Ebenen Tempus Webdesign

SSL steht für „Secure-Sockets-Layer“

und verschlüsselt die Kommunikation von Daten, die vom Computer zu einem Server transportiert werden. Mittlerweile wurde SSL weiterentwickelt. Das aktuelle Standard-Verschlüsselungsverfahren ist das Transport Layer Security-Protokoll (TLS). Allerdings hat sich der Name SSL so eingebürgert, dass er weiter genutzt wird. SSL-Zertifikate gibt es in unterschiedlichen Sicherheitsstufen und Preisklassen. Alle Daten, die auf diesem Weg übertragen werden, sind vor dem Zugriff durch Dritte geschützt.

Muss die komplette Website SSL-verschlüsselt werden?

Gemäß Artikel 5 Abs. 1 lit. f DSGVO i.V.m. Art. 32 Abs. 1 lit. a DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
Es ist jedoch noch nicht abschließend geklärt, ob nach diesen Vorschriften nur besondere Funktionen der Website, wie Kontaktformular oder Newsletter-Anmeldung mit einer Verschlüsselung geschützt werden müssen.

Problem 1: Fallen bei jedem Internetseitenbesuch personenbezogene Daten an?

Zunächst muss geklärt werden, was personenbezogene Daten sind. Nach Art. 4 DSGVO (Datenschutzgrundverordnung) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Dies bedeutet, es muss eine natürliche Person mit Hilfe der Daten bestimmbar sein. Hierbei reichen z.B. „Standortdaten“, eine E-Mail Adresse bzw. eine Kennnummer aus. Daher sind alle in Kontaktformularen, Newsletteranmeldungen, Login-Daten, Bewerbungsformularen etc. eingegebenen Daten personenbezogene Daten im Sinne der DSGVO.

ACHTUNG: Weite Auslegung des Begriffs der personenbezogenen Daten und einzelne Meinungen!

Der Begriff der personenbezogenen Daten ist aus Gründen der Vorsicht entsprechend weit auszulegen. Beim Betreiben einer Internetseite fallen naturgemäß Log-Dateien und Zuordnungsdateien mit (dynamischen) IP-Adressen an. Diese IP-Adressen werden benötigt, um die Daten der Internetseite für den Seitenaufbau vom Hoster (Serverbetreiber) der Internetseite zum Internetseitennutzer (Empfänger der Daten) transportieren zu können. Ähnlich der Postanschrift werden diese Daten mit einer IP-Adresse versehen, die den Empfänger eindeutig identifiziert. Die IP-Adressen werden meist dynamisch vergeben und können sich regelmäßig ändern. Dynamisch sind IP-Adressen deshalb, weil sie durch die Router regelmäßig verändert werden. Nur so ist das Surfen auf einer Internetseite erst möglich. Der Webhoster (Serverbetreiber wie z.B. Strato, 1&1, All-Inkl, Jimdo) hat deshalb Einblick, welchem Nutzer er zu welcher Zeit welche dynamische IP-Adresse mit welchem Seiteninhalt zugeordnet hat. Der EuGH hat in einem Urteil vom 24.11.2011 – C-70/10 hierzu bereits festgestellt, dass es sich bei den dynamischen IP-Adressen für die Webhoster um personenbezogene Daten handelt. Das bedeutet, beim Webhoster fallen personenbezogene Daten an. Nach einer neuesten Rechtsprechung des EuGH handelt es sich bei der IP-Adresse auch für den Websitebetreiber um personenbezogene Daten. Jedoch nur dann, wenn dem Websitebetreiber rechtliche Mittel zustehen, Daten, die eine Identifikation ermöglichen, vom Internetzugangsanbieter (Provider) herauszuverlangen. Als »rechtliches Mittel« genügt hierbei schon, wenn im Falle von Cyberattacken mit Hilfe der Strafverfolgungsbehörden die Nutzer hinter einer IP-Adresse identifiziert werden können.
In der DSGVO ist die Problematik des Personenbezugs von IP-Adressen jedoch nicht abschließend geregelt. Ebenso liegen wegen der Geltung der DSGVO erst am 25.05.2018 noch keine entsprechenden Urteile vor.
Klarheit gibt jedoch ein neues Urteil des BGH vom 16.05.2017 – VI ZR 135/13, wonach die dynamischen IP-Adressen für die Bundesrepublik Deutschland als Betreiber der Websites ein personenbezogenes Datum darstellen.
Das Bayerische Landesdatenschutzzentrum hat sich dieses Themas ebenfalls angenommen und bietet bereits die Möglichkeit, dass Internetseitennutzer Websites auf die Verschlüsselung hin überprüfen lassen können https://www.lda.bayern.de/de/httpscheck.html. Die Ergebnisse der Prüfung werden den Websitebetreibern postalisch zugestellt.
Zudem bleibt »das gesetzgeberische Ziel die Sicherstellung eines angemessenen Schutzniveaus im Sinne der Betroffenen«, weshalb »mit wirtschaftlichen Argumenten […] daher keine unzureichenden Schutzmaßnahmen gerechtfertigt werden [können]« (Grages in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 32 DSGVO, Rn. 3). Ein angemessenes Schutzniveau richtet sich auch nach den allgemein auf dem Markt zu findenden Sicherheitsmaßnahmen. Dies ist mittlerweile die Verschlüsselung der gesamten Website. »Einen Anhaltspunkt können auch die technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI-TR) bieten« (Grages in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 32 DSGVO, Rn. 9). Je mehr Websites eine TLS Verschlüsselung vornehmen, umso mehr ist davon auszugehen, dass eine vollständige Verschlüsselung dem Stand der Technik entspricht. Die vollständige Verschlüsselung der Website ist mittlerweile mit geringem technischen und finanziellen Aufwand möglich.

