Versicherungsbote: Herr Pappelbaum, sind auch bei Ihnen Kunden von Abmahnungen nach Inkrafttreten der DSGVO betroffen?

Anzeige

Dirk Pappelbaum: Ja, wir haben aktuell einen Fall. Hier hat eine auf Abmahnungen spezialisierte Anwaltskanzlei aus Berlin einen unserer Kunden abgemahnt und zur Zahlung eines Schmerzensgeldes aufgefordert. Hier wurde zuvor über das Kontaktformular eine Anfrage zu einer privaten Krankenversicherung gesendet. Inhalt der Nachricht war auch eine Telefonnummer. Der Makler reagierte auf die Nachricht und sendete dem vermeintlichen Kunden seine Erstinformation mit dem Formular für eine Angebotsanfrage zu. Daraufhin gab es keine Rückmeldung, bis auf das später eintreffende Schreiben dieser Anwaltskanzlei aus Berlin. Der Makler hatte auf seiner Webseite keine SSL-Verschlüsselung aktiviert.

Für jene, die es noch nicht wissen: Was ist eine SSL-Verschlüsselung?

Mit einer SSL-Verschlüsselung stellt man als Betreiber einer Webseite sicher, dass Daten, die über diese Webseite gesendet werden, nicht von Dritten im Internet mitgeschnitten werden können. So können insbesondere personenbezogene Daten, die in Kontaktformularen oder Angebotsrechnern erfasst werden, besser geschützt werden. Ob eine Seite eine aktive SSL-Verschlüsselung besitzt oder nicht, erkennt man am einfachsten an der Web-Adresse, die dann mit https:// beginnt. Steht in der Adresszeile nur http://, dann ist es keine SSL-Verschlüsselung.

Grundlage für eine SSL-Verschlüsselung ist ein soggenantes SSL-Zertifikat, dass in der Regel jährlich ausgetauscht werden muss und durch einen zertifizierten Anbieter zur Verfügung gestellt werden muss. Die Anbieter von SSL-Zertifikaten unterliegen verschärften Sicherheitsanforderungen und werden von den Webbrowsern als vertrauenswürdige Instanz akzeptiert. So sorgt ein SSL-Zertifikat dafür, dass der Webbrowser feststellen kann, ob die Verbindung wirklich mit dem Anbieter hergestellt wird, der zur aufgerufenen Webadresse gehört.

Welchen Rat geben Sie Maklern, die eigene Webseiten betreiben?

Möchte man einem Rechtsstreit aus dem Weg gehen, dann ist es sinnvoll, eine SSL-Verschlüsselung für die eigene Webseite zu aktivieren. Werden auf der Webseite externe Dienste wie Angebotsrechner eingebunden oder verlinkt, dann sollte hier ebenfalls darauf geachtet werden, dass hier auf https verlinkt wird. Unsere Kunden können das in unserem System auch sehr einfach durch eine Online-Bestellung auslösen.

Ist eine SSL-Verschlüsselung Pflicht?

Das lässt sich leider nicht eindeutig beantworten. Die Regeln der neuen Datenschutzgesetze sind da leider etwas ungenau formuliert, wie uns auch Fachanwälte bestätigt haben. Hier wird nirgends das Wort Verschlüsselung oder SSL verwendet. Es lässt sich lediglich aus der Forderung ableiten, dass personenbezogene Daten nach Stand der Technik und zumutbaren finanziellen Aufwand zu schützen sind. So könnte man argumentieren, dass SSL der aktuelle Stand der Technik ist, und die Kosten für ein SSL-Zertifikat zumutbar sind.

Man könnte aber auch darüber streiten, ob ein Kunde überhaupt in der Lage ist zu prüfen, ob das SSL-Zertifikat einer Webseite gültig ist. Denn es ist gar nicht so schwer, für einen erfahrenen Angreifer den Nachrichtenverkehr umzuleiten und ein eigenes Zertifikat dazwischenzumogeln bzw. den Webbrowser durch einen Virus zu manipulieren und falsche Auskünfte über die Gültigkeit von Zertifikaten zu geben. Und man könnte auch streiten, ob das Mitlesen der unverschlüsselten Nachrichten bei einem Webseitenbesuch überhaupt so einfach ist. Ruft man die Webseite zum Beispiel über ein Handy auf, das eine direkte Verbindung mit dem Mobilfunkprovider nutzt, dann wird es schon sehr schwierig sich dazwischenzuschalten, um den Inhalt mitzulesen. Das können eigentlich nur Sicherheitsdienste oder Mitarbeiter des Mobilfunkanbieters.

Anzeige

Die Fragen stellte Björn Bergfeld