Suche
Suche Menü

DSGVO-Abmahnungen des IGD Interessengemeinschaft Datenschutz

DSGVO Abmahnung

Uns sind eine 29 zweifelhafte Abmahnungen des IGD Interessengemeinschaft Datenschutz e.V. wegen angeblichen DSGVO-Verstößen im Zusammenhang mit fehlenden SSL-Verschlüsselungen auf Websites bekannt.

Haben Sie oder Ihr Mandant ebenfalls eine Abmahnung des IGD e.V. erhalten? Bitte mailen Sie uns unverbindlich und kostenfrei einen Scan des Schreibens zur anonymen Veröffentlichung in unserer laufend aktualisierten Abmahnliste (siehe auch dieses Beispiel).

1. Wer ist der IGD Interessengemeinschaft Datenschutz e.V.?

Der IGD Interessengemeinschaft Datenschutz e.V., der sich selbst als IGD e.V. abkürzt, ist laut Abmahnung ansässig unter der Anschrift „Straße der Jugend 18, 14974 Ludwigsfelde“. Er behauptet von sich, im gesamten Bundesgebiet tätig zu sein und dort

„Verbraucherinteressen wahrzunehmen, den Verbraucherschutz zu fördern, die Stellung des Verbrauchers in der sozialen Marktwirtschaft zu stärken und zur Verwirklichung einer nachhaltigen Entwicklung beizutragen.“

Im Impressum der schlichten Homepage des IGD Interessengemeinschaft Datenschutz e.V. werden die Herren Rouven Rosenbaum und Leonard Zobel als Vertreter des Vereins aufgeführt, die laut einem n-tv Bericht u.a. auch Geschäftsführer einer next Block GmbH mit Sitz in Berlin sind, welche die Krypto-Börse bitmeister.de betreibt. Im Vereinsregister wird als Vertretungsberechtigter des IGD Interessengemeinschaft Datenschutz e.V. außerdem Herr Rafael Rosenbaum in seiner Funktion als Schatzmeister geführt. Gemeinsam bilden die drei den Vorstand des Vereins, wobei jedes Vorstandsmitglied einzelvertretungsberechtigt ist.

Update: Recherchen ergaben den 06.03.2019 als Tag der Eintragung ins Vereinsregister mit Satzung vom 20.02.2019. Der Verein wurde also unmittelbar vor Versand der Abmahnungen registriert (Danke für die Anregung an Martin Rätze).

Im Briefkopf der Abmahnungen ist als Sachbearbeiter ein „F. Starck“ angegeben. Die uns vorliegenden Abmahnungen wurden nicht von Vorstandsmitgliedern unterzeichnet, sondern alle mit „i.A. Starck“.

Nach oben

2. Was wird abgemahnt?

In der uns vorliegenden Abmahnung wird dem Websitebetreiber vorgeworfen, dass seine Website keine SSL-Verschlüsselung aufweise, so dass ein sicherer Transfer von Verbraucherdaten nicht möglich sei, die auf der Website über ein Kontaktformular eingegeben wurden.

Eine fehlende SSL-Verschlüsselung verstoße in dieser Konstellation gegen Art. 25 Abs. 1 DSGVO, Art. 32 Abs. 1 2. Halbsatz lit a) DSGVO. Außerdem läge eine Verletzung der Privatsphäre von Websitebesuchern vor, worauf ein Schadensersatzanspruch wegen immaterieller Schäden gestützt werden könne.

Beachten Sie: Neben fehlender SSL-Verschlüsselung gibt es bei der Nutzung von Kontaktformularen auf Websites weitere rechtliche Stolpersteine.

Nach oben

3. Was fordert der IGD e.V.?

Der IGD Interessengemeinschaft Datenschutz e.V. fordert vom Abgemahnten die Abgabe einer strafbewehrten Unterlassungserklärung sowie Ersatz von Abmahnkosten in Höhe von 285,60 Euro inkl. MwSt.

Bemerkenswert ist, dass sich bei juristischen Personen nicht nur das Unternehmen, sondern auch dessen Repräsentant persönlich strafbewehrt zur Unterlassung verpflichten soll, bei einer GmbH also beispielsweise der Geschäftsführer.

Nach oben

4. Was ist von der Abmahnung zu halten?

Die Abmahnung strotzt vor Rechtschreibfehlern, was sie unseriös erscheinen lässt. Das bedeutet allerdings nicht, dass man sie als Abgemahnter nicht ernst nehmen müsste.

Unklar bleibt, worauf der IGD e.V. seine Aktivlegitimation stützt, d.h. die Berechtigung, derartige Abmahnungen aussprechen zu dürfen. Falls er für sich in Anspruch nehmen sollte, ein rechtsfähiger Verband im Sinne von § 8 Abs. 3 Nr. 2 UWG zu sein, bliebe offen, ob der Abmahner die dafür nötigen Anforderungen erfüllt. Die Satzung des Vereins (laut Vereinsregisterauszug) vom 20.02.2019 konnten wir nicht auffinden. Ob dem Verein die von § 8 Abs. 3 Nr. 2 UWG geforderte „erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben“, wird in den Abmahnungen weder vorgetragen noch belegt.

Inhaltlich wird man davon ausgehen müssen, dass die DSGVO in Verbindung mit dem Telemediengesetz (TMG) bei geschäftsmäßig betriebenen Websites eine aktive, wirksame Verschlüsselung des Datenverkehrs fordert, sofern über die Webseite personenbezogene Daten verarbeitet werden, wie es bei einem typischen Kontaktformular der Fall ist.

Nach oben

Unterschied zwischen http und https

Der Datenverkehr bei Websites ohne aktive SSL-Verschlüsselung kann von außen abgefangen bzw. mitgelesen werden. Das gilt z.B. für Anfragen mit personenbezogenen Daten wie Name, E-Mailadresse und Telefonnummer, die über ein Kontaktformular mit unverschlüsseltem Datenverkehr an den Websitebetreiber geschickt werden. Ist der Datenverkehr per SSL verschlüsselt, ist dies nicht möglich.

Ob eine Webseite ein aktives Verschlüsselungszertifikat nutzt, erkennt man an der Adresszeile des Browsers. Dort beginnt die Webadresse mit https statt http (= „Hypertext Transfer Protocol Secure“ statt „Hypertext Transfer Protocol“).

dsgvo abmahnung verschlüsselung

Nach oben

SSL-Verschlüsselung als Stand der Technik

Zur Vermeidung der dargestellten Datenschutzverletzungen muss ein Websitebetreiber nach Art. 25 DSGVO bei der Verarbeitung von personenbezogenen Daten technische und organisatorische Maßnahmen treffen unter

„[…] Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […]“

Was den Stand der Technik angeht, gibt es zurzeit zwar keine ausdrückliche gesetzliche Regelung, die eine SSL-Verschlüsselung bei der Verarbeitung personenbezogener Daten auf Business-Websites explizit vorschreibt. Dies ergibt sich im Ergebnis aber aus § 13 Abs. 7 Satz 1 Nr. 2 a) TMG, § 13 Abs. 7 Satz 2 und 3 TMG.

Ähnlich wie in Art. 25 DSGVO ist auch in § 13 Abs. 7 TMG geregelt, dass bei geschäftsmäßig betriebenen Internetseiten (soweit zumutbar) durch technische und organisatorische Vorkehrungen sichergestellt werden muss, dass sie nach dem Stand der Technik gegen Datenschutzverletzungen gesichert sind.

§ 13 Abs. 7 Satz 3 TMG geht aber noch einen Schritt weiter und hält fest, dass „insbesondere“ die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens eine solche Schutzmaßnahme darstellt. Dies ist bei SSL-Verschlüsselung (bzw. der weniger gängigen Nachfolgebezeichnung „TLS“) der Fall.

Während man entstehende Kosten für SSL-Zertifikate früher (vielleicht) noch als Argument gegen eine Zumutbarkeit der Einbindung in die eigene Website einwenden mochte, ist dies aufgrund von Diensten wie Let’s Encrypt heute nicht mehr erfolgversprechend, da diese effektiven SSL-Schutz ohne Zertifikatsgebühren ermöglichen.

Edit: Von Kevin Leibold wurde ich auf Twitter zu recht darauf hingewiesen, dass a) fraglich ist, ob § 13 TMG durch die DSGVO verdrängt wird, was die DSK in einem Positionspapier vertritt und b) jedenfalls Art. 32 DSGVO bei Kontaktformularen nicht zwingend eine Datenverschlüsselung fordert.

Nach oben

Abmahnbarkeit von DSGVO-Verstößen

Der IGD e.V. verweist in der Abmahnung u.a. auf das Bundesamt für Sicherheit in der Informationstechnik (BSI), das SSL-Verschlüsselung als Stand der Technik betrachte. Wörtlich heißt es in der Abmahnung:

Abmahnung IDG

Auf den ersten Blick wirkt dieser Satz so, als ob das BSI das Fehlen einer SSL-Verschlüsselung nicht nur als Stand der Technik ansieht, sondern darüber hinaus auch offiziell als „abmahnfähigen DSGVO-Verstoß“ einstuft. Das ist jedoch nicht der Fall. Hier wird aus meiner Sicht in irreführender Weise eine Position des BSI zum Stand der Technik mit einer Rechtsfolge vermischt (= Abmahnbarkeit von fehlender SSL-Verschlüsselung ist DSGVO-Verst0ß), die keineswegs vom BSI vertreten wird. Meines Wissens nach hat sich das BSI weder offiziell noch inoffiziell zu dieser Frage positioniert.

Ob DSGVO-Verstöße Wettbewerbsrechtsverletzungen darstellen, die von Konkurrenten abgemahnt werden können, gehört im Gegenteil zu den aktuell umstrittensten Fragen rund um die DSGVO.

Während sich mehrere deutsche Landgerichte unter Verweis auf den abschließenden Charakter der DSGVO gegen eine Abmahnbarkeit ausgesprochen haben, entschied mit dem OLG Hamburg das bislang einzige deutsche Oberlandesgericht, dass DSGVO-Verstöße abgemahnt werden können, sofern die verletzte Vorschrift eine sogenannte Marktverhaltensregelung darstellt.

Edit: Eine fehlende SSL-Verschlüsselung war Gegenstand einer knapp begründeten Entscheidung des LG Würzburg im Rahmen eines einstweiligen Verfügungsverfahrens.

Dass es Gegenauffassungen zur Abmahnbarkeit von DSGVO-Verstößen in Gestalt von mehreren abweichenden Landgerichtsentscheiden als auch gewichtigen Stimmen in der juristischen Literatur gibt, erwähnt der IGD e.V. in der Abmahnung mit keinem Wort, obwohl die Wettbewerbswidrigkeit von DSGVO-Verstößen letztlich ungeklärt ist, solange sich der Bundesgerichtshof noch nicht geäußert hat.

Nach oben

Praktische Tipps zum Umgang mit der Abmahnung

Abmahnvereinen wie dem IGD Interessengemeinschaft Datenschutz e.V. geht es im Kern weniger um den Ersatz der moderaten Abmahnkosten, die kaum mehr als eine Aufwandsentschädigung darstellen. Entscheidend ist der Erhalt einer strafbewehrten Unterlassungserklärung. Im Falle von künftigen Verstößen kann der IGD e.V. damit vom Abgemahnten die Zahlung einer Vertragsstrafe verlangen.

