Nun doch: Erste Abmahnungen wegen fehlender Verschlüsselung

Was viele durch die DS-GVO befürchteten ist lange ausgeblieben. Nun aber gibt es sie doch: die erste kleine Abmahnwelle ist angelaufen. Wegen angeblicher Verstöße gegen die Datenschutz-Grundverordnung (DS-GVO) versendet nach übereinstimmenden Medienberichten ein selbst ernannter Verbraucherschutzverband Abmahnungen. Empfänger sind vor allem Unternehmen, die ein Kontaktformular ohne SSL-Verschlüsselung auf ihrer Homepage haben.

Woher kommen die Abmahnungen?

Hinter den versendeten Abmahnungen steckt die IGD Interessengemeinschaft Datenschutz e.V.. Auf ihrer Internetseite bezeichnet sich der Verein IGD als Bürgerrechtsorganisation: „Die Interessengemeinschaft Datenschutz ist eine als eingetragener Verein geführte Bürgerrechtsorganisation, die sich für die Datenschutzinteressen von Verbrauchern in Deutschland einsetzt. […] Unsere zentrale Aufgabe ist es, die individuellen Rechte der Bürger, wie Sie einst im Bundesdatenschutzgesetz und nun auch in der EU-Weit harmonisierten Datenschutzgrundverordnung erfasst sind, gegenüber Unternehmern und Unternehmen zu vertreten.“ Der Verein sitzt im brandenburgischen Ludwigsfelde bei Berlin.

Fehlende Verschlüsselung beim Versand des Kontaktformulars

Der Art. 32 DS-GVO regelt die Sicherheit der Verarbeitung und verlangt tatsächlich, dass personenbezogene Daten wie E-Mails durch technische Maßnahmen geschützt werden. Dazu dürfte nach allgemeiner Auffassung auch eine adäquate Verschlüsselung gehören. Die angeschriebenen Webseiten-Betreiber haben also mit großer Wahrscheinlichkeit gegen diese Regelung der DS-GVO verstoßen.

IGD fordert Zahlung und Unterlassungserklärung

Der Verein IGD bedient sich nun dem Instrument der Abmahnungen. Ob dieses für Verstöße gegen die DS-GVO wirklich anwendbar ist, wird gegenwärtig sehr kontrovers diskutiert. Auch die deutsche Gerichtsbarkeit hat hierzu bislang keine eindeutige Rechtsauffassung vertreten. Trotzdem fordert der Verein nun von den angeschriebenen Unternehmen eine sofortige Zahlung von rund 280,- Euro und die Abgabe einer Unterlassungserklärung. Wer die unterzeichnet, kann bei nochmaligen Verstößen eine Vertragsstrafe von 4000,- Euro auferlegt bekommen.

Letztes Update:26.03.19

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren