Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

IT-Sicherheitsgesetz: SSL-Verschlüsselung und technischer Zugriffsschutz in Online-Shops jetzt Pflicht?

19.08.2015, 12:33 Uhr | Lesezeit: 12 min
IT-Sicherheitsgesetz: SSL-Verschlüsselung und technischer Zugriffsschutz in Online-Shops jetzt Pflicht?

Die steigende Strukturvielfalt im Internet und der wachsende finanziellen Gegenwert personenbezogener Daten haben dazu geführt, dass bestehende Sicherheitslücken immer häufiger für Datendiebstähle missbraucht werden. Aus diesem Grunde ist jüngst das umstrittene IT-Sicherheitsgesetz in Kraft getreten, das vor allem für Netzpräsenzen von staatsdienlichen Institutionen erhöhte Sicherheitsanforderungen etabliert. Fast unbemerkt blieb dabei aber eine Änderung des Telemediengesetzes, die für sämtliche Diensteanbieter und so auch in Online-Shops - unter anderem - die Pflicht zur Einführung einer SSL-Verschlüsselung nach sich ziehen könnte. Folgender Beitrag setzt sich kritisch mit dem Inhalt der Änderung und den Konsequenzen für den Online-Handel auseinander.

I. IT-Sicherheitsgesetz und TMG-Änderung

Nach einer fast sechsmonatigen Phase parlamentarischer Beratung und einer öffentlichkeitswirksamen Debatte um die Grenzen staatlicher Eingriffsermächtigungen ist am 24.07.2015 das IT-Sicherheitsgesetz in seiner endgültigen Fassung im Bundesgesetzblatt veröffentlich worden und mit Wirkung zum 25.07.2015 in Kraft getreten.

Primär zielt das neue Regelwerk darauf ab, kritische Infrastrukturen, also solche mit essentieller Bedeutung für das staatliche Gemeinwohl, zur Einführung eines einheitlichen und hohen Schutzniveaus für ihre informationstechnologischen Systeme zu verpflichten und so der wachsenden Bedrohung von Cyber-Angriffen vorzubeugen. Dies soll längerfristig die Sicherheit derartiger Netzstrukturen verbessern und insbesondere rechtswidrige Zugriffe auf sensible Daten unterbinden.

Allerdings geht das Gesetz, das keinen eigenen Vorschriftenkatalog enthält, sondern nur bestehende Rechtsakte abändert, in seiner Reichweite über den augenscheinlich eng gefassten Adressatenkreis hinaus und erstreckt in einer bisher wenig beachteten Änderung des Telemediengesetzes das Pflichtenprogramm – unter der zusätzlichen Zielsetzung des verbesserten Schutzes personenbezogener Verbraucherdaten – auf sämtliche Diensteanbieter.

In dem durch das IT-Sicherheitsgesetz modifizierten §13 TMG heißt es in einem neu eingefügten Abs. 7 ab sofort:

„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

In Zusammenhang mit dem neuartigen Schutzpflichtprogramm wurde auch der Bußgeldkatalog des §16 TMG erweitert. Die unzulängliche, fehlerhafte oder ausbleibende Einführung von geeigneten Maßnahmen nach §13 Abs. 7 Satz 1 Nr. 1 und Nr. 2 lit. a TMG kann nunmehr mit einem Bußgeld von bis zu 50.000€ geahndet werden.

Abzuwarten bleibt demgegenüber, ob die neuen Pflichten als Marktverhaltensregelungen im Sinne des §4 Nr. 11 UWG eingestuft werden und mithin wettbewerbsrechtliche Bedeutung erlangen.

II. Neue Pflichten im Online-Handel?

Durch die Aufnahme einer Datensicherungspflicht und einer Vorgabe an den Zugriffsschutz in das Telemediengesetz wurden die – nach der Gesetzesbegründung primär nur für kritische Infrastruktureinrichtungen intendierten – hohen Sicherheitsanforderungen allen „Diensteanbietern“ auferlegt.

Kostenfreies Bewertungssystem SHOPVOTE

1.) Online-Händler als Diensteanbieter

Nach §2 Nr. 1 TMG unterfallen dem neuen Pflichtenprogramm so alle natürlichen oder juristischen Personen, die eigene oder fremde Telemedien zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln.

