Fehlendes SSL-Zertifikat, 12.500 EUR Schmerzensgeld

Vor etwas über einem Jahr schrieb ich hier im Blog, dass SSL-Zertifikate für Webseitenbetreiber ein unabdingbares „must have“ sind. Ein Jahr später, mit der Inkraftsetzung der Datenschutzgrundverordnung §DSGVO, kommt der Ärger nun gleich richtig heftig auf einige Webseitenbetreiber zu.

BÄÄÄÄNGGG!!!

12.500 EURO Schadenersatzforderung wegen fehlendem SSL-Zertifikat!

Fakt ist: Sollten Sie als Webseitenbetreiber und Verantwortlicher Kontaktformulare verwenden, zB. Im Rahmen von Kundenanfragen sind Sie als Dienstanbieter im Sinne von § 2 Nr. 1 TMG dazu verpflichtet, die Kundendaten verschlüsselt zu übertragen. Dazu bedarf es eines zertifizierten Verschlüsselungsverfahrens (§ 13 Abs. VII TMG). Bei Missachtung dieser Normen droht Ihnen ein Ordnungsgeld in Höhe von bis zu 50.000 Euro (§ 16 Abs. II Nr. 3, III TMG).

…so hielt es sich bereits im Vorjahr, vor dem Inkrafttreten der neuen Datenschutzgrundverordnung.

Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet. Im deutschen Datenschutzrecht untersteht die Datenverarbeitung dem Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass jede Verarbeitung von personenbezogenen Daten einer Rechtsgrundlage bedarf.

Als Rechtsgrundlage für die Nutzung von Kontaktformularen und der damit zusammenhängenden Verarbeitung von personenbezogenen Daten kommt Art. 6 Abs. 1 DSGVO in Frage. Hiernach ist eine Verarbeitung erlaubt, wenn:

  • sie auf einer Einwilligung basiert,
  • oder sie durch einen gesetzlichen Tatbestand ausdrücklich erlaubt ist.

Als gesetzlicher Erlaubnistatbestand für die Erhebung von personenbezogenen Daten durch Kontaktformulare auf Webseiten bietet sich das berechtigte Interesse aus Art. 6 Abs. 1, S. 1, lit. f) an.

Voraussetzung des Art. 6 Abs. 1, S. 1, lit. f) DSGVO:

  • ein berechtigtes Interesse des Webseiten-Betreibers,
  • die Verarbeitung der personenbezogenen Daten muss erforderlich sein,
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Hinzukommt, dass der Webseiten-Betreiber in seiner Datenschutzerklärung über Art, Umfang und Zweck der Datenverarbeitung informieren muss. Ab dem 25. Mai 2018 richtet sich die Datenschutzerklärung nach Art. 13 DSGVO.

Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Webseiten entspricht dem Stand der Technik und ist meiner Meinung nach ein „must have“, wobei hier auch keinesfalls auf veraltete Versionen wie TLS 1.0 sowie TLS 1.1 zurückgegriffen werden sollte. Diese Versionen verfügen bereits über bekannte Sicherheitslücken.

Webseiten ohne SSL-Zertifikat werden bei Google bereits mit einem schlechten Suchmaschinenranking bestraft. HTTPS/ ist auch bei der Verwendung des neuen wesentlich schnelleren HTTP/2-Protokolls zwingend notwendig. HTTP/2 ist in allen großen Browsern implementiert und beschleunigt den Abruf von Webseiten spürbar. Ziel ist es, die Reaktionszeit des Servers so weit zu senken, dass eine echte Interaktivität zwischen Surfer und Online-Service entsteht, wie wir es eben von Offline-Apps gewöhnt sind. Das Schöne daran: HTTP/2 lässt sich jetzt schon unkompliziert nutzen, wenn der verwendete Webserver dies unterstützt. Jedoch geht dies ausschließlich über HTTPS/ (Infos zu HTTP/2 auf Wikipedia).

Unser Merksatz: Verwende ein SSL-Zertifikat um Kundendaten zu schützen!

DSGVO: Schadensersatz bei Datenschutzverstoß möglich

Wie steht es nun mit den aktuellen Schmerzensgeldforderungen, wie z.B. Heise.de oder t3n.de berichten, sind aktuell hohe Forderungen unterwegs.

So schreibt t3n.de auf deren Seite:

Die verlangte Summe von 12.500 Euro ist allerdings ungewöhnlich hoch. Der Abmahner begründet die Höhe mit dem „personal distress“, also einer aufgewühlten Stimmungslage, unter der er wegen der fehlenden SSL-Verschlüsselung litt. Bei der geforderten Summe handelt es sich deshalb um Schmerzensgeld.

