Aktuell befinden sich neue Abmahnungen wegen Verstößen gegen die DSGVO im Umlauf. Der IGD (Interessensgemeinschaft Datenschutze e.V. mahnt derzeit wegen angeblicher Verstöße gegen die DSGVO im Zusammenhang mit fehlenden SSL-Verschlüsselungen auf Webseiten ab. Laut mehrere Berichte sind diese Abmahnungen in großen Massen versendet worden. Was ist hier zu tun? Wie sollte man reagieren?
WAS IST DER IGD e.V.?
Hier ein Auszug von der Homepage des IGD e.V.:
„Datenschutz ist für alle Bürgerinnen und Bürger ein Thema mit besonderer Bedeutung. Ein Thema das in vielen Bereichen unseres alltäglichen Lebens eine eklatant größere Beachtung finden muss.
Die IGD setzt sich auf vielfältige Weise für den Datenschutz ein.Zentrales Element unsere Engagements ist es den sogenannten „gläsernen Menschen“ zu verhindern.
Datenschutz ist Bürgerrecht
Die Interessengemeinschaft Datenschutz ist eine als eingetragener Verein geführte Bürgerrechtsorganisation, die sich für die Datenschutzinteressen von Verbrauchern in Deutschland einsetzt.
Datenschutz ist
der Schutz des Menschen vor missbräuchlicher Datenverarbeitung
der Schutz des Rechts auf informationelle Selbstbestimmung
der Schutz der Persönlichkeitsrechte bei der Datenverarbeitung
der Schutz der Privatsphäre
Datenschutz steht für das Grundprinzip, dass jeder Mensch selbst entscheiden kann, wem er wann und welche seiner persönlichen Daten zugänglich macht.“
Absender der Abmahnungen, die aktuell im Umlauf sind, ist der IGD Interessengemeinschaft Datenschutz e.V., Absenderadresse: Straße der Jugend 18, 14974 Ludwigsfelde. Der Verein ist erst am 06.03.2019 in das Vereinsregister eingetragen worden – also sehr kurz vor dem Versand der Abmahnungen. Allein dies hinterlässt bereits den Eindruck, dass dieser Verein nur zu dem Zweck gegründet wurde, Abmahnungen zu versenden.
WAS WIRD ABGEMAHNT?
In dem Abmahnschreiben wird zunächst ausführlich behauptet, dass der IGD Interessengemeinschaft Datenschutz e.V. den Zweck verfolge, Verbraucherinteressen wahrzunehmen, den Verbraucherschutz zu fördern, die Stellung des Verbrauchers in der sozialen Marktwirtschaft zu stärken und zur Verwirklichung einer nachhaltigen Entwicklung beizutragen. Der Verein sei im gesamten Bundesgebiet insbesondere dort tätig, wo rechtswidrige unternehmerische Praktiken die Rechte einer Vielzahl von Verbrauchern verletzen können, der einzelne Verbraucher aber üblicherweise aus tatsächlichen oder wirtschaftlichen Gründen nicht wirksam gegen die Verletzung seiner Rechte vorgehen kann bzw. will oder aber eine Bündelung der Verbraucherinteressen zu deren Durchsetzung sonst geboten ist.
Gegenstand der Abmahnung sei nun, die (angeblich) auf einer Internetseite begangene Pflichtverletzung im Zusammenhang mit den Anforderungen der DS-GVO. Die Webseite des abgemahnten Unternehmens weise keine SSL-Verschlüsselung auf, so dass ein sicherer Transfer der Daten von Verbrauchern nicht gewährleistet sei. Auf der Webseite könnten persönliche Daten im Sinne des Bundesdatenschutzgesetzes und der DSGVO eingegeben werden. Hierbei sei dem IGD die fehlende Zertifizierung der Datenverschlüsselung aufgefallen. Ein Screenshot der unverschlüsselten Webseite und des Kontaktformulars liege vor, so die Behauptungen in der Abmahnung. Eine fehlende Verschlüsselung stelle einen Verstoß gegen Art. 25 Abs. 1, 32 Abs. 1 2. Hs. lit. a) DSGVO dar. Nach Art. 25 Abs. 1 DSGVO habe der Verantwortliche bei der Verarbeitung von personenbezogenen Daten unter der Berücksichtigung des Stands der Technik die erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um den Anforderungen der Datenschutzgrundverordnung zu genügen und die Rechte der betroffenen Personen zu schützen. SSL-Verschlüsselungen seien heute gemäß dem Bundesamt für Sicherheit in der Informationstechnik Stand der Technik und führen bei deren Fehlen zu abmahnfähigen DSGVO-Verstößen.
Sodann lässt es sich der „Abmahnverein“ nicht nehmen, auf die Bußgeldrelevanz von DS-GVO-Verstößen hinzuweisen. Konkret heißt es in der Abmahnung, dass Verstöße im Einzelfall mit Bußgeldern bis zu 20.000.000,00 EUR geahndet werden können. Weiterhin würden bei Verzicht auf die verschlüsselte Datenübertragen Maßnahmen von Datenschutzbehörden, wie z.B. Untersagungsverfügungen unter Zwangsgeldandrohung oder Bußgelder von bis zu 50.000 Euro (§ 16 Abs. 2 Nr. 3, Abs. 3 TMG) drohen. Zudem seien Verbraucher auch berechtigt, Schadenersatz nunmehr aufgrund des Ihnen per Gesetz durch den Verstoß entstandenen sog. „personal distress“ auch für immaterielle Schäden geltend zu machen (Art. 82 Abs. 1 DS-GVO).
Anschließend wird behauptet, dass der IGD Interessengemeinschaft Datenschutz e. V. dazu berechtigt sei, Ansprüche im eigenen Namen geltend zu machen. Ebenso hätten die Gerichte Unterlassungsansprüche bei Verstößen gegen die DSGVO bestätigt.
In der Folge wird der Empfänger der Abmahnung dazu aufgefordert, eine strafbewehrte Unterlassungserklärung abzugeben. Hierzu schreibt der IGD in seiner Abmahnung, bei juristischen Personen und Personengesellschaften die Unterlassungserklärung nicht nur von der Gesellschaft selbst abzugeben sei, sondern auch persönlich von deren Repräsentanten, also von den Personen, die das wettbewerbswidrige Angebot selbst veröffentlicht, den Auftrag hierzu erteilt oder trotz Kenntnis vom wettbewerbswidrigen Angebot dieses pflichtwidrig nicht verhindert haben. Regelmäßig handele es sich hierbei um die Geschäftsführer. Für den Fall, dass „eine andere Konstellation vorliegen“ soll, wird mit der Abmahnung gleich weiter dazu aufgefordert, dem IGD den Namen der zuständigen Person mitzuteilen.
WAS WIRD GEFORDERT?
Letztlich wird der Empfänger der Abmahnung dazu aufgefordert, pauschale Abmahnkosten in Höhe von 240,00 € zzgl. 19% MwSt., insgesamt 285,60 €, auf das Vereinskonto zu überweisen. Mit Zahlung des Betrages würde auf eine Geltendmachung von Schadensersatz aus immateriellen Schäden verzichtet.
WAS IST ZU TUN?
Nun ja, die Abmahnung strotzt vor inhaltlichen, logischen und rechtlichen Fehlern. Zudem scheinen die Hintergründe zumindest fragwürdig und sollten nicht ungeprüft bleiben.
Weil das Thema „SSL-Verschlüsselung“ im Zusammenhang mit Internetseiten aber tatsächlich eine hohe praktische und auch datenschutzrechtliche Relevanz hat, sollte die Abmahnung zudem Anlass geben, den Internetauftritt ggf. zu korrigieren, um so weitere Nachteile – losgelöst von der Abmahnung – von vornherein zu vermeiden.
Kontaktieren Sie Ihren Datenschutzbeauftragten und Ihren Webseiten-Betreiber. Zusammen mit diesen Dienstleistern lässt sich alles nötige in die Wege leiten.