Verschlüsselung von Websites
17.12.2019
Warum Websites verschlüsseln?
Warum die Verschlüsselung bei Websites wichtig ist
Websites gehören heutzutage zurecht zur Grundausstattung eines jeden Unternehmens oder Vereins. Sie bilden in der Regel eine erste Schnittstelle, um die Kommunikation zu Kunden oder Mitgliedern aufzubauen. Es gibt verschiedene Formen der Kommunikation, bei welchen die Nutzer mit dem Betreiber der Website in Kontakt treten können. Hierbei ist eine Übertragung von personenbezogenen Daten möglich. Deswegen sollten Seitenbetreiber verschiedene datenschutzrechtlich relevante Aspekte beachten.
Sichere Übermittlung von Daten wird verlangt
Ein wichtiger Aspekt bei der Kommunikation mit Websitenutzern ist die Datenübermittlung. Wenn beispielsweise über ein Kontaktformular oder gar über eine Bestellung in einem Onlineshop personenbezogene Daten (z.B. der Name des Nutzers, die Email Adresse, etc.) übermittelt werden, sind wichtige Aspekte der Datenschutz-Grundverordnung zu beachten. Der Website-Betreiber ist in der Pflicht den Schutz der personenbezogenen Daten zu gewährleisten.
Konkret formuliert heißt es in der DS-GVO, dass der Betreiber geeignete technische und organisatorische Maßnahmen zu ergreifen hat, die ein angemessenes Schutzniveau der Daten sicherstellen.
Welche Bereiche sind betroffen?
Häufigste Form der Datenübermittlung auf Websites ist ein Kontaktformular. Der Nutzer muss ein Formular ausfüllen, bei dem in der Regel Pflichtfelder definiert sind. Diese sind häufig mindestens der Name und eine Email Adresse. Oftmals kommt es zu einer unverschlüsselten Übertragung dieser Daten. Ohne die Verschlüsselung kann dieser Datenaustausch jedoch von Dritten, wie z.B. dem Internetprovider mitgelesen werden.
Wie zuvor bereits erwähnt sind es allerdings keinesfalls nur Kontaktformulare, die betroffen sind. Wenn beispielsweise ein Onlineshop betrieben wird, müssen ebenfalls personenbezogene Daten übermittelt werden. Schließlich ist es unmöglich, dass ein rechtskräftiger Kaufvertrag zustande kommt, ohne dass der Nutzer (oder in diesem Fall der Verbraucher) sich gegenüber dem Betreiber der Website (in der Regel dem Verkäufer) zu erkennen gibt. Außerdem müssen beispielsweise eine Rechnungs- und Lieferadresse angegeben werden.
Weitere Bereiche, in denen es zu einer Übermittlung personenbezogener Daten kommen kann, sind etwa Anmeldungen für Newsletter, Online Umfragen oder Online Petitionen. Der Datenschutz ist in all diesen Feldern relevant. Neben den zwingend erforderlichen Datenschutzhinweisen sind auch technische Maßnahmen für eine sichere Übertragung zu ergreifen.
Datenübermittlung verschlüsseln!
In diesem Zusammenhang wurde bereits häufiger das Stichwort Verschlüsselung aufgegriffen. Es gibt jedoch im Bereich der technischen Maßnahmen noch einige weitere Optionen, die eine sichere Übermittlung von Daten zwischen dem Nutzer und dem Seitenbetreiber ermöglichen.
Als eine Alternative ist die Pseudonymisierung zu nennen. Hierbei werden anstelle von Klarnamen sogenannte Pseudonyme über das Internet zwischen Nutzer und Seitenbetreiber übermittelt. Allerdings scheint dies in der Praxis bisher keine reale Alternative zu sein, da z. B. in einem Onlineshop davon auszugehen ist, dass sich zumindest bei der ersten Bestellung Nutzer und Seitenbetreiber nicht kennen. Bei der Pseudonymisierung müssten zudem Regeln zwischen Nutzer und Betreiber festgelegt werden, um eine gegenseitige Identifizierung zu ermöglichen.
Die Verschlüsslung ist aktuell die in der Praxis vermutlich am leichtesten zu handhabende Lösung bei der Übermittlung personenbezogener Daten im Internet. In der Praxis wird die Webseite-Kommunikation mittels SSL- oder TLS-Verschlüsselung abgesichert.
Eine technische Realisierung ist in der Regel relativ leicht umzusetzen. So kann der Seitenbetreiber sich mit einem SSL-Zertifikat absichern. In der Regel werden diese Zertifikate von Webhostern bzw. den Betreibern der Rechenzentren gegen sehr niedrige Gebühren angeboten. So werden dabei je nach Angebot nicht nur einzelne Seiten, sondern die gesamte Domain mit allen Unterseiten abgesichert.
Können Konsequenzen drohen, wenn gegen Vorschriften verstoßen wird?
Ja! Es können von verschiedenen Seiten Konsequenzen drohen. Zum einen kann eine betroffene Person, also die Person, die die Website genutzt hat, von ihren Rechten Gebrauch machen. Auch die jeweilige Datenschutzaufsichtsbehörde des Bundeslandes kann ihres Amtes walten und Kontrollen beim Betreiber durchführen.
Es ist dabei irrelevant, wer einen Verstoß beanstandet. Dem Seitenbetreiber drohen bei Verstößen ernsthafte Konsequenzen. Wenn Betroffene oder die Aufsichtsbehörde aktiv werden, kann die Datenschutzaufsicht unter anderem ein Bußgeld verhängen.
Grundsätzlich ist noch wichtig anzumerken, dass, wenn der Betreiber der Website ein Berufsgeheimnisträger gemäß § 203 StGB ist, sämtliche Kommunikation mit Kunden über die Website und auch innerhalb des Unternehmens oder Vereins z. B. per Email verschlüsselt werden muss.
Gerne unterstützen wir Sie bei der Konzeptionierung des Datenschutzes auf Ihrer Website
Wir stehen Ihnen gerne jederzeit zur Verfügung, falls sie zu diesem oder zu anderen Themen im Bereich des Datenschutzes weitergehende Fragen haben.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Wir beraten auch Sie gerne bei der Umsetzung ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.