Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Achtung Abmahnung: Fehlende SSL-Verschlüsselung von Kontaktformularen und im Check-Out des Online-Shops

12.03.2021, 09:38 Uhr | Lesezeit: 7 min
Achtung Abmahnung: Fehlende SSL-Verschlüsselung von Kontaktformularen und im Check-Out des Online-Shops

Der IT-Recht Kanzlei liegt eine Abmahnung eines Unternehmers vor. Darin wurde eine fehlende SSL-Verschlüsselung im Bereich eines Kontaktformulars abgemahnt. In unserem neuesten Beitrag gehen wir der Frage nach, ob die DSGVO eine Pflicht zur Verschlüsselung enthält und ob (Kontakt-)Formulare bzw. der Check-Out-Bereich in Online-Shops per SSL verschlüsselt sein müssen.

Was ist geschehen?

Ein Unternehmer mahnte seinen Mitbewerber ab. Es ging um angebliche Verstöße gegen die DSGVO. Aus Sicht des abmahnenden Unternehmers habe der Mitbewerber nicht seiner durch die DSGVO auferlegten Verschlüsselungspflicht hinsichtlich der Kontaktaufnahmemöglichkeit genügt.

Tatsächlich eröffnete der Mitbewerber auf seiner Internetpräsenz die Möglichkeit, über ein Kontaktformular mit ihm in Kontakt zu treten. Diese Möglichkeit der Kontaktaufnahme wurde jedoch nicht im Form einer SSL-Verschlüsselung technisch abgesichert, weshalb der abmahnende Unternehmer unter anderem zur Abgabe einer Unterlassungserklärung aufforderte.

In diesem Zusammenhang stellt sich die Frage, ob die DSGVO tatsächlich eine (SSL-) Verschlüsselung in Bezug auf die Kontaktaufnahmemöglichkeit (wie z. B. durch ein Kontaktformular) vorsieht und ob eine fehlende Verschlüsselung einen (wettbewerbsrechtlich) abmahnbaren DSGVO-Verstoß darstellt.

(SSL-) Verschlüsselung – was ist das?

Unter einer Verschlüsselung ist ein Vorgang zu verstehen, bei dem eine klar lesbare Information mit Hilfe eines kryptographischen Verfahrens in eine „unleserliche“ Zeichenfolge umgewandelt wird.

Die Kurzform SSL steht für „Secure Sockets Layer“ und stellt ein hybrides Verschlüsselungsprotokoll dar. Mithilfe dieses Verschlüsselungsprotokolls werden personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert.

Dies hat den Effekt, dass Daten vor Zugriffen von Dritten bei der Eingabe (bspw. in ein Kontaktformular) und während der Übermittlung an den Empfänger geschützt werden. Die SSL-Technologie hat sich als Standard für die Verschlüsselung von (Internet-)Inhalten etabliert, denn ihre Implementierung erfordert weder viel Zeit, noch ist sie sehr kostenintensiv.

Im Internet ist die SSL-Verschlüsselung omnipräsent und auch für technische Laien leicht identifizierbar: Die URL in der Browserzeile einer per SSL verschlüsselten Website enthält nach dem Standard-Übertragungsprotokoll „http“ den Zusatz eines „s“, also "https" (das "s" steht für das englische Wort „secure“).

Die SSL-Verschlüsselung stellt unter Idealbedingungen stets sicher, dass die verschlüsselten Daten lediglich durch den berechtigten und bestimmten Empfänger dekodiert werden können und leistet somit einen wichtigen Beitrag zur Aufrechterhaltung eines hohen Datenschutzniveaus.

Banner Starter Paket

Keine SSL-Verschlüsselung = DSGVO-Verstoß?

Ist eine (SSL-) Verschlüsselung notwendig, um den Vorschriften der DSGVO Genüge zu tun?

Bereits nach dem „alten“ Bundesdatenschutzgesetz (BDSG) bestand nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (LDA Bayern) eine Pflicht zur Verschlüsslung in gewissen Bereichen. Gestützt wurde diese Auffassung auf § 9 BDSG a. F., wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen.

