DSGVO: 8500 Euro Schadensersatz für fehlende SSL-Verschlüsselung? Die Hintergründe

Aufsehen erregten Schadensersatzforderungen für ein Kontaktformular ohne SSL-Verschlüsselung. heise online erläutert die Hintergründe.

In Pocket speichern vorlesen Druckansicht 752 Kommentare lesen
DSGVO: 8500 Euro Schadensersatz für fehlende SSL-Schlüsselung? Die Hintergründe
Lesezeit: 3 Min.
Von
  • Joerg Heidrich
Inhaltsverzeichnis

Was wie eine Räuberpistole klingt, gibt es tatsächlich: Abmahnungen, in denen von Händlern fünfstellige Summen als Schadensersatz für eine nicht vorhandene SSL-Verschlüsselung bei der Übersendung der Inhalte eines Kontaktformulars geltend gemacht werden. heise online liegt nun ein solches Schreiben vor.

In dem vorliegenden Anwaltsbrief werden "nur" 8500 Euro geltend gemacht. Der Händlerbund berichtet allerdings von einer Forderung von 12.500 Euro, die vom selben Anwalt stammt. Dabei handelt es sich um den bereits seit längerer Zeit im Bereich von fragwürdigen Abmahnungen tätigen Gereon Sandhage aus Berlin. Das uns vorliegende Schreiben ist allerdings formal mehr Zahlungsaufforderung als Abmahnung.

In seinem Schriftsatz vertritt Sandhage einen Augenoptiker aus Berlin, für dessen Unternehmen er auch bereits Abmahnungen in anderen Rechtsbereichen versandt hat. Der Optiker habe auf der Webseite des abgemahnten Händlers eine Anfrage über ein Kontaktformular übersandt, das dieser auch beantwortete. Im Nachhinein habe der "Geschädigte" feststellen müssen, dass der Website-Betreiber "die personenbezogenen Daten über das Kontaktformular ohne https als Transportverschlüsselung" einsetze. Die Website verfüge nicht über ein SSL-Zertifikat. Damit lägen "ganz erhebliche Verletzungen bei der Verarbeitung der Daten" seines Mandanten vor. Die fehlende SSL-Schlüsselung müsse "schon als drastische Missachtung der Vorschriften der DSGVO" angesehen werden.

Für diese Verletzung verlangt Sandhagen von dem Website-Betreiber unter Verweis auf Artikel 82 der DSGVO einen Schadensersatz in Höhe von 8500 Euro. Diese Summe begründet der Anwalt damit, dass der "personal distress" (etwa "persönliches Leid") seines Mandanten ebenso zu berücksichtigen sei wie die Abschreckungsfunktion "im Hinblick auf die besondere Bedeutung der DSGVO". Der gewählte Betrag läge sogar am "unteren Ende der vertretbaren Skala".

Tatsächlich sieht Artikel 82 DSGVO vor, dass jede Person, der wegen eines Verstoßes gegen die Vorschriften des Datenschutzes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zusteht. Erwägungsgrund 75 führt einige Beispiele für derartige Schäden aus. Diese könnten etwa in einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder "anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen" liegen.

In welche Not oder welches Leid – so jedenfalls die Übersetzung von "distress" – die unverschlüsselte Übersendung des Kontaktformulars den Augenoptiker konkret geführt habe, wird in dem Schreiben allerdings offengelassen. Auch die Höhe des Schmerzensgeldes erscheint angesichts der sonstigen Entscheidungen in diesem Bereich bemerkenswert. So war etwa eine "Gehirnquetschung mit Verlust des Geruchssinns" den Gerichten mit 5500 Euro weit weniger als der geforderte Betrag wert.

Die Frage, ob die DSGVO die Anwendung von SSL/TLS-Verschlüsselung für Websites und insbesondere für Formulare erfordert, dürfte dagegen von Juristen wie von Technikern bejaht werden. Nach Ansicht von Jürgen Schmidt, Chefredakteur von heise Security, ist SSL/TLS eindeutig Stand der Technik und sollte auf jeden Fall verwendet werden. Für den Transport von schützenswerten Daten, wie zum Beispiel Webformulare mit personenbezogenen Daten, sei die Nutzung aus technischer Sicht unverzichtbar. Wer allerdings hofft, es allein durch die Nutzung einer Website, die diesen Vorgaben nicht genügt, zu Wohlstand zu bringen, dürfte dabei kaum mit der Unterstützung der Gerichte rechnen dürfen.

Der Autor ist Rechtsanwalt und Justiziar der Heise Medien GmbH und Co. KG. (anw)