Es war im Zuge des Wirksamwerdens der DSGVO befürchtet worden: Massenhafte Abmahnungen wegen DSGVO-Verstößen. Nachdem es an der Abmahnfront in den ersten Wochen nach dem 25.05.2018 jedoch relativ ruhig geblieben ist, gehen hier nun die ersten „Abmahnungen“ der Kanzlei Sandhage ein, mit denen wegen eines DSGVO Verstoßes zwischen 6.500 und 12.500 EUR gefordert werden. Wir haben in den vergangenen Jahren ja schon viel an Unverfrorenheit erlebt, aber diese Schreiben schlagen dem Fass den Boden aus.
- Datenschutzrecht
- Wettbewerbsrecht
Rechtsanwalt Sandhage fordert bis zu 12.500 EUR Schmerzensgeld wegen DSGVO-Verstoß
von Carl Christian Müller
Abmahnung wegen fehlender ssl-Verschlüsselung
Was ist dran, an den Schreiben der Kanzlei Sandhage?
Mit den Schreiben, die in den uns bekannten Fällen im Auftrag eines Herrn Rolf Dieter Reichel versendet worden sind, wird behauptet unsere Mandanten hätten gegen die DSGVO verstoßen, weil die Kommunikation über das auf deren Webseite vorgehaltene Kontaktformular nicht SSL-verschlüsselt abliefe. Eine SSL(Secure Socket Layer)-Verbindung (https://) ist eine verschlüsselte Netzverbindung zwischen einem Server und einem Client (auch: Browser). Die SSL-Verbindung garantiert, dass sensible personenbezogene Daten im Internet verschlüsselt übertragen werden. Ob eine Webseite eine https://-Vebindung vorhält, erkennen Sie in der Adresszeile Ihres Browsers.
In tatsächlicher Hinsicht war der Vorwurf in allen uns bekannten Fällen zutreffend.
In rechtlicher Hinsicht ist es so, dass Webseitenbetreiber nach § 13 Abs. 7 TMG durch technische und organisatorische Vorkehrungen, nach dem Stand der Technik sicherzustellen haben, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten sowie gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind, soweit dies technisch möglich und wirtschaftlich zumutbar ist. Das Zertifikat für eine SSL-Verbindung kostet wenige Euro und kann unproblematisch bei dem jeweiligen Internet-Service-Provider erworben und vom Administrator der jeweiligen Seite eingebunden werden. Insofern ist ein Rechtsverstoß nicht unbedingt von der Hand zu weisen.
Heißt das, ich muss Herrn Sandhage Geld überweisen?
Nein, auf keinen Fall! Zahlen Sie nichts. Lassen Sie sich auch nicht durch die weiteren Folgeschreiben der Kanzlei Sandhage beeindrucken. Mit der Abmahnung wird ein immaterieller Schadensersatzanspruch, also ein Schmerzensgeldanspruch, geltend gemacht. Dieser ist zwar tatsächlich in § 82 DSGVO normiert. In dessen Absatz 1 heißt es wörtlich:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Die Vorschrift setzt also voraus, dass dem Mandanten von Herrn Sandahage, Herrn Rolf Dieter Reichel, ein immaterieller Schaden entstanden ist. Und das erscheint schon mehr als fraglich.
Auf der Suche nach dem Schaden
Der Jurist definiert einen solchen immateriellen Schaden als Schaden, der kein Vermögensschaden ist, also nicht geldwerte Rechtsgüter, sondern beispielsweise Körper, Freiheit oder Ehre betrifft. Im Medienrecht ist ein solcher immaterieller Schadensersatzanspruch bei sehr schwerwiegenden Persönlichkeitsrechtsverletzungen anerkannt, beispielsweise bei der unerlaubten Veröffentlichung von Nacktbildern oder schwerwiegenden Beleidigungen.
Nun weiß man nicht so genau, was sich der europäische Verordnungsgeber so alles gedacht hat, bei der Vorschrift des Art. 82 DSGVO. Einiges ist den Erwägungsgründen zu entnehmen, wiederum einiges nicht. Wenn man aber weiß, dass das gesamte Datenschutzrecht eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt, nämlich in Form des Rechts auf informationelle Selbstbestimmung, da liegt der Gedanke nahe, dass ein immaterieller Schadensersatzanspruch, dem eine Verletzung von Datenschutzrechten zu Grunde liegt, so zu beurteilen ist, wie ein immaterieller Schadensersatzanspruch dem eine Verletzung des allgemeinen Persönlichkeitsrechts zu Grunde liegt.
Voraussetzung für den immateriellen Schadensersatzanspruch bei einer Verletzung des allgemeinen Persönlichkeitsrechts ist jedoch, das zunächst mal die „Grundansprüche“ wie Unterlassungsansprüche, Beseitigungsansprüche und materielle Schadens- und Aufwendungsersatzansprüche geltend gemacht wurden. Man spricht insofern von einem subsidiären Anspruch. Diese Ansprüche werden in dem Schreiben der Kanzlei Sandhage gar nicht erwähnt. Herr Sandhage kommt lieber gleich zur Sache. Wir halten den Anspruch aber bereits aus diesem Grunde für nicht durchsetzbar.
Herr Rolf Dieter Reichel verletzt sich selbst. Aua.
