Droht Schmerzensgeldwelle wegen DSGVO?

Foto: © willyam - stock.adobe.com

Ein aktueller Fall zeigt, dass Vermittler penibel darauf achten sollten, die DSGVO einzuhalten. Besonders der Übermittlung der Daten kommt dabei eine entscheidende Rolle zu.

Seit 25. Mai ist die Europäische Datenschutzgrundverordnung (EU DSGVO) in Kraft. In dieser wird in allen Mitgliedsstaaten der Europäischen Union die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen geregelt. Ziel ist es, sicher zu stellen, dass personenbezogene Daten in der gesamten EU geschützt werden und dass die Betroffenen immer genau wissen, wer ihre Daten wie verarbeitet und eventuell an Dritte weiterleitet.

Schadensersatz wegen fehlender Verschlüsselung?

Dass ein (vermeintlicher) Verstoß gegen die Bestimmungen teuer werden kann, zeigt nun ein Fall auf, über den die Kanzlei Wirth Rechtsanwälte berichtet. So liegt der auf Vermittlerrecht und gewerblichen Rechtsschutz spezialisierten Kanzlei ein Anwaltsbrief vor, in dem gegenüber einem norddeutschen Versicherungsmaklerunternehmen 3.500 Euro geltend gemacht werden. Die Forderung stammt vom als Abmahnwalt bekannten Berliner Rechtsanwalt Gereon Sandhage und wird im Namen einer Frau aus dem sächsischen Olbernhau geltend gemacht.

Die Frau hatte auf der Webseite des abgemahnten Maklerunternehmens eine Anfrage zu einer privaten Krankenversicherung über ein Kontaktformular übersandt, die auch durch das Unternehmen beantwortet wurde. Später habe die Frau dann feststellen müssen, dass das Maklerunternehmen “die personenbezogenen Daten über das Kontaktformular ohne https als Transportverschlüsselung” einsetzte. So habe die Webseite kein SSL-Zertifikat gehabt, was als erheblicher Verstoß bei der Verarbeitung personenbezogener Daten und „als drastische Missachtung der Vorschriften der DSGVO“ angesehen müsse. Zudem wird eine mangelhafte Datenschutzerklärung moniert. Gereon Sandhage fordert nun unter Berufung auf Artikel 82 der DSGVO vom Maklerunternehmen einen Schadensersatz von 3.500 Euro für seine Mandantin und begründet diese Höhe mit „personal distress“ (persönliche Belastung/ persönliches Leid) seiner Mandantin. Zudem solle damit eine Abschreckfunktion erwirkt werden, die DSGVO penibel einzuhalten.

In wie weit ist die Forderung gerechtfertigt?

Für Rechtsanwalt Norman Wirth ist die Forderung zumindest zweifelhaft. „Das lässt viele Fragen zu, die letztlich erst die Gerichte klären müssen. Welches konkrete Leid der Frau zugestoßen sein soll, ist nicht gesagt und nicht erkennbar.“ Er warnt aber gleichzeitig davor, das Thema zu sehr auf die leichte Schulter zu nehmen: „Brachial und aber auch subtil ist diese Forderung allemal. Denn es wird nicht versäumt mitzuteilen, dass dieser Forderungsbetrag sicher unterhalb von einem möglichen Bußgeld der zuständigen Aufsichtsbehörde liegt. Man könnte also hineinlesen, dass bei verweigerter Zahlung eine Meldung an die Aufsicht in Betracht kommt. Es sind bereits auch deutliche höhere Forderung – bis in den 5-stelligen Bereich – gegen Gewerbetreibende durch Rechtsanwalt Sandhage wegen DSGVO-Verstößen bekannt.“

Laut Norman Wirth erfordert die DSGVO die Anwendung von SSL/TSL-Verschlüsslungen für Websites und insbesondere für Formulare. So schreibt § 13 des Telemediengesetzes die SSL-Verschlüsselung bereits seit dem 25. 7.2015 vor. Die DSGVO bezieht dies nun auch explizit auf persönliche Daten. Damit ergibt sich bei einem Verstoß die entsprechende Konsequenz nach DSGVO in Bezug auf Schadenersatz und ggf. Bußgeld. Rechtsanwalt Norman Wirth rät deshalb allen Gewerbetreibenden, hier in die Prüfung zu gehen und, falls noch nicht geschehen, auf HTTPS umzusteigen. HTTPS ist gesetzlich verpflichtend bei geschäftsmäßigen Webseiten, bei denen Daten eingegeben werden können (ein Kontaktformular reicht bereits) oder z.B. über Cookies automatisch erhoben werden.

„Das Thema Abmahnwelle ist sicherlich nicht vom Tisch. Aber hier haben wir es mit einer teureren Masche zu tun. Explizit ist im Zusammenhang mit der DSGVO seitens des Gesetzgebers von abschreckend hohen Schadenersatzzahlungen die Rede. Es wird teilweise schon erwartet, dass wegen der Anwendung der Rechtsprechung des EuGH höhere Schmerzensgeldbeträge bei DSGVO-Verstößen zu zahlen sein werden, als für Körperverletzungen nach deutschem Recht. Nichts tun ist also keine Option mehr“, mahnt Norman Wirth. (ahu)

www.wirth-rae.de