Aktuelles

Urteile, Vorfälle, Kommentierungen...
173/18 Schadenersatz wegen fehlender SSL-Verschlüsselung?

173/18 Schadenersatz wegen fehlender SSL-Verschlüsselung?

6. Juli 2018

Die ersten Tage der DSGVO sind vorbei, und auch wie erwartet die ersten Abmahnungen. Die Abmahnungen, die zurzeit aber kursieren, sind eher „komischer“ Naturund noch muss man sie vielleicht nicht allzu ernst nehmen. Immerhin: Der Gesetzgeber, allen voran die CSU, möchte ein Gesetz erlassen, nach dem Abmahnungen bei der DSGVO eingedämmt werden sollen. Etwas bizarr ist das schon: Da schafft man ein Regelwerk, flankiert durch immens hohe Bußgeldandrohungen, um hinter ein zweites Regelwerk zu schaffen, das Verstöße gegen das erste Regelwerk verharmlosen soll.

Seit ein paar Tagen gibt es aber ein neues Phänomen: Vermeintlich Betroffene machen Schadenersatzansprüche geltend gegen Webseitenbetreiber, die vor allem ihr Kontaktformular nicht mit einer SSL-Verschlüsselung gesichert haben. Das ist also keine Abmahnung, sondern ein reiner Schadenersatz, den Art. 82 DSGVO tatsächlich vorsieht:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

So berichten erste Empfänger solcher Forderungsschreiben von Forderungen zwischen 8.500 und 12.500 Euro: So wird behauptet, man habe über ein Kontaktformular das Unternehmen kontaktiert, das auch geantwortet hat. Man habe aber im Nachhinein feststellen müssen, dass die Webseite über kein SSL-Zertifikat verfüge und damit personenbezogene Daten aus dem Kontaktformular ohne Transportverschlüsselung gesendet würden. Die fehlende SSL-Verschlüsselung sei ein drastischer Verstoß gegen die DSGVO. Die Höhe des Schadenersatzes von 8.500 Euro wird damit begründet, dass das persönliche Leid des Betroffenen und auch die Abschreckungsfunktion mit Blick auf die Bedeutung der DSGVO…

Tatsächlich ist eine SSL-Veschlüsselung heute Stand der Technik. Man erkennt sie an dem „s“ in der URL bei „https…“.

Fraglich ist aber, ob und inwieweit ein Betroffner tatsächlich Schadenersatz geltend machen kann. Das werden sicherlich die Gerichte klären müssen. Dabei können die Gerichte dann die hinter dem besagten Art. 82 DSGVO stehenden Erwägungsgründe der EU berücksichtigen, hier insbesondere die Nr. 75, in der es u.a. heißt – er ist allein deshalb lesenswert, da es sich dabei um einen einzigen Satz (!) handelt:

Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

Ok, wer diesen Monstersatz verstanden hat, kann sich dann einem weiteren Erwägungsgrund widmen, der sich nun konkret mit dem Schadenersatz auseinandersetzt, Nr. 146:

(…) Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. (…) Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.

Dieser Schadenersatzanspruch ist u.a. übrigens der Grund, warum einige Juristen die Meinung vertreten, Verstöße gegen die DSGVO seien gar nicht abmahnfähig: Denn der Betroffene habe selbst ausreichende Rechte, um Verstöße zu ahnden. Andere Juristen wiederum halten entgegen, dass das bisher durchaus ähnlich gewesen sei, und auch hier hätten Gerichte bestimmte Verstöße für abmahnfähig gehalten. So oder so, es bleibt spannend.

Was tun, wenn eine Abmahnung kommt?

Egal ob im Urheberrecht, Wettbewerbsrecht, Markenrecht, wegen Verstoß gegen die DSGVO usw.: Man sollte eine Abmahnung weder unbeachtet lassen noch sofort alles befolgen, was der Abmahner fordert. Lesen Sie dazu meinen Beitrag:

Abmahnung erhalten? Keine Panik, aber auch nicht nichts tun!

Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und der Herausgeber und Autor hier auf eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Schlüssel im Schloss: © lucapd - Fotolia.com