SSL, TLS 1.2, TLS 1.3 und Co. – Vorteile, Unterschiede und rechtliche Pflichten bei der Verschlüsslung von Websites

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Was versteht versteht man unter Website-Verschlüsslungen wie SSL oder TLS?

Unter Abkürzungen wie SSL oder TLS versteht man Technologien, die eine verschlüsselte Verbindung zwischen Webserver und Browser ermöglichen, sodass übertragene Daten nicht durch Dritte eingesehen werden können. Dies betrifft vor allem Daten, die Sie auf einer Website „hinterlassen“ (z.B. durch ein Kontakformular).

Was passiert wenn keine Verschlüsslung vorhanden ist?

Ohne Verschlüsslung werden Ihre Daten (die Sie zum Beispiel innerhalb eines Kontaktformulars eingeben) leichte Beute von etwaigen Hacker-Angriffen. Bei fehlender Verschlüsslung können diese Zugang zum Server, auf dem die Website gehostet wird, erlangen.

Wie erkenne ich ob und wie eine Website verschlüsselt ist?

Ein erstes Anzeichen dafür, dass eine Verschlüsslung vorhanden besteht, ist dass die URL mit „https://“ anstatt mit „http://“ (dem http ist also noch ein „s“ zugefügt) beginnt:

Zudem können Sie in unserem Beispiel links neben der URL ein kleines Schloss erkennen:

Über dieses Symbol können Sie weitere Informationen erhalten. Wie Sie hier vorgehen müssen, haben wir nachfolgend für verschiedene Browser zusammengefasst.

Diese beiden Punkte deuten bereits stark daraufhin, dass die Website entsprechend verschlüsselt ist. Sicherheit erhalten Sie, wenn Sie sich die Gültigkeit des Zertifikats anzeigen lassen. Nachfolgend zeigen wir Ihnen, wie dies bei den Browsern Firefox, Edge und Chrome funktioniert:

Was ist der Unterschied zwischen SSL und TLS?

Die meisten die von „SSL“ (Secure Sockets Layer) sprechen, meinen oftmals eigentlich TLS (Transport Layer Secrurity). SSL stammt aus dem Jahr 1995 und wurde in drei Versionen entwickelt. Die letzte Version SSL 3.0 wurde von TLS als verbesserte Version abgelöst. Die derzeit aktuellste Version ist die im Jahr 2018 entwickelte Version TLS 1.3.

Einfach ausgedrückt, ist TLS das „Nachfolgemodell“ bzw. „Facelift“ von SSL und wird somit auch überwiegend heutzutage verwendet. Das heutige TLS ist sicherer, flexibler und effizienter als das frühere SSL. Die Abkürzung „SSL“ ist jedoch nach wie vor wesentlich bekannter als „TLS“, weswegen der Begriff immer noch verwendet wird auch wenn in aller Regel TLS gemeint ist.

Welche TLS-Version sollte man verwenden?

Idealerweise TLS 1.3. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt einen Mindeststandard zur Verwendung von TLS heraus. Die aktuellste Version 2.2. vom 03.05.2021 kann hier abgerufen werden. Des Weiteren sind die Empfehlungen und Schlüssellängen des BSI zu beachten. Unter dem folgenden Link können Sie Ihre Website kostenfrei auf Konformität mit den Vorgaben des BSI checken lassen: https://tls-check.de/

Müssen Websites immer verschlüsselt sein?

Ja. Im Zuge des Inkrafttretens des IT-Sicherheitsgesetzes vom 17. Juli 2015 wurde § 13 Abs. 7 TMG neu in das Gesetz aufgenommen. Mit Inkrafttreten des TTDSG am 01. Dezember 2021 wurde diese Vorschrift in § 19 Abs. 4 TTDSG übernommen. Dies ergibt sich faktisch auch aus Artikel 32 DSGVO.

Rechtsfolgen bei fehlender Verschlüsselung der Website

Eine fehlende Verschlüsselung kann unserer Einschätzung nach von Mitbewerbern, Verbraucherschutzentralen sowie Wettbewerbsverbänden kostenpflichtig abgemahnt werden, da man bei der Vorschrift von einer Marktverhaltensregel nach § 3a UWG ausgehen kann.

Dem Landgericht Würzburg lag bereits ein solcher Sachverhalt zur Entscheidung vor. In dem Fall entschied das LG Würzburg (Beschluss vom 13.09.2018, Az.: 11 O 1741/18 UWG), dass einem Rechtsanwalt ein Anspruch auf Unterlassung gegenüber einer Wettbewerberin wegen des Betreibens einer beruflichen Website, welche nicht verschlüsselt war, zusteht.

Ebenso sind Abmahnungen einzelner Nutzer, die sich auch auf den Schutz individueller Interessen berufen, möglich.

Weitere Gründe für TLS

Eine Website ohne TLS-Verschlüsslung wirkt einfach unseriös. Wer will in der heutigen Zeit auf einer Website surfen, die folgenden Hinweis ausspielt:

Zudem kann die Verwendung von TLS das Ranking bei Google beeinflussen. Websites ohne TLS-Verschlüsslung können bei den Rankings abgestraft werden.