Zwar sollen – in Anlehnung an §5 TMG – nur solche Anbieter betroffen sein, die die Dienste im Rahmen einer nachhaltigen und mithin geschäftsmäßigen Tätigkeit vorhalten oder nutzen. Aufgrund der vorherrschenden weiten Auslegung der Geschäftsmäßigkeit werden von den neuen Pflichten aber nur solche Personen entbunden werden, die Inhalte zu rein privaten Zwecken bereitstellen.

Mithin ist jedenfalls festzustellen, dass die technischen Sicherungspflichten prinzipiell gegenüber dem gesamten Online-Gewerbe Geltung entfalten und so vor allem Betreiber eigener Shops zu wesentlichen Umstellungen zwingen werden.

2.) Härteklausel/Einschränkung

Allerdings ist zu beachten, dass die neuen Anforderungen nur dann gelten sollen, wenn deren Einhaltung die Grenzen der technischen Möglichkeiten und der wirtschaftlichen Zumutbarkeit nicht übersteigt. Insofern enthält der §13 Abs. 7 TMG augenscheinlich eine Privilegierung von allem von kleinen und mittleren Unternehmen, bei denen eine Umstellung auf hocheffiziente Sicherheitsstandards nicht nur die organisatorischen und informationstechnologischen Kapazitäten übersteigen, sondern zudem zu nicht hinnehmbaren finanziellen Belastungen führen würde.

III. Weitgehende Unbestimmtheit der Anforderungen

Durch die Änderung sind geschäftsmäßige Teledienstanbieter – allen voran Shopbetreiber – fortan zur Einführung und Umsetzung verschiedenartiger informationstechnologischer Sicherheitsmaßnahmen gehalten. Allerdings wird ihnen das Einleiten geeigneter Schritte erheblich dadurch erschwert, dass der §13 Abs. 7 TMG die neuartigen Pflichten weitestgehend generalisiert und insbesondere keine technischen Standards nennt, welche den Anforderungen gerecht werden könnten. Auch die zur Abschwächung eingeführte Möglichkeits- und Zumutbarkeitsgrenze entbehrt aber einer notwendigen Konkretisierung und führt so in Ermangelung verbindlicher Beurteilungswerte dazu, dass gerade die Betroffenen die Ausnahmevoraussetzungen nicht einschätzen können.

1.) Fehlende Konkretisierung der technischen Sicherungspflichten

Grundsätzlich sieht der neu eingeführte §13 Abs. 7 TMG drei Pflichten mit verschiedenartigen Zielrichtungen vor, die zum einem dem Systemschutz und der Integrität des Telemediums selbst ins Auge fassen, zum anderen aber die Sicherung von personenbezogenen Nutzerdaten betreffen.

So sollen geschäftsmäßige Anbieter von Telediensten durch entsprechende Vorkehrungen ab sofort dafür Sorge tragen, dass

  • unerlaubte Zugriffe auf die für die Telemedien genutzten Einrichtungen verhindert werden
  • die Telemedien Verletzungen des Schutzes personenbezogener Daten unterbinden und mithin zu deren Sicherheit beitragen
  • die Telemedien vor – ggf. äußeren – Störungen geschützt werden

Problematisch ist, dass die Diensteanbieter ob der genauen Anforderungen an die zu treffenden Sicherheitsmaßnahmen weitestgehend im Dunkeln gelassen werden. Zwar macht Satz 2 deutlich, dass diese den Stand der Technik berücksichtigen müssen und insbesondere in Form eines anerkannten Verschlüsselungsverfahrens ergehen können.

Außer Acht gelassen wurde allerdings, dass informationstechnologische Sicherheitsvorkehrungen nicht generell gegen sämtliche Arten von Zugriffen schützen können, sondern für ihre Wirksamkeit stets auf bestimmte Angriffsziele und -strategien ausgerichtet werden müssen. Welche rechtswidrigen Praktiken die neu eingeführten Pflichten spezifisch unterbinden und welche Datensätze oder Einrichtungsstrukturen insofern geschützt werden sollen, entbehrt allerdings jeglicher Erläuterung. Gerade eine solche wäre für die ordnungsgemäße Umsetzung der Pflichten jedoch essentiell.

In der Gesetzesbegründung zum IT-Sicherheitsgesetz (BT-Drucks. 18/4096, S. 34) werden insofern nur lückenhaft verschiedene Arten von Cyberpiratie-Angriffen genannt, deren Vorbeugung und Unterbindung die neuen Maßnahmen dienlich sein sollen.
So werden als unerlaubte Zugriffe im Sinne von §13 Abs. 7 Satz 1 Nr. 1 TMG insbesondere Praktiken genannt, mittels derer Angreifer anvisierte Webseiten präparieren und Codes einbetten, die das automatische Herunterladen von Malware oder Phishing-Programmen bei bloßen Aufrufen oder Benutzen der Website ermöglichen (Drive-by-Downloads).

Welche inneren oder gegebenenfalls äußeren Störungen im Sinne von §13 Abs. 7 Satz 1 Nr. 2 lit. b TMG durch technische Maßnahmen verhindert werden sollen, geht demgegenüber aus der Gesetzesbegründung nicht hervor. In Fachkreisen wird – angesichts der zunehmenden Relevanz – spekuliert, dass die Regelung insbesondere das systematische und gezielte Lahmlegen von Servern (sog. „Distributed Denial of Service“) erfassen und dieser Praktik entgegenwirken sollte.

2.) Fehlender Auslegungsmaßstab für die Härteklausel

Gleichermaßen gravierend erscheint es, dass der neue §13 Abs. 7 unter bestimmten Voraussetzungen zwar von der Pflicht zur Umsetzung der neuen Sicherungspflichten entbindet, diese Voraussetzungen aber in keiner Weise einer tatsächlichen Anwendung zugänglich sein können, sofern die Begriffe der „technischen Unmöglichkeit“ und „wirtschaftlichen Unzumutbarkeit“ nicht mit plastischen Richtwerten ausgestattet werden, die Diensteanbietern eine Orientierung ermöglichen

Insofern verbleibt bis auf Weiteres die Frage, ob ein Diensteanbieter aufgrund der Größe seines Gewerbes, der Reichweite seiner Internetpräsenz und deren informationstechnologischer Gestaltung von dem umfangreichen und unkonkreten Pflichtenprogramm befreit ist, im jeweiligen eigenen Ermessen.

Die gewählten Formulierungen bewirken somit im Ergebnis einen völligen Wegfall der Rechtssicherheit und werden zur Folge haben, dass sich auch kleine Anbieter – weil sie das Vorliegen der Befreiungsvoraussetzungen nicht beurteilen können – zur Umstellung verpflichtet sehen, um dem Damoklesschwert der hohen Bußgelder zu entgehen

IV. SSL-Verschlüsselung zum Schutz personenbezogener Daten erforderlich?

Für viel Aufsehen sorgte in den letzten Wochen die Behauptung, sämtliche Internetpräsenzen müssten nach Inkrafttreten des IT-Sicherheitsgesetzes zukünftig durch SSL-Zertifikate verschlüsselt werden. Ob diese Pflicht nach der Änderung des §13 TMG tatsächlich besteht, soll nach einem kurzen Überblick über die Funktionsweise der Technologie erörtert werden.

1.) Überblick: SSL-Verschlüsselung

Das SSL (kurz für: „Secure Sockets Layer“) ist ein hybrides Verschlüsselungsprotokoll, mittels dessen personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert und so vor Drittzugriffen bei der Eingabe und im Transferprozess geschützt werden. Die Technologie ist in den letzten Jahren zum weltweiten Verschlüsselungsstandard aufgestiegen und zeichnet sich vor allem dadurch aus, dass sie eine wenig zeit- und kostenintensive Einbettung ermöglicht und die eingegeben Daten mit einem Verfahren verschlüsselt, das – theoretisch – einzig den bestimmungsgemäßen Empfänger zur Dekodierung befähigt. Ihr Einsatz ist für den Nutzer dadurch erkennbar, dass beim Aufrufen der jeweiligen URL das normale Übertragungsprotokoll „http“ um ein „s“ (für das englische „secure“ = sicher) erweitert ist. Auf dem Markt kursieren derzeit verschiedene Zertifikate der SSL-Technologie, deren Vorzugswürdigkeit sich vor allem nach der Struktur der jeweiligen Internetpräsenz bemisst. Werden viele Subdomains verwendet, eignet sich so zum Beispiel insbesondere das sog. „Wildcard-Zertifikat“.

2.) Pflicht zum Schutz personenbezogener Daten nach §13 Abs. 7 Satz 1 Nr. 2 lit.a TMG

Der neue §13 Abs. 7 TMG zwingt Diensteanbieter – so auch Online-Händler – nach Nr. 2 lit.a dazu, geeignete Vorkehrungen zu treffen, um ihre Präsenzen vor verboteneren Zugriffen auf personenbezogene Daten zu schützen.
Nach Satz 3 können hierfür insbesondere als sicher anerkannte Verschlüsselungsverfahren verwendet werden.

a) SSL noch als sicher anerkannt?

Zwar gelten nach der offiziellen Gesetzesbegründung solche Verfahren als „sicher“, die den aktuellen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen. Die empfohlenen Verfahren sind allerdings teilweise so streng, dass ihre Einbettung mit einem Aufwand einhergehen dürfte, der das Maß der Zumutbarkeit regelmäßig übersteigt. Gerade ein solcher ist von §13 Abs. 7 TMG in Anlehnung an die Härteklausel aber nicht intendiert.

Ob SSL-Zertifikate also genügen, kann mangels einer eigentlich erforderlichen konkreten Stellungnahme nicht abschließend gesagt werden. Zu beachten ist in diesem Zusammenhang jedenfalls, dass viele SSL-Zertifikate inzwischen veraltet sind und Sicherheitslücken aufweisen können, für deren Missbrauch der jeweilige Händler mit einem entsprechenden Bußgeld haftbar gemacht werden könnte. Insofern ist darauf hinzuweisen, dass das ursprüngliche SSL-Protokoll inzwischen unter dem Namen „TSL“ (kurz für „Transport Layer Security“) weiterentwickelt wird und seinerseits den bisherigen Sicherheitsstandard aufwertet.

b) keine ausdrückliche Verschlüsselungspflicht

Besteht schon ob der anzuwendenden Verschlüsselungsverfahren keine hinreichende Rechtssicherheit, so wird diese noch erheblich dadurch verstärkt, dass keinesfalls eine ausdrückliche Verpflichtung zum Einsatz von Verschlüsselungsverfahren vorgesehen ist. Vielmehr zwingt das Gesetz insofern nur – in wenig eindeutiger Weise – zum Ergreifen geeigneter Schutzmaßnahmen, die Zugriffe aus personenbezogene Daten verhindern. Diensteanbietern ist es insofern selbst überlassen, ob sie für die notwendige Sicherung auf andere Verfahren zurückgreifen wollen. Allerdings riskieren sie dann die Gefahr einer unzureichenden Pflichtumsetzung.

c) Ausschluss durch Härteklausel

Wiederum zu berücksichtigen ist in diesem Zusammenhang aber, dass derjenige Diensteanbieter, der sich um eine ordnungsgemäße Erfüllung der neuartigen Pflichten bemüht, nach – nicht abschließend deutbarer – gesetzgeberischer Intention möglicherweise wegen eines unverhältnismäßigen Aufwandes von der Umsetzung befreit ist.

d) Ergebnis

Zwar sieht der neue §13 Abs. 7 TMG keine ausdrückliche Verpflichtung zur Verwendung von Verschlüsselungsverfahren vor, sondern gestattet – zumindest theoretisch – auch alternative Maßnahmen, die verbotene Zugriffe aus personenbezogene Daten verhindern. Weil die SSL-Verschlüsselung derzeit (noch) als sichere Methode gilt und ob ihrer Einbettung zwar eine Umstellung, aber im Vergleich zu anderen Verfahren einen nur relativen Aufwand erfordert, ist jedem Shopbetreiber zu empfehlen, derartige Zertifikate zukünftig zu verwenden.

Aufgrund fehlender geeigneter Auslegungsmaßstäbe und mangelnder handfester Anhaltspunkte für ihr Eingreifen sollte eine Berufung auf die Ausschlussklausel des §13 Abs. 7 im Zweifel unterlassen werden.

