Ist ein https-Protokoll verpflichtend?

Welche Rechte kann man als Besucher einer Website aus der Tatsache ableiten, dass der Seitenbetreiber nur ein http – Protokoll zum Aufruf der Seite anbietet – und nicht ein (verschlüsseltes) https-Protokoll?

Sowohl die DSGVO, das BDSG als aus das TTDSG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TTDSG stammen ursprünglich aus dem IT-Sicherheitsgesetz (das Regelungen für das TMG (alte Fassung) enthielt).

§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

• Verschlüsselungsverfahren sind an dem Präfix „https://“ in der URL der Website erkennbar(statt „http://“)

• https = Hypertext Transfer Protocol Secure 

• Die Verwendung des https-Verfahrens gewährleistet, dass Daten für Dritte nicht lesbar sind (z.B. beim Online-Shopping, Kontaktformularen, Einträgen in Diskussionsforen etc.). Es wird eine geschützte Verbindung zwischen Browser und Server aufgebaut.

Wie kann ich diese Rechte als Betroffener geltend machen?

Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:

• Unterlassungsanspruch: dass in Zukunft keine Weitergabe personenbezogener Daten ohne Einwilligung stattfindet bzw., dass bei Verarbeitung personenbezogener Daten technische und org. Maßnahmen zu treffen sind.
• Auskunft, welche personenbezogenen Daten verarbeitet wurden bzw. wie lange schon keine SSL-verschlüsselung vorliegt
• Schadensersatz, z.B. in Form von Schmerzensgeld, Art. 82 DSGVO

Vorgehensweise (wahlweise oder kumulativ):

• Auskunftsanfrage
• Abmahnung
• und/oder zivilrechtliche Klage

Art. 19 Abs.1 TTDSG dürfte dabei ein einklagbares Recht darstellen.

Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TTDSG.

Stand: 13.07.2022