Fehlende SSL-Verschlüsselung von Kontaktformularen und im Check-Out
Uns liegt eine Abmahnung eines Unternehmers vor. Darin wurde eine fehlende SSL-Verschlüsselung im Bereich eines Kontaktformulars abgemahnt. In unserem neuesten Beitrag gehen wir der Frage nach, ob die DSGVO eine Pflicht zur Verschlüsselung enthält und ob (Kontakt-)Formulare bzw. der Check-Out-Bereich in Online-Shops per SSL verschlüsselt sein müssen.
Was ist geschehen?
Ein Unternehmer mahnte seinen Mitbewerber ab. Es ging um angebliche Verstöße gegen die DSGVO. Aus Sicht des abmahnenden Unternehmers habe der Mitbewerber nicht seiner durch die DSGVO auferlegten Verschlüsselungspflicht hinsichtlich der Kontaktaufnahmemöglichkeit genügt.
Tatsächlich eröffnete der Mitbewerber auf seiner Internetpräsenz die Möglichkeit, über ein Kontaktformular mit ihm in Kontakt zu treten. Diese Möglichkeit der Kontaktaufnahme wurde jedoch nicht im Form einer SSL-Verschlüsselung technisch abgesichert, weshalb der abmahnende Unternehmer unter anderem zur Abgabe einer Unterlassungserklärung aufforderte.
In diesem Zusammenhang stellt sich die Frage, ob die DSGVO tatsächlich eine (SSL-) Verschlüsselung in Bezug auf die Kontaktaufnahmemöglichkeit (wie z. B. durch ein Kontaktformular) vorsieht und ob eine fehlende Verschlüsselung einen (wettbewerbsrechtlich) abmahnbaren DSGVO-Verstoß darstellt.
(SSL-) Verschlüsselung – was ist das?
Unter einer Verschlüsselung ist ein Vorgang zu verstehen, bei dem eine klar lesbare Information mit Hilfe eines kryptographischen Verfahrens in eine „unleserliche“ Zeichenfolge umgewandelt wird.
Die Kurzform SSL steht für „Secure Sockets Layer“ und stellt ein hybrides Verschlüsselungsprotokoll dar. Mithilfe dieses Verschlüsselungsprotokolls werden personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert.
Dies hat den Effekt, dass Daten vor Zugriffen von Dritten bei der Eingabe (bspw. in ein Kontaktformular) und während der Übermittlung an den Empfänger geschützt werden. Die SSL-Technologie hat sich als Standard für die Verschlüsselung von (Internet-)Inhalten etabliert, denn ihre Implementierung erfordert weder viel Zeit, noch ist sie sehr kostenintensiv.
Im Internet ist die SSL-Verschlüsselung omnipräsent und auch für technische Laien leicht identifizierbar: Die URL in der Browserzeile einer per SSL verschlüsselten Website enthält nach dem Standard-Übertragungsprotokoll „http“ den Zusatz eines „s“, also "https" (das "s" steht für das englische Wort „secure“).
Die SSL-Verschlüsselung stellt unter Idealbedingungen stets sicher, dass die verschlüsselten Daten lediglich durch den berechtigten und bestimmten Empfänger dekodiert werden können und leistet somit einen wichtigen Beitrag zur Aufrechterhaltung eines hohen Datenschutzniveaus.
Keine SSL-Verschlüsselung = DSGVO-Verstoß?
Ist eine (SSL-) Verschlüsselung notwendig, um den Vorschriften der DSGVO Genüge zu tun?
Bereits nach dem „alten“ Bundesdatenschutzgesetz (BDSG) bestand nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (LDA Bayern) eine Pflicht zur Verschlüsslung in gewissen Bereichen. Gestützt wurde diese Auffassung auf § 9 BDSG a. F., wonach öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, um diese Daten zu schützen.
Auch nach der DSGVO sollte eine Verschlüsselung durchgeführt werden. Der aus Art. 5 lit f. DSGVO zu entnehmende Grundsatz der Integrität und Vertraulichkeit ist bei der Verarbeitung von personenbezogenen Daten stets zu beachten. Demnach müssen personenbezogene Daten auf eine Weise unter Zuhilfenahme geeigneter technischer und organisatorischer Maßnahmen verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Der in Art. 5 lit f. DSGVO kodifizierte Grundsatz der Integrität und Vertraulichkeit wird durch Art. 32 Abs. 1 Satz 1 Hs. 2 lit. a und lit. b weiter konkretisiert. Hier gibt die DSGVO einen Maßnahmenkatalog vor, welcher das Ziel der Gefahrenabwehr für Daten durch Dritte beinhaltet.
