Prinzipiell stellt die Umstellung von „http“ auf „https“ erst mal einen Aufwand dar. Hier fragen sich viele Webseitenbetreiber, ob die Umstellung auf „https“ für sie notwendig ist und ob sie sich lohnt.
Interessanterweise spielt bei der Entscheidung für die Umstellung der rechtliche Aspekt eine untergeordnete Rolle. Größtenteils werden die Webseitenbetreiber durch wirtschaftliche Gründe zur Umstellung motiviert. Hierzu später mehr…
Was ist „http“ bzw. „https“?
Die Daten müssen zwischen der aufgerufenen Webseite und dem Gerät des Nutzers übertragen werden. Dies geschieht mit einer Art gemeinsamen Sprache, dem sogenannten „HyperText Transfer Protocol“ (kurz: „http“).
Das Problem bei „http“ ist, dass die Datenübermittlung unverschlüsselt erfolgt. Gibt man als Kunde beispielsweise seine Daten beim Einkauf in einem Onlineshop an oder verfasst man eine Rezension, so können diese Informationen von unbekannten Dritten (z.B. Geheimdienste oder Kriminelle) erfasst werden.
Das „s“ macht den Unterschied
Um dies zu verhindern, sollten die Daten verschlüsselt übertragen werden. Man kann sich das ungefähr so vorstellen, als würden die Daten in einem sicheren Behälter von A nach B transportiert werden. In Wirklichkeit handelt es sich bei den „Behältern“ um Verschlüsselungsverfahren, die als Verschlüsselungszertifikate ausgegeben werden.
Webseiten, die ein solches Verschlüsselungszertifikat innehaben, sind an dem Präfix „https://“ zu erkennen. Ausgesprochen bedeutet dies „HyperText Transfer Protocol Secure“ und steht für eine gesicherte Datenübermittlung. Oft ist in der Adresszeile des jeweiligen Browsers auch ein geschlossenes Schloss zu finden.
Gesetzliche Verschlüsselungspflicht
- 13 TMG (Telemediengesetz) verpflichtet Dienstleister, die Telemedien anbieten, personenbezogene Daten der Nutzer nach dem Stand der Technik zu schützen. Eine ausdrückliche Pflicht zur Verschlüsselung gibt es zwar nicht. Jedoch wird durch den Wortlaut („insbesondere“) explizit darauf hingewiesen.
Das Gesetz enthält auch einige Einschränkungen. Diese werden oft von Webseitenanbietern als Ausrede herangezogen, weshalb § 13 TMG gerade nicht für sie gelte:
Kaum eine nicht ausschließlich privat auftretende natürliche Person wird sich damit rausreden können, keine „geschäftsmäßig angebotene Telemedien“ zu unterhalten, geschweige denn juristische Personen. Auch die Argumentation, eine Nutzung von z.B. https sei nicht technisch möglich und/oder wirtschaftlich zumutbar wird schwer vertretbar sein. Ebenso ist aus unserer Sicht schwer zu argumentieren, https sei nicht Stand der Technik.
Verstoß gegen die Verschlüsselungspflicht – So what?
Erhebt man personenbezogene Daten und verzichtet man dabei auf eine verschlüsselte Übertragung, so darf man im schlimmsten Fall mit Untersagungsverfügungen unter Zwangsgeldandrohung oder Bußgeldern in einer Höhe von bis zu 50.000 Euro (vgl. § 16 Abs. 2 Nr. 3, Abs. 3 TMG) rechnen. Zumindest in der Theorie. In der Praxis werden die Behörden jedoch kaum tätig. So müssen sie zunächst breitflächig Auskünfte einholen, um überhaupt ein Bußgeld verhängen zu können. Dies ist in Anbetracht der knappen Mittel kaum möglich.
Eine kostenpflichte Abmahnung seitens Mitbewerbern oder klagebefugten Organisationen (z.B. Verbraucherschutz) ist ebenso denkbar, wobei in diesem Zusammenhang fraglich ist, ob § 13 TMG eine Markverhaltensregel im Sinne des § 3a UWG darstellt. Nachdem im Wettbewerbsrecht aber ein fliegender Gerichtsstand gilt, ist nicht auszuschließen, dass nicht zumindest einzelne Gerichte in Deutschland dies bejahen, so dass in diesem Fall auch die Gefahr von Abmahnungen drohen würde.
Sollte ich also umstellen?
Durch die geringen rechtlichen Konsequenzen wird sich kaum jemand zur Umstellung auf „https“ durchringen können. Auf der anderen Seite ist die Frage, ob man überhaupt ein Risiko eingehen muss, auch wenn es gering ist und der Aufwand, dieses zu vermeiden, sich stark in Grenzen hält.
Im Übrigen gehen wir davon aus, dass sie der Standard immer mehr durchsetzen wird und es nur noch eine Frage der Zeit ist, bis so gut wie alle Seiten umgestellt werden. Warum also nicht jetzt gleich? Außerdem werden viele Nutzer immer mehr sensibilisiert für Datenschutz und Google lässt bereits jetzt deine https-Verschlüsselung in das Ranking mit einfließen. Aus all diesen Gründen (und weil wir mit gutem Beispiel vorangehen wollten) haben wir uns dazu entschieden, nunmehr alle Seiten zu verschlüsseln und raten dies auch unseren Mandanten.
Autoren: Holger Loos und Daniela Glaab
Kein Kommentar