Soweit sensible Bank- oder Gesundheitsdaten über das Internet übertragen werden, sind sich die meisten Webseitenbetreiber der Notwendigkeit eines angemessenen Schutzes der Daten bewusst. Nur in Ausnahmefällen finden sich hier Eingabemasken auf unverschlüsselten Seiten. Bei den auf vielen Webseiten anzutreffenden Kontakt- und Bestellformularen sieht es schon ganz anders aus. Hier stellt eine sichere Verschlüsselung den Ausnahmefall dar. Doch auch bei Angaben der Webseitenbesucher zu Name, Anschrift oder E-Mail-Adresse handelt es sich um schützenswerte personenbezogene Daten, die nicht ungesichert übermittelt werden sollten.
Rechtliche Vorgaben
Im Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten. Bei dem Gesetz handelt es sich um ein sog. „Artikelgesetz“, durch welches verschiedene Fachgesetze überarbeitet bzw. ergänzt wurden. Unter anderem kam es durch das IT-Sicherheitsgesetz zu einer Änderung des § 13 Abs. 7 Telemedien- und Telekommunikationsgesetz (TMG). In dem neu eingefügten Absatz des § 13 TMG heißt es nunmehr:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Konsequenzen für die Praxis
Unternehmen werden mit der konkreten Ausgestaltung der in § 13 Abs. 7 TMG festgelegten Verpflichtung, einen sicheren Betrieb ihrer Webseiten zu gewährleisten, zwar weitestgehend allein gelassen. Eine wichtige Anforderung an die zu treffenden Sicherheitsmaßnahmen wird jedoch explizit vom Gesetzgeber benannt: die Implementierung sicherer Verschlüsselungsverfahren.
Zwar sieht § 13 Abs. 7 TMG keine ausdrückliche Verpflichtung zur Verwendung von Verschlüsselungsverfahren vor, sondern erlaubt grundsätzlich auch alternative Maßnahmen, um unerlaubte Zugriffe auf personenbezogene Daten zu verhindern. Faktisch bietet jedoch nur eine sichere Verschlüsselung einen angemessenen Schutz der Daten. Webseitenbetreiber riskieren entsprechend bei dem Einsatz anderer Maßnahmen die Gefahr einer unzureichenden Pflichtumsetzung. Soweit personenbezogene Daten online übermittelt werden, ist Webseitenbetreiber daher dringend anzuraten für eine sichere Verschlüsselung zu sorgen und den Schutz der Daten vor Zugriffen Dritter zu gewährleisten.
Um von einem als sicher anerkannten Verfahren ausgehen zu können, sollten TLS-Zertifikate (Transport Layer Security) mit ausreichender Schlüssellänge (zurzeit 2048 Bit) von vertrauenswürdigen Trust-Centern eingesetzt werden. Die Authentisierungs-Zertifikate sollten bereits in den Standard-Browsern hinterlegt sein.
Sind weitere Maßnahmen erforderlich?
Beachtet werden sollte zudem, dass der Wortlaut des neuen § 13 Abs. 7 TMG über die Verschlüsselung der Übertragung eingegebener personenbezogenen Daten hinausgeht. Webseitenbetreiber sollten daher weitere Sicherheitsmaßnahmen berücksichtigen, u.a. sollten zumindest:
- Updates der eingesetzten Software-Versionen zeitnah eingespielt,
- Angriffe auf den Web-Server durch Firewall- und Intrusion Detection Systeme erkannt und entsprechend blockiert und
- Web-Applikationen mit Zugriff auf Datenbanken vor der Freigabe differenzierten Penetrationstests unterzogen werden.
Bußgelder drohen
Ausschlaggebender Ansporn für Webseitenbetreiber angemessene technische und organisatorische Vorkehrungen zu implementieren, wird vermutlich die mit dem IT-Sicherheitsgesetz einhergehende Änderung des Bußgeldkatalogs in § 16 TMG sein. Die Zuwiderhandlung einer in §13 Abs. 7 Satz 1 Nr. 1 und Nr. 2a TMG genannten Pflicht zur Sicherstellung kann nunmehr je Verstoß mit einem Bußgeld von bis zu 50.000 € geahndet werden.
Aber auch Aufsichtsbehörden für den Datenschutz achten im Rahmen von Prüfungen auf die Umsetzung angemessener Sicherheitsmaßnahmen. So stellte zuletzt u.a. die Bayerische Aufsichtsbehörde in ihrem 26. Tätigkeitsbericht klar, dass „sobald personenbezogene Daten – und dazu zählt grundsätzlich auch schon ein Kontaktformular – übertragen werden, eine TLS/SSL-Verschlüsselung unumgänglich ist“.
Fazit
Um Beanstandungen durch Aufsichtsbehörden und die Verhängung von Bußgeldern zu verhindern, sollten Webseitenbetreiber alle Formulare identifizieren, mit denen personenbezogene Daten erhoben werden und die betroffenen Seiten über HTTPS einbinden. Zudem sollte überprüft werden, ob auch weitere geeignete Maßnahmen getroffen werden müssen, um personenbezogenen Daten gegen Drittzugriffe zu sichern.