IGD e.V. mahnt wegen fehlender SSL-Verschlüsselung auf Webseiten ab
Recherchen im Internet haben ergeben, dass bereits vielfach Abmahnungen durch den Interessengemeinschaft Datenschutz e.V. aus Ludwigsfelde ausgesprochen worden sind. Nach eigenen Angaben des IGD sind es bislang 450 Abmahnungen (Stand 21. März 2019), die versendet wurden (Quelle: Webseite des IGD).
Fraglich ist jedoch, wie „Abmahnbetroffene“ darauf reagieren sollten? Greifen die geltend gemachten Vorwürfe überhaupt? Kann der Verein überhaupt abmahnen? Kann man überhaupt auf Basis des DSGVO abmahnen? Dieser Artikel sollen einen kurzen Überblick liefern und Betroffenen eine erste Einschätzung geben.
Was wird den Abgemahnten vorgeworfen?
In den durch den IGV e.V. ausgesprochenen Abmahnungen wird den Betroffenen vorgeworfen, ihre Webseite ohne SSL-Verschlüsselung zu betreiben. Dadurch würde ein sicherer Transfer von Daten der Verbraucher / Nutzer nicht gewährleistet sein. Ob eine Webseite SSL verschlüsselt ist, erkennt man an der Adresse im Browser: „http://“ bedeutet nicht verschlüsselt, „https://“ bedeutet verschlüsselt. Ein Beispiel für eine verschlüsselte Webseite sieht wie folgt aus:
Was bedeutet überhaupt „SSL“-Verschlüsselung?
SSL steht für “Secure Sockets Layer“. Es handelt sich dabei um ein Protokoll, welches sicherstellt, dass die Daten zwischen Browser und besuchter Website (https://) verschlüsselt übertragen werden. Es handelt sich dabei um eine verschlüsselte Netzverbindung zwischen einem Server und einem Client (Browser). Durch diese Verschlüsselung soll verhindert werden, dass Dritt-Nutzer die Daten bei der Übertragung auslesen könnten oder gar manipulieren können. Zudem soll dieses Verschlüsselungsverfahren die Identität einer Website sicherstellen.
Dieses Verschlüsselungsverfahren sei gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Stand der Technik. Sein Fehlen soll – vermeintlich – zu einem abmahnfähigen DSGVO-Verstoß führen, konkret gegen die Pflichten aus Art. 25 Abs. 1, 32 Abs. 1 2. Hs. lit. a) DSGVO, wonach die nach dem Stand der Technik erforderlichen technischen und organisatorischen Maßnahmen zu treffen sind, um personenbezogene Daten zu sichern. So zumindest die Vorwürfe in den Abmahnungen des IGD Interessengemeinschaft Datenschutz e.V..
Kann überhaupt auf Basis der DSGVO abgemahnt werden?
In den Abmahnungen der Interessengemeinschaft Datenschutz e.V. aus Ludwigsfelde werden zwei – bereits vielfach diskutierte – Urteile angeführt, welche vermeintlich dazu berechtigen würden, DSGVO-Verstöße abzumahnen. Hierbei handelt es sich um die folgenden Entscheidungen: LG Würzburg, Beschluss v. 13.9.2018, Az. 11 O 1741/18 und OLG Hamburg, Urteil v. 25. Oktober 2018, Az. 3 U 66/17.
An dieser Stelle sollt nicht unerwähnt bleiben, dass in der Tat ein großer Streit über die Abmahnfähigkeit an sich besteht, so dass bei Weitem nicht klar ist, ob der Weg über die DSGVO überhaupt gangbar ist. Dieses hängt von den unterschiedlichen Gerichten ab. Des Weiteren ist zu erwarten, dass es sehr viel Einzelfallrechtsprechung dazu geben wird, bevor eine höchstgerichtliche Entscheidung fallen wird. Vor diesem Hintergrund stehen die Abmahnungen der Interessengemeinschaft Datenschutz e.V. nach unserem Dafürhalten auf „dünnem Eis“, denn das in der Abmahnung zitierte Urteil des LG Würzburg erging gänzlich ohne Begründung zur Abmahnmöglichkeit auf Basis der DSGVO, also unter Außerachtlassung des vorgenannten juristischen Streits. Im Ergebnis also ebenfalls „dünn“.
Es soll nicht unerwähnt bleiben, dass der IGD Interessengemeinschaft Datenschutz e.V es im Übrigen unterlässt zu erwähnen, dass es derzeit ebenso viele Urteile gibt, die sich gegen die rechtliche Möglichkeit aussprechen, dass die DSGVO über das UWG abgemahnt werden kann. Hierbei handelt es sich u.a. um das LG Bochum, Beschluss v. 07.08.2018, Az. I-12 O 85/15 sowie das LG Wiesbaden, Urt. v. 05.11.2018, Az. 5 O 214/18.
Woher nimmt der Verein sein Recht zur Abmahnung?
Der Verein trägt vor, sein „Abmahnrecht“ ergebe sich aus Art. 80 Abs. 1 DSGVO („Vertretung von betroffenen Personen“). Danach hat die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Aus den Abmahnungen geht jedoch nicht hervor, in wessen Auftrag die Interessengemeinschaft Datenschutz e.V handelt und ob überhaupt Rechte nach Art.77, 78 und 79 DSGVO durch selbige wahrgenommen werden. Auch dieser Aspekt sollte kritisch hinterfragt werden.
Was fordert der Verein in den Abmahnungen?
Der IGD e.V. verlangt mittels der Abmahnung das beanstandete Verhalten sofort zu unterlassen und innerhalb von einer Woche eine strafbewehrte Unterlassungserklärung abzugeben. Zusätzlich verlangt IGD e.V. den Ersatz der Abmahnkosten i.H.v. 240 EUR zzgl. 19% MwSt., mithin Gesamtkosten i.H.v. 285,60 EUR, welche fünf Tage nach Fristablauf für die Abgabe der Unterlassungserklärung auf das Vereinskonto überwiesen werden sollen.
Wie sollten sich von einer Abmahnung Betroffene verhalten?
Sollten sich Vermittler der Versicherungs- und Finanzdienstleistungsbranche einer Abmahnung ausgesetzt gesehen, so sollte zwingend zeitnah anwaltlicher Rat aufgesucht werden. Die mit der Abmahnungen ausgesprochenen Vorwürfe sollten nämlich stets im Einzelfall dahingehend überprüft werden, ob diese rechtlich haltbar sind. Auf die nach unserem Dafürhalten kritischen Aspekte haben wir hingewiesen. Diese sollten so dann im Einzelfall erörtert werden. Auch sind die entsprechenden Prozesskosten und Risiken im Einzelnen zu besprechen.
Unterlassungserklärung unterzeichnen?
Grundsätzlich sollten – sofern einer Abmahnung beigefügt – Unterlassungserklärungen niemals ungeprüft unterzeichnet werden. Der Vermittler sollte vorher vielmehr anwaltlichen Rat in ein Anspruch nehmen, ob überhaupt eine Unterlassungserklärung abgegeben werden muss. Sollte die Frage bejaht werden, so sollte eine eigene Unterlassungserklärung formuliert werden, welcher der höchstrichterlichen Rechtsprechung gerecht wird. Die von „Abmahnern“ vorformulierten Unterlassungserklärungen sind sehr oft zu weitgehend.
Geforderte Abmahnkosten zahlen?
Abgemahnte sollten die geltend gemachten Kosten niemals ungeprüft und „einfach so“ zahlen. Auch diese Kosten müssen im Einzelfall dem Grunde und der Höhe nach anhand höchstrichterlicher Rechtsprechung überprüft werden. Der Vermittler sollte auch diesbezüglich anwaltlichen Rat suchen.
Was ist mit den gesetzten Fristen?
Abgemahnte sollten jedoch auf keinen Fall die gesetzten Fristen versäumen. Ansonsten könnten dann nämlich gerichtliche Schritte im Rahmen einer möglichen einstweiligen Verfügung oder eine Hauptsacheklage drohen. Diese Szenarien sollte stets vermieden werden, da die Kosten sehr hoch sind.
Ob die Abmahnung überhaupt gerechtfertigt ist, oder nicht, spielt zunächst keine Rolle. Von einem Unternehmer darf erwartet werden, dass dieser seine Posteingänge (analog und digital) überprüft und entsprechend reagiert. Von daher wird dringlichst dazu angeraten, zeitnah zu handeln und keine Fristen zu versäumen.
Wie kann der Vermittler einer Abmahnung entgehen?
Um den Problemen einer etwaigen Abmahnung bestmöglich aus dem Weg zu gehen, sollten Webseiten grundsätzlich anwaltlich überprüft werden. Vor diesem Hintergrund sind Vermittler gut beraten die eigene Homepage eines „Website-Checks“ zu unterziehen, damit bestenfalls erst gar nicht Abmahnungen ausgesprochen werden müssen. Natürlich bleiben dabei stets Restrisiken, da es auch keine eindeutige Rechtsprechung gibt.
Weiter Informationen zur DSGVO und zum Thema Datenschutz finden Sie auch in unserem „News“ Bereich.
