Webseitenbetreiber aufgepasst – HTTPS-Protokoll ist Pflicht

https, ssl, ssl-verschlüsselung, verschlüsselung, tls, dsgvo, datenschutz, datenschutzgrundverordnung

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung sehen sich Webseitenbetreiber nicht nur einer ganzen Reihe neuer Informationspflichten gegenüber. Sie müssen bei der Erhebung und Verarbeitung personenbezogener Daten über eine Webseite angemessene technische und organisatorische Maßnahmen (s.g. TOM) treffen, um effektiven Datenschutz und ein dem Stand der Technik angemessenes Niveau an Datensicherheit zu gewährleisten. Das bedeutet im Ergebnis, dass Betreiber von Webseiten fortan auf das sichere Übertragungsprotokoll HTTPS umstellen sollten.

Erhebt meine Webseite überhaupt Daten?

Viele Webseitenbetreiber fragen sich, ob das HTTPS-Protokoll auch dann nötig ist, wenn beispielsweise kein Kontaktformular angeboten wird, bzw. keine Funktionalität besteht, mittels derer Webseitenbesucher personenbezogene Daten übertragen können.

Die Antwort ist – leider – ja. Denn es liegt in der Natur der Sache und ist technisch unvermeidlich, dass bei jedem Besuch auf einer Webseite allgemeine Informationen und Daten des Besuchers an den Server übermittelt werden, auf dem die jeweilige Webseite gehostet wird. Bei diesen Daten handelt es sich um s.g. Logfile-Daten. Dies sind beispielsweise die IP-Adresse des Besuchers, die Zeit und ggf. der Ort des Zugriffs, der verwendete Browsertyp und das Betriebssystem, das der Besucher nutzt sowie möglicherweise die s.g. Referrer-URL, also die Webseite, von der aus der Besucher den Weg zur anschließend besuchten Seite gefunden hat. Bei diesen Daten handelt es sich ebenfalls um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO, da sie grundsätzlich geeignet sind, ein bestimmtes Individuum – nämlich den Besucher – zu identifizieren.

Wieso überhaupt verschlüsseln?

Artikel 32 Abs. 1 lit. a und b der DSGVO schreiben vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

Das bedeutet, dass der Webseitenbetreiber als für die Datenverarbeitung Verantwortlicher Maßnahmen zur Verschlüsselung und zur Gewährleistung der Daten-Integrität zu treffen hat. Er muss grundsätzlich gewährleisten, dass ungefugten Dritten der Zugriff auf die Daten nicht möglich ist.

Zwar gilt diese Pflicht nicht uneingeschränkt, sondern u.a. lediglich unter Berücksichtigung des Stands der Technik und der Implementierungskosten. Allerdings wird man heutzutage sagen müssen, dass die SSL-Verschlüsselung mittels HTTPS-Protokoll einerseits zum Stand der Technik gehört und andererseits auch unter Berücksichtung der Einrichtungskosten durchaus angemessen ist. Bei vielen Webhostern ist dieser Service entweder bereits im Grundpaket enthalten oder aber für einen geringen Aufpreis zu erwerben.

Beachtlich und erwähnenswert ist an dieser Stelle auch die Tatsache, dass die Pflicht zur Verschlüsselung bereits nach altem Datenschutzrecht bestand. So hieß es in § 9 BDSG (alt):

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

In Ziffer 4 der Anlage zum BDSG (alt) war folgendes geregelt:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

[…]

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, […]

Was ist eigentlich HTTPS?

Die Abkürzung HTTPS steht für den englischen Begriff „Hypertext Transfer Protocol Secure“ – deutsch etwa „sicheres Hypertext-Übertragungsprotokoll“ und stellt im Ergebnis eine Übertragungsverschlüsselung dar. Es ist technisch betrachtet identisch mit dem – alten – HTTP-Protokoll und lediglich um eine SSL-Verschlüsselung, bzw. – seit der vierten Generation – um eine TLS-Verschlüsselung ergänzt. Wie diese Technik konkret funktioniert, würde den Rahmen dieses Artikels sprengen – Interessierte können die Funktionsweise der Transport Layer Security (TLS) aber hier nachlesen.

Diese Art der Transportverschlüsselung entspricht dem Stand der Technik. Sie gilt als mathematisch sicher und lässt sich der Theorie nach mit den bisher bekannten technischen Methoden nicht brechen.

Was droht bei Verstößen?

Jedem Webseitenbetreiber sei angeraten, falls noch nicht geschehen, schnellstmöglich auf die Verschlüsselung und das HTTPS-Protkoll umzustellen. Bei Verstößen drohen nicht nur teure Abmahnungen der Konkurrenz, sondern auch Schadenersatz- und Schmerzensgeldforderungen Betroffener. Derzeit kursieren anwaltliche Aufforderungsschreiben, die wegen des Verstoßes gegen die Verschlüsselungspflicht nach Art. 82 DSGVO immateraiellen Schadenersatz von bis zu 13.000 EUR geltend machen.

Sie haben Fragen oder benötigen Beratung in Datenschutzfragen? Schreiben Sie uns!

5 thoughts on “Webseitenbetreiber aufgepasst – HTTPS-Protokoll ist Pflicht

  1. Es macht in meinen Augen keinen
    Sinn da bereits zur initiierung der
    https verbindung Daten wie die ip
    unverschlüsselt übertragen
    werden müssen. Wozu dann noch
    verschlüsseln? Dss lässt sich nicht
    verhindern und ist
    betriebsnotwendig…

  2. Hallo,
    ich frage mich wirklich, ob das die korrekte Auslegung ist.
    Damit müsste JEDER der seine Webseite bei einem Webhoster hat, ein SSL-Zertifikat von
    seinem Webhoster kaufen, weil dieser Daten erhebt, von denen der Seitenbetreiber nicht
    einmal etwas weiß oder mitbekommt.

    1. Hallo,
      ob das die korrekte Auslegung ist, werden die Gerichte erst noch entscheiden müssen. Es derzeit jedenfalls die sichere Auslegung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.