Internetseiten, die persönliche Daten unverschlüsselt übermitteln, insbesondere via Kontaktformular, stehen derzeit im Fokus des Bayerischen Landesamtes für Datenschutz. Denn ohne anerkanntes Verschlüsselungsverfahren verstoßen die Seiten gegen das IT-Sicherheitsgesetz. Die Konsequenz, sollte man ohne passenden Schlüssel arbeiten: ein Bußgeld in Höhe von bis zu 50.000 Euro.
Die rechtliche Grundlage: das Telemediengesetz
Die Bemühungen der bayerischen Datenschützer, für mehr Sicherheit bei der Übertragung personenbezogener Daten zu sorgen, beruhen auf dem Telemediengesetz (TMG). Konkret beziehen sich die Maßnahmen auf Paragraf 13 Absatz 7 TMG, der seit Sommer 2015 greift. Der Gesetzgeber weist hier unmissverständlich auf die Pflichten von Diensteanbietern – zu denen Webseitenbetreiber zählen – hin:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Dieser Paragraf betrifft weit mehr als nur das Kontaktformular. Entscheidend ist der Hinweis auf „geschäftsmäßig angebotene Telemedien“. Darunter fallen unter anderem Shops und alle Seiten, bei denen personenbezogene Daten übermittelt werden, wie etwa bei Blogs.
Welche Maßnahmen müssen getroffen werden?
Sofern noch nicht geschehen, sollte jeder Webseitenbetreiber, der von Paragraf 13 Absatz 7 tangiert wird, für eine solide Verschlüsselung der jeweiligen Seiten sorgen. Dabei empfehlen Experten rund um den Globus unisono das Verschlüsselungsverfahren Transport Layer Security (TLS) in der Version 1.2. Weitere Informationen dazu hält unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) parat. Die technische Richtlinie TR-02102-2 thematisiert „Kryptische Verfahren: Empfehlungen und Schlüssellängen“ und Teil 2 explizit die „Verwendung von Transport Layer Security (TLS)“.
Sollte die Vorschrift bewusst oder unwissentlich nicht eingehalten werden, handelt es sich um eine Ordnungswidrigkeit, die richtig teuer werden kann. Von daher ist es sinnvoller und dauerhaft günstiger, für eine Verschlüsselung zu sorgen.
Sie benötigen Hilfe? Fragen Sie uns!
Sollten Sie sich nicht absolut sicher sein, ob Ihre Internetseite verschlüsselt werden muss: Fragen Sie uns als Ihren externen Datenschutzbeauftragten. Wir klären dann gemeinsam mit Ihnen, welche Maßnahmen erforderlich sind. Rufen Sie uns einfach an oder hinterlassen Sie uns eine kurze Nachricht über unser – selbstverständlich verschlüsseltes – Kontaktformular.