4.3 Dem Nutzer gegenüber sollte der gewährleistete Sicherheitsstandard kommuniziert werden

Den gewährleisteten Sicherheitsstandard dem Nutzer gegenüber transparent zu kommunizieren, fördert das Vertrauen in digitale Kommunikation. Wenn der Nutzer leicht erkennen kann, welches Sicherheitsniveau beim jeweiligen Kommunikationsvorgang gegeben ist, so ist es ihm besser möglich, abzuschätzen, welches Risiko er eingeht, wenn ihm betreffende sensible Informationen auf digitalem Wege übermittelt werden. Auf dem Gebiet der digitalen Kommunikationssicherheit stellt sich das Problem, dass detaillierte Informationen hierüber die meisten Nutzer überfordern werden. Ein Übermaß an Information erreicht dann im Zweifel das Gegenteil: Zu viele technische Details führen eher zu einem Verlust an Vertrauen. Wie auch auf anderen Gebieten, in denen Verbraucherinformationen über die Spezifika des Produkts aus diesem Grund sinnlos sind, bieten sich hier deshalb vertrauensfördernde Maßnahmen insbesondere in Form der Vergabe und Veröffentlichung von Gütesiegeln und Zertifikaten an, die die Überprüfung des Dienstes durch vertrauenswürdige Dritte kennzeichnen. Diese können solchen Unternehmen und öffentlichen Stellen verliehen werden, die durch ihr spezielles Know-how sicherstellen können, dass für die jeweilige Konstellation angemessene Kommunikationssicherheit gewährleistet ist. Dabei ist es notwendig, dass die Prüfinstanz unabhängig ist und selbst offene und transparente Prüfstandards zugrunde legt.1

„Zertifizierungen sind grundsätzlich sinnvoll, allerdings sollte gewährleistet sein, dass sie keine Wettbewerbsverzerrungen zur Folge haben.“
Prof. Dr. Wolfgang Schulz, Direktor am Hans-Bredow-Institut für Medienforschung an der Universität Hamburg, Konsultation

Dass zum Beispiel die Verbindung zwischen dem eigenen Computer (Client) und dem Webserver, auf dem die gerade abgerufene Webseite gespeichert ist, mittels TLS2 verschlüsselt ist, kann man in den neueren Versionen aller gängigen Webbrowser daran erkennen, dass neben der Adresszeile ein Schloss abgebildet ist. Ein noch höheres Sicherheitsniveau wird dadurch signalisiert, dass die Adresszeile zusätzlich (teilweise) grün hinterlegt ist. Dies ist dann der Fall, wenn der Dienst, mit dem die Kommunikationsverbindung zum Datenaustausch aufgebaut wurde, ein sogenanntes Extended- Validation-Zertifikat vorweisen kann.3 Ein solches Zertifikat bestätigt die Identität des Dienstes und soll so insbesondere Phishing-Angriffe verhindern, da der Nutzer leichter erkennen kann, ob er sich zum Beispiel tatsächlich auf der Webseite seiner Bank befindet und nicht auf einer gefälschten Webseite, die sich als die Webseite seiner Bank ausgibt und auf diese Weise die Login-Daten des Nutzers abzufischen versucht. Die Extended-Validation-Zertifikate für Webseiten werden nach Prüfung der Vergabekriterien der eIDAS-Verordnung gemäß durch die Vertrauensdiensteanbieter herausgegeben, welche in Deutschland wiederum unter der Aufsicht des BSI stehen. Erfüllt der Anbieter sogar die erhöhten Anforderungen an sogenannte qualifizierte Dienste nach der eIDAS-Verordnung, dann ist er berechtigt, seine Dienste mit dem „EU-Vertrauenssiegel für qualifizierte Vertrauensdiensteanbieter“ zu bewerben.4 Dieses Siegel ist zwar nur mittelbar für den Endnutzer interessant, da es hier um das Verhältnis zwischen Vertrauensdiensteanbieter und Webdienst bei der Vergabe der Zertifikate geht, aber sie stellen dennoch einen weiteren Baustein zur Herstellung von Vertrauen in digitale Kommunikation dar.

