Immer noch erhalten viele Shopanbieter und andere gewerbliche Website-Betreiber Abmahnungen, weil sie Webformulare ohne SSL- oder TLS-Verschlüsselung verwenden. Dabei ist der Umgang mit Nutzerdaten sowie das Verschlüsselungsverfahren klar in § 13 Abs. 7 DDG geregelt. Was genau dieser Absatz des Digitale Dienste Gesetzes besagt und wie Sie sich vor einer Abmahnung schützen können, erfahren Sie hier.
Das Bayerische Landesamt für Datenschutzaufsicht hat bereits 2014 in seinem Tätigkeitsbericht ausgeführt:
„Werden personenbezogene Daten über das Internet versendet, so ist eine wirksame Verschlüsselung mit einem kryptographischen Verfahren nach dem Stand der Technik zwingend notwendig. Die Anwendung dieser Verfahren war und bleibt ein Schwerpunkt bei unseren Kontrollen. Sofern personenbezogene Daten über das Web (HTTP) übertragen werden, ist eine HTTPS-Verschlüsselung einzusetzen.“
Somit sollten Sie als Website-Betreiber beispielsweise bei der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren im Sinne des § 2 Nr. 1 Digitale Dienste Gesetz (DDG) implementieren, welches sich direkt nunmehr aus § 13 Abs. 7 DDG ergibt.
Dieses besagt:
Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese
- gegen Verletzungen des Schutzes personenbezogener Daten und
- gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Somit ergibt sich aus dieser gesetzlichen Anforderung, dass nicht nur Websites mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstbetreiber übertragen. Dies kann neben Shops ebenso z. B. Blogs oder Jobportale etc. betreffen.
Für Datennetzwerke ist z. B. die Transport Layer Security (TLS) ein anerkanntes Verschlüsselungsverfahren. Mit der Technischen Richtlinie TR-02102-2, gibt das BSI die Empfehlung für das Kryptographische Verfahren, welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient. Grundsätzlich empfehlen sämtliche Institutionen den Einsatz von TLS, mindestens in der Version 1.2. Von daher ist es geboten, die Websites zu identifizieren, auf denen Benutzer ihre personenbezogenen Daten an das Unternehmen als Websitebetreiber übermitteln und auf diesen Seiten ein anerkanntes Verschlüsselungsverfahren zu implementieren.
Bei Verstößen gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) DDG droht gem. § 16 Abs. 2 Nr. 3 bzw. Abs. 3 DDG (Ordnungswidrigkeit) eine Geldbuße von bis zu 50.000,- EUR je Verstoß.
Wir unterstützen Sie natürlich gerne bei der korrekten Konfiguration Ihrer Website. Sollten Sie Fragen zu dem Thema haben, können Sie uns jederzeit kontaktieren.