Zurzeit mehren sich Berichte über Abmahnungen des Vereins „IGD Interessengemeinschaft Datenschutz e.V.“. So berichten unter anderem Projekt 29, Der Mittelstandsverbund oder handwerk.com darüber, dass unmittelbar nach der Gründung des Vereins am 6. März 2019 dieser Abmahnverein damit begonnen hat, eine Vielzahl von Abmahnungen wegen eines Verstoßes gegen die Datenschutz-Grundverordnung auszusprechen. Hierzu sieht sich der Verein auf der Grundlage von Artikel 80 DS-GVO berechtigt. Auf seiner Homepage beschreibt der Verein, dass auch Verbraucher unter den über 100 Mitgliedern seien, die den Verein mit der Wahrnehmung ihrer Interessen beauftragen dürften. Das Gesetz gegen den unlauteren Wettbewerb (UWG) und das Unterlassungsklagengesetz (UKlaG) seien wegen des Vorrangs des Unionsrecht hier nicht weiter beachtlich.

Wofür wird abgemahnt?

Anlass der Abmahnung ist die Tatsache, dass der angeschriebene Websitebetreiber ein Kontaktformular auf seiner Website bereithält, die dort eingegebenen Daten dann aber nicht verschlüsselt an ihn übermittelt werden. Dazu ist ein kostenfrei erhältliches SSL-Zertifikat erforderlich. Nutzer erkennen das Vorhandensein einer SSL-Verschlüsselung in ihrem Browser an der Angabe „https“ statt „http“ – das „s“ steht für „secure“. Manche Browser zeigen zudem ein Vorhängeschloss in verschlossenem Zustand als Icon an. Je nach Konfiguration des Browsers erhalten die Nutzer auch den Hinweis: „Achtung, diese Verbindung ist nicht sicher!“.

Tatsächlich sind Website-Betreiber verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Übermittlung personenbezogener Daten i. S. von Artikel 4 Nr. 1 DS-GVO wie z. B. Namen, Anschriften, E-Mail-Adressen und sonstige Informationen die direkt oder indirekt mit einem Menschen in Verbindung gebracht werden können, von Unbefugten nicht eingesehen, abgefangen, verändert oder gelöscht werden können. Dazu haben sie sich Mitteln zu bedienen, die dem Stand der Technik entsprechen und die unter Berücksichtigung der Implementierungskosten dazu beitragen, ein angemessenes Schutzniveau gegen mögliche Risiken für die Rechte und Freiheiten der betroffenen Menschen zu gewährleisten, Artikel 32 DS-GVO. Da ein SSL-Zertifikat kostenfrei implementiert werden kann und die Sicherheit der Übermittlung signifikant erhöht, liegt der Verstoß gegen die Datenschutz-Grundverordnung klar auf der Hand, wenn eine solche Maßnahme bislang nicht ergriffen wurde.

Darf die IGD überhaupt mahnen?

Bleibt noch die Frage, ob der Abmahnverein berechtigt ist, Abmahnungen auszusprechen und von den Angeschriebenen die Zahlung von 240,00 EUR zuzüglich Umsatzsteuer auf das Vereinskonto zu verlangen. Dazu müsste der IGD e.V. aktiv legitimiert sein. In der Tat wird unter Fachleuten die Auffassung vertreten, dass die Regelungen der Datenschutz-Grundverordnung nur im Ausnahmefall wettbewerbsrechtlich relevant, jedenfalls aber dieses Regelwerk kein Verbraucherschutzgesetz im Sinne des Unterlassungsklagengesetzes darstellt. Somit dürften diese beiden deutschen Gesetze keine tragfähige Grundlage bieten, auf der der IGD e.V. berechtigt sein könnte, Abmahnungen auszusprechen.

Aus Artikel 80 DS-GVO folgt die Möglichkeit, dass Verbraucher eine nicht auf Gewinnerzielung ausgerichtete, ordnungsgemäß nach dem Recht eines Mitgliedstaates gegründete Organisation oder Vereinigung mit der Wahrnehmung bestimmter Betroffenenrechte aus der Datenschutz-Grundverordnung zu beauftragen. Dazu muss die Organisation oder Vereinigung allerdings nicht nur nicht gewinnorientiert sein, sondern darüber hinaus auch satzungsmäßig die Aufgabe haben, im Bereich des Schutzes von Betroffenen bei der Verarbeitung personenbezogener Daten im öffentlichen Interesse tätig zu sein. Zu den Rechten, mit deren Wahrnehmung der IGD e.V. von einer betroffenen Person beauftragt werden kann, gehört auch die Geltendmachung eines gerichtlichen Rechtsbehelfs. Dies jedoch nur unbeschadet außergerichtlicher Rechtsbehelfe, so dass sich die Aktivlegitimation in Bezug auf die in Rede stehenden Abmahnungen nicht aufdrängt, sondern im Gegenteil fraglich erscheinen muss. Vielmehr lässt sich die Norm dahingehend interpretieren, dass die betroffene Person ihre Rechte im Rahmen eines außergerichtlichen Rechtsbehelfs selbst geltend machen muss und nur bei der Inanspruchnahme gerichtlicher Hilfe auf eine solche Organisation oder Einrichtung zurückgreifen darf. Dies dürfte als Klarstellung dahingehend zu verstehen sein, dass insoweit kein Anwaltszwang statuiert werden soll, wenn kompetente Unterstützung in diesem speziellen Bereich auch anderweitig erlangt werden kann.

An unsere Sichtweise ist ein Gericht, das mit der Überprüfung der Aktivlegitimation des IGD e.V. befasst wird, indes nicht gebunden und daher ist es – das sei an dieser Stelle ausdrücklich klargestellt – durchaus möglich, dass in einem noch zu führenden gerichtlichen Verfahren ein Gericht zu der Auffassung gelangt, der IGD e.V. sei aktiv legitimiert.

Abgemahnt – was nun?

Wer eine Abmahnung erhalten hat, sollte unbedingt fachkundigen Rat zum Beispiel bei seinem Rechtsanwalt oder einer sonst zur Rechtsberatung zugelassenen Stelle einholen. Keinesfalls sollte die Zahlung geleistet und eine Verpflichtungs- und Unterlassungserklärung abgegeben werden, bevor diese fachkundig geprüft wurden. Nichts zu tun und zu hoffen, die Angelegenheit aussitzen zu können, ist extrem gefährlich! Daher ist unbedingt klären zu lassen, wie mit der Abmahnung umgegangen werden soll.

Fazit

Falls eine Abmahnung noch nicht eingegangen ist, sollte unverzüglich eine SSL-Verschlüsselung eingerichtet werden, so dass keine Daten über Kontaktformulare unverschlüsselt über das Internet übertragen werden. Daher sollte nicht gezögert werden, den eigenen Dienstleister anzusprechen und den Auftrag zur Implementierung einer SSL-Verschlüsselung zu erteilen.

Haben Sie Fragen? Gerne helfen wir Ihnen weiter!