Im zweiten Teil der Blogreihe “Internet vs. Datenschutz” widmen wir uns dem Thema SSL- bzw. TLS-Zertifikation. Wir leben in Zeiten, in denen fast alle Dateien und Dokumente digitalisiert werden. Doch ohne entsprechende technische- und organisatorische Maßnahmen sind diese Daten unsicher und könnten im schlimmsten Falle von Dritten entwendet oder missbräuchlich verwendet werden. Deshalb ist es so wichtig, die Daten, mit denen wir arbeiten, zu verschlüsseln und damit zu schützen. Es gibt verschiedene Verschlüsselungstechniken, die in der Datensicherung weit verbreitet sind. Fast jede Kommunikations-App benutzt heutzutage die End-2-End Verschlüsselung, Mailprogramme greifen hingegen auf sogenannte E-Mailverschlüsselungen zurück.

Doch welche Art von Verschlüsselung schützt ihre Daten im Internet?

Was ist eine SSL-/TLS-Zertifikation?

Die SSL-Zertifikation (Secure Sockets Layer) ist ein Zertifikat, das auf dem Server der Webseite installiert wird und schützenswerte Inhalte je nach Art der SSL-Verschlüsselung (abhängig von der sogenannten Validierung) sichert.

Die TLS-Zertifikation (Transport Layer Security) ist eine Verschlüsselung in Form eines Public-Key Verfahrens und wird als Weiterentwicklung des SSL-Verfahrens bezeichnet. Die verarbeitenden Daten werden vom Sender codiert und beim Empfänger wieder decodiert.

Besucht ein Nutzer die Webseite, wird ihm:ihr ein Zertifikat zurückgeschickt. Der Browser des Nutzers kann so die Identität des Servers prüfen und verschlüsselte Inhalte sicherstellen. Es erfolgt ein Austausch zwischen dem Browser des Nutzers und dem Server des Betreibers.

Gibt es Sicherheitsmaßnahmen für Webseiten?

Sie sollten unbedingt darauf achten, dass die von Ihnen besuchten oder betrieben Websites gesichert sind. Einige Browser warnen ihre User bereits vorab, wenn sie sich auf eine eventuell ungesicherte Website navigieren wollen. Doch woher wissen Sie, dass eine Website secure ist?

Sicherheitsmaßnahmen für Websites erkennen Sie meist an einem kleinen Schloss, das neben der Webseitenadresse im Browser angezeigt wird. Auch die URL der Website kann bereits Hinweise auf die Sicherheitsstandards liefern: Geschützte Websites beginnen mit https. Diese Art der Verschlüsselung ist bekannt als TLS-Verschlüsselung.

Ist eine SSL-/TLS-Verschlüsselung verpflichtend?

Leider gibt es hier keine eindeutige Antwort, denn die Umstände sind wie immer ausschlaggebend.

Betrachten wir das Thema zunächst aus Sicht der DSGVO.

Pflicht zur SSL-/ TLS-Verschlüsselung in der DSGVO

Gem. Art. 32 Abs. 1 der DSGVO müssen Maßnahmen bereitgehalten werden, die als “Stand der Technik” gelten (natürlich neben weiteren Bedingungen). Die Maßnahmen, die als “State of the Art” gelten, müssen also verpflichtend umgesetzt werden. Bezugnehmend zu Art. 5 Abs. 1 lit. f DSGVO müssen Verantwortliche entsprechend den Grundsatz der Vertraulichkeit und Integrität berücksichtigen. Dieser Grundsatz besagt, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden muss. Zusätzlich muss der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen erfolgen (sogenannter “Grundsatz der Vertraulichkeit”).

Sie sollten also ausreichende und umfassende Sicherheitsmaßnahmen bereithalten, da Sie laut DSGVO dazu verpflichtet sind. Allerdings ist auch in der DSGVO keine Rede von einer verpflichtenden SSL-/TLS-Verschlüsselung.

Somit können wir zwar von einer Pflicht zur Vertraulichkeit und zur Bereitstellung von ausreichenden Sicherheiten ausgehen – es besteht aber keine direkte Pflicht zur SSL-/TLS-Verschlüsselung.

Gäbe es also andere gleichwertige Maßnahmen zum Schutz der Vertraulichkeit der personenbezogenen Daten, wäre eine SSL-/TLS-Verschlüsselung entbehrlich.

Pflicht zur SSL-/ TLS-Verschlüsselung im Telemediengesetz

Werfen wir einen Blick in weitere Rechtsnormen, wie etwa das Telemediengesetz (TMG). Gem. § 13 Abs. 7 S. 1 TMG wird hier geregelt, dass durch technische und organisatorische Vorkehrungen kein unerlaubter Zugriff für die genutzten technischen Einrichtungen (Nr. 1 ) möglich ist und ein Schutz gegen Verletzung des Schutzes der personenbezogenen Daten (Nr. 2 a) wie auch gegen Störungen durch äußere Angriffe (Nr. 2 b) vorhanden sein müssen.

Konkret wird es gem. § 13 Abs. 7 S. 2 TMG. Hiernach müssen Sie den Stand der Technik berücksichtigen (wie auch im DSGVO beschrieben). Als eine Maßnahme gem. § 13 Abs. 7 S. 1 TMG wird insbesondere die Anwendung eines “als sicher anerkannten Verschlüsselungsverfahrens” genannt. Damit könnte durchaus eine SSL-/ TLS-Verschlüsselung gemeint sein.

Natürlich gibt es unterschiedliche Arten oder Möglichkeiten, Daten korrekt zu verschlüsseln. Das Bundesamt für Sicherheit und Informationstechnik (BSI) gibt regelmäßig Empfehlungen, welche Art der Verschlüsselung genutzt werden sollte (diese Empfehlungen sind zum Teil auch bindend). Die SSL-/TLS-Zertifikation wird von dem BSI als sicheres und anerkanntes Verschlüsselungsverfahrens bewertet. Sofern Sie keine anderen geeigneten und gleichwertigen Verschlüsselungsverfahren einsetzten, sollten Sie also dringend eine SSL-/ TLS-Verschlüsselung nutzen.

SSL-/TLS-Verschlüsselung: Aufsichtsbehörden

Die Aufsichtsbehörden machen gewisse Sicherheitsvorgaben und erwarten entsprechende Vorkehrungen in Bezug auf die Datensicherheit. Einige Aufsichtsbehörden haben bei Verstößen gegen die Verschlüsselungspflicht bereits aufsichtsrechtliche Maßnahmen gegen Betreiber von Websites ergriffen und diese zur Zahlung von Bußgeldern verdonnert.

In den meisten dieser Fälle ging es um Kommunikationskanäle auf den Websites, die keine Verschlüsselung aufgewiesen haben und somit als unsicher galten.