Datensicherheit im Internet

Über das Kontaktformular gestolpert – Abmahnung wegen DSGVO-Verstoß

Kürzlich ist einem Berliner Händler eine Abmahnung auf den Tisch geflattert, die ihn eines Datenschutzverstoßes bezichtigte – wegen eines Kontaktformulares. Was hat der Händler falsch gemacht?

Aufgesetzt hatte die Abmahnung ein einschlägig bekannter Abmahnanwalt im Namen eines Augenoptikers. Beanstandet wurde, dass der Händler auf seiner Webseite ein nicht SSL-verschlüsseltes Kontaktformular vorhält. Stolze 8.500 Euro Schadenersatz betrug die Forderung im Schreiben von Gereon Sandhage, seines Zeichens Anwalt und branchenübergreifend bekannter Abmahner.

Datenübertragung ohne Verschlüsselung

Als Begründung wurde angeführt, dass der Augenoptiker personenbezogene Daten ins Kontaktformular eingegeben hatte und diese ohne sichere Verschlüsselung übertragen worden waren. Ein glasklarer Verstoß gegen die DSGVO – so Anwalt Sandhage.

Als juristische Grundlage wird Artikel 82 der DSGVO zitiert und daraus die Schadenersatzsumme abgeleitet. Und in der Tat sieht die DSGVO in solchen Fällen unter bestimmten Umständen Schadenersatzansprüche vor. Allerdings – so lautet es im Text der Verordnung – besteht ein Anspruch auf Schadenersatz nur, wenn der Geschädigte einen „personal distress“ erleidet. Das setzt also voraus, dass dem Kläger ein Leid zugefügt wurde oder er durch den Verstoß in eine Notlage geraten ist.

Diese Zufügung von Leid oder die Auslösung einer Notlage durch das ungeschützte Kontaktformular wurde vom abmahnenden Anwalt weder plausibel gemacht noch überhaupt näher ausgeführt. Dazu befragt, antwortet Rechtsanwalt Joerg Heidrich, Heise Medien GmbH, dass es äußerst fraglich erscheint, dass ein Richter im Verfahren zu dem Schluss käme, hier sei ein „personal distress“ tatsächlich zu beanstanden.

Heidrich nennt zudem einen Vergleich in Sachen Schadenersatz aus einem anderen Rechtsgebiet: Beispielsweise bekam ein Geschädigter für die Verletzungen „Gehirnquetschung mit Verlust des Geruchssinns“ vom zuständigen Gericht 5.500 Euro Schmerzensgeld zugesprochen. So stellt sich die Frage, ob die Schädigung des abmahnenden Augenoptikers und die festgesetzte Summe von 8.500 Euro nicht als absolut überzogen zu bewerten sind.

SSL- oder TSL-Verschlüsselungen sind als absoluter Status Quo vorausgesetzt

Unabhängig vom möglichen Ausgang des Verfahrens ist der vorliegende Fall ein gutes Beispiel dafür, was nach Einführung der DSGVO bei unbekümmertem Umgang mit Datenschutz alles passieren kann. Denn rechtlich hat der abmahnende Anwalt im Prinzip gute Karten. Eine SSL- oder TSL-Verschlüsselung gilt technisch als voraussetzbar und für jeden Webseitenbetreiber zumutbar, was Aufwand und Kosten angeht. Und die DSGVO fordert diese sowie weitere Sicherheitsmaßnahmen von jedem, der personenbezogene Daten verarbeitet.

Folglich raten Profis wie etwa Heise-Security-Chefredakteur Jürgen Schmidt dazu, auf jeden Fall SSL- oder TSL-Verschlüsselungen in Form entsprechender Zertifikate schnellstens zu installieren, sofern noch nicht geschehen. Die SSL-Verschlüsselung steht für „Secure Socket Layer“ und sorgt dafür, personenbezogene Daten, wie sie beispielsweise zwischen Internetbrowsern und Servern übermittelt werden, nach einem zertifizierten Regelwerk zu ver- und wieder zu entschlüsseln. Die Sicherheit einer besuchten Seite wird durch ein kleines Schloss links oben in der Browser-Eingabezeile zertifiziert.

Welche Seiten sind gefährdet?

Sollten Sie unsicher sein, ob Ihre Seite den technischen Anforderungen in puncto Sicherheit entspricht, kann das Ihr Administrator sehr schnell klären und gegebenenfalls die nötigen Installationen vornehmen. Prinzipiell sollte jede Webseite über ein Sicherheitszertifikat verfügen. Besonders im Fokus stehen darüber hinaus Webseiten mit vielen Vorgängen, in denen personenbezogene Daten ausgetauscht werden, z. B. Onlineshop-Seiten, Seiten mit Kontaktformularen, Seiten mit Nutzerkonten, Seiten mit Newsletter-Versand, Seiten mit einer Verwaltung von Kundenkonten und Seiten, die elektronische Bezahlsysteme nutzen.

Wenn eine oder mehrere genannte Spezifikationen auf Ihre Webseite zutreffen, sollten Sie auf jeden Fall mit dem Administrator oder Programmierer Ihrer Webseite über ein DSGVO-konformes Sicherheitskonzept sprechen und dieses schnellstmöglich umsetzen.

Zurück

Hier bloggt Ihre Redaktion.