DSGVO-Abmahnung des IGD Interessengemeinschaft Datenschutz. Abmahnungen des IGD Interessengemeinschaft Datenschutz e.V.
Die sogenannte „Interessengemeinschaft Datenschutz e.V. (IGD)“, ein erst kürzlich gegründeter Verein, verschickt dieser Tage fleißig Abmahnungen an Geschäftsleute in ganz Deutschland. Davon berichten zahlreiche Betroffene und deren Rechtsanwälte im Netz. Auch unsere Kanzlei hat bereits Kenntnis von derartigen Abmahnungen. Absenderadresse ist stets: Straße der Jugend 18, 14974 Ludwigsfelde. Ein Blick ins Registerportal der Länder zeigt, dass der IGD erst am 06.03.2019 ins Vereinsregister eingetragen worden ist. Die erste uns vorliegende Abmahnung stammt vom 07.03.2019.
Verstoß gegen DSGVO
Vorwurf und Forderung sind stets dieselben: Der abgemahnte Websitebetreiber habe gegen die Normen der DSGVO verstoßen, indem er sein Kontaktformular nicht verschlüsselt hätte. Um eine Klage abzuwenden, solle er daher eine strafbewehrte Unterlassungserklärung mit fester Vertragsstrafe in Höhe von 4.000 € unterschreiben und den Ersatz der Abmahnkosten zahlen, die auf 285,60 € beziffert werden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Würtemberg spricht vom 1. breiten Versuch nach der DSGVO Abmahnungen auszusprechen (DS-GVO-Abmahnungen des IGD Interessengemeinschaft Datenschutz).
Ganz konkret bemängelt der Verein, dass der Adressat das Kontaktformular auf seiner Website nicht mit der sogenannten SSL-Verschlüsselung verschlüsselt. Gemeint ist damit „Secure Sockets Layer“, ein Protokoll, dass dafür sorgt, dass sensible Daten im Netz verschlüsselt übertragen werden. Diese Verschlüsselung fehle bei den Adressaten, was wiederrum gegen Artikel 25 Abs. 1, 32 Abs. 1 2. Hs. Lit. a) DSGVO verstieße.
Darf ein Verein DSGVO-Verstöße abmahnen?
Ob der Verein überhaupt berechtigt ist, derartige Abmahnungen zu verschicken, ist noch nicht geklärt. Der Verein verweist in seinem Schreiben auf Artikel 80 DSGVO und auf Art. 4 Abs. 1 Satz 2 der Richtlinie 98/27/EG, um seine Aktivlegitimation, also sein Recht, gegen einen vermeintlichen Rechtsverstoß außergerichtlich vorzugehen, zu begründen.
Diese Norm bestimmt, dass jemand, der von einem DSGVO-Verstoß betroffen ist, sich unter bestimmten Voraussetzungen durch „eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht“ vertreten lassen kann.
Dies würde zumindest in jedem Fall voraussetzen, dass ersichtlich ist, wer überhaupt Auftraggeber des Vereins ist. Hinweise auf Betroffene finden sich den Berichten zufolge aber keine. Auch ein Verweis auf eine Richtlinie der EU läuft ins Leere. Nicht nur, weil die Richtlinie 98/27/EG, auf die verwiesen wird, schon längst aufgehoben ist, sondern auch, weil eine Richtlinie ohne nationalen Umsetzungsakt grundsätzlich keine Aktivlegitimation schaffen kann.
Wahrscheinlich will der IGD seine Aktivlegitimation auf § 8 Abs. 3 Nr. 2 UWG stützen, der
„rechtsfähigen Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, wenn sie insbesondere nach ihrer personellen, sachlichen und finanziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interessen tatsächlich wahrzunehmen und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt handeln“
die Möglichkeit einräumt, bei Wettbewerbsverstößen Verletzer auf Unterlassung in Anspruch zu nehmen. Ob der Verein tatsächlich die entsprechenden Voraussetzungen erfüllt, ist bisher unklar und wurde in dem Abmahnschreiben auch nicht dargelegt. Insbesondere ist bisher fraglich, ob dem Verein eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art anbieten wie die Abgemahnten.
Das heißt aber nicht, dass man wegen dieser Ungereimtheiten diese Abmahnungen einfach ignorieren kann. Denn das Thema „SSL-Verschlüsselung“ im Zusammenhang mit Kontaktformularen auf Webseiten hat tatsächlich eine hohe praktische und auch datenschutzrechtliche Relevanz. Wer ein nichtverschlüsseltes Kontaktformular auf seiner gewerblichen bzw. geschäftlichen Website verwendet, verstößt tatsächlich mit aller Wahrscheinlichkeit gegen die DSGVO. Daher sollte man dringend seine Kontaktformulare auf die SSL-Verschlüsselung umstellen, sofern dies noch nicht der Fall ist.
Fazit
Aufgrund der zahlreichen offenen Fragen in Bezug auf diese konkreten Abmahnungen der IGD und in Hinblick auf die geforderte strafbewehrte Unterlassungserklärung sollte man sich zeitnah an Rechtsanwalt für Datenschutzrecht wenden und im konkreten Fall beraten lassen, bevor man auf die Abmahnung reagiert.
Kommentar schreiben