Persönliches Leid – Schadensersatz wegen fehlender SSL-Verschlüsselung?

Brüssel, 02. August 2018 – Seit einiger Zeit erhalten Händler Abmahnungen mit fünfstelligen Schadensersatzforderungen, welche auf Verstöße gegen die Datenschutz-Grundverordnung gestützt werden. Begründet werden die Abmahnungen mit dem Fehlen einer SSL-Verschlüsselung bei der Übersendung der Inhalte eines Kontaktformulars auf Webseiten. Das SSL-Protokoll soll gewährleisten, dass sensible Daten beim Surfen im Internet ausschließlich verschlüsselt übertragen werden. Nach dem heutigen Stand der Technik ist diese Verschlüsselung Standard auf den meisten Homepages (zu erkennen an der Internetadresse, welche mit „HTTPS“ beginnt).

Der abmahnende Anwalt sieht in dem Fehlen dieser Verschlüsselungstechnik einen Verstoß gegen die Bestimmungen des Datenschutzsrechts. Das Schmerzensgeld rechtfertigt er mit dem „persönlichen Leid“ des Händlers, welcher ihn in der Sache mandatiert hatte.

Grundsätzlich richtig ist die Aussage des abmahnenden Anwaltes, dass datenschutzrechtliche Verstöße ein Schmerzensgeld begründen können. Die Datenschutz-Grundverordnung bestimmt, dass Schmerzensgeld auf der Grundlage von Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung und ähnlich gelagerten Fällen verlangt werden kann. Ob dies jedoch auf Grundlage eines fehlenden HTTPS-Protokolls verlangt werden kann, scheint mehr als fraglich. Zudem gilt wie bei allen Schadensersatzansprüchen: Die den Anspruch begründenden Umstände muss derjenige beweisen, der den Schadensersatz fordert. Auch dies scheint nicht hinreichend in den Abmahnschreiben erfolgt zu sein.

Zudem gilt: Auch wenn das Protokoll mittlerweile als Standardverschlüsselung gilt, schreibt weder die Datenschutz-Grundverordnung noch das neue Bundesdatenschutzgesetz eine bestimmte Verschlüsselungstechnik vor. Auch wenn die ausgesprochenen Abmahnungen mehr als fragwürdig erscheinen, ist dennoch anzuraten, dass Homepages mit dieser Technologie ausgestattet sind – dies gebietet bereits ein breit verstandener Kundenservice.

Insgesamt erscheint daher fraglich, ob ein solcher Verstoß eine Abmahnung begründen kann. Sollten Händler daher eine Abmahnung aufgrund des fehlenden HTTPS-Protokolls erhalten, rät DER MITTELSTANDSVEBRUND zur Besonnenheit: in keinem Fall sollte eine irgend geartete Unterlassungserklärung leichtfertig beziehungsweise ungeprüft unterschrieben werden. Vielmehr gilt es, einen Rechtsanwalt aufzusuchen und mit ihm die weiteren Schritte zu besprechen.