3.) Unklares Verhältnis zum §13 Abs. 4 Nr. 3 TMG

Müssen personenbezogene Daten mithin nunmehr durch geeignete technische Maßnahmen, etwa durch SSL-Verschlüsselung, innerhalb der angebotenen Teledienste vor Drittzugriffen geschützt werden, so stellt sich die Frage, wie diese Pflicht vor dem Hintergrund des §14 Abs. 4 Nr. 3 TMG zu verstehen bzw. von genannter Vorschrift abzugrenzen ist.

Nach §14 Abs. 4 Nr. 3 TMG waren Diensteanbieter nämlich schon vor Inkrafttreten des IT-Sicherheitsgesetzes gehalten, durch technische und organisatorische Maßnahmen sicherzustellen, dass der Nutzer Telemedien gegen die Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.

Teilweise wird insofern argumentiert, dass die Pflicht zum Schutz personenbezogener Daten durch Verschlüsselungsmethoden oder andere Sicherheitsmaßnahmen bereits vor Einführung des neuen Abs. 7 bestand. Wieder andere sahen in der älteren Regelung nur eine Pflicht, Zugänge zu bestimmten Bereichen des Online-Angebots mittels PINs oder Passwörter gegen Drittzugriffe zu schützen und wollten dem Wortlaut keinesfalls die Vorgabe entnehmen, sämtliche personenbezogene Nutzerdaten der angriffsbedingten Preisgabe zu entziehen.

Das neue IT-Sicherheitsgesetz enthält keine Hinweise darauf, wie die beiden Vorschriften in Wechselwirkung zu verstehen sind.

Realistisch scheint es jedoch mit Blick auf die gesetzgeberische Intention mit der zweiten Ansicht davon auszugehen, dass §13 Abs. 4 Nr. 3 TMG (nur) auf einen gesicherten Zugang zu bestimmten Bereichen der Telemedien abzielte. Ließe sich nämlich bereits hier eine Pflicht zum vollumfänglichen Schutz personenbezogener Daten ableiten, wäre die Neufassung des §13 Abs. 7 Satz 1 Nr. 2 lit. a TMG dem Gegenstand nach überflüssig.

V. Fazit

Mit Inkrafttreten des IT-Sicherheitsgesetzes zum 25.07.2015 wurde der §13 TMG um ein zusätzliches Pflichtenprogramm für alle geschäftsmäßigen Diensteanbieter und mithin auch für sämtliche Online-Händler erweitert, das die Absicherung der Medienauftritte durch Sicherungsmaßnahmen vorsieht und zur Umsetzung von neuen Datenschutzvorgaben aufruft.

Während Händler, die ausschließlich auf Plattformen wie eBay oder amazon verkaufen und insofern nur auf die von den Betreibern zur Verfügung gestellten informationstechnologischen Lösungen zurückgreifen, von den Auswirkungen weitestgehend befreit bleiben, ergeben sich für Shopbetreiber mit eigenen Präsenzen einschneidende Konsequenzen.

Insofern nämlich entbehren die neuen Vorschriften auf allen Ebenen der Bestimmtheit, die für eine ordnungsgemäße Umsetzung erforderlich wäre. Weder werden so die Drittzugriffe, denen es vorzubeugen gilt, präzisiert, noch nennt das Gesetz die Maßnahmen, derer sich die Diensteanbieter in Zukunft bedienen sollen. Fehlen jedoch zuverlässige Leitlinien für die Umsetzung der technischen Sicherungspflichten, so wird eine Rechtsunsicherheit geschaffen, die sich im Zweifel zulasten derer auswirkt, die um eine ordnungsgemäße Erfüllung bemüht sind und dennoch riskieren, mit hohen Bußgeldern belastet zu werden.

Gesagtes gilt auch für den Ausnahmetatbestand der technischen Unmöglichkeit und wirtschaftlichen Unzumutbarkeit, der eigentlich von den Pflichten befreien soll, aber keine hinreichende Bewertungsgrundlage schafft.

Die mangelnde Regelungskompetenz des Gesetzgebers wird hier längerfristig durch die Rechtsprechung auszugleichen sein, führt aber dazu, dass eine Berufung auf die Härteklausel derzeit nicht zu empfehlen ist.

Allen Online-Händlern mit eigenen Web-Präsenzen ist daher bis auf Weiteres zu raten, die neuen Verpflichtungen ernst zu nehmen und insbesondere geeignete Maßnahmen zu treffen, die von ihnen erhobenen personenbezogenen Daten gegen Drittzugriffe zu sichern. Dies kann, muss aber nicht, mittels eines Verschlüsselungsverfahrens wie den SSL-Zertifikaten geschehen.

Über neue Entwicklungen zur Gesetzesänderung hält die IT-Recht Kanzlei Sie selbstverständlich auf dem Laufenden und steht Ihnen in der Zwischenzeit für etwaige Rückfragen gerne persönlich zur Verfügung.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© tashatuvango - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

G
Gerd Schelbert 16.07.2017, 09:32 Uhr
Der Beitrag trägt eher zur Verwirrung bei
Leider wird in dem gut gemeinten Beitrag mehr Verwirrung geschaffen als aufgeklärt.

In der Tat lässt der Gesetzgeber die tatsächlichen Lösungsansätze zum Schutz personenbezogener Daten im Unbestimmten, was aber durchaus vernünftig ist. Bei sich schnell weiter entwickelnden Technologien wird man häufiger Risiken neu bewerten müssen und Adjustierungen an den Lösungen vornehmen müssen als der Gesetzgeber die Gesetze anpassen kann. Schon allein aus diesem Grund ist es notwendig, auf den jeweils aktuellen Stand der Technik zu setzen als auf in Gesetzen verankerten konkreten Umsetzungsvorgaben. 

Es wäre viel hilfreicher darauf hinzuweisen, dass die betroffenen Unternehmen über ein gelebtes IT-Risikomanagement verfügen müssen, die zyklisch die eingesetzten Lösungen neu bewertet und bei Bedarf eine Adjustierung der getroffenen technisch-organisatorischen Massnahmen zum Schutz der Informationen in die Wege leitet.

Zudem werden im Beitrag technische Details in unzutreffender Weise gleichgestellt (SSL/TLS-Verfahren werden vermischt mit Zertifikaten etc).

Fakt ist:

1. Die Verschlüsselung von Daten mit SSL/TLS-Verfahren benötigen natürlich vetrauenswürdige Zertifikate als Grundlage. Diese sind Voraussetzung für die Verschlüsselung an und für sich. 

2. SSL/TLS-Verschlüsselung ist in Bezug auf den Schutz sensitiver, also auch personenbezogener Daten immer nur eine Teillösung, da dieses Verfahren lediglich gegen ein Abhören der Kommunikation bei der Übertragung über Netzwerke angewandt werden kann. Der Schutz der Daten auf den verarbeitenden Systemen selbst ist aber ebenfalls mit geeigneten zusätzlichen Massnahmen sicherzustellen. Die Verpflichtung nur auf den Einsatz von Übertragungsverschlüsselung  zu reduzieren erzeugt ein völlig falsches Bild.

weitere News

Was bedeutet der Digital Services Act für Webshops?
(29.02.2024, 07:33 Uhr)
Was bedeutet der Digital Services Act für Webshops?
Frage des Tages: Geoblocking von Nicht-EU-Nutzern auf Internetpräsenzen zulässig?
(26.02.2024, 07:46 Uhr)
Frage des Tages: Geoblocking von Nicht-EU-Nutzern auf Internetpräsenzen zulässig?
Ab morgen: Neue Informationspflichten für Hosting-Anbieter nach der EU-Verordnung über digitale Dienste (DSA)
(16.02.2024, 13:27 Uhr)
Ab morgen: Neue Informationspflichten für Hosting-Anbieter nach der EU-Verordnung über digitale Dienste (DSA)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
LG Berlin: Textilkennzeichnung auf finaler Bestellseite verpflichtend
(13.02.2024, 10:07 Uhr)
LG Berlin: Textilkennzeichnung auf finaler Bestellseite verpflichtend
Wieder mal was Neues: Die Selbstbescheinigung des Plattformhändlers
(09.02.2024, 08:24 Uhr)
Wieder mal was Neues: Die Selbstbescheinigung des Plattformhändlers
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei