Abmahnung durch IGD Interessengemeinschaft Datenschutz e.V.

von Dipl. Jur. Niklas Mühleis, LL.M.

Website-Betreiber sollten sich vor einem neuen „Verein“ in Acht nehmen, der es sich zur satzungsgemäßen Aufgabe gemacht hat, Datenschutzverstöße abzumahnen. Die IDG Interessengemeinschaft Datenschutz e.V. verschickt Abmahnungen an Website-Betreiber deren Internetpräsenzen über keine SSL-Verschlüsselung verfügen.

Derzeit häufen sich die Meldungen von Website-Betreibern, welche eine Abmahnung durch den Verein „IDG Interessengemeinschaft Datenschutz e.V.“ erhalten haben. Der erst kürzlich gegründete Verein reiht sich in die Riege der eher „besonderen Vereine“ ein und betreibt damit ein eher zweifelhaftes Geschäftsmodell. Die schlechte Nachricht für alle Abgemahnten zuerst: Auch wenn die Rechtsgrundlage für die Abmahnung hoch umstritten ist, muss diese zunächst einmal ernst genommen werden. Ein ignorieren der Abmahnschreiben ist aus rechtlicher Sicht nicht empfehlenswert.

Was wird eigentlich abgemahnt?

Viele Abgemahnte fragen sich welches Verhalten genau von der IGD eigentlich abgemahnt wird. Die Abmahnungen richten sich gegen den unzureichenden Sicherheitsstandard von Websites, welche über ein Kontaktformular verfügen. Gerügt wird die fehlende SSL-Verschlüsselung der Domian. Ob eine Domain über eine SSL-Verschlüsselung verfügt, lässt sich direkt an den Anfangsbuchstaben der URL im Adressfeld des Browsers erkennen. Beginnt die Webadresse mit „https“, so ist die Website ausreichend gesichert. Das „s“ steht hierbei für „secure“. Lautet die Adresse hingegen lediglich „http“, fehlt es an einer SSL-Verschlüsselung. Personenbezogene Daten, welche über ein Kontaktformular eingegeben werden, können damit potenziell von Dritten abgefangen werden.

Eine Abmahnung mit wackeliger Rechtsgrundlage

Die IDG stützt sich mit ihrer Abmahnung auf eine Verletzung der Datenschutzgrundverordnung (DSGVO) welche im Mai letzten Jahres in Kraft getreten ist. Die fehlende SSL-Verschlüsselung verstoße dabei gegen Art. 25 Abs. 1 DSGVO i.V.m. Art. 32 Abs. 1 2. Halbsatz lit a). Tatsächlich schreibt die DSGVO Datenverarbeitern vor, für einen Sicherheitsstandard zu sorgen, welcher dem aktuellen Stand der Technik entspricht. Die SSL-Verschlüsselung von Websites gehört ohne Frage zum aktuellen Stand der Technik und sollte dementsprechend auf allen Websites eingesetzt werden, auf welchen personenbezogene Daten erhoben werden.

In Frage zu stellen ist jedoch inwieweit die IDG zu den Abmahnungen berechtigt ist. Juristisch spricht man hierbei von der sog. Aktivlegitimation. Zum einen konnte der Verein bislang noch nicht belegen, ob und wodurch er zu den vorgenommenen Abmahnungen befugt ist. Hierzu müsste die IGD entweder die Voraussetzungen eines zur Abmahnung berechtigten Wettbewerbs- oder Gewerbeverbandes gem. § 8 Abs. 3 Nr. 2 UWG erfüllen oder im Namen eines Dritten gem. § 34 BDSG abmahnen. In beiden Fällen muss die IGD ihre Legitimation selbst belegen.

Zum anderen ist es grundsätzlich umstritten, ob Verstößen gegen die DSGVO überhaupt abmahnbar sind. Die Rechtsprechung ist in dieser Frage derzeit uneins und so gibt es sowohl Urteile, welche die Abmahnbarkeit von DSGVO-Verstößen bestätigen als auch solche welche sie ablehnen. Ein Urteil des Bundesgerichtshofes zu dieser Frage, welches Rechtssicherheit bringen würde ist noch nicht ergangen.

Wie sollte man reagieren?

Website-Betreiber sollten die Abmahnung nicht ignorieren. Auch wenn das Schreiben der IGD voller Rechtschreibfehler ist, wird diese mit hoher Wahrscheinlichkeit versuchen ihre Interessen auf dem gerichtlichen Wege durchzusetzen. Einen Leitfaden wie man sich bei Abmahnungen verhalten sollte, finden Sie hier. Wer sich wirksam gegen eine Abmahnung wehren möchte, sollte zudem einen Anwalt einschalten.

Bei Ärger mit Abmahnungen können Sie sich gerne an die Kanzlei Heidrich Rechtsanwälte wenden: 0511 374 98 150. Wir freuen uns auf Ihren Anruf.