rechtliches Mittel« genügt hierbei schon, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.
In der DSGVO ist die Problematik des Personenbezugs von IP-Adressen jedoch nicht abschließend geregelt. Ebenso liegen wegen der Geltung der DSGVO erst am 25.05.2018 noch keine entsprechenden Urteile vor.
Klarheit gibt jedoch ein neues Urteil des BGH vom 16.05.2017 – VI ZR 135/13, wonach die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Websites ein personenbezogenes Datum darstellen.
Das Bayerische Landesdatenschutzzentrum hat sich dieses Themas ebenfalls angenommen und bietet bereits die Möglichkeit, dass Internetseitennutzer Websites auf die Verschlüsselung hin überprüfen lassen können https://www.lda.bayern.de/de/httpscheck.html. Die Ergebnisse der Prüfung werden den Websitebetreibern postalisch zugestellt.
Zudem bleibt »das gesetzgeberische Ziel die Sicherstellung eines angemessenen Schutzniveaus im Sinne der Betroffenen«, weshalb »mit wirtschaftlichen Argumenten […] daher keine unzureichenden Schutzmaßnahmen gerechtfertigt werden [können]« (Grages in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 32 DSGVO, Rn. 3). Ein angemessenes Schutzniveau richtet sich auch nach den allgemein auf dem Markt zu findenden Sicherheitsmaßnahmen. Dies ist mittlerweile die Verschlüsselung der gesamten Website. »Einen Anhaltspunkt können auch die technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI-TR) bieten« (Grages in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 32 DSGVO, Rn. 9). Je mehr Websites eine TLS Verschlüsselung vornehmen, umso mehr ist davon auszugehen, dass eine vollständige Verschlüsselung dem Stand der Technik entspricht. Die vollständige Verschlüsselung der Website ist mittlerweile mit geringem technischen und finanziellen Aufwand möglich.

Andere Ansicht: Nur bestimmte Bereiche der Website, in denen offensichtlich personenbezogene Daten übertragen werden, müssen verschlüsselt werden

Nach einer gegenteiligen Ansicht wird angenommen, dass lediglich die besonderen Funktionen der Website, welche offensichtlich personenbezogene Daten übertragen, (z.B. Kontaktformular, Newsletteranmeldeformular, Warenkorb beim Online-Shop) mit SSL (TLS) geschützt werden müssen. Diese Ansicht geht davon aus, dass nicht abschließend in der DSGVO geklärt ist, ob die gesamte Website verschlüsselt werden muss.
Diese Ansicht ist in den meisten Fällen jedoch nicht zielführend. Meist ist es aufwändiger einzelne Unterseiten zu verschlüsseln als die komplette Website. Aus wirtschaftlichen Überlegungen ist eine Vollverschlüsselung in den meisten Fällen das Mittel der Wahl. Darüber hinaus werden Seiten ohne SSL-Verschlüsselung von Google sanktioniert, und bestimmte Browser zeigen mittlerweile eine fehlende Verschlüsselung offensichtlich an und weisen auf den fehlenden Schutz der Daten hin.

Zwischenergebnis

Wir gehen nach unserem derzeitigen Stand davon aus, dass dynamische IP-Adressen personenbezogene Daten sind und empfehlen dringend die komplette Website zu verschlüsseln.

Problem 2: Wie muss die Website verschlüsselt werden?

Die Website muss so geschützt werden, dass unbefugte oder unrechtmäßige Verarbeitung und unbeabsichtigter Verlust, Zerstörung oder Schädigung z.B. von Datensätzen oder personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen verhindert wird (»Integrität und Vertraulichkeit«).
Der Verantwortliche muss daher sicherstellen, dass seine komplette Website (insbesondere Kontaktformulare, Newsletter-Anmeldungen), vor verbotenen Zugriffen geschützt ist (§ 13 Abs. 7 TMG).
Das bedeutet, dass nach sämtlichen Meinungen Websites, die offensichtlich personenbezogene Daten übertragen, auf jeden Fall eine SSL-Verschlüsselung aufnehmen müssen. Hierbei darf kein einziges Element (wie z.B. die Newsletteranmeldung) durch den Seitenbetreiber vergessen werden. Genau das kann allerdings bei nur selektiver Verschlüsselung einzelner Seiten passieren. Ein weiterer, praktischer Grund, warum wir ausdrücklich keine selektive Verschlüsselung empfehlen.
Was ist der aktuelle Stand der Technik, der eingehalten werden muss? Aktueller Stand der Technik im Hinblick auf die Verschlüsselung personenbezogener Daten im Online-Verkehr ist eine Verschlüsselung via TLS 1.2 (früher bekannt als SSL). Die Website sollte ausschließlich über HTTPS mit TLS 1.2 zugänglich sein.

Auch das BSI empfiehlt TLS 1.2 in seinen erst vor kurzem aktualisierten Richtlinien (TR 02102-2). https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/technischerichtlinien_node.html
Nähere Informationen finden Sie in unserem Blog unter:
https://www.website-check.de/datenschutz-menue/blog/datenschutzrecht/muessen-nun-alle-websites-mit-secure-sockets-layer-ssl-verschluesselt-werden 
Google-Ranking und Warnhinweise im Browser sprechen ebenfalls für Verschlüsselung
Auch Google »sanktioniert« unverschlüsselte Websites zunehmend mit einem schlechteren Ranking. https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
Neuere Webbrowser, wie Google Chrome und Mozilla Firefox kennzeichnen zukünftig unverschlüsselte Websitesdeutlich und geben sichtbarer Warnhinweise wenn keine Verschlüsselung erfolgt (vgl. https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html).

Was ist zu tun? Praxisempfehlung

Wir empfehlen dringend auf Ihrer Website eine Verschlüsselung (TLS 1.2) aufzunehmen, die alle Unterseiten umfasst. Dies ist bei den meisten Providern leicht in den Einstellungen möglich. Alternativ können Sie eine Websiteagentur beauftragen die Verschlüsselung für Ihre Website vorzunehmen. Die Rechtslage ist derzeit noch nicht abschließend durch die Gerichte geklärt, es spricht jedoch viel für eine Pflicht zur Verschlüsselung der gesamten Website.
In der Regel lohnt es sich nicht lediglich Teilbereiche der Website zu verschlüsseln, da dies aufwendiger ist, als die Komplettverschlüsselung.

Bildquelle: #Urban-Photographer

Autor: Thomas Hess (Verfasst am 5. April 2018)

Thomas Hess ist wissenschaftlicher Mitarbeiter in der IT-Recht Kanzlei DURY. Herr Hess ist spezialisiert auf Online-Shop Recht und rechtssichere Internetseiten.
Website

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!