Abmahngefahr DSGVO – warum Kontaktformulare auf Webseiten zu Problemfällen werden können

So schnell kann es gehen: Ein Händler sollte er 8.500 Euro Schadenersatz berappen, nur weil seine Website keine SSL-Verschlüsselung verwendete. Sind jetzt alle Website-Betreiber in Gefahr?

Ein alter Bekannter lässt grüßen ...

Der Anwalt Gereon Sandhage ist für Abmahnungen branchenübergreifend bekannt und zahlreiche Google-Treffer verdeutlichen, wie rege er als Abmahnanwalt unterwegs ist. In der Begründung im Schreiben heißt es, sein Mandant habe eine Anfrage über fragliche Webseite gesandt, die natürlich personenbezogene Daten beinhaltete. Die Anfrage sei allerdings verschlüsselungsfrei versendet worden, worin ein schwerer Verstoß gegen die DSGVO-Vorschriften bestehe – daher die berechtigte Forderung nach Schadenersatz. Dies ist natürlich auch für eine Arztpraxis relevant, wenn beispielsweise Patienten über ein Kontaktformular eine Terminanfrage stellen können.

Wem wurde großes Leid zugefügt?

Des Weiteren wurde im Schreiben angeführt, dass die Schadenersatz-Summe berechtigt sei, da der Händler gegen Artikel 82 DSGVO verstoßen habe. In der Tat geht es in dem Artikel um Schadenersatzansprüche für Geschädigte, die einen sogenannten „personal distress“ erleiden. Übersetzt man den Passus frei, besteht ein Anspruch auf Schadenersatz, wenn ein Betroffener ein Leid zugefügt bekommt oder durch den Verursacher in eine Notlage gerät. Allerdings fehlte im Schreiben der Beweis dafür, dass eben dies, also ein spürbares Leid oder das Versetzen in eine Notlage für den Optiker, den der Anwalt vertritt, tatsächlich stattgefunden hat.

Frage der Verhältnismäßigkeit

Juristen sehen die Abmahnung eher als unberechtigt an. Joerg Heidrich von der Heise Medien GmbH findet es beispielsweise fraglich, ob ein Richter der Argumentation des Anwaltsschreibens folgen würde. Heidrich führt als Vergleich aus einem anderen Rechtsgebiet einen Fall an, bei dem ein Geschädigter für „eine Gehirnquetschung mit Verlust des Geruchssinns“ vom Gericht 5.500 Euro Schmerzensgeld zugesprochen bekam, und wirft die berechtigte Frage auf, inwieweit 8.500 Euro für den „datenschutzgeschädigten“ Optiker in irgendeinem Verhältnis zur Realität stünden. Ebenso ist das natürlich fraglich, wenn beispielsweise der Patient einer Arztpraxis über das Kontaktformular unverschlüsselt seine persönlichen Daten verschickt.

SSL- oder TSL-Verschlüsselungen sind zumutbar – auch für Arztpraxen

Es bleibt bei Spekulationen, wie ein Prozess ausgehen würde – allein schon die Abmahnung bereitet ja für den Abgemahnten eine Menge Aufwand und Ärger. Und auf den kann natürlich auch das Praxisteam einer Arztpraxis verzichten. Unabhängig von der geforderten Schadenersatz-Summe ist der abmahnende Anwalt rechtlich in guter Position, weil eine SSL- oder TSL-Verschlüsselung prinzipiell von jedem zu erwarten ist, der eine geschäftliche Webseite betreibt.

Denn weder bedeutet dies eine aufwendige Installation noch überhöhte Kosten und darf also vorausgesetzt werden. Hinzu kommt, dass die DSGVO eine Verschlüsselung eindeutig fordert, um das Versenden personenbezogener Daten für Dritte uneinsehbar zu machen. Auch wenn Richter hier mit Sicherheit Handlungsbedarf bei Webseiten-Betreibern sehen und es für zumutbar halten, solche oder ähnliche Schutzmechanismen zu installieren. Experten wie etwa Heise-Security-Chefredakteur Jürgen Schmidt plädieren dafür, die SSL- oder TSL-Verschlüsselungen auf jeden Fall zu installieren, wenn mit Webseitenbesuchern über ein Kontaktformular kommuniziert wird.

Das leistet ein SSL-Zertifikat

Ein SSL-Zertifikat (SSL: Secure Socket Layer) sorgt technisch dafür, dass personenbezogene Daten, die zwischen Servern und Browsern ausgetauscht werden, für den Transfer ver- und nach dem Transfer wieder entschlüsselt werden. Zugrunde liegt ein zertifiziertes Regelwerk. Auf den ersten Blick erkennt man die Sicherheit einer Webseite oben rechts in der Eingabezeile des Browsers. Wenn hier ein kleines Schloss zu erkennen ist, wurde die Seite mit einem Zertifikat ausgestattet und gilt als sicher.

Sollten Sie als Seitenbetreiber unsicher sein, ob Ihre Sicherheitseinstellungen auf neuestem Stand sind und auch der DSGVO Genüge tun, sollten Sie dies umgehend mit Ihrem Webseiten-Dienstleister besprechen. Meist ist die Installation beispielsweise von Zertifikaten eine Sache von wenigen Minuten, die Ihnen Wochen oder gar monatelangen Ärger ersparen kann, wie der hier geschilderte Abmahn-Vorfall eindeutig zeigt.

Ist jede Website betroffen?

Im Grunde ist ein SSL-Zertifikat für jede Webseite anzuraten – da macht auch eine Arztpraxis keine Ausnahme. Aber Pflicht und somit auch abmahnbar ist es für Webseiten, auf denen regelmäßig sensible Daten erhoben, abgefragt, versandt und gespeichert werden.

Einige Beispiele:

• Internetshops
• Seiten mit Kontaktformularen
• Webseiten mit Nutzerbereichen
• Newsletter-Versand-Option
• Shops mit Kundenkonten
• Online-Bezahlsysteme

Sollte auf der Webseite Ihrer Praxis eine oder mehrere Optionen in Betracht kommen, sollten Sie dies mit Ihrem Webseiten-Administrator besprechen und so schnell wie möglich Zertifikate nachrüsten.