Datenschutz im Internet
Verschlüsselte Internetseiten erhöhen Vertrauen, Sicherheit und Compliance
Ein Unternehmen ohne eigene Internetpräsenz ist kaum noch vorstellbar. Wie eine Visitenkarte und ein eigener Briefkopf, so gehört die eigene Homepage zum Auftritt am Markt. Kunden, potentielle Mitarbeiter, aber auch die unternehmerische Konkurrenz verschaffen sich einen Eindruck über Leistungen und Angebote des Unternehmens im WorldWideWeb. Eine Homepage ist heutzutage schnell gestaltet und noch schneller online gestellt. Datenschutz- und Informationssicherheitsexperte Dr. Jörn Voßbein mahnt jedoch mit dem alten Grundsatz von „Gründlichkeit vor Schnelligkeit“ vor unüberlegten Schnellschüssen. „Die Verschlüsselung von Datentransfers gehört in ein Online-Konzept“, erinnert Dr. Voßbein an das Telemedien- (TMG) und Bundesdatenschutzgesetz (BDSG).
Bei Aufbau und Betrieb der Firmen-Homepage ist u. a. das Telemediengesetz zu beachten. Was bedeutet das nun für eine Internetpräsenz? Das Telemediengesetz sagt in § 13 Absatz 4 Nr. 3 eindeutig aus, dass „der Nutzer Telemedien gegen die Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“. Was sind Telemedien? Neben dem reinen Angebot von Informationen auf Unternehmenshomepages sind auch Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit; Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen; kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post Dienste im Sinne des Telemediengesetzes.
Mit Absatz 7 wurde die Forderung nach Sicherheitsmaßnahmen für den Nutzer noch einmal verschärft und bekräftigt. Die Maßnahmen müssen zwar angemessen, also technisch möglich und wirtschaftlich zumutbar sein. Der zweite Satz von Absatz 7 macht es dann aber nochmal sehr deutlich, was der Gesetzgeber von einem Telemedien-Betreiber erwartet: „Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“ Diese Formulierung hat zur Folge, dass bei einem Sicherheitsvorfall und/oder einer damit verbundenen aufsichtsbehördlichen Anfrage von Unternehmensseite sehr triftige Gründe für das Weglassen einer Verschlüsselung angeführt werden müssen.
Sicherlich wird eine Argumentation über die wirtschaftliche Unzumutbarkeit auch bei kleineren Unternehmen oftmals nicht verfangen und akzeptiert werden. Andererseits sollten die bisherigen Erfahrungen mit den Aufsichtsbehörden nicht verschwiegen werden, denn bei solchen Fragestellungen wurde bislang meist nicht sofort sanktioniert. Dies ist aber eine trügerische Sicherheit, denn eine Verschärfung des aufsichtsbehördlichen Verhaltens ist jederzeit denkbar und die Aufforderung zur Umsetzung der gesetzlich vorgeschriebenen Maßnahmen ist sicher. Auch ist noch nicht final geklärt, ob eine fehlende Verschlüsselung unter Umständen auch abmahnfähig ist.
„Deshalb sollten erst gar keine rechtlichen Lücken beim Betrieb der Internetpräsenz zugelassen werden“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein und rät zu einer Verschlüsselung insbesondere von vertraulichen Datentransfers. Hierzu sind insbesondere die Kontaktformulare zu zählen. Der Einsatz von TLS-/SSL-Zertifikaten hat zudem den Vorteil, dass verschlüsselte Internetauftritte von der Suchmaschine Google höher bewertet werden, so dass auch deshalb eine komplett verschlüsselte Internetpräsenz empfehlenswert ist.