Was ist dran an der Abmahnung des IGD Interessengemeinschaft Datenschutz e.V.?
Art. 25 DSGVO schreibt vor, dass ein Webseitenbetreiber technische und organisatorische Maßnahmen treffen muss, um die Datenschutzrechte der Nutzer der Webseite zu wahren. Bei einer Webseite ohne aktive SSL-Verschlüsselung können von Dritten ohne großen technischen Aufwand alle Daten mitgelesen werden, die von einem Nutzer über das Kontaktformular der Webseite eingeben werden. Regelmäßig handelt es sich hierbei um personenbezogene Daten wie der Name des Nutzers, dessen E-Mail-Adresse oder seine Telefonnummer. Möglicherweise werden auch weitere Eingaben zum Sachverhalt gemacht oder Dokumente über das Kontaktformular hochgeladen, die ebenfalls personenbezogene Daten enthalten. Ist die Webseite SSL-verschlüsselt, ist ein Mitlesen der hierüber versendeten Daten nicht möglich.
Ob eine Webseite verschlüsselt ist erkennen Sie an der Adresszeile des Browsers. Beginnt die Internetadresse mit https statt http, ist die Seite verschlüsselt.
Ist ein Kontaktformular auf einer unverschlüsselten Webseite ein DSGVO-Verstoß?
Es spricht wohl Einiges dafür. Zwar schreibt die DSGVO nicht explizit vor, dass Webseitenbetreiber, die ein Kontaktformular vorhalten, die Webseite mit einem SSL-Zertifikat versehen müssen. Das allerdings ergibt sich aus § 13 Abs. 7 TMG (siehe hierzu unseren Beitrag zu den ersten DSGVO-Abmahnungen wegen fehlender SSL-Verschlüsselung). Zwar ist derzeit umstritten, ob die Vorschrift des § 13 Abs. 7 TMG nach Inkraftreten der DSGVO überhaupt noch gilt. Selbst wenn man das verneinen mag, wird man wohl zu dem Schluss kommen, dass eine Verschlüsselung auch nach § 25 DSGVO gefordert werden kann, auch wenn die SSL-Verschlüsselung dort keine ausdrückliche Erwähnung findet. Dort heißt es nämlich, dass vom Webseitenbetreiber unter Berücksichtigung des Stands der Technik sowie der Implementierungskosten entsprechende technische Maßnahmen zum Schutz der Nutzer ergriffen werden müssen. Da SSL-Zertifikate heute für wenige Euro zu erwerben und für den geschulten Webmaster mit wenigen Handgriffen zu implementieren sind, wird man wohl eher davon ausgehen müssen, dass hier zum Schutz der Daten der Nutzer vom Webseitenbetreiber die SSL-Verschlüsselung verlangt werden kann.
Und nun? Unterlassungserklärung unterschreiben und zahlen?
Nein, dazu raten wir in keinem Fall. In der Regel haben es die Abmahnvereine genau hierauf abgesehen. Es geht ihnen weniger um die Zahlung der (relativ niedrigen) Abmahngebühren. Es geht Ihnen vor allem um die Unterlassungserklärung. Wir erleben immer wieder, dass wegen des Lästigkeitsprinzips kurzerhand unterschrieben und gezahlt wird, dann aber die in der Unterlassungserklärung übernommenen Verpflichtungen nicht umgesetzt werden - hier also die Webseite nicht mit einer SSL-Verschlüsselung ausgestattet wird. Wichtig: Eine Unterlassungserklärung ist nichts anderes als ein Vertrag. Verstoßen Sie hiergegen, wird die dort vereinbarte Vertragsstrafe fällig. Es kommt dann nicht mehr darauf an, ob die Abmahnung berechtigt war. Lassen Sie sich also in jedem Fall vor Unterzeichnung der Unterlassungserklärung beraten. Wenn Sie unter dem Gesichtspunkt der Streitvermeidung eine Unterlassungserklärung abgeben wollen, sollten Sie dies unbedingt in modifizierter Form tun, um Ihre Rechte so weit wie möglich zu wahren. Sprechen Sie uns gerne hierauf an. Die Erstberatung ist kostenfrei und unverbindlich.
DSGVO-Verstöße überhaupt abmahnfähig?
Zudem ist derzeit auch noch nicht geklärt, ob DSGVO-verstöße überhaupt abmahnfähig sind. In der Rechtsprechung wird dies derzeit noch unterschiedlich beurteilt. Das OLG Hamburg will diese Frage davon abhängig machen, ob die konkrete Rechtsvorschrift, auf die die Abmahnung gestützt wird, hier also § 25 DSGVO, auch wettbewerbsschützenden Charakter hat, wofür jedoch im vorliegenden Fall Einiges spricht.
Darf der IGD Interessengemeinschaft Datenschutz e.V.? Abmahnungen versenden?
Es ist unklar, woher der IGD Interessengemeinschaft Datenschutz e.V. die Berechtigung hernimmt, Abmahnungen zu versenden. Wettbewerbsvereine, die Abmahnungen versenden, müssen besondere rechtliche Voraussetzungen erfüllen, um abmahnen zu können. So müssen sie nach ihrer personellen, sachlichen und finanziellen Ausstattung im Stande sein, ihre satzungsgemäßen Aufgaben zur Verfolgung gewerblicher und selbstständiger beruflicher Interessen tatsächlich zu erfüllen. Zur personellen Ausstattung gehört insbesondere eine entsprechende fachliche, d. h. wettbewerbsrechtliche Qualifikation der Mitglieder, des Vorstands oder der Mitarbeiter des Verbands. Und hier darf man dann mal gespannt sein, was der IGD Interessengemeinschaft Datenschutz e.V. denn hierzu sagen wird. Merkwürdig in diesem Zusammenhang ist jedenfalls, dass sich der Verein erst am 22.02.2019 eine Satzung gegeben hat und nach einem am heutigen Tage abgerufenen Handelsregisterauszug am 06.03.2018 ins Handelsregister eingetragen wurde. Es riecht nach Rechtsmissbrauch.
Update vom 14.03.2019
Erste Abmahnungen liegen vor - erhebliche Zweifel an der Berechtigung zum Abmahnen
Uns liegen nunmehr die ersten Abmahnungen vor. Auf die oben diskutierte Frage, nämlich ob DSGVO-Verstöße unter wettbewerbsrechtlichen Gesichtspunkten überhaupt abmahnfähig sind, kommt es vorliegend nicht an, da der IGD sich gar nicht darauf beruft, dass die hier maßgebliche Vorschrift des § 25 DSGVO "marktverhaltensregelnden Charakter" hat.
Vielmehr führt der IGD aus, einzelne Nutzer könnten sich auf Individualschutz berufen und Abmahnungen aussprechen. Die betroffene Person habe aber auch das Recht, nach Art. 80 DSGVO eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht zu beauftragen, in ihrem Namen die Rechte nach der DSGVO wahrzunehmen. Hiermit meint der IGD wohl sich selbst. Ok, es stimmt, das steht im Artikel 80 DSGVO so drin. Nun stellt sich aber eine Frage:
Betroffener? Welcher Betroffener?
In dem Schreiben des IGD wird kein Wort darüber verloren, wer der Betroffene ist, für den man Rechte wahrnehmen will. Alleine das lässt uns schon sehr an der Durchsetzbarkeit der Ansprüche zweifeln, denn aus sich selbst heraus ist der Verein nicht klagebefugt. Zwar sieht Art 80 Abs. 2 DSGVO vor, dass die Mitgliedsstaaten Einrichtungen, Organisationen oder Vereinigungen das Recht verleihen können, unabhängig von einem Auftrag der betroffenen Person tätig zu werden und Rechte nach der DSGVO durchzusetzen. Hiervon hat Deutschland aber bisher kein Gebrauch gemacht.
Anspruch aus Unterlassungsklagengesetz?
Im Weiteren behauptet der IGD, "der Anspruch des Vereins lasse sich auch auf Art 4 Abs. 1 Satz 2 der Richtlinie 98/27/EG über Unterlassungsklagen zum Schutz von Verbraucherinteressen stützen".
Tatsächlich gibt es solche Einrichtungen. Das sind Vereine oder Verbände, die Verbraucherinteressen wahrnehmen und in deren Interesse Rechtsansprüche durchsetzen, ohne dabei nachweisen zu müssen, von einem bestimmten Verbraucher beauftragt worden zu sein. Das Bundesamt für Justiz stellt zum 1. Januar eines jeden Jahres eine Liste der nach deutschem Recht "qualifizierten Einrichtungen", die nach § 3 Abs. 1 S. 1 Nr. 1 UKlaG anspruchsberechtigt sind, die an die EU-Kommission zur Aufnahme in das Verzeichnis nach § 4 UKlaG weitergeleitet wird. Die am 01.01.2019 veröffentlichte Liste qualifizierter Einrichtungen kann hier abgerufen werden. Wenig überraschend ist der erst zum 06.03.2019 ins Vereinsregister eingetragene IGD nicht auf dieser Liste zu finden.
Lassen Sie sich beraten - machen Sie Ihre Webseite DSGVO-konform.
Senden Sie uns die Abmahnung zu und profitieren Sie von unserer kostenfreien anwaltlichen Erstberatung. Wir haben umfangreiche Erfahrungen mit der Verteidigung von Abmahnungen. Zudem bieten wir einen kostenfreien DSGVO-Schnelltest Ihrer Webseite an. Auch das ist kostenfrei. Danach können Sie sich immer noch in Ruhe überlegen, wie Sie mit der Abmahnung umgehen wollen.