Neue DSGVO-Abmahnwelle

„IGD e.V.“ mahnt fehlende SSL-Verschlüsselung von Webseiten ab

Veröffentlicht am: 12.03.2019

Von: ROSE & PARTNER Rechtsanwälte Steuerberater

Lesedauer:

„IGD e.V.“ mahnt fehlende SSL-Verschlüsselung von Webseiten ab

Ein Beitrag von Rechtsanwalt Thomas Repka

Uns erreichen aktuell vermehrt Anfragen von Betroffenen, die eine Abmahnung des „IGD Interessengemeinschaft Datenschutz e.V.“ erhalten haben. Gerügt wird die fehlende SSL-Verschlüsselung von Webseiten, die nach Ansicht des „IGD e.V.“ einen Datenschutzverstoß darstellt. Offenbar wurden die Abmahnungen wortgleich in hoher Anzahl verschickt. Gefordert wird stets die Abgabe einer Unterlassungserklärung und Zahlung eines Betrages von 285,60 Euro.

Wer steckt hinter dem „IGD e.V.“?

Absender der Abmahnungen ist der „IGD Interessengemeinschaft Datenschutz e.V.“ aus 14974 Ludwigsfelde, Straße der Jugend 18. Interessanterweise wurde der Verein erst vor wenigen Tagen und damit fast zeitgleich mit dem Versand der Abmahnungen in das Vereinsregister eingetragen.

Fraglich ist daher insbesondere, ob der Verein überhaupt befugt ist, Abmahnungen im Sinne des Wettbewerbsrechts auszusprechen. Es bestehen erhebliche Zweifel an der Aktivlegitimation. Zwar dürfen Vereine Ansprüche aus dem UWG geltend machen (§ 8 Abs. 3 Nr. 2 UWG), aber nur, wenn sie eine erhebliche Anzahl von Unternehmen als Mitglieder haben, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben. Ob diese Voraussetzungen vorliegen ist vor allem vor dem Hintergrund der erst vor kurzem erfolgten Gründung des Vereins zweifelhaft.

Fehlende SSL-Verschlüsselung = Datenschutzverstoß?

Auch wenn die Abmahnungen aus formalen Gründen zweifelhaft sind – inhaltlich haben die Abmahner wohl Recht. Nach Art. 25 Datenschutzgrundverordnung (DSGVO) müssen Webseitenbetreiber bei der Verarbeitung personenbezogener Daten (hierzu gehören z.B. IP-Adressen) technische und organisatorische Maßnahmen zum Schutz dieser Daten unter „Berücksichtigung des Stands der Technik“ treffen. Eine SSL-Verschlüsselung von Webseiten entspricht nach unserer Einschätzung dem „Stand der Technik“.

Außerdem schreibt auch das Telemediengesetz (TMG) ein anerkanntes Verschlüsselungsverfahren vor (§ 13 Abs. 7 S. 3 TMG). Eine unverschlüsselte Website stellt daher auch nach dem TMG einen Verstoß dar, der wettbewerbsrechtlich relevant ist.

Dürfen DSGVO-Verstöße abgemahnt werden?

Ob DSGVO-Verstöße als Wettbewerbsrechtsverletzungen von Konkurrenten oder Verbänden abgemahnt werden können, ist aktuell eine der umstrittensten Fragen im Datenschutzrecht. Bislang sind vier Gerichtsentscheidungen hierzu bekannt, die zu unterschiedlichen Ergebnissen kommen:

LG Würzburg (Beschluss vom 13. September 2018, 11 O 1741/18): die Pflicht, eine korrekte Datenschutzerklärung bereitzustellen ist eine Marktverhaltensregelung, Verstöße sind daher abmahnbar
LG Bochum (Urteil vom 7. August 2018, I-12 O 85/18): Datenschutzverstöße sind nicht abmahnbar
OLG Hamburg (Urteil vom 25. Oktober 2018, 3 U 66/17):je nach Art des Verstoßes gegen die Datenschutzgrundverordnung sind diese wettbewerbsrechtlich abmahnbar
LG Wiesbaden (Urteil vom 5. November 2018, 5 O 214/18): Datenschutzverstöße sind nicht abmahnbar

Die Rechtslage ist also keinesfalls so klar, wie der IGD e.V. suggeriert. Im Gegenteil: Klarheit werden hier erst weitere Gerichtsentscheidungen und/oder gesetzliche Nachbesserungen bringen.

Vorgehen bei Abmahnung durch "IGD e.V."

Wenn Sie auch eine solche Abmahnung erhalten haben, kontaktieren Sie uns gern für eine erste unverbindliche Beratung und Einschätzung. In jedem Fall raten wir von der Unterzeichnung der der Abmahnung beigefügten Unterlassungserklärung ab, da diese für die Abgemahnten ungünstige und benachteiligende Formulierungen enthält. Da in einigen Fällen auch geschäftsführer perösnlich in Anspruch genommen werden, besteht bei Abgabe der vorgefertigten Unterlassungserklärung ein erhebliches persönliches Haftungsrisiko mit dem Privatvermögen.

Weitere Informationen zu datenschutzrechtlichen Abmahnungen finden Sie außerdem hier: Abmahnungen wegen Datenschutzverstößen

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.