Jeder kennt es inzwischen, das (grüne) Schloss neben dem Domainnamen einer Webseite. Ausgelöst wird dieses durch das sogenannte SSL-Zertifikat. Was genau ein solches SSL-Zertifikat ist, wann du es für deine Webseite benötigst und warum die SSL-Verschlüsselung auch unter SEO-Gesichtspunkten relevant ist, das verrate ich dir in diesem Beitrag.
Was ist ein SSL-Zertifikat?
SSL steht für „Secure Sockets Layer“ und verschlüsselt die Kommunikation von Daten, die von einem Computer zu einem Server übertragen werden. Das originäre SSL-Format wird tatsächlich aber schon gar nicht mehr verwendet, da es durch die standardisierte Weiterentwicklung TSL „Transport Security Layer“ abgelöst wurde. Da sich der Begriff SSL allerdings bereits eingebürgert hatte, wird dieser heute noch immer (synonym) verwendet.
Was macht das SSL-Zertifikat?
Eine SSL-Verschlüsselung legt über die Übertragung von Webseiteninhalten und von, auf einer Webseite eingegebenen Daten, quasi einen Schutzmechanismus. So wird beispielsweise ein Passwort, dass du auf einer SSL-verschlüsselten Webseite eingibst, zunächst bei dir als dem Eingebenden verschlüsselt, dann chiffriert übermittelt und erst auf der anderen Seite des Transfers vom Webserver wieder entschlüsselt. Sollte ein Hacker es also schaffen, diesen Transfer der eingegebenen Daten zwischen Browser und Server abzupassen, so liegen ihm nur chiffrierte Teile vor, mit denen er nicht viel anfangen kann.
Doch das SSL-Zertifikat verschlüsselt nicht nur die Inhalte (was auch für die Suchmaschinenoptimierung deiner Webseite wichtig ist, dazu weiter unten mehr). Eine Zertifizierungsstelle überprüft darüber hinaus bei jeder Ausstellung eines SSL-Zertifikats die Identität des Zertifikatsinhabers.
Daran erkennst du eine SSL-verschlüsselte Webseite
Eine SSL-verschlüsselte Webseite erkennst du zum einen an dem eingangs genannten Schlosssymbol neben der Domainanzeige. Zusätzlich verdeutlicht dir der Zusatz „https“ („Hypertext Transfer Protocol Secure“), dass eine verschlüsselte Verbindung aufgebaut wurde.
Mittels des (grünen) Schlosses und dem Zusatz „https“ kannst du also erkennen, ob die Webseite auf der du surfst, eine gesicherte Datenübertragung gewährleisten kann.
Wann benötigen Webseiten ein SSL-Zertifikat?
Stellt sich nun aber noch die Frage, warum bzw. wann du als Webseitenbetreiber ein solches SSL-Zertifikat benötigst. Die Antwort finden wir im Datenschutzrecht. Denn wenn du deinen Webseitenbesuchern die Möglichkeit bietest, ihre personenbezogenen Daten zu übermitteln, muss dieser Vorgang verschlüsselt von statten gehen. Dies folgt aus den Vorgaben der DSGVO, die am 25. Mai 2018 wirksam wurde (diese Grundsätze sind jedoch keineswegs neu, zuvor gab es bereits eine ähnliche Bestimmung im TMG). Eine solche in Frage stehende Übermittlung kann dabei beispielsweise durch den Einsatz von Webformularen erfolgen.
Anwendbarkeit der DSGVO
Damit die DSGVO überhaupt anwendbar ist, müssen bei der genannten Übermittlung grundsätzlich zunächst einmal personenbezogene Daten verarbeitet werden.
Verarbeitung personenbezogener Daten
Gemäß Art. 4 Nr. 1 DSGVO sind „‘personenbezogene Daten‚ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Gemeint ist damit, dass die in Frage stehenden Informationen einer ganz bestimmten natürlichen Person zugeordnet werden können müssen.
Art. 4 Nr. 1 DSGVO führt dazu weiter aus, dass als „identifizierbar“ eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Personenbezogene Daten können beispielsweise die, in ein Webformular eingetragene Kombination aus Vor- und Nachname sein, da diese in den allermeisten Fällen einer bestimmten Person zugeordnet werden kann. Ebenfalls in Betracht kommt die eingetragene E-Mailadresse, wenn sie Aufschluss über den Adressinhaber bietet (z.B. jana.meier@malings.com, nicht aber z.B. info@firmenname.de).
Diese eingegebenen Daten müssten zudem „verarbeitet“ werden. Eine „Verarbeitung“ bezeichnet gemäß Art. 4 Nr. 2 DSGVO
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Darunter fallen in der Regel alle computerbasierten Vorgänge der Datenverarbeitung. Bei Nutzung von Webformularen wie z.B. einem Kontaktformular oder aber auch einer Bestellmöglichkeit durch ein Webformular auf deiner Webseite, verarbeitest du folglich mit sehr großer Wahrscheinlichkeit regelmäßig personenbezogene Daten, sodass die DSGVO in diesem Fall auch zur Anwendung kommt.
Verbot mit Erlaubnisvorbehalt
Grundsätzlich gilt jedoch im deutschen Datenschutzrecht der zentrale Grundsatz des Verbots mit Erlaubnisvorbehalt, d.h. die Verarbeitung personenbezogener Daten ist dir grundsätzlich erst einmal verboten, es sei denn, das Gesetz erlaubt sie dir ausdrücklich. Dieser Grundsatz galt bereits vor der DSGVO und fußt auf dem Ziel des Datenschutzes, dass die Persönlichkeitsrechte des Einzelnen geschützt werden sollen.
