Uns sind eine 31 zweifelhafte Abmahnungen des IGD Interessengemeinschaft Datenschutz e.V. wegen angeblichen DSGVO-Verstößen im Zusammenhang mit fehlenden SSL-Verschlüsselungen auf Websites bekannt.
Inhaltsübersicht
1. Wer ist der IGD Interessengemeinschaft Datenschutz e.V.?
2. Was wird abgemahnt?
3. Was fordert der IGD e.V.?
4. Was ist von der Abmahnung zu halten?
– Unterschied zwischen http und https
– SSL-Verschlüsselung als Stand der Technik
– Abmahnbarkeit von DSGVO-Verstößen
– Praktische Tipps zum Umgang mit der Abmahnung
Abmahnliste
Update: Umstellung von Abmahnungen auf bloße Hinweise
Update vom 09.04.2019: IGD verzichtet auf Ansprüche
Haben Sie oder Ihr Mandant ebenfalls eine Abmahnung des IGD e.V. erhalten? Bitte mailen Sie uns unverbindlich und kostenfrei einen Scan des Schreibens zur anonymen Veröffentlichung in unserer laufend aktualisierten Abmahnliste (siehe auch dieses Beispiel).
1. Wer ist der IGD Interessengemeinschaft Datenschutz e.V.?
Der IGD Interessengemeinschaft Datenschutz e.V., der sich selbst als IGD e.V. abkürzt, ist laut Abmahnung ansässig unter der Anschrift “Straße der Jugend 18, 14974 Ludwigsfelde”. Er behauptet von sich, im gesamten Bundesgebiet tätig zu sein und dort
“Verbraucherinteressen wahrzunehmen, den Verbraucherschutz zu fördern, die Stellung des Verbrauchers in der sozialen Marktwirtschaft zu stärken und zur Verwirklichung einer nachhaltigen Entwicklung beizutragen.”
Im Impressum der schlichten Homepage des IGD Interessengemeinschaft Datenschutz e.V. werden die Herren Rouven Rosenbaum und Leonard Zobel als Vertreter des Vereins aufgeführt, die laut einem n-tv Bericht u.a. auch Geschäftsführer einer next Block GmbH mit Sitz in Berlin sind, welche die Krypto-Börse bitmeister.de betreibt. Im Vereinsregister wird als Vertretungsberechtigter des IGD Interessengemeinschaft Datenschutz e.V. außerdem Herr Rafael Rosenbaum in seiner Funktion als Schatzmeister geführt. Gemeinsam bilden die drei den Vorstand des Vereins, wobei jedes Vorstandsmitglied einzelvertretungsberechtigt ist.
Update: Recherchen ergaben den 06.03.2019 als Tag der Eintragung ins Vereinsregister mit Satzung vom 20.02.2019. Der Verein wurde also unmittelbar vor Versand der Abmahnungen registriert (Danke für die Anregung an Martin Rätze).
Im Briefkopf der Abmahnungen ist als Sachbearbeiter ein “F. Starck” angegeben. Die uns vorliegenden Abmahnungen wurden nicht von Vorstandsmitgliedern unterzeichnet, sondern alle mit “i.A. Starck”.
2. Was wird abgemahnt?
In der uns vorliegenden Abmahnung wird dem Websitebetreiber vorgeworfen, dass seine Website keine SSL-Verschlüsselung aufweise, so dass ein sicherer Transfer von Verbraucherdaten nicht möglich sei, die auf der Website über ein Kontaktformular eingegeben wurden.
Eine fehlende SSL-Verschlüsselung verstoße in dieser Konstellation gegen Art. 25 Abs. 1 DSGVO, Art. 32 Abs. 1 2. Halbsatz lit a) DSGVO. Außerdem läge eine Verletzung der Privatsphäre von Websitebesuchern vor, worauf ein Schadensersatzanspruch wegen immaterieller Schäden gestützt werden könne.
Beachten Sie: Neben fehlender SSL-Verschlüsselung gibt es bei der Nutzung von Kontaktformularen auf Websites weitere rechtliche Stolpersteine.
3. Was fordert der IGD e.V.?
Der IGD Interessengemeinschaft Datenschutz e.V. fordert vom Abgemahnten die Abgabe einer strafbewehrten Unterlassungserklärung sowie Ersatz von Abmahnkosten in Höhe von 285,60 Euro inkl. MwSt.
Bemerkenswert ist, dass sich bei juristischen Personen nicht nur das Unternehmen, sondern auch dessen Repräsentant persönlich strafbewehrt zur Unterlassung verpflichten soll, bei einer GmbH also beispielsweise der Geschäftsführer.
4. Was ist von der Abmahnung zu halten?
Die Abmahnung strotzt vor Rechtschreibfehlern, was sie unseriös erscheinen lässt. Das bedeutet allerdings nicht, dass man sie als Abgemahnter nicht ernst nehmen müsste.
Unklar bleibt, worauf der IGD e.V. seine Aktivlegitimation stützt, d.h. die Berechtigung, derartige Abmahnungen aussprechen zu dürfen. Falls er für sich in Anspruch nehmen sollte, ein rechtsfähiger Verband im Sinne von § 8 Abs. 3 Nr. 2 UWG zu sein, bliebe offen, ob der Abmahner die dafür nötigen Anforderungen erfüllt. Die Satzung des Vereins (laut Vereinsregisterauszug) vom 20.02.2019 konnten wir nicht auffinden. Ob dem Verein die von § 8 Abs. 3 Nr. 2 UWG geforderte “erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben”, wird in den Abmahnungen weder vorgetragen noch belegt.
Inhaltlich wird man davon ausgehen müssen, dass die DSGVO in Verbindung mit dem Telemediengesetz (TMG) bei geschäftsmäßig betriebenen Websites eine aktive, wirksame Verschlüsselung des Datenverkehrs fordert, sofern über die Webseite personenbezogene Daten verarbeitet werden, wie es bei einem typischen Kontaktformular der Fall ist.
Unterschied zwischen http und https
Der Datenverkehr bei Websites ohne aktive SSL-Verschlüsselung kann von außen abgefangen bzw. mitgelesen werden. Das gilt z.B. für Anfragen mit personenbezogenen Daten wie Name, E-Mailadresse und Telefonnummer, die über ein Kontaktformular mit unverschlüsseltem Datenverkehr an den Websitebetreiber geschickt werden. Ist der Datenverkehr per SSL verschlüsselt, ist dies nicht möglich.
Ob eine Webseite ein aktives Verschlüsselungszertifikat nutzt, erkennt man an der Adresszeile des Browsers. Dort beginnt die Webadresse mit https statt http (= “Hypertext Transfer Protocol Secure” statt “Hypertext Transfer Protocol”).
SSL-Verschlüsselung als Stand der Technik
Zur Vermeidung der dargestellten Datenschutzverletzungen muss ein Websitebetreiber nach Art. 25 DSGVO bei der Verarbeitung von personenbezogenen Daten technische und organisatorische Maßnahmen treffen unter
“[…] Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […]”
Was den Stand der Technik angeht, gibt es zurzeit zwar keine ausdrückliche gesetzliche Regelung, die eine SSL-Verschlüsselung bei der Verarbeitung personenbezogener Daten auf Business-Websites explizit vorschreibt. Dies ergibt sich im Ergebnis aber aus § 13 Abs. 7 Satz 1 Nr. 2 a) TMG, § 13 Abs. 7 Satz 2 und 3 TMG.
Ähnlich wie in Art. 25 DSGVO ist auch in § 13 Abs. 7 TMG geregelt, dass bei geschäftsmäßig betriebenen Internetseiten (soweit zumutbar) durch technische und organisatorische Vorkehrungen sichergestellt werden muss, dass sie nach dem Stand der Technik gegen Datenschutzverletzungen gesichert sind.
§ 13 Abs. 7 Satz 3 TMG geht aber noch einen Schritt weiter und hält fest, dass “insbesondere” die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens eine solche Schutzmaßnahme darstellt. Dies ist bei SSL-Verschlüsselung (bzw. der weniger gängigen Nachfolgebezeichnung “TLS”) der Fall.
Während man entstehende Kosten für SSL-Zertifikate früher (vielleicht) noch als Argument gegen eine Zumutbarkeit der Einbindung in die eigene Website einwenden mochte, ist dies aufgrund von Diensten wie Let’s Encrypt heute nicht mehr erfolgversprechend, da diese effektiven SSL-Schutz ohne Zertifikatsgebühren ermöglichen.
Edit: Von Kevin Leibold wurde ich auf Twitter zu recht darauf hingewiesen, dass a) fraglich ist, ob § 13 TMG durch die DSGVO verdrängt wird, was die DSK in einem Positionspapier vertritt und b) jedenfalls Art. 32 DSGVO bei Kontaktformularen nicht zwingend eine Datenverschlüsselung fordert.
Abmahnbarkeit von DSGVO-Verstößen
Der IGD e.V. verweist in der Abmahnung u.a. auf das Bundesamt für Sicherheit in der Informationstechnik (BSI), das SSL-Verschlüsselung als Stand der Technik betrachte. Wörtlich heißt es in der Abmahnung:
Auf den ersten Blick wirkt dieser Satz so, als ob das BSI das Fehlen einer SSL-Verschlüsselung nicht nur als Stand der Technik ansieht, sondern darüber hinaus auch offiziell als “abmahnfähigen DSGVO-Verstoß” einstuft. Das ist jedoch nicht der Fall. Hier wird aus meiner Sicht in irreführender Weise eine Position des BSI zum Stand der Technik mit einer Rechtsfolge vermischt (= Abmahnbarkeit von fehlender SSL-Verschlüsselung ist DSGVO-Verst0ß), die keineswegs vom BSI vertreten wird. Meines Wissens nach hat sich das BSI weder offiziell noch inoffiziell zu dieser Frage positioniert.
Ob DSGVO-Verstöße Wettbewerbsrechtsverletzungen darstellen, die von Konkurrenten abgemahnt werden können, gehört im Gegenteil zu den aktuell umstrittensten Fragen rund um die DSGVO.
Während sich mehrere deutsche Landgerichte unter Verweis auf den abschließenden Charakter der DSGVO gegen eine Abmahnbarkeit ausgesprochen haben, entschied mit dem OLG Hamburg das bislang einzige deutsche Oberlandesgericht, dass DSGVO-Verstöße abgemahnt werden können, sofern die verletzte Vorschrift eine sogenannte Marktverhaltensregelung darstellt.
Edit: Eine fehlende SSL-Verschlüsselung war Gegenstand einer knapp begründeten Entscheidung des LG Würzburg im Rahmen eines einstweiligen Verfügungsverfahrens.
Dass es Gegenauffassungen zur Abmahnbarkeit von DSGVO-Verstößen in Gestalt von mehreren abweichenden Landgerichtsentscheiden als auch gewichtigen Stimmen in der juristischen Literatur gibt, erwähnt der IGD e.V. in der Abmahnung mit keinem Wort, obwohl die Wettbewerbswidrigkeit von DSGVO-Verstößen letztlich ungeklärt ist, solange sich der Bundesgerichtshof noch nicht geäußert hat.
Praktische Tipps zum Umgang mit der Abmahnung
Abmahnvereinen wie dem IGD Interessengemeinschaft Datenschutz e.V. geht es im Kern weniger um den Ersatz der moderaten Abmahnkosten, die kaum mehr als eine Aufwandsentschädigung darstellen. Entscheidend ist der Erhalt einer strafbewehrten Unterlassungserklärung. Im Falle von künftigen Verstößen kann der IGD e.V. damit vom Abgemahnten die Zahlung einer Vertragsstrafe verlangen.
Nun ist der Abgemahnte zwar nicht verpflichtet, gerade die Unterlassungsvorlage des IGD e.V. zu unterzeichnen und für den Wiederholungsfall eine Vertragsstrafe in Höhe von 4.000 Euro zu versprechen. Stattdessen kann er auch eine modifizierte Unterlassungserklärung mit einem Unterlassungsversprechen nach dem sog. “Hamburger Brauch” abgeben, der bei künftigen erneuten Verstößen flexiblere Bezifferungen der Vertragsstrafenhöhe ermöglicht.
Nach Abgabe einer strafbewehrten Unterlassungserklärung wird das Verfolgungsinteresse des Abmahnvereins, Verstöße aufzufinden und dadurch die strafbewehrte Unterlassungserklärung zu “vergolden”, aber in jedem Fall sehr hoch sein – auch bei Abgabe einer modifizierten Unterlassungserklärung.
Unsere Empfehlung: Lassen Sie sich vor Abgabe einer strafbewehrten Unterlassungserklärung anwaltlich beraten. Nehmen Sie auf Wunsch unsere kostenlose und unverbindliche Ersteinschätzung in Anspruch.
Abmahnliste (Stand: 01.04.2019): 31 Abmahnungen
| Nr. | Datum | Aktenzeichen | Grund | Kosten |
| 01 | 06.03.2019 | 19-6 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 02 | 06.03.2019 | 19-21 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 03 | 06.03.2019 | 19-203 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 04 | 06.03.2019 | 19-215 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 05 | 06.03.2019 | 19-349 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 06 | 06.03.2019 | 19-372 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 07 | 06.03.2019 | 19-498 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 08 | 06.03.2019 | 19-668 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 09 | 06.03.2019 | 19-817 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 10 | 06.03.2019 | 19CC-1073 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 11 | 07.03.2019 | 19-CO-14 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 12 | 07.03.2019 | 19-CO-26 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 13 | 07.03.2019 | 19-CO-94 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 14 | 07.03.2019 | 19-CO-234 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 15 | 07.03.2019 | 19-CO-513 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 16 | 07.03.2019 | 19-CO-557 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 17 | 07.03.2019 | 19-CO-679 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 18 | 07.03.2019 | 19-GA-57 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 19 | 07.03.2019 | 19-GA-510 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 20 | 07.03.2019 | 19-GA-1311 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 21 | 07.03.2019 | 19-GA-1315 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 22 | 07.03.2019 | 19-GA-1456 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 23 | 07.03.2019 | 19-ÄM-576 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 24 | 07.03.2019 | 19-ÄM-625 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 25 | 07.03.2019 | 19-ÄM-1174 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 26 | 07.03.2019 | 19-ÄM-1549 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 27 | 07.03.2019 | 19-ÄM-2935 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 28 | 07.03.2019 | 19-ÄM-3539 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 29 | 07.03.2019 | 19-ENT-684 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 30 | 07.03.2019 | 19-ENT-1337 | Fehlende SSL-Verschlüsselung | 285,60 € |
| 31 | 07.03.2019 | 19-MES-2461 | Fehlende SSL-Verschlüsselung | 285,60 € |
Kontaktformular
Rückruf mit kostenloser Ersteinschätzung gewünscht? Bitte füllen Sie dieses Formular aus und wir melden uns zeitnah bei Ihnen. Zur Vorbereitung des Gesprächs können Sie uns vorab Dateien zusenden, z.B. den Scan einer Abmahnung nebst Vollmacht - natürlich völlig unverbindlich.
Update: Umstellung von Abmahnungen auf bloße Hinweise
Wohl aufgrund des starken Gegenwinds zu seinen Abmahnungen schwenkt der IGD Interessengemeinschaft Datenschutz e.V. nun um zu bloßen Hinweisschreiben in Verbindung mit einer Spendenbitte. Weitere Informationen bietet auch ein Beitrag in der WELT. Wir empfehlen Abgemahnten, gegen den Verein negative Feststellungsklage zu erheben.
Update vom 09.04.2019: IGD verzichtet auf Ansprüche
Wir hatten den abmahnenden Verein zum Verzicht auf die geltend gemachten Ansprüche aufgefordert und angedroht, ansonsten im Namen unserer Mandanten negative Feststellungsklage zu erheben. Heute erreichten uns mehrere inhaltliche gleichlautende E-Mails des IGD e.V., in denen er unserer Forderung nachkommt. Wörtlich heißt es in den E-Mails (mit Hervorhebung durch uns):
“Sehr geehrte Damen und Herren,
in der Angelegenheit teilen wir mit, dass wir Ihrer Rechtsauffassung widersprechen, wonach ein Anspruch des Vereins auf Geltendmachung von Ansprüchen auf das Abstellen des rechtswidrigen Zustandes beim Internetauftritt Ihres Mandanten nicht besteht. Nach der von uns vertretenen Auffassung ist auch ein Verein, der den Anforderungen es Art. 80 Abs. 1 DS-GVO entspricht, berechtigt im eigenen Namen Unterlassensansprüche gegenüber Störern geltend zu machen. Der Verein IGD Interessengemeinschaft Datenschutz e.V. entspricht den gesetzlichen Anforderungen, unstreitig war die von Ihrem Mandanten betriebene Homepage nicht DS-GVO konform.
Die endgültige rechtliche Klärung würde letztlich nur durch den BGH erfolgen können, die Rechtsprechung der unteren Gericht ist gegenwärtig uneinheitlich. Selbstverständlich scheuen wir uns nicht, diesen Weg zu beschreiten.
Ziel des Vereins ist es jedoch lediglich, einen rechtmäßigen Zustand zum Schutze von Verbrauchern im Internet herzustellen. Dieser Pflicht ist Ihre Mandantschaft nunmehr nachgekommen, so dass ohne Präjudiz und Anerkennung einer Rechtspflicht der Verein nach Abstellung des rechtswidrigen Zustandes von einer Geltendmachung von Ansprüchen gegen Ihren Mandanten Abstand nimmt.”
Gleichzeitig hatten wir den IGD e.V. aufgefordert, die den Mandanten durch Beauftragung unserer Kanzlei entstandenen anwaltlichen Verteidigungskosten zu ersetzen. Bislang konnten wir keinen Zahlungseingang feststellen. Sollte es dabei bleiben, werden wir unseren Mandanten empfehlen, Zahlungsklage zu erheben.