Nach Art. 32 Abs. 1 S. 1 DSGVO haben der Verantwortliche und der Auftragsverarbeiter „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu diesen Maßnahmen zählt nach Art. 32 Abs. 1 S. 1 Hs. 2 lit. b DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Das bedeutet, dass die DSGVO eine Verschlüsselung personenbezogener Daten als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen, ansieht. Hieraus folgt, dass eine Verschlüsselung personenbezogener Daten essenziell ist, um nicht wegen des Vorwurfs der unverschlüsselten und damit datenschutzwidrigen Verarbeitung personenbezogener Daten Nachteile zu erleiden.
Lesetipp: Weitere Informationen können Sie in unserem Beitrag DSGVO für Onlinehändler Teil 2 – don’t panic, get started: Das Kontaktformular im Lichte des neuen Datenschutzrechts nachlesen.
Wo ist eine Verschlüsselung erforderlich?
Nachdem geklärt ist, dass eine (SSL-) Verschlüsselung grundsätzlich erforderlich ist, stellt sich die Frage, wo sie überall eingesetzt werden muss.
Exklusiv-Inhalt für Mandanten
Noch kein Mandant?
-
WissensvorsprungZugriff auf exklusive Beiträge, Muster und Leitfäden
-
Schutz vor AbmahnungenProfessionelle Rechtstexte – ständig aktualisiert
-
Monatlich kündbarSchutzpakete mit flexibler Laufzeit
Abmahnfähigkeit Datenschutzverstöße
Lange war umstritten, ob DSGVO-Verstöße wettbewerbsrechtlich abgemahnt werden können. Nachdem mittlerweile die überwiegende Anzahl der Gerichte die Auffassung vertritt, dass Verstöße gegen die DSGVO abmahnbar sind, stellt das Gesetz nunmehr in § 13 Abs. 4 UWG in Bezug auf datenschutzrechtliche Verstöße fest:
"(4) Der Anspruch auf Ersatz der erforderlichen Aufwendungen nach Absatz 3 ist für Anspruchsberechtigte nach § 8 Absatz 3 Nummer 1 ausgeschlossen bei
(...)
2.
sonstigen Verstößen gegen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) und das Bundesdatenschutzgesetz durch Unternehmen sowie gewerblich tätige Vereine, sofern sie in der Regel weniger als 250 Mitarbeiter beschäftigen."
Das heißt vereinfacht, dass keine Abmahnkosten für eine Abmahnung eines Mitbewerbers geltend gemacht werden können, wenn es sich um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) handelt. Dies gilt jedoch nur, sofern diese Datenschutzverstöße durch kleinere Unternehmen begangen werden.
Die Änderungen des UWG bestätigen aber zunächst die Rechtsauffassung, wonach Datenschutzverstöße nach DSGVO und BDSG grundsätzlich abmahnbar sind.
Die nunmehr unter genannten Umständen entfallende Möglichkeit, die Abmahnkosten auf den Abgemahnten abzuwälzen, stellt jedoch eine deutliche Erleichterung insbesondere für kleinere Unternehmen dar. Dies bedeutet jedoch nicht, dass die Vorgaben der DSGVO nicht mehr sorgfältig umgesetzt werden sollen, denn die teils empfindlichen Rechtsfolgen (= Bußgeldverfahren der zuständigen Datenschutzaufsichtsbehörden) bei datenschutzrechtlichen Verstößen bleiben weiterhin bestehen.
Hinweis: Mittlerweile kursieren auch Forderungsschreiben, die auf die Zahlung eines Schadensersatzes abzielen, sofern ein Kontaktformular nicht verschlüsselt worden ist. Weitere Informationen zu diesen Forderungsschreiben können Sie hier nachlesen.
Fazit
Die DSGVO erachtet die SSL-Verschlüsselung als geeignete technische und organisatorische Maßnahme, um die Datensicherheit sicherzustellen. Hiernach sollten Online-Händler im bestmöglichen Fall ihre komplette Internetseite SSL-verschlüsseln. Zumindest aber die Bereiche, in denen personenbezogene Daten der Kunden verarbeitet werden, wie das Kontaktformular und der Bestellprozess, sollten SSL-verschlüsselt werden.
Noch kein Mandant und Interesse an unseren sicheren Rechtstexten für den Verkauf Ihrer Waren im Online-Handel? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. nur 5,90 € erhältlich).
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare