Datenschutz Firmen-Webseiten: SSL-Verschlüsselung ist Pflicht

In der Regel haben Betriebe mindestens ein Kontaktformular auf ihrer Internetseite. Doch wer personenbezogene Daten erhebt, muss diese vor Zugriffen von außen sichern. Der Verzicht auf eine SSL-Verschlüsselung kann zu einer Geldbuße von bis zu 50.000 Euro führen.

Harald Czycholl

Neben IT-Sicherheit und der Vermeidung von Kostenrisiken gibt es noch einen weiteren Grund, auf Firmen-Webseiten SSL-Verschlüsselung einzusetzen: Die Suchmaschine Google hat Sicherheit zum Rankingfaktor gemacht. - © Joshua Sortino/ Unsplash.com

Ohne eigene Internetseite kommt heutzutage kein Handwerksbetrieb mehr aus. Schließlich gilt es, auf allen Kanälen um Kunden zu werben. Deshalb findet sich auch auf praktisch jeder Firmen-Webseite ein Kontaktformular – die potenziellen Kunden sollen es eben so einfach wie möglich haben, sich an den Betrieb zu wenden. Doch an dieser Stelle lauert eine Kostenfalle. Denn wer das Kontaktformular nicht mit einer SSL-Verschlüsselung versieht, um die dort eingegebenen personenbezogenen Daten vor einem Zugriff von außen zu sichern, handelt wettbewerbswidrig und riskiert eine kostenpflichtige Abmahnung. Bei schweren Verstößen droht mitunter sogar ein hohes Bußgeld. Geregelt ist das im IT-Sicherheitsgesetz, das bereits seit zwei Jahren in Kraft ist.

"Jede unverschlüsselte Datenübertragung kann im World Wide Web abgefangen, mitgelesen und schlimmstenfalls manipuliert werden", erklärt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group. Die SSL-Verschlüsselung gewährleiste einen sicheren Weg der Datenübertragung. Die Abkürzung steht für "Secure Socket Layer". "Wir sind eigentlich bereits bei TLS angelangt, was für ‚Transport Layer Security’ steht, dem Nachfolger von SSL. Allerdings hat sich SSL im Sprachgebrauch aber einfach durchgesetzt", so Heutger.

Einbindung einer SSL-Verschlüsselung ist unkompliziert

Website-Betreiber, die die SSL-Verschlüsselung nutzen möchten, können zwischen SSL/TLS-Zertifikaten unterschiedlicher Zertifizierungsstellen mit Preis- und Sicherheitsspannen wählen. Als Faustformel rät IT-Experte Heutger: "Wer eine private Seite, ein Forum, einen Blog, das Intranet oder einen Mailserver absichern möchte, für den ist das domainvalidierte SSL/TLS-Zertifikat ausreichend. Um eine Firmenwebsite, einen Online-Shop oder ein größeres Forum abzusichern, braucht es das höher authentifizierte organisationsvalidierte SSL/TLS-Zertifikat." Wer sensible Daten auf einer stark frequentierten Seite absichern will, sollte auf das sogenannte Extended Validation-SSL/TLS-Zertifikat zurückgreifen.

Die Installation eines SSL/TLS-Zertifikats ist nicht besonders schwierig und kann von IT-Dienstleistern wie etwa der PSW Group relativ schnell umgesetzt werden. Eine sichere Seite erkennt man daran, dass im Browser am Anfang der Domain-Adresse https anstelle von http steht.

Bei Verstößen drohen bis zu 50.000 Euro Geldbuße

"Die Einbindung einer SSL-Verschlüsselung ist in jedem Falle mit einem zumutbaren Aufwand möglich und aufgrund der gesetzlichen Vorgaben dringend zu empfehlen", betont Rolf Stich, Rechtsanwalt aus Rinteln und Experte für IT-Recht. "Darüber hinaus schafft eine Verschlüsselung gegenüber den Besuchern Vertrauen." Grundsätzlich müsse darauf geachtet werden, dass die verwendeten Verschlüsselungszertifikate technisch auf dem neuesten Stand sind.

"Seit Einführung der Gesetzesänderung überprüfen die Datenschutzbeauftragten regelmäßig Unternehmen in ihrem Zuständigkeitsbereich darauf hin, ob ein Verschlüsselungsverfahren eingesetzt wird, wenn auf der Website ein Kontaktformular verwendet wird oder sonst auf elektronischem Weg personenbezogene Daten an den Betreiber übertragen werden können", warnt IT-Rechtsexperte Stich. Ein Verstoß könne als Ordnungswidrigkeit mit einer Geldbuße geahndet werden. Im Extremfall kann das Bußgeld 50.000 Euro betragen. Das Fehlen einer Verschlüsselung sei darüber hinaus wettbewerbsrechtlich abmahnfähig.

Seitenbetreiber dürfen Datenschutzerklärung nicht vergessen

Daneben muss der Betreiber einer Internetseite mit einem Kontaktformular den Nutzer mithilfe einer Datenschutzerklärung auf die Speicherung der personenbezogenen Daten hinweisen. Das gilt auch dann, wenn sich dem Kontaktformular selbst schon ergibt, welche Daten zu welchem Zweck gespeichert werden, hat das Oberlandesgericht Köln im vergangenen Jahr entschieden (Aktenzeichen: 6 U 121/15). Seitenbetreiber, die keine Datenschutzerklärung bereithalten, handeln demnach wettbewerbswidrig und können kostenpflichtig abgemahnt werden. Begründung des Gerichts: Die datenschutzrechtlichen Vorschriften des Telemediengesetzes dienten nicht nur dem Verbraucherschutz, sondern würden zugleich "wettbewerbsbezogene Marktverhaltensregeln" darstellen.

"Ich empfehle meinen Mandanten einen Hinweis auf die Datenschutzerklärung auf jeder Seite", betont Rechtsanwalt Stich. "In Bezug auf das Kontaktformular sollte eine Checkbox darunter sein, die vom Nutzer angehakt wird, bevor die Daten übertragen werden können." Auf diese Weise ist man juristisch auf der sicheren Seite – und vermeidet unnötige Kosten für Strafzahlungen oder Abmahnungen.

SSL-Verschlüsselung ist Rankingfaktor bei Google

Neben IT-Sicherheit und der Vermeidung von Kostenrisiken gibt es noch einen weiteren Grund, auf Firmen-Webseiten SSL-Verschlüsselung einzusetzen: Die Suchmaschine Google hat Sicherheit zum Rankingfaktor gemacht – unsichere Seiten bekommen automatisch ein schlechteres Ranking und werden den Nutzern weit hinten auf der Ergebnisliste angezeigt. „Zwar ist das nur einer von über 200 Faktoren, die das Ranking beeinflussen. Diese Chance, besser zu ranken als die Wettbewerber, sollte sich dennoch niemand entgehen lassen“, meint Christian Heutger von der PSW Group. Hinzu kommt die Tatsache, dass mehrere Browser mittlerweile Warnungen anzeigen, wenn die SSL-Verschlüsselung fehlt: Seit Beginn des Jahres 2017 warnen sie vor unsicheren, unverschlüsselten Websites. czy