Abmahnung? “Abmahnung SSL Zertifikat”?

Also, um es hier einmal klar zu stellen, es handelt sich bei dieser Art von Forderung nicht um eine Abmahnung, sondern um eine Schadensersatzforderung bzw. um ‚Schmerzensgeld‘. Was für Schmerzen muss diese Person erlitten haben, als ihm klar wurde, dass er seine intimsten Daten ungeschützt an einen Dritten übermittelt hat?

Der Berliner Rechtsanwalt, Gereon Sandhage, begründet die Forderung seines Mandaten eben mit diesem „Stress und der Angst, dessen Daten könnten nun von Dritten eingesehen worden sein“. Ärzte, Anwälte und viele andere Unternehmer mit hochsensiblen Daten, sollten alles Mögliche und Machbare umsetzen, um die Daten Ihrer Patienten und Mandanten zu schützen. Es wäre fatal, wenn bekannt würde, dass der amtierende Vorstandsvorsitzende eines börsennotierten Unternehmens an einer Persönlichkeitsstörung leidet. Man stelle sich die Auswirkungen solcher ‘Leaks’ einmal vor!

Anspruchsgrundlage Art. 82 Abs. 1 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Der Anspruch setzt Folgendes voraus:

  • ein Verstoß gegen die DSGVO,
  • einen materiellen oder immateriellen Schaden,
  • ein Verschulden des Verantwortlichen oder des Auftragsverarbeiters.

Der Verstoß muss bei der Verarbeitung von personenbezogenen Daten geschehen. Ein Beispiel hierfür ist die Verarbeitung von personenbezogenen Daten ohne eine Rechtsgrundlage. Bei einem Schaden handelt es sich zunächst um eine negative Abweichung vom Status quo, der auch durch einen Verstoß gegen die DSGVO hervorgerufen werden kann. Ein materieller Schaden kann auch Vermögensschaden sein.

Nach Art. 82 Abs. 1 DSGVO können nun auch immaterielle Schäden geltend gemacht werden, wenn z.B. personenbezogene Daten einem Dritten zugänglich gemacht werden, hierdurch aber kein Vermögensschaden entstanden ist. In diesem Fall hat der Geschädigte das Recht, Schmerzensgeld zu verlangen. Des weiteren muss ein Verschulden des Verantwortlichen oder Auftragsverarbeiters vorliegen. Ein Verschulden liegt vor, wenn der Verantwortliche oder der Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeigeführt hat.

Das fehlende SSL-Zertifikat ist meiner Meinung nach bereits als grob fahrlässig einzustufen. Aktuell belaufen sich die Kosten für ein derartiges Sicherheitszertifikat auf knappe 100 EURO. Ein Betrag, den sich jeder Betreiber einer Webseite leisten können sollte und meiner Meinung nach auch muss.

Höhe des Schadensersatzes und warum 12.500 EURO?

Die Norm begrenzt den Schadensersatz in diesem Fall nicht in seiner Höhe. Erwägungsgrund 146 zur DSGVO gibt den Hinweis, dass bei der Bestimmung des materiellen Schadens eine weite Auslegung unter Berücksichtigung der EuGH-Rechtsprechung angewendet werden soll und die Ziele der DSGVO zu beachten sind. Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren.

Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes!

Das ist der Punkt, der an die finanziellen Verhältnisse des Schadenersatzpflichtigen anknüpfen könnte. Eine Zahnarztpraxis mit 5 Millionen Jahresumsatz steckt Zahlungen in solcher Höhe leicht weg, wobei ein kleiner Immobilienmakler bei solchen Summen bereits in Existenznot geraten könnte.

Im Falle der aktuellen Forderungen werden letztendlich die Gerichte über die jeweilige Höhe des Schadenersatzes entscheiden müssen. Neu ist das Konzept des Schadensersatzes im Datenschutz nicht. Schon nach § 7 BDSG konnte der Betroffene Schadensersatz geltend machen. Von dieser Regelung wurde aber nur selten Gebrauch gemacht.

Sie haben eine Forderung dieser Art erhalten benötigen Hilfe?

Wir helfen Ihnen bei der sofortigen Beschaffung kostengünstiger Zertifikate und stehen Ihnen mit Rat und Tat zur Seite. Unsere Partneranwälte kümmern sich um eine Einigung in Ihrem Rechtsstreit. In den kommenden Wochen, werde ich hier einmal aufführen, wie leicht die Übertragung ungeschützter Kontaktformulare auf Webseiten abzuhören sind.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (28 Votes, Durchschnitt: 4,54 von 5)

Loading...