Das Schloss zur Welt

Lange Zeit wurde Sicherheit und Datenschutz in der Onlinewelt vernachlässigt. Onlineshops ohne Verschlüsselung waren mehr die Regel als die Ausnahme und die gesetzlichen Ansprüche wurden leidenschaftlich diskutiert. Mittlerweile steht fest, eine Verschlüsselung gehört längst nicht mehr zum guten Ton, sondern zu den Mindestanforderungen.

Die Verschlüsselung des Datenverkehrs von Websites galt lange Zeit als guter Ton oder als „nice to have“. Selbst im Umfeld von Onlineshops oder datenbezogenen Plattformen, war der verschlüsselte Datentransfer weder selbstverständlich noch üblicher Standard und führte immer wieder zu Diskussionen. Dabei ist ein Websitebetreiber, aus Datenschutzsicht die verantwortliche Stelle, für die Verarbeitung personenbezogener Daten auf der Onlinepräsenz verantwortlich. Die Verantwortlichkeit bezieht sich auch auf die Umsetzung geeigneter technischer Maßnahmen im Bereich der Sicherheit. Die große Umsetzungswelle der Nutzung von Verschlüsselungen hat 2015 mit der Umsetzung des „IT-Sicherheitsgesetztes“ eingesetzt. Oft beschrieben und immer wieder zitiert, wird dieses Gesetz als Grundlage zur Verpflichtung der Verschlüsselung herangezogen. Zur Vervollständigung dieses Trendthemas aus den Jahren 2016 und 2017 sei an dieser Stelle auch auf das BDSG hingewiesen. Den Schutz personenbezogener Daten im Fokus, lässt sich das BDSG bereits seit über 15 Jahren zur Nutzung von sicheren Verschlüsselungsmaßnahmen interpretieren. Erst durch die aktive Sanktionierung einer nicht vorhandenen Verschlüsselung wird dieses Thema zunehmend aktueller.

Keine pauschale „https“-Pflicht

Nicht jede Website ist zur Umsetzung einer Verschlüsselung verpflichtet. Im Vordergrund steht die Erhebung und Verarbeitung von personenbezogenen Daten. Onlineshops, Onlinebanking oder die Sozialen Netzwerke sind hier die klassischen Beispiele für einen umfangreichen und sensiblen Datentransfer. Jedoch können auch kleinere Websites von kleinen und mittleren Unternehmen schnell in die „https“-Pflicht kommen. Personenbezogene Daten sind schnell erhoben und so kann bereits ein einfaches Kontaktformular oder eine Newsletteranmeldung als Datenerhebung zur Verschlüsselungspflicht führen.

Zumutbarkeitsfaktor nicht mehr relevant

Die Zeiten, wo Verschlüsselungstechniken nur bestimmten Organisationen oder Großbetrieben vorbehalten waren und entsprechende finanzielle und personelle Aufwendungen in Anspruch genommen haben, sind längst vorbei. Mittlerweile bietet nahezu jeder Hoster mindestens eine Zertifikatsvariante zu günstigen oder nach Paketwahl sogar zu kostenfreien Konditionen an. Eine Berufung auf die vorhandene Ausnahmeregel der Implementierungskosten, wonach gerade die finanziellen Anstrengungen einen unzumutbaren Aufwand in der Umsetzung einer Verschlüsselung darstellen, wird zunehmend unbedeutender.

Zertifikat nicht gleich Zertifikat

Die Auswahl an möglichen Zertifikaten und den beinhalteten Features ist groß. Kostenfreie Zertifikate stehen gebührenpflichtigen Produkten gegenüber. Manche Angebote schließen zudem zusätzlich vorhandene Subdomains ein. Für den besonderen Anspruch kann bei den Premiumprodukten auch der Firmenname in der Adresszeile als erweiterte Validierung eingetragen werden. Eine eingehende Überprüfung der Anforderungen und Wünsche ist daher vor der Wahl eines Zertifikates empfehlenswert.

Fazit

Der verschlüsselte Datentransfer bei der Verarbeitung personenbezogener Daten gehört mittlerweile zum Standard und sollte auf jeder Website umgesetzt und aktiv eingesetzt werden. Bestehende Onlinepräsenzen sollten zeitnah überprüft und bei Bedarf nachgebessert werden. Der unverschlüsselte Datentransfer kann von Behörden Sanktioniert werden und zudem zu Abmahnungen führen. Ist eine Verschlüsselung aus Datenschutzerwägungen notwendig, findet folglich eine Datenverarbeitung statt. In diesem Zuge ist es ratsam, auch die vorhandene Datenschutzerklärung der Website zu prüfen, ob die Datenverarbeitung entsprechend erklärt wird. Bestehen Lücken in der Aufklärung, sollten diese ebenso zeitnah behoben werden. Auch eine unvollständige Datenschutzerklärung kann zu Bußgeldern oder Abmahnungen führen.