Datenschutzerklärung, SSL und Stand der Technik

Unsere Verfassung gewährleistet das Recht, grundsätzlich selbst über die Verwendung unserer personenbezogenen Daten zu bestimmen. Damit das Recht auf informationelle Selbstbestimmung auch ausgeübt werden kann, sind Sie als Homepagebetreiber in der Pflicht.

Bereits vor der Übermittlung personenbezogener Daten sind eine ganze Reihe von Vorschriften zu beachten. Idealerweise haben Sie einen gut ausgebildeten Datenschutzbeauftragten der sich um die Details kümmert. Denn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist z.B. nur zulässig, wenn der Betroffene eingewilligt hat. Zuvor ist der Betroffene auf den Zweck der Verarbeitung hinzuweisen. Die Verarbeitung darf nur für vorher festgelegte Zwecke erfolgen. Eine Datenerhebung und -speicherung für noch nicht festgelegte Zwecke ist unzulässig…

Diese Pflichten bedürfen also Extramaßnahmen auf Ihrer Homepage wie „Datenschutzerklärung“, für Formulare ein Datenschutzhäkchen incl. Hinweis auf die Datenschutzerklärung und für Newsletter die sogenannte „double opt in“ Lösung.

Doch auch auf technischer Ebene muss Ihre Seite dem „Stand der Technik“ genügen. Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die Datenschutz-Grundverordnung (DSGVO) fordern Sicherheitsmaßnahmen nach dem Stand der Technik. Im Zusammenhang mit dem IT-Sicherheitsgesetz wurde auch eine Änderung des Telemediengesetzes (TMG) vorgenommen, die die Verantwortlichen von geschäftsmäßig angebotenen Telemedien bei der Absicherung ihrer IT-Systeme stärker in die Pflicht nimmt (siehe § 13 Abs. 7 TMG)

Werden bei Telemediendiensten vertrauliche oder sensible Informationen übertragen oder gespeichert, besteht die Möglichkeit, dass diese Informationen Unbefugten zur Kenntnis gelangen und von diesen manipuliert werden. Aus diesem Grund sollte ein Verschlüsselungsverfahren nach Stand der Technik zum Schutz der Daten eingesetzt werden, um die Vertraulichkeit und die Integrität der Telemedien sicherzustellen. Hierbei kann zwischen der Verschlüsselung der Daten für den Transport und für die Speicherung unterschieden werden. Für den verschlüsselten Transport von Daten (z. B. der Datenverkehr zwischen Web-Server und Client) sollte das SSL/TLS-Protokoll (hier: HTTPS) eingesetzt werden.

(https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Diskussionspapier_Absicherung_Telemediendienste.pdf?__blob=publicationFile&v=2)

Sobald es ein Login (Benutzername und persönliches Passwort) für einen abgesicherten Bereich gibt ist Verschlüsselung der Daten eine Pflicht. In der Datenschutz-Grundverordnung (DSGVO) in Artikel 32 (Sicherheit der Verarbeitung) ist zu lesen „Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Auch das BDSG in der Anlage (zu § 9 Satz 1) nennt Verschlüsselungsverfahren als Maßnahme.

Zum Glück gibt es ein SSL Zertifikat kostenfrei bei den meißten Hostern – oder anders ausgedrückt – Verschlüsselung der Datenübertragung gibt es kostenlos. Aber es muss aktiviert und eingerichtet werden.