Abmahnung fehlender Verschlüsselung von Websites durch Interessengemeinschaft Datenschutz e.V.
Vor dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) war vielfach erwartet worden, dass mit Änderung der Rechtslage die Betreiber von Websites eine Flut von Abmahnungen zu angeblichen Datenschutzverstößen treffen würde. Bei nüchterner Betrachtung stellte sich aber bereits vor Inkrafttreten der DSGVO die Frage, wer derartige Abmahnungen aussprechen sollte, zumal insbesondere im unternehmerischen Bereich jedes werbende Unternehmen im Fall einer Abmahnung riskiert hätte, infolge eigener mangelhafter Umsetzung der Maßgaben der DSGVO eine Gegenabmahnung zu erhalten.
Die Frage, wer als Abmahner in Betracht kommt, beantwortet nun die IGD Interessengemeinschaft Datenschutz e.V. aus Ludwigsfelde, die in den vergangenen Tagen zahlreiche Abmahnungen verschickt hat. Abgemahnt werden dabei nicht fehlerhafte Datenschutzerklärungen, sondern die mangelnde Verschlüsselung der Internetseiten bzw. der dort enthaltenen Kontaktformulare. Dies verstoße gegen Artt. 25 Abs. 1; 32 Abs. 1 DSGVO.
Die IGD Interessengemeinschaft Datenschutz e.V. fordert die Abgabe einer strafbewehrten Unterlassungserklärung, wobei bei juristischen Personen nicht nur das Unternehmen selbst, sondern auch der Unternehmensvertreter zur Unterlassung verpflichtet sein soll. Zudem soll der Abmahnungsempfänger die Abmahnkosten von 285,60 € erstatten.
Was ist der Hintergrund?
Hintergrund der Abmahnung ist, dass die DSGVO in Artt. 25 Abs. 1; 32 Abs. 1 der Verantwortliche einer Datenverarbeitung geeignete technische und organisatorische Maßnahmen für die Umsetzung der Datenschutzgrundsätze trägt. Art. 32 Abs. 1 lit. a DSGVO sieht vor, dass die Maßnahmen u.a. die Verschlüsselung personenbezogener Daten vorsehen.
Da auch über Internetseiten personenbezogene Daten erhoben werden, insbesondere dann, wenn Nutzer über Kontaktformulare aktiv Daten übermitteln, muss der Seitenbetreiber geeignete technische und organisatorische Maßnahmen treffen.
Ob allerdings die Verschlüsselung der Verbindung des Nutzers zur Website durch SSL zwingend ist oder durch andere wirksame Mittel kompensiert oder ersetzt werden kann, ist damit noch nicht gesagt. In § 13 Abs. 7 S. 2 TMG ist niedergelegt, dass „insbesondere“ die Anwendung eines als sicher anerkennten Verschlüsselungsverfahrens eine geeignete Schutzmaßnahme ist, und auch Art. 32 Abs. 1 DSGVO wird weithin dahingehend verstanden, dass die dort aufgeführten Maßnahmen nicht alle zwingend umzusetzen sind, sondern lediglich als geeignete Schutzmaßnahmen erscheinen.
Was ist zu tun?
Wer eine solche Abmahnung erhält, ist gut beraten, nicht ohne Weiteres die geforderte Erklärung abzugeben und den Betrag zu zahlen. Denn eine solche Unterlassungserklärung ist, auch wenn die Abmahnung nicht berechtigt sein sollte, ist bindend und kann zu erheblichen Folgekosten führen, wenn es zu Wiederholungen kommt – auch wenn diese nicht beabsichtigt waren.
Es existieren auch hinreichend rechtliche Ansatzpunkte zur Verteidigung gegen die Abmahnung. Neben dem bereits genannten Umstand, dass keineswegs geklärt ist, ob eine SSL-Verschlüsselung zwingend ist, stellt sich auch die Frage, ob die IGD Interessengemeinschaft Datenschutz e.V. überhaupt aktivlegitimiert ist, also derartige Abmahnungen aussprechen und Unterlassungen fordern darf. Denn auch wenn ein Rechtsverstoß vorliegt, bedeutet dies nicht, dass jedermann dessen Unterlassung fordern kann. Handelt es sich bei dem Abmahnenden nicht selbst um einen Betroffenen, benötigt dieser eine gesetzliche Erlaubnis. Derartige gesetzliche Erlaubnistatbestände gibt es zwar in § 8 Abs. 3 Nr. 2 UWG und in § 3 Abs. 2 UklaG; beide Vorschriften fordern aber, dass
„ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, wenn sie insbesondere nach ihrer personellen, sachlichen und finanziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interessen tatsächlich wahrzunehmen und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt.“
Ob dies auf die IGD Interessengemeinschaft Datenschutz, die erst am 06.03.2019 in das Vereinsregister des AG Potsdam eingetragen wurde, zutrifft, erscheint jedoch zweifelhaft.
Zudem stellt sich die Frage, ob es sich bei der behaupteten Rechtsverletzung um eine solche handelt, die überhaupt Unterlassungsansprüche nach dem UWG begründet. Ob Datenschutzverletzungen auch wettbewerbsrechtlich angreifbar sind, wird kontrovers diskutiert und von den zuständigen Gerichten unterschiedlich beurteilt. Es spricht jedenfalls einiges dafür, dass mangelnde Verschlüsselung bei der Übermittlung zum Datenempfang jedenfalls keine Marktverhaltensvorschriften verletzen und daher wettbewerbsrechtlich überhaupt nicht angreifbar sind.
Wer eine solche Abmahnung erhält, sollte aufgrund der komplexen Rechtslage nicht ohne vorherige Einholung kompetenten Rechtsrats reagieren.
Wir beraten Sie in allen Fragen des Wettbewerbsrechts und Datenschutzrechts. Setzen Sie sich gerne unverbindlich mit uns in Verbindung!