Folglich musst du jede Datenverarbeitung auf eine Rechtsgrundlage stützen können, also eine gesetzliche Regelung, die dir die Verarbeitung personenbezogener Daten erlaubt. Eine Auflistung solcher Regelungen findet sich in Art. 6 DSGVO.
Als Rechtsgrundlage für die Verwendung von Webformularen auf deiner Webseite kommt dabei insbesondere Art. 6 Abs. 1 lit. f DSGVO in Frage, welcher als Rechtsgrund für die Verarbeitung ein „berechtigtes Interesse“ des Verarbeitenden vorsieht.
Berechtigtes Interesse
Um ein solches berechtigtes Interesse an der Verarbeitung bejahen zu können, müssen kumulativ drei Voraussetzungen vorliegen:
-
das berechtigtes Interesse an der Verarbeitung personenbezogener Daten
- die Verarbeitung ist erforderlich, um das berechtigte Interesse zu wahren
-
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, dürfen nicht überwiegen
SSL-Zertifikat auf deiner Webseite Pflicht
Ist ein berechtigtes Interesse nach den o.g. Grundsätzen gegeben, stellt sich aber nun noch die Frage, warum du als Webseitenbetreiber ein SSL-Zertifikat auf deiner Webseite benötigst, wenn du personenbezogene Daten verarbeitest?
Hier hilft zunächst ein Blick in Art. 25 DSGVO weiter, denn darin kommt zum Ausdruck, dass Webseitenbetreiber technische und organisatorische Maßnahmen treffen müssen, um Datenschutzverletzungen zu verhindern.
In Art. 32 Abs. 1 lit. a) DSGVO heißt es dann hinsichtlich der Sicherheit der Verarbeitung weiter, dass
unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen […] geeignete technische und organisatorische Maßnahmen
getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Darunter fällt gemäß lit. a) sodann „die Pseudonymisierung und Verschlüsselung personenbezogener Daten“. Eine Verschlüsselung mit SSL- (bzw. wie wir oben gelernt haben mit TSL-)Verschlüsselung entspricht dem genannten Stand der Technik und kann inzwischen sogar als Standard bezeichnet werden. Es ist demnach in der Lage, die in der DSGVO genannten Forderungen an den Schutz der Übermittlung personenbezogener Daten auf deiner Webseite zu erfüllen.
Abmahnungen drohen bei fehlendem SSL-Zertifikat
Was dir bei fehlendem SSL-Zertifikat drohen kann, zeigen die Abmahnungen des IGD Interessengemeinschaft Datenschutz e.V., der im März 2019 vermehrt wegen fehlender oder unzureichender SSL-Zertifikate abgemahnt hat. Abmahnungen und Bußgelder wegen fehlendem SSL-Zertifikat sind keineswegs abwegig und sollten schon gar nicht auf die leichte Schulter genommen werden.
SSL-Verschlüsselung unter SEO-Gesichtspunkten
Eine HTTPS-Verbindung ist mittlerweile nicht nur Standard, sondern auch unter Gesichtspunkten der Suchmaschinenoptimierung herausragender Bedeutung.
Im Jahr 2014 hat Google nämlich die HTTPS-Verschlüsselung zum Ranking-Faktor erklärt.
In der Erklärung heißt es:
Sicherheit hat für Google höchste Priorität. Wir investieren viel, um sicherzustellen, dass unsere Dienste branchenführende Sicherheit verwenden, wie z. B. standardmäßig starke HTTPS-Verschlüsselung. […] Über unsere eigenen Dienste hinaus arbeiten wir auch daran, das Internet im weiteren Sinne sicherer zu machen. Ein großer Teil davon besteht darin, dafür zu sorgen, dass Websites, auf die Leute von Google aus zugreifen, sicher sind.
So haben wir beispielsweise Ressourcen geschaffen, die Webmastern helfen sollen, Sicherheitsverletzungen auf ihren Websites zu verhindern und zu beheben.
Wir wollen sogar noch weiter gehen. Bei Google I/O haben wir vor einigen Monaten „HTTPS überall“ im Web gefordert. Wir haben auch festgestellt, dass immer mehr Webmaster HTTPS (auch bekannt als HTTP over TLS oder Transport Layer Security) auf ihrer Website einsetzen, was ermutigend ist.
Aus diesen Gründen haben wir in den letzten Monaten Tests durchgeführt, um zu prüfen, ob Websites sichere, verschlüsselte Verbindungen als Signal in unseren Such-Ranking-Algorithmen verwenden. Wir haben positive Ergebnisse gesehen, also beginnen wir damit, HTTPS als Ranking-Signal zu verwenden.
Im Moment ist es nur ein sehr leichtgewichtiges Signal – es betrifft weniger als 1 % der globalen Abfragen und hat weniger Gewicht als andere Signale, z. B. qualitativ hochwertige Inhalte -, während wir den Webmastern Zeit geben, auf HTTPS umzustellen. Aber im Laufe der Zeit werden wir vielleicht beschließen, es zu stärken, denn wir möchten alle Website-Besitzer dazu ermutigen, von HTTP auf HTTPS umzustellen, damit alle sicher im Web sind.
Daran kannst du also gut erkennen, dass Google viel wert auf die HTTPS-Verschlüsselung legt und den Ranking-Faktor künftig gegebenenfalls noch wichtiger einschätzen wird als zum Zeitpunkt des Statements (2014).
Ein SSL-Zertifikat kannst du übrigens meist direkt bei deinem Hoster dazu buchen (bei manchen Hostern ist das Zertifikat auch bereits im Hostingpaket inkludiert).