Auch nach der DSGVO sollte eine Verschlüsselung durchgeführt werden. Der aus Art. 5 lit f. DSGVO zu entnehmende Grundsatz der Integrität und Vertraulichkeit ist bei der Verarbeitung von personenbezogenen Daten stets zu beachten. Demnach müssen personenbezogene Daten auf eine Weise unter Zuhilfenahme geeigneter technischer und organisatorischer Maßnahmen verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Der in Art. 5 lit f. DSGVO kodifizierte Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b weiter konkretisiert. Hier gibt die DSGVO einen Maßnahmenkatalog vor, welcher das Ziel der Gefahrenabwehr für Daten durch Dritte beinhaltet.

Nach Art. 32 Abs. 1 S. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu diesen Maßnahmen zählt nach Art. 32 Abs. 1 S. 1 Hs. 2 lit. b DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Das bedeutet, dass die DSGVO eine Verschlüsselung personenbezogener Daten als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen, ansieht. Hieraus folgt, dass eine Verschlüsselung personenbezogener Daten essenziell ist, um nicht wegen des Vorwurfs der unverschlüsselten und damit datenschutzwidrigen Verarbeitung personenbezogener Daten Nachteile zu erleiden.

Wo ist eine Verschlüsselung erforderlich?

Nachdem geklärt ist, dass eine (SSL-) Verschlüsselung grundsätzlich erforderlich ist, stellt sich die Frage, wo sie überall eingesetzt werden muss.

IT-Recht Kanzlei

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick
  • Wissensvorsprung
    Zugriff auf exklusive Beiträge, Muster und Leitfäden
  • Schutz vor Abmahnungen
    Professionelle Rechtstexte – ständig aktualisiert
  • Monatlich kündbar
    Schutzpakete mit flexibler Laufzeit
Laptop
Ab
1,50 €
mtl.

Abmahnfähigkeit Datenschutzverstöße

Lange war umstritten, ob DSGVO-Verstöße wettbewerbsrechtlich abgemahnt werden können. Nachdem mittlerweile die überwiegende Anzahl der Gerichte die Auffassung vertritt, dass Verstöße gegen die DSGVO abmahnbar sind, stellt das Gesetz nunmehr in § 13 Abs. 4 UWG in Bezug auf datenschutzrechtliche Verstöße fest:

"(4) Der Anspruch auf Ersatz der erforderlichen Aufwendungen nach Absatz 3 ist für Anspruchsberechtigte nach § 8 Absatz 3 Nummer 1 ausgeschlossen bei
(...)
2.
sonstigen Verstößen gegen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) und das Bundesdatenschutzgesetz durch Unternehmen sowie gewerblich tätige Vereine, sofern sie in der Regel weniger als 250 Mitarbeiter beschäftigen."

Das heißt vereinfacht, dass keine Abmahnkosten für eine Abmahnung eines Mitbewerbers geltend gemacht werden können, wenn es sich um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) handelt. Dies gilt jedoch nur, sofern diese Datenschutzverstöße durch kleinere Unternehmen begangen werden.

Die Änderungen des UWG bestätigen aber zunächst die Rechtsauffassung, wonach Datenschutzverstöße nach DSGVO und BDSG grundsätzlich abmahnbar sind.

Die nunmehr unter genannten Umständen entfallende Möglichkeit, die Abmahnkosten auf den Abgemahnten abzuwälzen, stellt jedoch eine deutliche Erleichterung insbesondere für kleinere Unternehmen dar. Dies bedeutet jedoch nicht, dass die Vorgaben der DSGVO nicht mehr sorgfältig umgesetzt werden sollen, denn die teils empfindlichen Rechtsfolgen (= Bußgeldverfahren der zuständigen Datenschutzaufsichtsbehörden) bei datenschutzrechtlichen Verstößen bleiben weiterhin bestehen.

Hinweis: Mittlerweile kursieren auch Forderungsschreiben, die auf die Zahlung eines Schadensersatzes abzielen, sofern ein Kontaktformular nicht verschlüsselt worden ist. Weitere Informationen zu diesen Forderungsschreiben können Sie hier nachlesen.

Fazit

Die DSGVO erachtet die SSL-Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Hiernach sollten Online-Händler im bestmöglichen Fall ihre komplette Internetseite SSL-verschlüsseln. Zumindest aber die Bereiche, in denen personenbezogene Daten der Kunden verarbeitet werden, wie das Kontaktformular und der Bestellprozess, sollten SSL-verschlüsselt werden.

Noch kein Mandant und Interesse an unseren sicheren Rechtstexten für den Verkauf Ihrer Waren im Online-Handel? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. nur 5,90 € erhältlich).

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© tashatuvango - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei