Skip to main content

Mir liegt eine Abmahnung der IGD Interessengemeinschaft Datenschutz e. V. aus Ludwigsfelde zur Prüfung vor. Diese mahnt mit Schreiben vom 06.03.2019 den Betreiber einer Ferienwohnung wegen Verstoßes gegen die DSGVO  ab.

Abmahnung IGD e. V. – Hintergrund

Der Verein IGD Interessengemeinschaft Datenschutz e.V. verfolgt nach eigenen Angaben den Zweck, Verbraucherinteressen wahrzunehmen. Ferner sieht er seine Aufgabe darin, den Verbraucherschutz zu fördern. Schließlich will er die Stellung des Verbrauchers in der sozialen Marktwirtschaft stärken und zur Verwirklichung einer nachhaltigen Entwicklung beitragen.

Der Verein ist nach eigenen Angaben  im gesamten Bundesgebiet insbesondere dort tätig, wo rechtswidrige unternehmerische Praktiken die Rechte einer Vielzahl von Verbrauchern verletzen können. Dies deshalb, weil der einzelne Verbraucher aus tatsächlichen oder wirtschaftlichen Gründen nicht wirksam gegen die Verletzung seiner Rechte vorgehen kann bzw. will oder aber eine Bündelung der Verbraucherinteressen zu deren Durchsetzung geboten ist.

Gegenstand der Abmahnung seien von dem Abgemahnten auf seiner Homepage begangene Pflichtverletzungen im Zusammenhang mit den Anforderungen der DSGVO. Die Website weise keine SSL-Verschlüsselung auf, so dass ein sicherer Transfer der Daten von Verbrauchern nicht gewährleistet sei.

Konkret begründet der Verband sein Tätigwerden wie folgt:

Auf der Homepage des Abgemahnten können persönliche Daten i. S. des Bundesdatenschutzgesetzes und der DSGVO eingegeben werden. Hierbei ist die fehlende Zertifizierung der Datenverschlüsselung aufgefallen.

fehlende SSL Verschlüsselung der Website

Eine fehlende SSL-Verschlüsselung stellt einen Verstoß gegen Art. 25 Abs. 1, 32 Abs. 1 2. Hs. lit. a) DSGVO dar. Nach Art. 25 Abs. 1 DSGVO muss der Verantwortliche bei der Verarbeitung von personenbezogenen Daten die unter der Berücksichtigung des Stands der Technik die erforderlichen organisatorischen und technischen Maßnahmen treffen, um den Anforderungen der Datenschutzgrundverordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Stand der Technik

SSL-Verschlüsselungen ist heute gemäß dem Bundesamt für Sicherheit in der Informationstechnik Stand der Technik. Ein Fehlen führt zu einem abmahnfähigen DSGVO-Verstoß. Das SSL-Protokoll gewährleistet, dass sensible Daten beim Surfen im Internet verschlüsselt übertragen werden. Dadurch wird verhindert, dass Drittnutzer die Daten bei der Übertragung auslesen oder manipulieren können. Zudem stellt dieses Verschlüsselungsverfahren die Identität einer Website sicher.
Die Webseite des Abgemahnten wird an die Geräte der Nutzer über ein sog. „HyperText Transfer Protocol“, kurz „http“ übertragen. Der Nachteil von http ist die fehlende Verschlüsselung, d. h. wenn Verbraucher ihre Daten angeben, können diese Informationen von Dritten erfasst und ausgelesen werden. Ob und für welche Zwecke die abgefangenen Informationen verwendet werden, sei in der Regel unbeachtlich.

