Aktuell erreichen uns vermehrt Informationen von Kunden, dass die Datenschutzbehörden die nichtverwendung von SSL-Verschlüsselung bei Kontaktformularen von Websites anmahnen und in letzter Konsequenz offenbar auch mit Bußgeldern bis zu 50.000 Euro bei Nichtbeachtung der Abmahung drohen.
WAS IST GESCHEHEN?
Die Datenschutzbehörden, allen voran offenbar das Bayerische Landesamt für Datenschutzaufsicht, beanstanden aktuell offenbar Websites, welche trotz Verwendung eines Kontaktformulars (hier werden ja personenbezogene Daten übertragen) keine SSL/TLS Verschlüsselung bzw. keine angemessene Schutzmaßnahmen – dem Stand der Technik entsprechend – verwenden.
AUF WELCHE RECHTSLAGE WIRD SICH BEZOGEN?
Die Datenschutzbehörden sind der Ansicht, dass sich die Pflicht des Websitebetreibers zur Verschlüsselung der Kontaktformulare, bzw. deren übertragener persönlicher Daten, aus dem § 13 Abs. 7 TMG ergibt, welcher seit Inkraftreten des IT-Sicherheitsgesetzes im Juli 2015 gilt.
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
WAS IST NUN EIN ALS SICHER ANERKANNTES VERSCHLÜSSELUNGSVERFAHREN?
Ein als sicher anerkanntes Verschlüsselungsverfahren im Bereich Web ist das, meist bei HTTPS benutze, TLS (Transport Layer Security) auch bekannt als SSL (Secure Sockets Layer). TLS in der Version 1.2 wird vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als sicheres Verschlüsselungssystem empfohlen. Weiterführende Informationen können in der Technische Richtlinie TR-02102-2Kryptographische Verfahren:Empfehlungen und Schlüssellängen Teil 2 nachgelesen werden.
WAS PASSIERT WENN MAN NICHTS UNTERNIMMT ODER DIE ABMAHNUNG IGNORIERT?
Ein Verstoß gegen den § 13 Abs. 1 Satz 1 oder 2 stellt eine Ordnungswidrigkeit (vrgl. § 16 Abs. 2 Nr. 3) dar. Daraus ergibt sich die Möglichkeit einer Geldbuße in Höhe von bis zu 50.000 Euro. Außerdem könnte natürlich auch die latente Gefahr bestehen, dass ein Mitbewerber auf die Idee kommt eine (kostenpflichtige) Abmahnung den Webseitenbetreiber zuzustellen.
WAS SOLLTE VOM WEBSITEBETREIBER UNTERNOMMEN WERDEN?
Auch wenn zuerst einmal wohl kein Ungemach aus der Nichtverwendung von SSL/TLS entstehen dürfte, da die „Abmahnungen“ der Datenschutzbehörden zuerst nicht Strafbewährt sind, sondern dies erst bei Nichtbeachtung der Abmahnung werden, besteht dennoch Handlungsbedarf. Außerdem stellt die Verschlüsselung einer Website bei Google seit einiger Zeit auch ein postives Rankingsignal dar.
Wir empfehlen den Einsatz eines SSL/TLS-Zertifikates für Ihre Website. Unsere Kunden können ein SSL/TLS-Zertifikat kurzfristig für Ihre Website bei uns erhalten. Setzen Sie sich dazu bitte einfach mit uns in Verbindung – wir beraten Sie gerne bei der Auswahl des richtigen Zertifikats sowie bei der Integration des Zertifikats in Ihre Website.