Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von RA Jan Lennart Müller

Achtung Abmahnung: Fehlende SSL-Verschlüsselung von Kontaktformularen und im Check-Out des Online-Shops

News vom 12.03.2021, 09:38 Uhr | Keine Kommentare

Der IT-Recht Kanzlei liegt eine Abmahnung eines Unternehmers vor. Darin wurde eine fehlende SSL-Verschlüsselung im Bereich eines Kontaktformulars abgemahnt. In unserem neuesten Beitrag gehen wir der Frage nach, ob die DSGVO eine Pflicht zur Verschlüsselung enthält und ob (Kontakt-)Formulare bzw. der Check-Out-Bereich in Online-Shops per SSL verschlüsselt sein müssen.

Was ist geschehen?

Ein Unternehmer mahnte seinen Mitbewerber ab. Es ging um angebliche Verstöße gegen die DSGVO. Aus Sicht des abmahnenden Unternehmers habe der Mitbewerber nicht seiner durch die DSGVO auferlegten Verschlüsselungspflicht hinsichtlich der Kontaktaufnahmemöglichkeit genügt.

Tatsächlich eröffnete der Mitbewerber auf seiner Internetpräsenz die Möglichkeit, über ein Kontaktformular mit ihm in Kontakt zu treten. Diese Möglichkeit der Kontaktaufnahme wurde jedoch nicht im Form einer SSL-Verschlüsselung technisch abgesichert, weshalb der abmahnende Unternehmer unter anderem zur Abgabe einer Unterlassungserklärung aufforderte.

In diesem Zusammenhang stellt sich die Frage, ob die DSGVO tatsächlich eine (SSL-) Verschlüsselung in Bezug auf die Kontaktaufnahmemöglichkeit (wie z. B. durch ein Kontaktformular) vorsieht und ob eine fehlende Verschlüsselung einen (wettbewerbsrechtlich) abmahnbaren DSGVO-Verstoß darstellt.

(SSL-) Verschlüsselung – was ist das?

Unter einer Verschlüsselung ist ein Vorgang zu verstehen, bei dem eine klar lesbare Information mit Hilfe eines kryptographischen Verfahrens in eine „unleserliche“ Zeichenfolge umgewandelt wird.

Die Kurzform SSL steht für „Secure Sockets Layer“ und stellt ein hybrides Verschlüsselungsprotokoll dar. Mithilfe dieses Verschlüsselungsprotokolls werden personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert.

Dies hat den Effekt, dass Daten vor Zugriffen von Dritten bei der Eingabe (bspw. in ein Kontaktformular) und während der Übermittlung an den Empfänger geschützt werden. Die SSL-Technologie hat sich als Standard für die Verschlüsselung von (Internet-)Inhalten etabliert, denn ihre Implementierung erfordert weder viel Zeit, noch ist sie sehr kostenintensiv.

Im Internet ist die SSL-Verschlüsselung omnipräsent und auch für technische Laien leicht identifizierbar: Die URL in der Browserzeile einer per SSL verschlüsselten Website enthält nach dem Standard-Übertragungsprotokoll „http“ den Zusatz eines „s“, also "https" (das "s" steht für das englische Wort „secure“).

Die SSL-Verschlüsselung stellt unter Idealbedingungen stets sicher, dass die verschlüsselten Daten lediglich durch den berechtigten und bestimmten Empfänger dekodiert werden können und leistet somit einen wichtigen Beitrag zur Aufrechterhaltung eines hohen Datenschutzniveaus.

1

Keine SSL-Verschlüsselung = DSGVO-Verstoß?

Ist eine (SSL-) Verschlüsselung notwendig, um den Vorschriften der DSGVO Genüge zu tun?

Bereits nach dem „alten“ Bundesdatenschutzgesetz (BDSG) bestand nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (LDA Bayern) eine Pflicht zur Verschlüsslung in gewissen Bereichen. Gestützt wurde diese Auffassung auf § 9 BDSG a. F., wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen.

