Verschlüsselung immer und auf allen Seiten!

Immer wieder steht die Frage im Raum, ob bei der Übermittlung von Webseiten eine Verschlüsselung der übertragenen Inhalte durch „https“ gemäß DSGVO vorgeschrieben ist. Natürlich möchten verantwortungsbewusste Unternehmen ihre Netzwerke und die anvertrauten personenbezogenen Daten der Nutzer schützen. Gerade bei der Übertragung unternehmensinterner Daten im Netz ist für jeden nachvollziehbar, dass Verschlüsselung sinnvoll oder sogar notwendig ist. Aber bei einer Homepage, auf der vielleicht noch nicht einmal personenbezogene Daten erhoben werden? Und wenn – was ist hierfür eigentlich die richtige Technologie und welche Anforderungen der DSGVO sowie weiterer Gesetze sind zu beachten?

Eigentlich ist eine Umstellung Ihrer Websites vom Kommunikationsprotoll HTTP auf HTTPS (also verschlüsselt) mit Kontaktformularen oder anderen Eingabemöglichkeiten personenbezogener Daten bereits seit dem 1. Januar 2016 explizit verpflichtend. § 13 Abs. 7 TMG regelt hier eindeutig:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    a)         gegen Verletzungen des Schutzes personenbezogener Daten und
    b)         gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. [Hervorhebungen durch den Autor]

Allerdings sind bis heute nicht alle Websitebetreiber dieser Verpflichtung gefolgt. Dabei ergibt sich eine Verpflichtung zur Verschlüsselung auch aus der DSGVO.

Art. 32 Abs. 1 lit. a DSGVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO. Dort wird festgelegt, dass „unter der Berücksichtigung von Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. In Art. 32 Abs. 1 lit. a DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt.

Verschlüsselungsmethoden – was sind eigentlich SSL und TLS?

Der Einsatz einer Verschlüsselung ist für den Nutzer daran erkennbar, dass im Browser ein meist weißes oder grünes Schloss in der Adresszeile zu sehen ist, oder die Adresszeile mit „https://“ beginnt.

SSL steht für “Secure Sockets Layer“, TLS für “Transport Layer Security”. Beide Begriffe stehen für die gleiche Technologie, bei der nach der Version 3.0 SSL in TLS (wieder beginnend mit Version 1.0) umbenannt wurde. Es handelt sich dabei um ein hybrides Verschlüsselungsprotokoll, welches sicherstellt, dass die Daten zwischen Browser und besuchter Website sicher verschlüsselt übertragen werden. Erkennbar ist dies an der Protokollbezeichnung „https“ anstelle von „http“ in der Adressleiste des Browsers.

Durch Einsatz der Verschlüsselung wird verhindert, dass der Netzwerkverkehr mitgelesen oder unbemerkt modifiziert werden kann. Beides sind Anforderungen der DSGVO, die damit erfüllt werden. Zudem soll sich der Einsatz von https (angeblich) im Hinblick auf ein besseres Google Ranking lohnen. Nicht zu vergessen: Websitebesucher bewerten insbesondere SSL-Zertifikate mit dem grünen Schloss in der Adresszeile (also vollständig validierte Zertifikate, bei denen auch die Identität des Betreibers der Seite nachgewiesen wurde) positiv und vertrauen solchen Seiten besonders. Insbesondere beim Onlinebanking ist daher der Einsatz solcher Zertifikate sinnvoll.

Zu teuer, zu aufwändig, keine Verarbeitung von sensiblen Daten

„Das ist für unsere Unternehmensgröße zu kostenintensiv…“ ist eine der häufigsten Aussagen, die uns gegenüber zu diesem Thema geäußert wird. Diese Aussage schützt jedoch nicht vor dem Vorwurf der fehlenden Umsetzung einer vorgeschriebenen Maßnahme und dem damit verbundenen Bußgeldrisiko. Zudem ist eine solche Maßnahme heute nicht mehr zwingend mit immensen Kosten verbunden. Entsprechende Zertifikate sind in unterschiedlichen Preisklassen und sogar kostenlos verfügbar, sodass diese Maßnahme auch durch kleine Unternehmen umsetzbar ist. Bekanntestes Beispiel für kostenlos einsetzbare Zertifikate ist der Anbieter Let’s Encrypt.

Bei der unverschlüsselten Übertragung von Seiten wäre es möglich, dass jemand Skripte, Bilder oder Werbeinhalte in die Seite einspeist und es so aussieht, als hätte der Betreiber sie dort platziert. Ebenso könnten die Inhalte der Seite geändert oder die Seite dazu benutzt werden, andere Seiten anzugreifen. Alle diese Dinge lassen sich mit https-Verschlüsselung wirksam verhindern, da jede Änderung an den übertragenen Daten sofort bemerkt würde, bzw. unmöglich gemacht wird.

Die Verschlüsselungsmethode garantiert somit nicht nur die Vertraulichkeit, sondern auch die Integrität der Inhalte und bietet die Fähigkeit, Manipulationen zu erkennen..

Viele Webseitenbetreiber sind der Ansicht, dass es ausreicht nur Formulare oder andere interaktive Inhalte zu verschlüsseln und den Rest unverschlüsselt mittels „http“ zu übermitteln. Doch genaugenommen ist dies genauso anzusehen, als wäre gar keine Verschlüsselung vorhanden. Der Angreifer muss lediglich den Link oder die Formularaktion in eine URL ändern, die auf Inhalte auf dem eigenen Server verweist. Es gibt kaum Möglichkeiten, dies zu erkennen oder zu verhindern, da bei Verwendung von einfachem „htpp“ die Integrität der übertragenen Daten nicht sichergestellt ist (siehe oben).

Welche Auswirkungen hat es, wenn bisher noch nicht verschlüsselt wird?

Zwar ist die Anforderung, Verschlüsselung einzusetzen nicht neu (siehe § 13 TMG), aber die DSGVO erweitert durch ihre expliziten Forderungen nach Integrität und Vertraulichkeit die Pflicht, diese flächendeckend auf allen Webseiten umzusetzen. Neben den bereits genannten Vorteilen ist ein weiteres Argument für eine Umsetzung das weitaus höhere Bußgeld welches ansonsten verhängt werden könnte. Die Höhe der Bußgelder für Verstöße gegen die DSGVO beträgt 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Um es deutlich zu sagen: Aus unserer Sicht stellt jede unverschlüsselt aufrufbare Seite im Internet und sogar jede unverschlüsselt nachgeladene Ressource oder externe Aufruf (zum Beispiel von JavaScript) einen Verstoß gegen Art. 32 DSGVO und damit einen bußgeldbewehrten Tatbestand dar.

Nicht übersehen werden sollte auch, dass Webseiten weltweit von Nutzern aufrufbar sind. Dies hat direkt zur Folge, dass Webseitenbetreiber relativ einfach von Nutzern oder Konkurrenten juristisch angreifbar sind. Es wäre sogar denkbar, dass zukünftig jemand auf die Idee käme, Seiten automatisiert auf solche Verstöße zu prüfen. Eine nicht angemessene Außenwirkung oder sogar ein verhängtes Bußgeld und die damit verbundene Medienpräsenz kann darüber hinaus imageschädigend sein.

Inwieweit die fehlende Verschlüsselung auch einen wettbewerbsrechtlich abmahnbaren Tatbestand darstellt, ist derzeit noch nicht abschließend entschieden .

Wir beraten Sie gerne bezüglich der Anforderungen an Ihre Webseite, insbesondere auch zum Thema Verschlüsselung. Sprechen Sie uns an!