Andere Ansicht: Nur bestimmte Bereiche der Website, in denen offensichtlich personenbezogene Daten übertragen werden, müssen verschlüsselt werden

Nach einer gegenteiligen Ansicht wird angenommen, dass lediglich die besonderen Funktionen der Website, welche offensichtlich personenbezogene Daten übertragen, (z.B. Kontaktformular, Newsletteranmeldeformular, Warenkorb beim Online-Shop) mit SSL (TLS) geschützt werden müssen. Diese Ansicht geht davon aus, dass nicht abschließend in der DSGVO geklärt ist, ob die gesamte Website verschlüsselt werden muss.
Diese Ansicht ist in den meisten Fällen jedoch nicht zielführend. Meist ist es aufwändiger einzelne Unterseiten zu verschlüsseln als die komplette Website. Aus wirtschaftlichen Überlegungen ist eine Vollverschlüsselung in den meisten Fällen das Mittel der Wahl. Darüber hinaus werden Seiten ohne SSL-Verschlüsselung von Google sanktioniert, und bestimmte Browser zeigen mittlerweile eine fehlende Verschlüsselung offensichtlich an und weisen auf den fehlenden Schutz der Daten hin.

Zwischenergebnis

Wir gehen nach unserem derzeitigen Stand davon aus, dass dynamische IP-Adressen personenbezogene Daten sind und empfehlen dringend die komplette Website zu verschlüsseln.

Quelle:https://www.website-check.de

Referenzen

Vielseitig, klar, strukturiert & zielgerichtet

Autohaus Möldgen

Großenhain

Landingpage Starte Deins

Meißen

Landingpage Versicherungsgesetze

Radebeul

Cors 360

Niederau, Rabenau, Leipzig, Erfurt

Printmedien-Design

Dresden

Geothermie Karlshagen

Karlshagen

weitere
×

 

Hallo!

Wie können wir Ihnen weiterhelfen?

% %
#

Sie erreichen uns auch unter +49174 4555514


			
			

			
			
				
			
			

		

		

				
					
				×
					Wie kann ich Ihnen helfen?
									Available on SundayMondayTuesdayWednesdayThursdayFridaySaturday