„Wir vertrauen Stempeln und Testaten und treffen anhand solcher Entscheidungshilfen unsere Entscheidungen.“
Matthias Gärtner, Pressesprecher beim Bundesamt für Sicherheit und Informationstechnik, Konsultation

Auch die datenverarbeitenden öffentlichen Stellen und privatwirtschaftlichen Unternehmen, die ein Datenschutzaudit nach § 9a des Bundesdatenschutzgesetzes durchführen lassen, sollen nach dem bekundeten Willen des Gesetzgebers nach der erfolgreichen Durchführung ein Gütesiegel vergeben bekommen, anhand dessen sie den Nutzern ihrer Dienste anzeigen können, dass sie mit den sensiblen Daten den gesetzlichen Vorgaben entsprechend sorgfältig umgehen.5 Da es wie bereits erwähnt allerdings bislang an einer spezialgesetzlichen Ausgestaltung des Audits fehlt, können auch noch keine Siegel erlangt werden. Es existieren davon unabhängig aber bereits Beispiele für ähnliche Zertifikate. So vergibt das unabhängige Landesdatenschutzzentrum Schleswig-Holstein ein Datenschutz-Gütesiegel.6 Es bestätigt, dass eine Dienstleistung den datenschutzrechtlichen Vorgaben entspricht und dass dies in einem förmlichen Prüfverfahren festgestellt wurde. Die Datensicherheit ist einer der Schwerpunkte während des Audits. ((https://www.datenschutzzentrum.de/guetesiegel/faq/.)) Eine entsprechende Funktion erfüllt auch das europaweit vergebene European Privacy Seal.7

Die neue europäische Datenschutzgrundverordnung sieht in Artikel 42 ebenfalls Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen vor, um den Nutzern gegenüber klar zu kommunizieren, welche Datenschutzstandards gewährleistet werden. Die Nutzer sollen anhand dieser Zertifikate schnell und einfach erkennen können, welches Datenschutzniveau bei einem bestimmten Produkt oder einer Dienstleistung erreicht wird.8

Auch wenn die Audits nicht verpflichtend sind, sondern auf freiwilliger Basis erfolgen, sollte darauf hingearbeitet werden, dass diese Möglichkeit von den öffentlichen Stellen und Unternehmen, die sensible Inhalte auf digitalem Wege an Nutzer übermitteln, eingesetzt wird. Gerade weil digitale Kommunikation immer mehr zum Normalfall wird und damit das Vertrauen der Nutzer in digitale Kommunikationsmittel immer größere Bedeutung gewinnt, ist es entscheidend, dass sie in die Lage versetzt werden, selbst einschätzen zu können, in welchen Kontexten sie einem Dienst vertrauen können und wann nicht. Denn dem Großteil der Nutzer fehlt es sowohl an eigenem Verständnis als auch an geeigneten Mitteln, um selbst das Sicherheitsniveau des jeweiligen Kommunikationsmittels überprüfen zu können.

  1. Günter Krings und Lars Mammen, Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0, RDV 2015, S. 231, 232. []
  2. Siehe dazu den Annex. []
  3. Vgl. Wikipedia, Extended Validation Zertifikat, https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat; ist nur ein Schloss abgebildet, ist die Verbindung mittels TLS gesichert, aber das Zertifikat ist weniger vertrauenswürdig als ein Extended-Validation-Zertifikat. []
  4. Bundesamt für Sicherheit in der Informationstechnik, Qualifizierung als Vertrauensdiensteanbieter, https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/VDA_Qualifizierung/VDA_Qualifizierung.html. []
  5. Plath, S. 369. []
  6. Siehe https://www.datenschutzzentrum.de/guetesiegel/. []
  7. https://www.european-privacy-seal.eu/EPS-en/Home. []
  8. So Erwägungsgrund 100 der Datenschutzgrundverordnung. []