Nun ist der Abgemahnte zwar nicht verpflichtet, gerade die Unterlassungsvorlage des IGD e.V. zu unterzeichnen und für den Wiederholungsfall eine Vertragsstrafe in Höhe von 4.000 Euro zu versprechen. Stattdessen kann er auch eine modifizierte Unterlassungserklärung mit einem Unterlassungsversprechen nach dem sog. „Hamburger Brauch“ abgeben, der bei künftigen erneuten Verstößen flexiblere Bezifferungen der Vertragsstrafenhöhe ermöglicht.

Nach Abgabe einer strafbewehrten Unterlassungserklärung wird das Verfolgungsinteresse des Abmahnvereins, Verstöße aufzufinden und dadurch die strafbewehrte Unterlassungserklärung zu „vergolden“, aber in jedem Fall sehr hoch sein – auch bei Abgabe einer modifizierten Unterlassungserklärung.

Unsere Empfehlung: Lassen Sie sich vor Abgabe einer strafbewehrten Unterlassungserklärung anwaltlich beraten. Nehmen Sie auf Wunsch unsere kostenlose und unverbindliche Ersteinschätzung in Anspruch.

Abmahnliste (Stand: 18.03.2019): 30 Abmahnungen

Nr.DatumAktenzeichenGrundKosten
0106.03.201919-6Fehlende SSL-Verschlüsselung285,60 €
0206.03.201919-21Fehlende SSL-Verschlüsselung285,60 €
0306.03.201919-203Fehlende SSL-Verschlüsselung285,60 €
0406.03.201919-215Fehlende SSL-Verschlüsselung285,60 €
0506.03.201919-349Fehlende SSL-Verschlüsselung285,60 €
0606.03.201919-372Fehlende SSL-Verschlüsselung285,60 €
0706.03.201919-498Fehlende SSL-Verschlüsselung285,60 €
0806.03.201919-668Fehlende SSL-Verschlüsselung285,60 €
0906.03.201919-817Fehlende SSL-Verschlüsselung285,60 €
1006.03.201919CC-1073Fehlende SSL-Verschlüsselung285,60 €
1107.03.201919-CO-26Fehlende SSL-Verschlüsselung285,60 €
1207.03.201919-CO-94Fehlende SSL-Verschlüsselung285,60 €
1307.03.201919-CO-234Fehlende SSL-Verschlüsselung285,60 €
1407.03.201919-CO-513Fehlende SSL-Verschlüsselung285,60 €
1507.03.201919-CO-557Fehlende SSL-Verschlüsselung285,60 €
1607.03.201919-CO-679Fehlende SSL-Verschlüsselung285,60 €
1707.03.201919-GA-57Fehlende SSL-Verschlüsselung285,60 €
1807.03.201919-GA-510Fehlende SSL-Verschlüsselung285,60 €
1907.03.201919-GA-1311Fehlende SSL-Verschlüsselung285,60 €
2007.03.201919-GA-1315Fehlende SSL-Verschlüsselung285,60 €
2107.03.201919-GA-1456Fehlende SSL-Verschlüsselung285,60 €
2207.03.201919-ÄM-576Fehlende SSL-Verschlüsselung285,60 €
2307.03.201919-ÄM-625Fehlende SSL-Verschlüsselung285,60 €
2407.03.201919-ÄM-1174Fehlende SSL-Verschlüsselung285,60 €
2507.03.201919-ÄM-1549Fehlende SSL-Verschlüsselung285,60 €
2607.03.201919-ÄM-2935Fehlende SSL-Verschlüsselung285,60 €
2707.03.201919-ÄM-3539Fehlende SSL-Verschlüsselung285,60 €
2807.03.201919-ENT-684Fehlende SSL-Verschlüsselung285,60 €
2907.03.201919-ENT-1337Fehlende SSL-Verschlüsselung285,60 €
3007.03.201919-MES-2461Fehlende SSL-Verschlüsselung285,60 €

Kontaktformular

Rückruf mit kostenloser Ersteinschätzung gewünscht? Bitte füllen Sie dieses Formular aus und wir melden uns zeitnah bei Ihnen. Zur Vorbereitung des Gesprächs können Sie uns vorab Dateien zusenden, z.B. den Scan einer Abmahnung nebst Vollmacht - natürlich völlig unverbindlich.
  • Ziehe Dateien hier her oder
    Akzeptierte Datentypen: jpg, jpeg, gif, png, pdf.

