Ein Rechtsanwalt aus Berlin treibt für Mandanten bei Unternehmen Schadensersatzansprüche in nicht unerheblicher Höhe ein, weil die auf den Internetseiten befindlichen Kontaktformulare personenbezogene Daten ohne https bzw. ohne ein SSL-Zertifikat transportieren.
Auch wenn die befürchtete Abmahnwelle im Rahmen der seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DS-GVO) – bislang – ausgeblieben ist, erreichen unsere Verbandsorganisation nunmehr Forderungsschreiben des Berliner Rechtsanwaltes Sandhage. Im Rahmen der Forderungsschreiben werden die betroffenen Unternehmen darauf aufmerksam gemacht, dass im Rahmen eines offensichtlich bestehenden E-Mail-Verkehrs festgestellt wurde, dass das Unternehmen (Zitat): „personenbezogene Daten über das Kontaktformular ohne https als Transportverschlüsselung einsetzt. Über ein SSL-Zertifikat verfügt Ihre Webseite nicht. Damit liegen ganz erhebliche Verletzungen bei der Verarbeitung personenbezogener Daten meines Mandanten vor. Die fehlende SSL-Verschlüsselung muss dabei schon als drastische Missachtung der Vorschriften der DS-GVO angesehen werden.“
Die SSL-Verschlüsselung entspricht nach Art. 32 DS-GVO dem Mindeststandard, nach den Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dem Stand der Technik in Sicherheitsfragen. Nach Art. 82 Abs. 1 der DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Der oben genannte Rechtsanwalt sieht in dem unverschlüsselten Transport der Daten des Kontaktformulars einen Verstoß gegen das Datenschutzrecht und fordert Schmerzensgeld in Höhe von 8.500 Euro bis 12.500 Euro. Er argumentiert, dass dieser Betrag insofern angemessen und niedrig sei, als ein Bußgeld bis zu 20 Millionen Euro betragen könne.
Ob die Schmerzensgeldansprüche auch gerichtlich geltend gemacht werden, ist derzeit nicht bekannt. Ob und inwieweit das geforderte Schmerzensgeld einerseits grundsätzlich gerechtfertigt und andererseits angemessen ist, ist fraglich. Rechtsprechung zum Schmerzensgeld nach Datenschutzverstößen und zu dessen etwaiger Höhe ist derzeit nicht bekannt.
Fazit:
– https und SSL-Verschlüsselung stellen derzeit wohl den Mindeststandard im Hinblick auf eine datenschutzkonforme Kommunikation über Kontaktformular auf Internetseiten dar.
– Die Nichtbeachtung dieses Mindeststandards kann unter Umständen Schadensersatzansprüche nach der Datenschutzgrundverordnung begründen.
– Ob und in welcher Höhe ein konkreter Schadensersatzanspruch besteht, ist derzeit noch nicht bekannt.
Es wird dringend empfohlen, schnellstmöglich – soweit noch nicht geschehen – die Sicherheitstechnik auf Internetseiten und Kontaktformularen an den aktuellen Mindeststandard anzupassen und dabei die Empfehlungen des BSI zu berücksichtigen.
Quelle: MD 07/2018 LIV Kfz-Gewerbe Baden-Württemberg