Im Übrigen fehlt es aber auch an jeglichem Vortrag zu der Frage, welchen zu einem immateriellen Schadensersatzanspruch berechtigten Seelenschmerz denn Herr Rolf Dieter Reichel erlitten haben soll, als er das Kontaktformular ausgefüllt und die Informationen versendet hat. Und vor allem: Wann hat Herr Reichel gemerkt, dass all dies unverschlüsselt erfolgt ist? Und was hat das dann – so rein seelisch – mit ihm alles angestellt? Im Ernst: Es steht bei der Masse der versendeten Schreiben zu vermuten, dass der Mandant unseres Herrn Sandhage, also Rolf Dieter Reichel, sich ganz bewusst Webseiten ausgesucht hat, die keine SSL-Verschlüsselung ausweisen. Er wusste also , was er tat, als er das Kontaktformular bediente und so tatkräftig selbst zu seiner Rechtsverletzung beigetragen hat. Bereits aus diesem Grunde kann man die Schreiben der Kanzlei Sandhage getrost als schlechten Scherz bezeichnen.
Wahnsinn? Wahnsinn!
Hinzu kommt, dass die von den deutschen Gerichten ausgeworfenen Schmerzensgeldansprüche eher gering ausfallen. So hat das OLG Köln im Jahre 2006 der Witwe ihres während einer Urlaubsreise beim Sturz vom Balkon verunglückten Ehemanns einen Anspruch in Höhe von 6.500,00 EUR zugesprochen (16 U 40/06). Das Landgericht München hat dem Ehemann gegenüber dessen Psychiater einen Schmerzensgeldanspruch in Höhe von 5.000 EUR zugesprochen, nachdem letzterer ein Gutachten über die psychische Erkrankung des Ehemanns ohne dessen Einwilligung an dessen Ehefrau weitergegeben hatte (9 O 18165/07).
Wie Herr Reichel vor diesem Hintergrund 6.500 oder gar 12.500 EUR durchsetzen will, erschließt sich nicht. Sofern er dies in den Schreiben mit den erhöhten Bußgeldrahmen der DSGVO in Verbindung gebracht wird, bleibt hierzu zu sagen: Ja, stimmt, der Bußgeldrahmen ist erhöht. Aber was haben Bußgelder (werden von den Datenschutzbehörden per Bescheid durchgesetzt) mit Schmerzensgeldansprüchen zu tun? Nichts. Sofern Herr Reichel tatsächlich den Gerichtsweg beschreitet, kann man ihm nur hinterherrufen: Gute Reise!
Nicht durch die Schreiben der Kanzlei Sandhage verunsichern lassen
Daher: Lassen Sie sich nicht ins Bockhorn jagen. Wie schreibt Herr Sandhage selbst so schön auf seiner Webseite unter der Überschrift „Abmahnwelle wegen DSGVO“?
„Bei aller Vorsicht gilt daher: Lassen Sie sich nicht verunsichern, geraten Sie nicht in Panik. Unterschreiben Sie nichts, zahlen Sie nichts und lassen sich anwaltlich beraten.“
Genauso machen wir das. Wenn Sie also Rat suchen, Fragen haben oder noch ein Rest Unsicherheit verblieben ist, nutzen Sie unsere garantiert kostenfreie telefonische Ersteinschätzung. Wir helfen Ihnen gerne weiter.
Was darüber hinaus unbedingt zu tun ist: Webseite DSGVO-konform ausgestalten
Denn - was nicht von der Hand zu weisen ist: Herr Sandhage weist mit seinen Schreiben zutreffend auf einen Rechtsverstoß hin, s. o.: Webseite mit Kontaktformular ohne SSL-Verschlüsselung verstößt gegen § 13 Abs. 7 TMG. Unseres Erachtens ist in diesen Fällen mit § 13 Abs. 7 TMG eine wettbewerbsschützende Vorschrift verletzt, denn die Unternehmer, die keine SSL-Verschlüsselung vorhalten, haben durch den ersparten Aufwand und die ersparten Kosten einen Vorteil gegenüber ihren jeweiligen Mitbewerbern verschafft. Es ist also durchaus denkbar, dass ein solcher Verstoß künftig abgemahnt wird. Wenn nicht von Herrn Sandhage, dann von anderen.
Datenschutzerklärungs-Generator von SOS-Recht vermeidet Abmahnungen
Die Gefahr von Abmahnungen wegen DSGVO-Verstößen ist durchaus real.
Wir haben auf der Seiten SOS Datenschutz einen Datenschutz-Erklärungsgenerator aufgesetzt, den Sie kostenfrei nutzen können. Mit unserem Datenschutz-Generator können Sie eine Datenschutzerklärung erstellen, die individuell auf Ihr Unternehmen und die Anwendungen Ihrer Webseite ausgerichtet ist. Der Datenschutz-Generator geht damit über das hinaus, was die meisten Muster-Datenschutzerklärungen zu bieten haben. Zudem enthält der Generator viele Umsetzungshinweise – so beispielsweise auch einen zur SSL-Verschlüsselung bei Kontaktformularen.
Sofern auch Sie mit einer Abmahnung konfrontiert sind, sollten Sie anwaltlichen Rat suchen. Gerne können Sie sich bei uns melden – wir verteidigen seit über 10 Jahren Mandanten gegen Abmahnungen. Profitieren auch Sie von unseren Erfahrungswerten. Wir vertreten bundesweit.
Haben Sie bereits eine DSGVO-konforme Datenschutzerklärung?
Seit dem 25.05.2018 müssen alle Webseitenbetreiber eine Datenschutzerklärung vorhalten, die den Anforderungen der Datenschutz-Grundverordnung entspricht. Nutzen Sie hierzu unseren DSGVO-Datenschutz-Generator, mit dem Sie Ihre individuelle Datenschutzerklärung in wenigen Minuten erstellen können.
SOS Datenschutzgenerator:
- DSGVO-konform
- Von Anwälten entwickelt
- Mit vielen wertvollen Umsetzungshinweisen