An dieser Stelle haben wir bereits mehrfach auf die dringende Einhaltung der DS-GVO hingewiesen, bei deren Umsetzung wir Unternehmen verschiedentlich behilflich sind. Kürzlich wurden wir von einem Unternehmer aus Bayern beauftragt, der auf Grund einer Datenschutzbeschwerde vom Bayrischen Landesamt für Datenschutzaufsicht (LDA) aufgefordert wurde, seine Webseite mit HTTPS/SSL zu verschlüsseln.

Im Schreiben mit dem Betreff Datenschutzbeschwerde zur HTTPS-Verschlüsselung unter <URL>, das urbanstudio vorliegt, heißt es wörtlich:

Wir haben eine Datenschutzbeschwerde gegen Ihr Unternehmens erhalten. Die Beschwerde bezieht sich auf Mängel der Verschlüsselung der Webseite (mit HTTPS) gemäß Art. 32 Datenschutzgrundverordnung (DS-GVO).

Bei einer ersten Einblicknahme der URL […] haben wir festgestellt, dass die HTTPS-Verschlüsselung nicht vorhanden bzw. nicht dem aktuellen Stand der Technik entspricht. Aus diesem Grund möchten wir Sie bitten, die Anforderungen, die im Anhang 1 dieses Schreibens dargelegt sind bis spätestens zum […] umzusetzen und uns diese Umsetzung mit der Rücksendung des Antwortbogens (Anhang 2) zu bestätigen.

Wir möchten Sie an dieser Stelle schon darauf hinweisen, dass der Einsatz einer wirksamen HTTPS-Verschlüsselung beim Transport personenbezogener Daten über das Internet keine Empfehlung von uns ist, sondern sich direkt aus der Datenschutzgrundverordnung, insbesondere Art. 32 DS-GVO ableitet. Dies bedeutet, dass wir angehalten sind, eine Umsetzung einer wirksamen HTTPS-Verschlüsselung auf Ihrer Webseite sicherzustellen – als letztes Mittel würden uns dazu neben aufsichtlichen Anordnungen auch die Verhängung von Bußgeldern zur Verfügung stehen.

Wir selbst erachten es als sehr fair, dass das Bayrische Landesamt für Datenschutzaufsicht nicht direkt ein Bußgeld verhängt. Es nimmt offenkundig die Aufgabe der Information und Beratung ernst, nicht zuletzt durch die angehängten umfangreichen Erläuterungen. Und auch, wenn das Schreiben mit Nachdruck formuliert ist, so gibt es demjenigen, der sich noch nicht um die Einhaltung der Auflagen durch das Datenschutzrecht gekümmert hat, Zeit zur Nacherfüllung.

Im Antwortbogen wird erneut an die Anforderung der sog. Transportverschlüsselung hingewiesen und eine Prüfliste angehängt:

1. Einsatz einer HTTPS-Verschlüsselung
2. Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
3. TLS 1.2 als Standardprotokoll
4. Prior Verwendung von Perfect Forward Secrecy (PFS)
5. Geeignete Schlüssellänge des SSL-Zertifikats
6. Keine SSL-Zertifikate mit SHA-1
7. Keine unsicheren Kryptoalgorithmen (z.B. RC4, Export-Chiffren, …)
8. Verwendung aktueller Softwareversionen (z.B. Webserver, Firewall, …)
9. Verwendung von HTTP Strict Transport Security (HSTS)
10. Geeignete SSL-Zertifikate

Solche Datenschutzbeschwerden kommen nicht selten von direkten Mitbewerbern. Gründe hierfür finden sich schnell: Eine ungenügende Datenschutzerklärung, ein fehlender Hinweis bei Kontaktformularen, fehlende Verschlüsselung, Erhebung zu vieler Daten etc. – Verstöße gegen den Datenschutz sind im Zweifel nicht nur teuer, sondern sorgen auch für einen Reputationsverlust.

urbanstudio berät Sie gern und umfassend in Bezug auf die Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz. Fragen Sie uns gern an!