News

Müssen nun alle Websites mit Secure Sockets Layer (SSL) verschlüsselt werden? (Update)

Müssen nun alle Websites mit Secure Sockets Layer (SSL) verschlüsselt werden? (Update) Müssen nun alle Websites mit Secure Sockets Layer (SSL) verschlüsselt werden? (Update)
Autor: Johnny Chocholaty LL.B.

Veröffentlicht: 28.07.2016

datenschutz stempel und sicherheitsschloss ferkelraggae fotolia comWir empfehlen grundsätzlich, dass die komplette Website via Secure Sockets Layer (SSL) abgesichert wird. § 13 Abs. 7 TMG zwingt Diensteanbieter – so auch Betreiber von Internetseiten und Online-Shops – dazu, geeignete Vorkehrungen zu treffen, um ihre Präsenzen vor verboteneren Zugriffen auf personenbezogene Daten zu schützen. SSL ist derzeit als „Stand der Technik“ anzusehen und wird daher empfohlen. In diesem Beitrag erklären wir, was Sie beachten sollten.

Bildnachweis: datenschutz stempel und sicherheitsschloss – © ferkelraggae – foto

 

Grundlage – Das IT-Sicherheitsgesetz vom 17. Juli 2015

Nahezu unbemerkt trat eine Gesetzesänderung, für Betreiber von Internetseiten und Online-Shops, in Kraft. Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein sog. „Artikelgesetz“, durch welches verschiedene Fachgesetze überarbeitet bzw. ergänzt wurden. Es hat so zu einer Änderung des Telemediengesetztes (TMG) geführt.

§ 13 Abs. 7 Telemediengesetz

So heißt es nun in § 13 Abs. 7 TMG (in Kraft seit 1. Januar 2016):

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
„Stand der Technik“ und „anerkannte Verschlüsselungsverfahren“ als unbestimmte Rechtsbegriffe

Fraglich ist also was genau mit „Stand der Technik“ und „anerkanntem Verschlüsselungsverfahren“ gemeint ist. Obwohl es jüngst zu Angriffen auf SSL-Verbindungen kam, ist SSL (bzw. zumindest das weiterentwickelte TLS) dennoch, u.a. auch mangels Alternativen, als „Stand der Technik“ anzusehen. Theoretisch denkbar sind auch andere Methoden, um verbotene Zugriffe auf personenbezogene Daten verhindern. Welche das sein könnten, ist derzeit wohl noch unbekannt.

Folge bei Verstößen

Verstöße gegen diese neue Vorschrift können unter Umständen abgemahnt werden und sind bußgeldbewährt. So können staatliche Stellen gem. § 16 TMG bis zu 50.000 Euro Bußgeld verhängen.

Handlungsempfehlung- „force-SSL“

Stellen Sie sicher, dass keine manuellen Aufrufe von https:// mehr möglich sind. Entweder schreiben Sie dazu die .htaccess um, oder stellen Ihr CMS, bzw. Ihren Online-Shop auf „force-SSL“.

Update vom 26.06.2017

Ab dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Spätestens ab diesem Stichtag ist SSL für alle Formulare (Kontaktformulare, Bestellformulare, Online-Widerrufsformulare, etc.), sowie Newsletteranmeldungen und Online Shop Bestellprozesse gesetzlich vorgeschrieben.

Grundsatz für die Verarbeitung personenbezogener Daten: Integrität und Vertraulichkeit

Bei der Datenerhebung und -verarbeitung nach der EU-Datenschutzgrundverordnung gilt gemäß Art. 5 lit. f DSGVO der Grundsatz der Integrität und der Vertraulichkeit:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Fazit

Die Website oder der Online-Shop sollten durch eine SSL-Verschlüsselung (https://) abgesichert werden. Verschiedene Datenschutzaufsichtsbehörden fordern schon länger eine SSL-Verschlüsselung bei Kontaktformularen, Login-Bereichen und Bestellprozessen. Abschließende Rechtsprechung zu dieser Frage liegt bislang noch nicht vor. Wir empfehlen aus Vorsichtsgründen, trotzdem alle (zumindest gewerblichen) Internetseiten mit einer SSL-Verschlüsselung auszustatten. Ab dem 25. Mai 2018 gilt die SSL-Pflicht ohnehin, so dass sich kaum noch Gründe gegen SSL finden lassen. Je nach Hoster und Ausstattung des SSL-Zertifikats kommen hierbei Kosten in Höhe von ca. 100-300 € pro Jahr und Domain auf Sie zu. Kostenfreie SSL-Zertifikate sind seit kurzem erhältlich. Diese erhalten Sie unter https://www.letsencrypt.org. Die Einbindung ist ohne Dienstleister jedoch recht kompliziert und das Zertifikat muss alle 3 Monate verlängert werden. Es gibt div. Haftungsausschlüsse, so dass bei gewerblichen Internetseiten derzeit eher zu kommerziellen Zertifikaten zu raten ist. Eine SSL-Verschlüsselung kann außerdem zu einem besseren Ranking bei Google führen und sieht für den Seitenbesucher seriöser aus. 

Update 05.04.2018:
Es liegt eine neue Version des Beitrages vor:

Update zur DSGVO – Muss die komplette Website SSL-verschlüsselt werden?