Personenbezogene Daten müssen bei ihrer Verarbeitung geschützt werden. Hierzu sind Verantwortliche und Auftragsverarbeiter bei der Gestaltung von Webseiten verpflichtet und sie müssen entsprechende Maßnahmen ergreifen, um den Schutz der personenbezogenen Daten zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Internetseiten müssen insbesondere durch Verschlüsselungen abgesichert werden. Die Absicherung kann durch Verschlüsselung der übermittelten Daten mittels HTTPS erreicht werden. Hinter dem Begriff „HTTPS“ steckt jedoch eine Sammlung verschiedener Verschlüsselungsverfahren und -technologien, von denen nicht alle ein angemessenes Schutzniveau sicherstellen können.
Zu einer verschlüsselten HTTPS-Verbindung gehört immer auch die Nutzung eines Verschlüsselungsprotokolls, wie beispielsweise TLS (Transport Layer Security). Da TLS in mehreren Versionen verfügbar ist, müssen Betreiber von Webseiten und -diensten sicherstellen, dass sie ausschließlich sichere TLS-Versionen verwenden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt aktuell TLS in der Version 1.2 als Mindeststandard und TLS in der Version 1.3 als aktuellen Stand der Technik an. Durch den Einsatz älterer und unsicherer TLS-Versionen (z. B. 1.0 und 1.1 sowie SSL 2.0 und SSL 3.0) kann kein angemessenes Schutzniveau erreicht werden. Dies könnte zu einem Verstoß gegen die Anforderungen des Art. 32 DS-GVO führen.
Nachfolgend finden Sie Umsetzungshinweise für die Umstellung auf die aktuellen TLS-Versionen bei der Verwendung von Apache Webserver oder bei der Verwendung von bekannten Webhostern.
Wir haben dafür das Vorgehen bei einer Auswahl von einigen, üblichen Webhostern beschrieben. Die Auswahl wird hier in alphabetischer Reihenfolge wiedergegeben und stellt keine Empfehlung für oder gegen einen bestimmten Webhoster dar. Sollten Sie weitere Webhoster kennen, zu denen wir hier Hilfestellungen notieren könnten, wären wir Ihnen für einen Hinweis dankbar.