Das Bayerische Landesamt für Datenschutzaufsicht hat selbst bekannt gegeben, dass es derzeit Unternehmen in seinem Zuständigkeitsbereich dahingehend überprüft, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert sind. Die Anforderung betrifft aber, so das Landesamt, nicht nur Webseiten mit Kontaktformularen, sondern es geht letztlich um die Überprüfung der Verschlüsselung bei der Übermittlung personenbezogener Daten generell.

Warum ist das so und was bedeutet ein Verstoß gegen das Verschlüsselungsgebot?

Nun, heimlich, still und leise wurde das Telemediengesetz (TMG) im Zuge des IT-Sicherheitsgesetzes ergänzt. Nämlich um einen etwas unscheinbaren neuen Absatz in § 13 des TMG. Dieser neue § 13 Absatz 7 TMG aber hat es in sich.

Der Wortlaut des neuen Absatzes geht so:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Das bedeutet, dass grundsätzlich nach dem jeweiligen Stand der Technik ein „als sicher anerkanntes“ Verschlüsselungsverfahren verwendet werden muss, um die Daten der Webseite zu sichern. Anerkannt in diesem Sinne ist bspw. das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Transport Layer Security Verfahren (TLS). Es wird hierbei der Einsatz von TLS in der Version 1.2 empfohlen.

Hier geht es übrigens zum Wikipedia-Artikel zu dem Verfahren.

Der Wortlaut der Vorschrift geht aber weit über die Verschlüsselung der Übertragung von in Kontaktformulare eingegebenen personenbezogenen Daten hinaus. Denn es müssen bspw. auch die „technischen Einrichtungen“ gesichert werden, was bspw. die Sicherung des Webservers durch Zugriffe von außen betrifft.

Die Vorschrift gilt nur für geschäftsmäßige Webseiten, wobei aber darunter nahezu alle Webangebote fallen solange sie nicht rein privater Natur sind. Damit sind bspw. auch Blogs betroffen, wenn und solange sie der Förderung des Absatzes von Waren oder Dienstleistungen dienen oder schlicht durch Werbebanner u. ä. einen geschäftsmäßigen Charakter haben.

Allenfalls über die Einschränkung der wirtschaftlichen Zumutbarkeit wird sich der eine oder andere aus der Haftung nehmen können. Aber die Kriterien dafür sind wegen der Neuheit der Vorschrift noch nicht entwickelt, so dass es ein schmaler Grat ist, auf dem man hier wandelt. Letztlich müsste das Erfordernis im jeweiligen Einzelfall geprüft werden, um sicherzustellen, ob es einschlägig wäre.

Der Verstoß gegen die Vorschrift ist eine Ordnungswidrigkeit, die übrigens mit Bußgeldern bis zu EUR 50.000,00 pro Verstoß geahndet werden kann.

Daher sollte jeder Webseitenbetreiber tunlichst seine Datensicherheit und IT-Sicherheit in diesem Sinne prüfen und ggf. nachbessern bzw. sich anwaltlicher Hilfe und Beratung bedienen. Rufen Sie dazu gerne bei uns an.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • Datenschutz: © putilov_denis - Fotolia.com