      Maximale Dateianzahl: 10. Maximale Größe je Datei: 5MB.

      Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

      Mit einem Sternchen (*) markierte Felder sind Pflichtangaben.

    • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

    Nach oben

    Autor:

    Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter und Facebook!

    5 Kommentare Schreibe einen Kommentar

    1. Ich habe als Datenschutzbeauftragter unseres Unternehmens die Losung ausgegeben, dass wir Abmahnungen bis zur letzten Instanz gerichtlich klären lassen. Wir würden sicherlich keine auch irgend wie geartete und auch keine abgespeckte Abmahnung unterzeichnen. Ich persönlich würde einen solchen anwaltlichen Ratschlag auch für fehlerhaft und nicht vertretbar ansehen. Eine aussergerichtliche Klärung mit sogenannten Abmahnvereinen schliessen wir aus. Wir würden uns im Gegenteil vorbehalten eine negative Feststellungsklage zu erheben.

      Antworten

    2. Das sind mit die liebsten Vereine. Abmahnen, aber sich selbst auch nicht an die DSGVO halten. Die Datenschutzerklärung des Vereins ist absolut unvollständig und an vielen Stellen sogar fehlerhaft. Beim Formular zum Senden eines Mitgliedsantrags wird auch nicht gebraucht vom Opt-In Verfahren gemacht. Hier kann lediglich von einem Opt-Out gesprochen werden, was laut DSGVO unzureichend ist.

      Antworten

    3. Hallo Herr Plutte,
      toller Beitrag – vielen Dank dafür!
      Mich würde einmal interessieren, wie der Abmahnbetrag (bzw. die Abmahnforderungen allgemein) zustande kommen. Ist das Ermessenssache des Abmahners? Gibt es da eine Art „Liste“, an die sich ein Abmahner halten muss?
      Oder kann Abmahner1 etwa €285,60 verlangen und Abmahner2 schon €571,20 … weil er den Grund der Abmahnung und dessen Auswirkung eben anders einschätzt?
      Ich kenne das aus der Vergangenheit von Behörden, die „Pi mal Daumen“ eine Strafe veranschlagt haben, dann aber doch vor Gericht scheiterten, da sie die Berechnung der Strafe nicht schlüssig begründen konnten.
      Vielen Dank im Voraus.

      Antworten

    4. verstehe ich richtig: es ist doch völlig risikolos, gar nicht zu reagieren? Was könnte denn passieren, wenn man nichts tut?

      Und in so einem klaren Fall kann der Betroffene doch selber schreiben: er kann doch selber die oben genannten Argumente schreiben und brauche dazu keinen Anwalt, oder? Er weist die Geldforderung und die Unterlassungserklärung als unberechtigt einfach zurück! Wäre das nicht auch ein gangbarer Weg?

      Antworten

      • Nein, das ist nicht korrekt. Die Gegenseite könnte bei ausbleibender Reaktion Klage erheben (Unterlassung, Zahlung von Abmahnkosten). In diesem Fall entstünden zusätzlich Prozesskosten (Gerichtskosten und ggf. Anwaltskosten beider Seiten), die der Unterlegene zu tragen hätte. Man sollte die Abmahnung unseres Erachtens außerdem schon deshalb professionell zurückweisen, weil der IGD e.V. dann verpflichtet wäre, bei Stellunf eines Antrags auf Erlass einer einstweiligen Verfügung die Stellungnahme mit vorzulegen. Das Gericht erfährt auf diese Weise vor einem Beschluss die Position des Abgemahnten.

        Antworten

    Schreibe einen Kommentar

    Pflichtfelder sind mit * markiert.


    Kostenlose Ersteinschätzung