Warnung: Schadensersatzforderungen gem. Art 82 DS-GVO

(c) Zerbor (Fotolia.de)

Ein Rechtsanwalt aus Berlin treibt für Mandanten bei Unternehmen Schadensersatzansprüche in nicht unerheblicher Höhe ein, weil die auf den Internetseiten befindlichen Kontaktformulare personenbezogene Daten ohne https bzw. ohne ein SSL-Zertifikat transportieren.

Sehr geehrte Damen und Herren,

die seit dem 25.05.2018 geltende DS-GVO hält immer wieder Überraschungen bereit. Die befürchtete Abmahnwelle ist bislang ausgeblieben, jedoch betätigt sich der Berliner Rechtsanwalt Sandhage, der sich bereits in der Vergangenheit in der Abmahnszene einen Namen gemacht hat.

Im Rahmen eines Forderungsschreibens wird das betroffene Unternehmen darauf aufmerksam gemacht, dass im Rahmen eines offensichtlich bestehenden E-Mail-Verkehrs festgestellt wurde, dass das Unternehmen „personenbezogene Daten über das Kontaktformular ohne https als Transportverschlüsselung einsetzt. Über ein SSL-Zertifikat verfügt Ihre Webseite nicht. Damit liegen ganz erhebliche Verletzungen bei der Verarbeitung personenbezogener Daten meines Mandanten vor. Die fehlende SSL-Verschlüsselung muss dabei schon als drastische Missachtung der Vorschriften der DS-GVO angesehen werden.“
Das klingt schon recht martialisch. Allerdings entspricht die SSL-Verschlüsselung entsprechend Art. 32 DS-GVO als Mindeststandard insbesondere nach den Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dem Stand der Technik in den Sicherheitsfragen.

Nach Art. 82 Abs. 1 der Datenschutzgrundverordnung hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Der o.g. Rechtsanwalt sieht in den bekannt gewordenen Fällen in Art. 82 Abs. 1 DS-GVO die Anspruchsgrundlage für den Ersatz eines immateriellen Schadens (Schmerzensgeld), weil die Daten des das Kontaktformular Nutzenden unverschlüsselt transportiert werden und dies einen Verstoß gegen das geltende Datenschutzrecht darstellt. In den Forderungsschreiben wird Schmerzensgeld in Höhe von 8.500 bis 12.500 EUR gefordert. Der o.g. Rechtsanwalt argumentiert, dass dieser Betrag insofern angemessen und niedrig sei, als ein Bußgeld bis zu 20.000.000 EUR betragen könne. Ob die Schmerzensgeldansprüche wie angedroht auch gerichtlich geltend gemacht werden, ist derzeit nicht bekannt. Auch ist derzeit noch nicht bekannt, ob und inwieweit das geforderte Schmerzensgeld einerseits grundsätzlich gerechtfertigt und andererseits angemessen ist.

Eine Rechtsprechung zum Schmerzensgeld nach Datenschutzverstößen und zu dessen etwaiger Höhe ist derzeit nicht bekannt.

Aus der einschlägigen Kommentierung ergibt sich allerdings, „dass ein immaterieller Schadensersatzanspruch nur – ausnahmsweise und als ultima ratio – gewährt, wenn „es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann“. In der Praxis werden nur in seltenen Fällen Ansprüche jenseits der 100.000 Euro gewährt. Nur in solchen Ausnahmefällen verlangt der notwendige Schutz des allgemeinen Persönlichkeitsrechts nach ständiger Rechtsprechung einen immateriellen Schadensersatzanspruch. Mit dieser Argumentation wurden im Übrigen bislang immaterielle Schäden aufgrund einer Verletzung von § 7 BDSG a.F. abgelehnt. Im Bereich des Datenschutzes muss es sich um mehr als einen „kleineren sozialadäquaten Eingriff“ handeln, um die Haftungsvoraussetzung zu erfüllen“.

Fazit:

1. https und SSL-Verschlüsselung stellen derzeit wohl den Mindeststandard im Hinblick auf eine datenschutzkonforme Kommunikation über Kontaktformular auf Internetseiten dar.

2. Die Nichtbeachtung dieses Mindeststandards kann u. U. Schadensersatzansprüche nach der Datenschutzgrundverordnung begründen.

3. Ob und in welcher Höhe ein konkreter Schadensersatzanspruch besteht, ist derzeit noch nicht bekannt.

4. Es wird dringend empfohlen, schnellstmöglich – soweit noch nicht geschehen – die Sicherheitstechnik auf Internetseiten und Kontaktformularen an den aktuellen Mindeststandard anzupassen. Es empfiehlt sich, die Empfehlungen des BSI zu berücksichtigen.