Datenschutzbehörden aus Bayern und Baden-Württemberg schreiben derzeit Unternehmen an, die unverschlüsselte Kontakt- oder Anmeldeformulare auf ihrer Internetseite verwenden. Beanstandet wird in diesen Schreiben, dass personenbezogene Daten wie Name, Telefonnummer oder E-Mail-Adresse nicht verschlüsselt übertragen werden.
Mit einer Fristsetzung zur Korrektur werden die Unternehmen aufgefordert, anerkannte Verschlüsselungsverfahren einzusetzen oder die Formulare von den Seiten zu entfernen. Es ist also nur noch eine Frage der Zeit, bis es hier zu Abmahnungen und Bußgeldern kommt.
Rechtsgrundlage
Die Aufsichtsbehörden leiten die Notwendigkeit dieser Verschlüsselung aus § 9 BDSG ab:
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.
Beziehungsweise aus § 13 Abs. 7 TMG:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese
- gegen Verletzungen des Schutzes personenbezogener Daten und
- gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
Sicherheit durch SSL
SSL (Secure Socket Layer) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet und schafft unter mehreren Gesichtspunkten Sicherheit:
- Daten werden verschlüsselt versendet und so vor fremden Zugriffen geschützt
- Die Identität des Servers ist bekannt
- Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger erreicht haben
Das SSL-Protokoll wird eingeleitet, wenn die URL mit »https« aufgerufen wird. Der Browser versucht dann, vom angesprochenen Server ein Zertifikat und seinen öffentlichen Schlüssel anzufordern. Dieser Schlüssel wird zusammen mit weiteren Daten an den Browser zurückgemeldet. Anhand dieser Daten kann festgestellt werden, ob der Browser wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Im Anschluss werden vom Browser verschlüsselte Testnachrichten übermittelt. Kommen diese regelkonform an, steht fest, dass die SSL-Verbindung funktioniert und sicher ist.
Dies ist nur eine sehr vereinfachte Darstellung der Funktionsweise. Bei Interesse finden Sie hier eine ausführliche Beschreibung zur SSL-Verschlüsselung.
Umsetzung der gesetzlichen Vorgaben
SSL-Verschlüsselungen sind inzwischen weit verbreitet und gelten somit schon als Standard. Dies ist auch der Grund, weshalb Datenschutzbehörden diese Technik als »technisch möglich und wirtschaftlich zumutbar« ansehen. Die Implementierung ist im Normalfall relativ einfach und ohne größeren finanziellen Aufwand möglich. Daher ist es empfehlenswert, dass Webseitenbetreiber die Formulare zur Datenerfassung anbieten, SSL-Verschlüsselung auf ihren Internetseiten einsetzen.
Weitere Vorteile der SSL-Verschlüsselung
Darüber hinaus bietet eine SSL-Verschlüsselung auch weitere Vorteile. So hat Google schon vor längerer Zeit bekannt gegeben, dass die Nutzung eines SSL-Zertifikates ein Ranking-Faktor ist. D.h. Seiten, die über eine verschlüsselte Verbindung ausgeliefert werden, erhalten durch Google einen kleinen Bonus gegenüber unverschlüsselten Seiten. Auch Besucher und Kunden der Webseite werden den Einsatz von SSL-Verschlüsselungen positiv bewerten. So stärken Sie das Vertrauen in die Sicherheit Ihrer Webseite und zeigen, dass Ihnen Datenschutz wichtig ist.
Dieser Artikel stellt lediglich Allgemeinwissen zusammen und dient allein der Information. Er stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen. Bitte wenden Sie sich bei rechtlichen Fragen an einen Anwalt.