Gemäß der DSGVO liegt die Verantwortung für die auf einer Website verarbeiteten personenbezogenen Daten bei jedem Website-Administrator. Daher stellt sich die Frage, wie die Verbindung am besten gesichert werden kann, damit diese Daten nicht in unbefugte Hände geraten und der Administrator keine Haftung dafür übernehmen muss. Wie kannst du dich als Webseitenverwalter vor den Konsequenzen schützen?
Die Datenschutz-Grundverordnung (DSGVO/GDPR) trat am 25. Mai 2018 in Kraft und hat zum Ziel, die privaten Daten der Bürger der Europäischen Union in IT-Systemen zu schützen. Gemäß Artikel 32 der DSGVO ist es die Pflicht des Administrators und des für die Datenverarbeitung Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Nutzer vor Datenlecks zu schützen. Zu diesem Zweck schreibt das Gesetz vor, personenbezogene Daten zu pseudonymisieren und zu verschlüsseln sowie die Vertraulichkeit, System- und Dienstresilienz kontinuierlich zu gewährleisten. Unternehmen, die die Bestimmungen der DSGVO nicht einhalten, drohen hohe Geldstrafen. Wenn deine Unternehmenswebsite also noch kein SSL-Zertifikat besitzt, ist es an der Zeit, eines zu erwerben. Das günstigste OV-Zertifikat kannst du bereits ab €30.92 netto pro Jahr erhalten! Schau dir Certum Trusted SSL an.
Welche Websites müssen die obige Vorschrift einhalten? Die DSGVO ist eine Verordnung, die nicht nur für große Konzerne, sondern auch für kleine Unternehmen eine Herausforderung darstellt. Zu den geschützten Daten gehören alle Informationen einer identifizierten oder identifizierbaren natürlichen Person. Eine identifizierte Person ist daher jeder Kunde eines Shops, der seine Daten für die Bestellversand angegeben hat, sowie jede Person, die beispielsweise in einem Kontaktformular nur ihren Vornamen, Nachnamen und ihre E-Mail-Adresse angegeben hat. Ebenfalls geschützt sind alle privaten Korrespondenzen auf der Website, in denen natürliche Personen ihre rassische Herkunft, religiöse und politische Ansichten, Gesundheitsdaten und sexuelle Orientierung offenlegen und so weiter. Wenn du also eine Website verwaltest, auf der solche Daten gespeichert werden und diese Daten geleakt werden, besteht eine hohe Wahrscheinlichkeit, dass du daraus Konsequenzen tragen musst.
In der DSGVO ist natürlich nicht explizit vorgeschrieben, dass SSL-Zertifikate notwendig sind, aber es ist wahr, dass nur sie eine angemessene Absicherung gegen dieses Risiko bieten. Das SSL-Protokoll schützt die Verbindung, verhindert, dass diese Daten in unbefugte Hände gelangen, und ist oft eine angemessene und risikogerechte Sicherheitsmaßnahme. So erhältst du die Garantie, dass nicht nur die Verbindungen zu den Websites verschlüsselt werden, sondern auch E-Mails und Kontaktformulare, die in die Website integriert sind. Abhängig von der Menge und Art der Daten, die deine Websites verarbeiten, kannst du spezifische SSL-Zertifikate auswählen. Wenn du eine einfache Website hast, auf der nicht viele gewöhnliche Daten gespeichert werden und du überhaupt keine sensiblen Daten verarbeitest, könnte die Wahl eines Domain-Validierung SSL-Zertifikats eine gute Lösung sein. Wenn auf deiner Website mehr Informationen gesammelt werden und sensible Daten auftreten, ist ein Organization-Validierung SSL-Zertifikat eine bessere Idee. Wenn du ein Unternehmen, einen Shop, eine Finanzinstitution führst oder Dienstleistungen anbietest, die allgemein mit Geld zu tun haben, solltest du in ein SSL-Zertifikat investieren, das das höchste Sicherheitsniveau gewährleistet, z.B. ein Extended Validation SSL-Zertifikat. Dieses Zertifikat kannst du bereits ab €44.40 netto pro Jahr erhalten! Schau dir Sectigo PositiveSSL EV an.
Im Bereich des Datenschutzes sind SSL-Zertifikate daher eine hervorragende Lösung, um zu verhindern, dass personenbezogene Daten in unbefugte Hände geraten. Es ist jedoch wichtig, die Sicherheitsmaßnahmen klug auszuwählen, abhängig davon, welche Daten auf der Website verarbeitet werden, da die Sicherheit gemäß den Anforderungen der DSGVO risikogerecht sein muss, also entsprechend der Art der verarbeiteten personenbezogenen Daten.