In diesem Gastbeitrag erklärt Rechtsanwalt Dr. Schwenke, warum nicht nur gesetzliche Pflichten für verschlüsselte Websites sprechen.
Die Umstellung von http auf https
“Bitte stellen Sie Ihre Website auf https:// um”, gehört derzeit wohl zu den häufigsten Vorschlägen, die ich Mandanten im Rahmen der Datenschutzberatung gebe. Daraufhin möchten die Mandanten jedoch wissen, warum sie den technischen Aufwand auf sich nehmen müssen. Dieser mag für Fachleute gering wirken, für viele Unternehmen und Websiteanbieter, kann er dennoch eine relevante Hürde darstellen.
In diesem Beitrag möchte ich Ihnen dieselben Antworten wie meinen Mandanten geben und erklären, warum https sinnvoll ist. Dabei ist es nicht die maximale Höhe des Bußgelds von 50.000 Euro, die einen Anreiz zur Umstellung setzt. Das Gesetz wirkt sich viel mehr mittelbar aus und die Überzeugungsarbeit leisten andere Akteure.
Bevor ich mich jedoch den rechtlichen Aspekten zuwende, möchte ich einen kurzen technischen und gesellschaftlichen Hintergrund geben.
Verschlüsselte Übertragung von Webseiten
Webseiten werden an die Geräte der Nutzer über ein sog. HyperText Transfer Protocol, kurz “http” übertragen. Dabei handelt es sich um ein Protokoll, also eine Art gemeinsamen Sprache zwischen dem Server, auf dem eine Webseite liegt und dem Browser der Nutzer.
Der Nachteil von http ist die fehlende Verschlüsselung. D.h. wenn Kunden oder Nutzer ihre Daten beim Einkauf in einem Shop angeben, in ein Kontaktformular eintragen oder Meinungen in Onlineforen verfassen, können diese Informationen von Dritten erfasst und ausgelesen werden. Zu diesen Dritten können z.B. Geheimdienste oder Kriminelle gehören. Ob und für welche Zwecke die abgefangenen Informationen verwendet werden, ist in der Regel unbekannt. Es kann durchaus passieren, dass sie z.B. einer geheimdienstlichen Profilbildung oder als Grundlage für Phishing-Attacken dienen.
Um die Daten zu schützen, können sie verschlüsselt übertragen werden. Die Verschlüsselung kann als ein Transport in gesicherten Behältern versinnbildlich werden. Diese Behälter, d.h. die Verschlüsselungsverfahren, unterliegen bestimmten Standards und werden von diversen Zertifizierungsstellen als sog. “Verschlüsselungszertifikate” ausgegeben.
Im Internet werden unterschiedliche Verschlüsselungsverfahren eingesetzt. Das derzeit gängige und empfohlene ist das Transport Layer Security (TLS)-Verfahren (auch bekannt unter der älteren Bezeichnung “Secure Sockets Layer (SSL)”). Dieses Verfahren wird ständig aktualisiert, da Verschlüsselungsverfahren mit der Zeit Schwächen offenbaren und von Unberechtigten entschlüsselt werden können.
Webseiten, die verschlüsselt per https übertragen werden, sind in den Adressleisten der Browser an dem Symbol eines geschlossenen Schlosses erkennbar (Beispiele: Edge, Chrome, Firefox).
Webseiten, die ein Verschlüsselungsverfahren einsetzen, sind an dem Präfix “https://” statt des “http://” erkennbar. Das zusätzliche “S” steht für Sicherheit, was ausgesprochen Hypertext Transfer Protocol Secure heißt. Dieses Verfahren gewährleistet, dass die Daten eines Shopeinkaufs, Eintrags im Kontaktformular oder einem Diskussionsforum für Dritte nicht lesbar transportiert werden.
Die Verletzungen der Privatsphäre, die sich oft erst in der Zukunft und unerkannt auswirken können, werden von Menschen häufig nicht ernst genommen. In solchen Fällen liegt es am Gesetzgeber, steuernd einzugreifen und die Bürger zu schützen. Auch im Fall der Browser-Verschlüsselung wurde der Gesetzgeber mit dem IT-Sicherheitsgesetz aktiv.
Verschlüsselungspflicht nach dem IT-Sicherheitsgesetz
Im August 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Mit ihm wurde das Telemediengesetz (TMG) um neue IT-Sicherheitsvorgaben ergänzt (Hervorhebung von mir):
§ 13 Telemediengesetz – Pflichten des Diensteanbieters
[…]
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Die Vorschrift enthält eine Pflicht, personenbezogene Daten der Nutzer entsprechend dem Stand der Technik zu schützen. Das Gesetz enthält zwar keine direkte Pflicht zur Verschlüsselung, aber die Verschlüsselung wird nahegelegt (“insbesondere”) und dürfte derzeit als einzige praktikable Maßnahme in Frage kommen.
Allerdings enthält das Gesetz Einschränkungen, die häufig als Argumente gegen dessen Anwendung vorgebracht werden. Dass die Ausnahmen jedoch selten greifen, werde ich nachfolgend erläutern.
Hinweis: Neben § 13 Abs. 7 TMG kann sich die Pflicht zum Schutz der Nutzerdaten und Verschlüsselung auch aus allgemeineren Vorschriften, wie der Pflicht zum Einsatz erforderlicher technischer und organisatorischer Maßnahmen gem. § 9 BDSG. Zur Vertiefung empfehle ich den Abschnitt zum Telemediengesetz in der Einführung in IT-Sicherheit und IT-Sicherheitsrecht des Bayerischen Wissensnetzwerk Digitale Infrastrukturen, IT-Sicherheit und Recht für Unternehmen (BayWiDI).
Geschäftsmäßige Telemedien
Diese Vorschrift gilt zunächst für alle Telemedien, also vor allem Webseiten, Diskussionsforen, Shops, Plattformen, etc., die „geschäftsmäßig“ angeboten werden. In diesem Zusammenhang bedeutet dies, dass jeglicher kommerzieller Bezug ausreicht und nur zu rein privaten Zwecken genutzte Webseiten oder solche von Idealvereinen, nicht erfasst werden (Gesetzesbegründung, S. 34).
Demnach wären Werbebanner, Affiliate-Links, aber auch “Spenden”-Buttons (z.B. von Flatter) erfasst (um nicht-kommerziell zu sein, müsste es sich um “echte Spenden” handeln, die einem als gemeinnützig festgestellten Zwecken zufließen).
Technisch möglich und wirtschaftlich zumutbar
Die Beschränkung auf technisch mögliche und wirtschaftlich zumutbare Maßnahmen, würde vor allem dann maßgeblich, wenn die Umstellung der „https“ hohe Kosten verursachen würde. Die Kosten der Verschlüsselungszertifikate selbst, sind dabei eher weniger relevant.
Der Einsatz von https bedeutet, dass ein sog. Verschlüsselungszertifikat bezogen und implementiert werden muss. Die technische Umsetzung nimmt im Regelfall der Webhoster vor, auf dessen Server die Website liegt. Viele Webhoster bieten solche Zertifikate gegen geringe Gebühren von unter 5 Euro pro Monat an. Manche erlauben sogar die Implementierung des kostenlosen Zertifikats von Let’s Encrypt.
Die Non-Profit-Organisation Let’s Encrypt bietet kostenlose Zertifikate, die alle drei Monate erneuert werden.
D.h. sofern technische oder wirtschaftliche Aspekte relevant werden, wird es sich vor allem um die Kosten der Umstellung auf https handeln. Hier wird es auf die eingesetzten Systeme ankommen, jedoch ist auch diese Umstellung im Regelfall kein wesentlicher Aufwand.
Die Kosten müssen zudem ins Verhältnis zu den Gefahren für die Nutzer gestellt werden. D.h. eine Website mit einem Kontaktformular wird sich eher auf wirtschaftliche Hürden berufen können als ein Onlineshop.
Zusammenfassend müssen schon gewichtige Kosten entstehen, um sich auf die Unzumutbarkeit der Umstellung auf https berufen zu können. Spätestens, wenn Websites ab August 2015 neu angelegt werden oder einen Relaunch erfahren, scheidet die Berufung auf hohe Kosten in der Regel aus.
Bei vielen Webhostern können Verschlüsselungszertifikate, hier z.B. Let’s Encrypt, mit wenigen Mausklicks installiert werden.
Stand der Technik
Auch wenn Ihre Website geschäftlich ist und Sie keine technischen oder wirtschaftlichen Hürden vorbringen können, könnten Sie sich noch auf den Stand der Technik berufen. Das Gesetz sagt nicht, wie dieser Stand der Technik definiert wird. D.h. solange es keine verbindlichen Richtlinien oder eine einheitliche Rechtsprechung existiert, kann ein Stand der Technik allenfalls vermutet werden.
Die Berufung auf fehlenden Standard bröckelt aber mit der Zeit zusehends, da https im Internet auf über 50% der Webseiten im Internet eingesetzt und damit zur Lebenswirklichkeit wird. Wenn immer mehr Unternehmen und Plattformen auf https setzen, wenn Sicherheitsempfehlungen der Behörden und Sachverständigen die Verschlüsselung als Stand der Technik definieren, dann wird https faktisch zum Standard.
Neben anderen Akteuren prägt vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Stand der Technik mit seinen Hinweisen und Richtlinien (im Beispiel mit dem „Diskussionspapier: Telemediendienste – Absicherung nach Stand der Technik“ vom Juli 2016, daneben sind auch die Technischen Richtlinien „TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ zu beachten.
Neben anderen Akteuren prägt vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Stand der Technik mit seinen Hinweisen und Richtlinien (im Beispiel mit dem „Diskussionspapier: Telemediendienste – Absicherung nach Stand der Technik“ vom Juli 2016, daneben sind auch die Technischen Richtlinien „TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ zu beachten).
Rechtsfolgen bei Verstoß gegen die Verschlüsselungspflicht
Trotz der verbleibenden Unklarheiten zeigt die Tendenz eindeutig Richtung Verschlüsselungspflicht. Spätestens in ein bis zwei Jahren dürfte https als ein Standard verbindlich werden.
Das gilt zumindest dann, wenn Sie personenbezogene Daten von Nutzern erheben. In diesem Fall drohen bei Verzicht auf die verschlüsselte Datenübertragung zunächst Maßnahmen von Datenschutzbehörden, wie z.B. Untersagungsverfügungen unter Zwangsgeldandrohung oder Bußgelder von bis zu 50.000 Euro (§ 16 Abs. 2 Nr. 3, Abs. 3 TMG). Praktisch sieht es jedoch so aus, dass Behörden eher selten tätig werden, Bußgelder absolute Ausnahmen darstellen und wenn, dann zuerst breitflächig Auskünfte eingeholt werden. Angesichts der knappen Mittel der Behörden sind diese Durchsetzungsschwächen nicht verwunderlich.
Ferner ist es fraglich, ob eine fehlende Verschlüsselung von Mitbewerbern oder klagebefugten Organisationen, wie z.B. Verbraucherschutz- oder Wettbewerbszentralen kostenpflichtig abmahnbar sind. Dazu müsste es sich bei der Vorschrift um eine Marktverhaltensregel handeln (§ 3a UWG). Das kann mit Blick auf die Regelung von geschäftsmäßigen Telemedien bejaht, aber zugleich mit Schutz individueller Interessen als Ziel des Gesetzes verneint werden.
Auf den Individualschutz könnten sich auch einzelne Nutzer berufen und Abmahnungen aussprechen. Doch aufgrund der vielen Unbekannten, ist ebenso wie bei Mitbewerbern, eher weniger mit Abmahnungen zu rechnen. Denn sollten diese als unberechtigt eingestuft werden, müssten die Abmahnenden die Kosten des Verfahrens selbst tragen. Zudem ist einwandfreier Datenschutz online häufig kaum möglich, so dass vor allem abmahnende Unternehmen mit Gegenabmahnungen, z.B. bei Fehlern in der Datenschutzerklärung, rechnen müssten.
Aus diesen Gründen sind die rechtlichen Risiken des Verzichts auf https derzeit eher als gering und wirtschaftlich vertretbar einzustufen. Wenn https eingesetzt wird, dann eher aus anderen Gründen.
Wirtschaftliche statt rechtliche Motivation
Große Onlineunternehmen wie Google oder Facebook stehen praktisch ständig in Konflikten mit Datenschutzbehörden. Sie sind daher bemüht, datenschutzrechtlich (zumindest solange es in deren Interesse ist) möglichst gut dazustehen. Genauso wichtig ist ihnen auch das Vertrauen ihrer Nutzer und Kunden in die Sicherheit ihrer Dienste. Doch auch altruistische oder politische Erwägungen führen dazu, dass der Stand der Sicherheit im Internet erhöht wird.
Das Vertrauen der Kunden und Nutzer dürfte mit Sicherheit steigen, wenn die Browser wie im obigen Beispiel eine sichere Verbindung hervorheben, statt wie im unteren Beispiel auf Sicherheitsmangel hinzuweisen. (Beispiel nach und vor der Umstellung auf https von Homepage-Baukasten.de)
Dieses Konglomerat aus unterschiedlichen Interessen sorgt nicht nur dafür, dass das Gesetz mittelbar gefördert wird, indem https zum Standard erhoben wird. Sie können vor allem faktischen Druck ausüben, der sich eher auswirkt als weniger wahrscheinliche Bußgelder.
So lässt Google z.B. die https-Verschlüsselung in das Suchmaschinen-Ranking einer Website einfließen. Auch Nutzer sind zunehmend im Hinblick auf Datensicherheit sensibilisiert und so kann eine https-Verschlüsselung ein Mehr an Umsatz bedeuten. Für die Sensibilisierung sorgen hier die Browseranbieter, die Hinweise auf unsichere Verbindungen direkt in Onlineformularen anzeigen.
Im Ergebnis muss man damit sagen, dass eine Kombination des Marktes, der Technik und der Gesetze https praktisch erforderlich machen.
Die Entwickler von Firefox planen einen Warnhinweis für unverschlüsselte Formulare.
Fazit und Praxisempfehlung
Angesichts der (derzeit) geringen rechtlichen Risiken, kann das Gesetz alleine die Websiteanbieter eher selten zur Umstellung auf https bewegen. Der Hinweis auf die Abstrafung durch Google und die kommenden Warnhinweise der Browseranbieter haben da eine viel höhere Überzeugungskraft.
Bereits aus diesen faktischen Gründen empfehle ich allen, die neue Webseiten anlegen oder einen Relaunch planen, diese per https übertragen zu lassen. Wenn Sie geschäftsmäflig Webseiten anbieten und personenbezogene Nutzerdaten erheben, kann der Verzicht auf https gar wirtschaftlich unvernünftig sein.
Aber auch die rechtliche Lage könnte sich spätestens innerhalb der nächsten ein bis zwei Jahre zuspitzen, da https zunehmend als ein verpflichtender Standard verstanden wird. Es ist besser Sie handeln jetzt in Ruhe, als überhastet, wenn sich doch die Datenschutzbehörde meldet oder ein Mitbewerber zu einer Abmahnung greift. Schlimmstenfalls müssen Sie Ihre Website offline nehmen, wenn die Umsetzung der Sicherheitsvorgaben nicht innerhalb der Ihnen auferlegten Fristen gelingt.
Autorenhinweis
Rechtsanwalt Dr. Thomas Schwenke, LL.M. (Auckland), Dipl.FinWirt(FH), aus Berlin berät Unternehmen in Rechtsfragen beim Marketing, Social Media und Datenschutz. Website & Blog: drschwenke.de, Facebookseite: fb.com/raschwenke, Twitter: @thsch.
Hinweise und Offenlegung: Die hier vertretenen Ansichten stellen die Meinung des Autors dar und können in diesem sich permanent entwickelndem Rechtsbereich keinen Anspruch auf absolute Rechtssicherheit erheben. Ebenso dient der Beitrag einer Übersicht über die Problematik und stellt keine umfassende Darstellung aller möglichen rechtlichen Details und Probleme dar, zumal jeder Fall einzeln beurteilt werden muss. Die im obigen Beispiel genannte Website Homepage-Baukasten.de wird von der webme GmbH betrieben, die zu den Mandanten des Autors gehört.
