DSGVO - Maßnahmen für ein angemessenes Schutzniveau

  • dies ist ein "hoffentlich" verständlicher Hinweis zum Thema SSL-Verschlüsselung und sichere Transportwege:


    Art. 32 DSGVO fordert nach Stand der Technik geeignete Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten. Für einen Gästebucheintrag, der schon aus Eigeninteresse des Nutzers kaum pb. Daten und keinesfalls sensible Daten wie "Die Praxis hat mir bei der Bekämpfung meiner Schuppenflechte sehr geholfen" enthalten sollte, kann man überlegen, ob hier hier der Transportweg geschützt werden muss.

    Bei Kontaktformularen mit "echten Daten" ist es anzuraten, hier den Transportweg lückenlos abzusichern.

    Der Transportweg besteht aus 3 Abschnitten:


    1. Teil: vom Rechner des Besuchers zum Webserver. Diese Strecke wird über das SSL-Zertifikat gesichert.

    2. Teil: Vom Webserver zum Mailserver: Bei Versand über sendmail (PHP) ist diese Strecke nicht gesichert. Wenn statt dessen SMTP mit SSL/TLS eingesetzt wird, ist damit diese Strecke ebenfalls sicher.

    3. Teil: Abruf der E-Mail vom Webserver ins Mailprogramm. Auch hier sollte die Strecke über SSL/TLS verschlüsselt sein.


    Für Anwender, die Kontaktformular und / oder Shop nutzen, daher folgende Hinweise:


    1. Nutzt das in den meisten Hostingverträgen enthaltene SSL-Zertifikat. Nach Aktivierung des Zertifikats müsst Ihr in den FTP-Einstellungen in Zeta die Webadresse um ein vorangestelltes https:// ergänzen und danach die Seite neu veröffentlichen. Die "Erzwingung" SSL wird über die .htaccess realisiert (siehe Signatur)

    Hinweis: Mit Aktivierung des SSL-Zertifikates werden alle Einbindungen von Scripten, die mit http:// beginnen, als unsicherer Inhalt betrachtet und entweder im Browser gar nicht angezeigt oder als "nicht verfügbar" gekennzeichnet. Wenn also plötzlich externe Inhalte fehlen, die Einbindung überprüfen.

    2. Legt für die Homepage eine eigene E-Mail-Adresse wie homepage ( at ) hanabi-pirna.de an. Bei den meisten Providern wird eine neue Mail-Adresse inzwischen automatisch auf "Verschlüsselung" gesetzt.

    3. Überarbeitet alle Formulare auf der Webseite, indem Ihr in den "Optionalen Einstellungen" den Versand über SMTP aktiviert und die vom Hoster übermittelten Zugangsdaten verwendet. Wählt hierbei die Kombination aus Port und Verschlüsselungsart aus, die vom Hoster vorgegeben ist.

    4. Ändert auf die selbe Weise in "Shop" ->"Einstellungen" ->"E-Mail-Server" die Daten wie folgt: SMTP verwenden: JA und dann alle weiteren Werte entsprechend den Zugangsdaten des Hosters ändern.

    5. Prüft die E-Mail-Adresse, die als Empfänger im Formular oder in den Einstellungen des Webshops als Empfänger angegeben ist, ob diese eine verschlüsselte Kommunikation verwendet.

    Bei Web-Mailing-Programmen, wie beispielsweise von 1&1 erhält eine Mail-Adresse, die dem Standard "Made in Germany" entspricht, einen zusätzlichen grünen Haken hinter der Adresse. Soweit der Empfänger eine eigene Mail-Adresse ist, könnt Ihr die Verschlüsselung über das Control-Center beim Hoster direkt aktivieren, falls es sich um eine Kundenadresse handelt, bitte den Kunden darauf hinweisen, diese Einstellung zu aktivieren.


    PS: Deutschland ist das einzige Land in der EU, bei dem die DSGVO eine solche Panik hervorruft. Dies liegt aber nicht an den Inhalten der Verordnung, sondern am europaweit einzigartigen "Gesetz gegen unlauteren Wettbewerb". Nach DSGVO können die Aufsichtsbehörden erhebliche Bußgelder verlangen. Der sächsische Landesbeauftragte für den Datenschutz hat gegenwärtig 14 Mitarbeiter. Diese sind zuständig für alle Behörden, Unternehmen und Vereine in unserem Freistaat. Wie groß da die Gefahr eines Bußgeldes ist, kann sich jeder selbst ausrechnen. Größere Gefahr droht über das "UWG". Falls irgend jemand aus dem Forum eine Abmahnung nach UWG wegen der Datenschutzbestimmungen erhält, empfehle ich einen kurzen Besuch der Seite des Abmahners im "inkongito" oder "inprivate" Modus des Browsers. Falls dort dann nur ein einziges Cookie zu sehen ist, über welches nicht informiert wurde, macht bitte eine Anzeige beim jeweiligen Landesbeauftragten für Datenschutz. Diese sind dann verpflichtet, einem eventuellen Datenschutzverstoß nachzugehen.

  • Vielen Dank für diesen tollen Beitrag. Und überhaupt DANKE, für die vielen Informationen hier im Forum. Ich habe selten eine Frage hier im Forum gesehen, wo Sie keine Antwort bzw. Lösung gegeben haben.

    Es ist sehr hilfreich wenn User wie Sie, sich so sehr einbringen. Das musste mal gesagt werden.

  • Ich habe bei meinem Hoster das SSL Zertifikat bestellt. Man kann die Seite auch mit https aufrufen. Gebe ich die Seite aber "normal" ein, wechselt es nicht auf die https.

    Versende ich eine Email über das Kontaktformular, ist die Seite beim Schreiben auch unverschlüsselt. Nach dem Absenden springt es aber auf https

    Wie erzwinge ich die Umstellung denn per .htaccess

  • Hallo Suna74,


    bist Du bei Strato oder t-online? Hier gibt es im Konfigurationsmenü des Providers, bei der Domainverwaltung, die Funktion "https erzwingen".


    Liebe Grüße

    Sunny

  • Hallo Thomas,


    auch von mir herzlichen Dank!

    Bleibt gesund! #stayathome


    Beste Grüße
    Jörg




    ---
    Ich nutze Zeta Producer 15.3.0 Business / Windows 10