Um die Daten zu schützen, muss seit Mai 2018 verschlüsselt übertragen werden. Die Verschlüsselung unterliegt bestimmten Standards und wird von diversen Zertifizierungsstellen als sog. „Verschlüsselungszertifikate“ ausgegeben. Das derzeit gängige und empfohlene sei das „Transport Layer Security (TLS)“-Verfahren (auch bekannt unter der älteren Bezeichnung „Secure Sockets Layer (SSL)“). Dieses Verfahren wird ständig aktualisiert, da Verschlüsselungsverfahren mit der Zeit Schwächen offenbaren und von Unberechtigten entschlüsselt werden können. Webseiten, die ein Verschlüsselungsverfahren einsetzen, seien an dem Präfix „https://“ statt des „http://“ erkennbar. Dieses Verfahren gewährleistet, dass die Daten für Dritte nicht lesbar transportiert werden.

Datenschutzverstoß durch Verletzung der Privatsphäre

Die Verletzung der technischen Standards stellt auch Verletzungen der Privatsphäre dar. Darauf kann ein Anspruch auf Schadensersatz wegen immaterieller Schäden gestützt werden. Denn die Besorgnis um die Verbreitung der eigenen Daten gegen den eigenen Willen führt zu einer „personal distress“ begründenden Situation für den Verbraucher.

Zwar ist es diesem grundsätzlich möglich, Löschung seiner Daten zu verlangen sowie umfangreich Auskunft über die Verwendung seiner Daten zu erhalten. Dem Verbraucher ist es aber aufgrund der Abschöpfung von Daten durch unbekannte Dritte nicht möglich, Kenntnis von der Verwendung seiner Daten zu erlangen. So sind seine Recht ad absurdum geführt. In solchen Fällen unterliegt es daher dem Gesetzgeber, steuernd einzugreifen und die Bürger zu schützen. Auch im Fall der Browser-Verschlüsselung wurde der Gesetzgeber deshalb mit dem IT-Sicherheitsgesetz aktiv. Verstöße können gestützt auf die DSGVO im Einzelfall mit Bußgeldern bis zu 20.000.000,00 € geahndet werden.

Weiterhin drohen bei Verzicht auf die verschlüsselte Datenübertragung Maßnahmen von Datenschutzbehörden, wie z. B. Untersagungsverfügungen unter Zwangsgeldandrohung oder Bußgelder von bis zu 50.000 € (§ 16 Abs. 2 Nr. 3, Abs. 3 TMG). Zudem können solche Verstöße Verbraucher auch dazu berechtigen, Schadenersatz aufgrund des ihnen per Gesetz durch den Verstoß entstandenen immaterielle Schäden geltend machen zu können (Art. 82 Abs. 1 DSGVO).

Was fordert die Abmahnung IGD e. V.?

Der IGD e. V. verlangt die Abgabe einer strafbewehrten Unterlassungserklärung binnen einer Woche.
Ferner fordert der Verein die Erstattung von Abmahnkosten in Höhe von 240,00 € zzgl. USt.

Abmahnung – Was können Sie tun?

Wenn Sie ebenfalls eine Abmahnung von dem IGD Interessengemeinschaft Datenschutz e. V. erhalten haben, wenden Sie sich gerne für eine kostenlose Ersteinschätzung unverbindlich an unsere Kanzlei.

Fraglich ist nämlich, ob der Verein überhaupt berechtigt ist, Abmahnungen nach der DSGVO auszusprechen, also aktivlegitimiert ist. Nach bisherigen Informationen scheint es den Verein erst seit kurzem zu geben.

Übersenden Sie mir gerne Ihre Abmahnung über mein Kontaktformular. Ich werde diese dann einer kurzen Überprüfung unterziehen und Ihnen dann die Handlungsmöglichkeiten aufzeigen. Gerne helfe ich Ihnen im Rahmen einer pauschalen Honorarvereinbarung weiter, falls dies erforderlich sein sollte.

 

Fragen kostet nichts!


*“ zeigt erforderliche Felder an

* Pflichtfelder
Ziehe Dateien hier her oder
Max. Dateigröße: 200 MB.
    Es können beliebig viele Dateien hochgeladen werden.
    *
    Dieses Feld dient zur Validierung und sollte nicht verändert werden.

    Ähnliche Beiträge