Auch nach der DSGVO sollte eine Verschlüsselung durchgeführt werden. Der aus Art. 5 lit f. DSGVO zu entnehmende Grundsatz der Integrität und Vertraulichkeit ist bei der Verarbeitung von personenbezogenen Daten stets zu beachten. Demnach müssen personenbezogene Daten auf eine Weise unter Zuhilfenahme geeigneter technischer und organisatorischer Maßnahmen verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Der in Art. 5 lit f. DSGVO kodifizierte Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b weiter konkretisiert. Hier gibt die DSGVO einen Maßnahmenkatalog vor, welcher das Ziel der Gefahrenabwehr für Daten durch Dritte beinhaltet.

Nach Art. 32 Abs. 1 S. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu diesen Maßnahmen zählt nach Art. 32 Abs. 1 S. 1 Hs. 2 lit. b DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Das bedeutet, dass die DSGVO eine Verschlüsselung personenbezogener Daten als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen, ansieht. Hieraus folgt, dass eine Verschlüsselung personenbezogener Daten essenziell ist, um nicht wegen des Vorwurfs der unverschlüsselten und damit datenschutzwidrigen Verarbeitung personenbezogener Daten Nachteile zu erleiden.

Wo ist eine Verschlüsselung erforderlich?

Nachdem geklärt ist, dass eine (SSL-) Verschlüsselung grundsätzlich erforderlich ist, stellt sich die Frage, wo sie überall eingesetzt werden muss.

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Ab
5,90 €
mtl.

Abmahnfähigkeit Datenschutzverstöße

Lange war umstritten, ob DSGVO-Verstöße wettbewerbsrechtlich abgemahnt werden können. Nachdem mittlerweile die überwiegende Anzahl der Gerichte die Auffassung vertritt, dass Verstöße gegen die DSGVO abmahnbar sind, stellt das Gesetz nunmehr in § 13 Abs. 4 UWG in Bezug auf datenschutzrechtliche Verstöße fest:

"(4) Der Anspruch auf Ersatz der erforderlichen Aufwendungen nach Absatz 3 ist für Anspruchsberechtigte nach § 8 Absatz 3 Nummer 1 ausgeschlossen bei
(...)
2.
sonstigen Verstößen gegen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) und das Bundesdatenschutzgesetz durch Unternehmen sowie gewerblich tätige Vereine, sofern sie in der Regel weniger als 250 Mitarbeiter beschäftigen."

Das heißt vereinfacht, dass keine Abmahnkosten für eine Abmahnung eines Mitbewerbers geltend gemacht werden können, wenn es sich um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) handelt. Dies gilt jedoch nur, sofern diese Datenschutzverstöße durch kleinere Unternehmen begangen werden.

Die Änderungen des UWG bestätigen aber zunächst die Rechtsauffassung, wonach Datenschutzverstöße nach DSGVO und BDSG grundsätzlich abmahnbar sind.

Die nunmehr unter genannten Umständen entfallende Möglichkeit, die Abmahnkosten auf den Abgemahnten abzuwälzen, stellt jedoch eine deutliche Erleichterung insbesondere für kleinere Unternehmen dar. Dies bedeutet jedoch nicht, dass die Vorgaben der DSGVO nicht mehr sorgfältig umgesetzt werden sollen, denn die teils empfindlichen Rechtsfolgen (= Bußgeldverfahren der zuständigen Datenschutzaufsichtsbehörden) bei datenschutzrechtlichen Verstößen bleiben weiterhin bestehen.

Hinweis: Mittlerweile kursieren auch Forderungsschreiben, die auf die Zahlung eines Schadensersatzes abzielen, sofern ein Kontaktformular nicht verschlüsselt worden ist. Weitere Informationen zu diesen Forderungsschreiben können Sie hier nachlesen.

Fazit

Die DSGVO erachtet die SSL-Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Hiernach sollten Online-Händler im bestmöglichen Fall ihre komplette Internetseite SSL-verschlüsseln. Zumindest aber die Bereiche, in denen personenbezogene Daten der Kunden verarbeitet werden, wie das Kontaktformular und der Bestellprozess, sollten SSL-verschlüsselt werden.

Noch kein Mandant und Interesse an unseren sicheren Rechtstexten für den Verkauf Ihrer Waren im Online-Handel? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. nur 5,90 € erhältlich).

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© tashatuvango - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt
© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller