HTTPS und die Datenschutzgrundverordnung (DSGVO)

Das verschlüsselte Internetprotokoll HTTPS setzt sich auch für einfache Websites immer mehr durch. Auch die DEGA-Seite wurde kürzlich auf HTTPS umgestellt – mit ausgesprochen positivem Ergebnis. Doch welche Vorteile bringt dies für Nutzer und Betreiber? Und was hat das Ganze mit der neuen EU-Datenschutzgrundverordnung (DSGVO) zu tun? Nachfolgend ein paar Gedanken und Anregungen dazu.

Verbessertes Google-Ranking

Ein „Vorzug“ der HTTPS-Verschlüsselung aus Sicht der Website-Betreiber ist die Bevorzugung verschlüsselter Websites im Google-Ranking. Als Teil einer umfassenden IT-Sicherheits-Initiative fördert Google seit August 2014 offiziell den Einsatz von HTTPS durch ein verbessertes Ranking, wichtiges Kritirium für das Aufscheinen der Webseite bei den Suchergebnissen. Sie erkennen eine solche Webseite an der Kennung https:// und dem Symbol eines Sicherheitsschlosses vor der Domain.

Laut Aussage von Google könnte der anfangs relativ schwache HTTPS-Bonus in Zukunft gesteigert werden. Nach unseren bisherigen Erfahrungen kann diese Aussage bestätigt werden. Sowohl Klickraten, vor allem jedoch Anfragen haben seit der Umstellung unserer Seite auf HTTPS erheblich zugenommen. Die Umstellung auf HTTPS zu Werbezwecken kann durchaus sinnvoller sein, als Google-Adwords (Werbeanzeigen) – kostengünstiger ist diese Maßnahme allemal.

IT-Sicherheitsgewinn

Bei HTTPS werden die zwischen Browser und Webserver ausgetauschten Inhalte verschlüsselt. Dazu wird unterhalb der Anwendungsschicht – auf der HTTP zum Einsatz kommt – eine verschlüsselte Transportschicht etabliert. Das genutzte Verschlüsselungsverfahren wird meist als SSL bezeichnet, obwohl sich längst der Nachfolgestandard TLS durchgesetzt hat. Dazu ist ein Entsprechendes SSL-Sicherheitszertifikat zu hinterlegen. Dieses Zertifikat wird vom Browser geprüft. Hierzu sind eine Reihe von vertrauenswürdigen „Root“-Zertifikaten in allen modernen Browsern vorinstalliert. Diese Zertifikate – und von ihnen abgeleitete Zertifikate – akzeptiert der Browser automatisch; die Identität eines Webservers ist dann insoweit bestätigt („hier bin ich richtig und sicher“).

Auf diese Weise wird es Angreifern und Hackern erheblich schwerer fallen, die Webseite zu manipulieren und die ansonsten frei über das Internet übertragene Kommunikation abzufangen. Der Sicherheitsgewinn ist kaum von der Hand zu weisen und von daher ist auch hier die Umstellung auf HTTPS wärmstens zu empfehlen.

Datenschutzgrundverordnung (DSGVO) sowie BDSG legen HTTPS nahe

Die Verschlüsselung der Verbindung per HTTPS ist vor allem wichtig, wenn personenbezogene oder gar sensible Daten ausgetauscht werden. Gerade in diesen Fällen dürften Website-Betreiber zum Anbieten dieser Verschlüsselung (oder äquivalenter Maßnahmen) auch verpflichtet sein, obschon eine rechtliche Verpflichtung nicht direkt ausgesprochen wird (was sich durch fortlaufende Rechtsprechung jedoch ändern kann).

Bereits im alten BDSG, das am 25. Mai 2018 von der DSGVO abgelöst wird gab es in § 9 BDSG eine entsprechnende Regelung, die besagt, dass bei der Verarbeitung personenbezogner Daten (pD) besondere technisch-organisatorische-Maßnahmen zu treffen sind, die dem Stand der Technik zu entsprechen haben (die berühmten TOMs). Was sagt die DSGVO bzw. das BDSG n.F. dazu?

Von TOMs ist nicht mehr die Rede, sondern jetzt heißt es in Art. 32 DSGVO „Sicherheit der Verarbeitung“. Es wird abgestellt auf die Begriffe Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Die einzelnen Punkte der „alten“ TOMs aus der Anlage zu § 9 BDSG a.F. lassen sich diesen Kategorien jedoch problemlos zuordnen, um sie weiter zu konkretisieren und zu dokumentieren. Im Grunde sind die TOMs in § 64 BDSG n.F. wieder integriert und konkretisiert (Zutrittskontrolle, Zugangskontrolle, usw.) Man kann sich also auch daran orientierten und abarbeiten.

Art.32 Abs. 1 – EU-DSGVO – Sicherheit der Verarbeitung

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Letztlich geht es hier in Richtung allgemeine IT-Sicherheit, die DSGVO legt hier entsprechend andere Maßstäbe an, als das BDSG a.F. Deshalb ist auch die Erstellung eines IT-Sicherheitskonzepts zwingend erforderlich. Das ist jedoch ein anderes Thema. Siehe hierzu auch die informative Handreichung des LDA Bayern zur Sicherheit der Verarbeitung.

Jetzt wieder zum Thema HTTPS. Die Umstellung auf ein Verschlüsselungs-Verfahren ist als Berücksichtgung des Standes der Technik zu sehen, wie im Datenschutzrecht gefordert. Es ist eine passende Maßnahme, die ein angemessenes Datenschutzniveau im Internet (Verarbeitungsübersicht „Webseite“ sollte erstellt werden) gewährleistet. Damit ist man dann folglich auch datenschutzrechtlich auf Stand, zumal die Umstellung auf HTTPS auch nicht besonders aufwendig ist und nur wenige EUR Kosten verursacht. Dem Webseitenbeteiber ist die Umstellug auf HTTPS also durchaus zuzumuten und die Behördern werden hier sicher im Fall der Fälle keine entsprechenden Ausreden zulassen.

Aus den genannten Gründen könnte dass Fehlen von HTTPS auf Unternehmenswebseiten, die ja faktisch immer pD in Kontaktformularen oder Newslettern, etc. verarbeiten, künftig gar abmahnfähig sein. Man kann auch hier davon ausgehen, dass diverse Abmahnvereine hinnsichtlch „HTTPS oder nicht“ bereits in den Startlöchern stehen.

Fazit:

Die Umstellung der Webseite auf HTTPS ist ausgesprochen vorteilhaft, günstig zu haben und datenschutzrechlich für Unternehmen und Organisationen kaum zu umgehen. Zudem ist das Risiko von Abmahnungen auch an dieser Stelle gegeben. Die Investition in HTTPS wird sich schon allein wegen des verbesserten Google-Rankings in jedem Fall auszahlen. Der verbesserte Sicherheits-Status Ihrer Webseite tut ein übriges. Die Umstellung auf HTTPS lohnt sich also allemal. Wir empfehlen daher die Umstellung der Websweite auf HTTPS zeitnah umzusetzen.

Sollten noch Fragen offen sein, dann wissen Sie, wen Sie fragen können …

 

Beachten Sie zum Thema DSGVO bitte auch unsere informative und aktuelle Mandanteninfo DSGVO.