Stolperfalle Kontaktformular – Vorsicht vor Abmahnungen!
Da gingen einem Berliner Händler sicherlich die Augen über: Wegen einer nicht vorhandenen SSL-Verschlüsselung auf seiner Webseite forderte eine Abmahnkanzlei im Namen eines Augenoptikers 8.500 Euro Schadenersatz.
Der verblüffte Händler war einem fragwürdigen Anwalt ins Netz gegangen, der bereits wegen weiterer seltsamer Abmahnverfahren bekannt geworden war: Gereon Sandhage. Im Schreiben führt der Anwalt an, dass sein Mandant eine Anfrage über das Kontaktformular auf der Webseite des Händlers versandt habe, die personenbezogene Daten beinhaltete. Diese sei aber ohne eine Verschlüsselung der Daten durch ein SSL-Zertifikat übermittelt worden – eine „drastische Missachtung der Vorschriften der DSGVO“, heißt es im anwaltlichen Brief.
Verstoß gegen die DSGVO?
Die Forderung der Schadenersatzsumme von 8.500 Euro resultiert aus einem Verstoß gegen Artikel 82 der DSGVO. Tatsächlich sieht dieser Artikel Schadenersatzleistungen vor, wenn Geschädigte einen sogenannten „personal distress“ erleiden. Frei übersetzt liegt also ein Schadenersatzanspruch vor, wenn der geschädigten Person Leid zugefügt wurde oder sie in eine Notlage versetzt wurde. Diese Zufügung von Leid oder das Herbeiführen einer Notlage für den abmahnenden Optiker ist aber offenbar weder im Anwaltsschreiben glaubhaft gemacht noch irgendwie erwähnt.
Nach Auffassung von Rechtsanwalt Joerg Heidrich, Heise Medien GmbH, ist also äußerst fraglich, was ein Richter zur Geltendmachung des Schadenersatzanspruchs sagen würde. Heidrich führt als Vergleich aus einem anderen Rechtsgebiet einen Fall an, bei dem ein Geschädigter für „eine Gehirnquetschung mit Verlust des Geruchssinns“ vom Gericht 5.500 Euro Schmerzensgeld zugesprochen bekam, und wirft die berechtigte Frage auf, inwieweit 8.500 Euro für den „datengeschädigten“ Optiker in irgendeinem Verhältnis zur Realität stünden.
Die Installation von SSL- oder TSL-Verschlüsselungen ist durchaus zumutbar
Wie auch immer ein solches Gerichtsverfahren ausgeht, bekanntermaßen ist ja schon die Tatsache, dass auf diese Weise ein Rechtsstreit entsteht, mehr als ärgerlich. Und im Prinzip hat der abmahnende Anwalt das Recht auf seiner Seite: Eine SSL- oder TSL- Verschlüsselung sind technisch gesehen „state of the art“ und mit wenig Aufwand und bei durchaus vertretbaren Kosten leicht installierbar. Diese Art der Verschlüsselung wird von der DSGVO eindeutig gefordert, um personenbezogene Daten, die übers Internet ausgetauscht werden, hinreichend zu schützen.
Vermutlich werden Richter es nicht als „Kavaliersdelikt“ ansehen, eine fundamentale Schutzeinrichtung wie die genannte Verschlüsselung nicht vorzunehmen – zumal eine Einrichtung prinzipiell auch in Eigenregie machbar ist. So raten Experten wie etwa Heise-Security-Chefredakteur Jürgen Schmidt dazu, die SSL- oder TSL- Verschlüsselungen umgehend zu installieren, sofern Kontaktformulare auf Webseiten installiert sind.
Was ist eine SSL-Verschlüsselung?
Eine SSL-Verschlüsselung (Secure Socket Layer) ist dafür verantwortlich, dass beispielsweise personenbezogene Daten, die zwischen einem Internetbrowser und einem Server ausgetauscht werden, nach einem zertifizierten Regelwerk ver- und wieder entschlüsselt werden. Ob eine besuchte Seite mit einem gültigen Zertifikat ausgestattet ist, erkennt man auf den ersten Blick: Ein kleines Schloss links in der Browser-Eingabezeile weist auf eine „sichere Seite“ hin.
Wenn Sie als Webseiteninhaber unsicher sind, ob Ihre Sicherheitseinstellungen auf neuestem Stand sind und auch der DSGVO Genüge tun, sollten Sie dies umgehend mit Ihrem Webseiten-Dienstleister besprechen. Meist ist die Installation beispielsweise von Zertifikaten eine Sache von wenigen Minuten, die Ihnen wochen- oder gar monatelangen Ärger ersparen kann, wie der hier geschilderte Abmahnvorfall eindeutig zeigt.
Wer benötigt ein SSL-Zertifikat?
Prinzipiell ist ein SSL-Zertifikat für jede Webseite anzuraten. Aber Pflicht und somit auch abmahnbar ist es für Webseiten, auf denen regelmäßig sensible Daten erhoben, abgefragt, versandt und gespeichert werden. Einige Beispiele:
- Seiten mit angeschlossenem Shop
- Webseiten, die ein Kontaktformular vorhalten
- Seiten, die Nutzerkonten anbieten und verwalten
- Webseiten mit Newsletter-Registrierungen
- Seiten mit Kundenkonten
- Angebote mit Online-Bezahl-Option
- Angebote mit Bestellfunktion
Wenn eine oder mehrere Optionen auf Ihre Webseite zutreffen, sollten Sie mit Ihrem Internetdienstleister die Frage klären, welche Zertifikate für einen sicheren Betrieb der Webseite obligatorisch sind.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Schritt-für-Schritt-Anleitungen
- Sofort einsetzbare Schulungen