Medienrecht, IT-Recht

Neue DSGVO-Abmahnwelle

„IGD e.V.“ mahnt fehlende SSL-Verschlüsselung von Webseiten ab

Ein Beitrag von Rechtsanwalt Thomas Repka

Uns erreichen aktuell vermehrt Anfragen von Betroffenen, die eine Abmahnung des „IGD Interessengemeinschaft Datenschutz e.V.“ erhalten haben. Gerügt wird die fehlende SSL-Verschlüsselung von Webseiten, die nach Ansicht des „IGD e.V.“ einen Datenschutzverstoß darstellt. Offenbar wurden die Abmahnungen wortgleich in hoher Anzahl verschickt. Gefordert wird stets die Abgabe einer Unterlassungserklärung und Zahlung eines Betrages von 285,60 Euro.

Wer steckt hinter dem „IGD e.V.“?

Absender der Abmahnungen ist der „IGD Interessengemeinschaft Datenschutz e.V.“ aus 14974 Ludwigsfelde, Straße der Jugend 18. Interessanterweise wurde der Verein erst vor wenigen Tagen und damit fast zeitgleich mit dem Versand der Abmahnungen in das Vereinsregister eingetragen.

Fraglich ist daher insbesondere, ob der Verein überhaupt befugt ist, Abmahnungen im Sinne des Wettbewerbsrechts auszusprechen. Es bestehen erhebliche Zweifel an der Aktivlegitimation. Zwar dürfen Vereine Ansprüche aus dem UWG geltend machen (§ 8 Abs. 3 Nr. 2 UWG), aber nur, wenn sie eine erhebliche Anzahl von Unternehmen als Mitglieder haben, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben. Ob diese Voraussetzungen vorliegen ist vor allem vor dem Hintergrund der erst vor kurzem erfolgten Gründung des Vereins zweifelhaft.

Fehlende SSL-Verschlüsselung = Datenschutzverstoß?

Auch wenn die Abmahnungen aus formalen Gründen zweifelhaft sind – inhaltlich haben die Abmahner wohl Recht. Nach Art. 25 Datenschutzgrundverordnung (DSGVO) müssen Webseitenbetreiber bei der Verarbeitung personenbezogener Daten (hierzu gehören z.B. IP-Adressen) technische und organisatorische Maßnahmen zum Schutz dieser Daten unter „Berücksichtigung des Stands der Technik“ treffen. Eine SSL-Verschlüsselung von Webseiten entspricht nach unserer Einschätzung dem „Stand der Technik“.

Außerdem schreibt auch das Telemediengesetz (TMG) ein anerkanntes Verschlüsselungsverfahren vor (§ 13 Abs. 7 S. 3 TMG). Eine unverschlüsselte Website stellt daher auch nach dem TMG einen Verstoß dar, der wettbewerbsrechtlich relevant ist.

Dürfen DSGVO-Verstöße abgemahnt werden?

Ob DSGVO-Verstöße als Wettbewerbsrechtsverletzungen von Konkurrenten oder Verbänden abgemahnt werden können, ist aktuell eine der umstrittensten Fragen im Datenschutzrecht. Bislang sind vier Gerichtsentscheidungen hierzu bekannt, die zu unterschiedlichen Ergebnissen kommen:

  • LG Würzburg (Beschluss vom 13. September 2018, 11 O 1741/18): die Pflicht, eine korrekte Datenschutzerklärung bereitzustellen ist eine Marktverhaltensregelung, Verstöße sind daher abmahnbar
  • LG Bochum (Urteil vom 7. August 2018, I-12 O 85/18): Datenschutzverstöße sind nicht abmahnbar
  • OLG Hamburg (Urteil vom 25. Oktober 2018, 3 U 66/17):je nach Art des Verstoßes gegen die Datenschutzgrundverordnung sind diese wettbewerbsrechtlich abmahnbar
  • LG Wiesbaden (Urteil vom 5. November 2018, 5 O 214/18): Datenschutzverstöße sind nicht abmahnbar

Die Rechtslage ist also keinesfalls so klar, wie der IGD e.V. suggeriert. Im Gegenteil: Klarheit werden hier erst weitere Gerichtsentscheidungen und/oder gesetzliche Nachbesserungen bringen.

Vorgehen bei Abmahnung durch "IGD e.V."

Wenn Sie auch eine solche Abmahnung erhalten haben, kontaktieren Sie uns gern für eine erste unverbindliche Beratung und Einschätzung. In jedem Fall raten wir von der Unterzeichnung der der Abmahnung beigefügten Unterlassungserklärung ab, da diese für die Abgemahnten ungünstige und benachteiligende Formulierungen enthält. Da in einigen Fällen auch geschäftsführer perösnlich in Anspruch genommen werden, besteht bei Abgabe der vorgefertigten Unterlassungserklärung ein erhebliches persönliches Haftungsrisiko mit dem Privatvermögen.

Weitere Informationen zu datenschutzrechtlichen Abmahnungen finden Sie außerdem hier: Abmahnungen wegen Datenschutzverstößen