Bereits Anfang 2017 war im Blog von www.website-check.de zu lesen, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) prüfen wolle, ob bayerische Websites HTTPS-verschlüsselt sind bzw. ob die vorhandene Verschlüsselung auf dem aktuellen technischen Stand ist.
Es ist nämlich gesetzlich vorgeschrieben, dass eine Website, die personenbezogene Daten verarbeitet (z. B. in Form eines Kontaktformulars oder einer Newsletteranmeldung), SSL-verschlüsselt ist. Sonst drohen hohe Bußgelder.
Das BayLDA macht in seiner Pressemitteilung vom 10. Oktober 2017 deutlich, dass ungenügender Onlineschutz fatale Folgen haben kann. Sensible Gesundheitsdaten können durch Hacking-Angriffe gestohlen werden; Trojaner können den Zugriff auf Patientendaten sperren usw. Es drohen finanzielle Verluste und ein nachhaltiger Imageschaden.
Die Frage ist: Was tun, um die eigene Website sicher und gesetzeskonform zu machen? Wir haben für Sie recherchiert und Tipps zusammengestellt.
Doch zunächst wollen wir klären, was eine SSL- bzw. HTTPS-Verschlüsselung ist.
SSL ist ein Protokoll zur Absicherung von Datentransfers. Heute sind Schwachstellen in SSL bekannt und das Protokoll darf laut BayLDA nicht mehr verwendet werden. Stattdessen sollte eine sichere Website das neue TLS-Protokoll (TLS 1.2) haben.
HTTPS bezeichnet die Dateiübertragung über SSL oder TLS. Die Verwendung von HTTPS erkennt man im Browser daran, dass der besuchten Internetadresse https statt http vorangestellt ist. Zudem heben die meisten modernen Browser eine abgesicherte Verbindung zusätzlich optisch hervor (z. B. mit grüner Farbe und dem Wort „Sicher“).
Für den Aufbau einer HTTPS-Verbindung ist ein sogenanntes SSL-Zertifikat notwendig, das von einer Zertifizierungsstelle (z. B. dem Hosting-Provider) erstellt und signiert wird.
Das BayLDA macht ernst
Im Rahmen der „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“ prüft das BayLDA nun tatsächlich anlasslos ausgewählte Websites bayerischer Unternehmen. Außerdem haben Sie als Websitebetreiber die Möglichkeit, Ihre Website selbst dem BayLDA zur Überprüfung der gesetzlichen Anforderungen mitzuteilen. Sie erhalten ein schriftliches Feedback mit dem Ergebnis der Prüfung und Hinweisen zur Nachbesserung.
Der HTTPS-Check kann über folgenden Link der BayLDA-Website angemeldet werden:
https://www.lda.bayern.de/de/httpscheck.html
Sie können aber auch andere Online-Services nutzen, um Ihre Website selbstständig und schnell zu überprüfen, z. B.
https://www.ssllabs.com/ssltest/
https://webbkoll.dataskydd.net/en
https://hosting.1und1.de/ssl-check
Doch Vorsicht: Diese Tests dienen nur Ihrer eigenen Information und ersetzen nicht den offiziellen BayLDA-Check.
Da ab Mai 2018 durch die Datenschutz-Grundverordnung (DS-GVO) bei Verstößen Bußgelder in empfindlicher Größenordnung drohen, empfiehlt es sich, die eigene Website durch ein HTTPS-Zertifikat zu schützen und durch das BayLDA überprüfen zu lassen.
HTTPS-Verschlüsselung ist ein Win-Win
Sie haben noch keine HTTPS-Verschlüsselung Ihrer Website eingerichtet? Holen Sie das schnellstmöglich nach. Eine HTTPS-Verschlüsselung hat viele Vorteile:
- Ihre Website ist gesetzeskonform (vorausgesetzt die gesetzlichen Anforderungen sind erfüllt)
- Besucher Ihrer Website sehen durch eine HTTPS-Verbindung, dass ihre Daten vertraulich behandelt werden und schenken Ihnen und Ihrer Praxis mehr Vertrauen
- Sie und Ihre Patienten sind gut vor Cyberattacken und Datenverlusten bzw. -manipulationen geschützt
- Ihre verschlüsselte Website wird von Suchmaschinen bei der Listung in den Suchergebnissen bevorzugt
Sie haben noch keine Praxis-Website? identivis bietet mit seinen Digital Marketing-Paketen moderne und smartphone-optimierte Websites, die den Bedürfnissen Ihrer Patienten perfekt entsprechen. Natürlich HTTPS-verschlüsselt.
Quellen:
https://www.lda.bayern.de/media/pm2017_08.pdf
https://www.lda.bayern.de/de/httpscheckhinweis.html
https://www.marcobeierer.de/wissen/ssl-tls-und-https-erklaert