Händler erhalten vermehrt DSGVO-Abmahnungen

Uns liegen Berichte von Händlern vor, die Abmahnungen der Interessengemeinschaft Datenschutz – kurz IGD – erhalten haben. Wie der Seite von Internetrecht Rostock zu entnehmen ist, sind fehlende SSL- beziehungsweise TLS-Verschlüsselung Inhalt der Abmahnungen. Verlangt wird eine Abmahnpauschale in Höhe von 285,60 Euro.

Laut eigener Homepage ist der IGD ein Verein, der „sich für die Datenschutzinteressen von Verbrauchern in Deutschland einsetzt”. Eingetragen wurde der Verein am 20.02.2019, also kurz bevor die ersten Abmahnungen versendet wurden.

Dürfen die das?

Nach UWG dürfen Vereine Abmahnungen aussprechen, „soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, wenn sie insbesondere nach ihrer personellen, sachlichen und finanziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interessen tatsächlich wahrzunehmen und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt“.

Ob der IGD die erforderlichen Voraussetzungen erfüllt, ist uns zurzeit nicht bekannt. Sicher ist allerdings, dass sich der Verein nicht auf das Unterlassungsklagengesetz berufen darf. Demnach sind nur im Anhang des Gesetzes aufgelistete „qualifizierte Einrichtungen” legitimiert. Der Verein ist aber nicht aufgelistet.

Nach eigenen Aussagen leitet der Verein seine Aktivlegitimation direkt aus der DSGVO ab. Im Moment ist allerdings höchst umstritten, ob Verstöße gegen die DSGVO überhaupt abmahnfähig sind. Hinzu kommt, dass der kurze Abstand zwischen Eintragung und erster Abmahnung auf eine rechtsmissbräuchliche Verwendung des Instruments der Abmahnungen hindeuten.

Was tun?

Wer eine Abmahnung vom IGD erhält, sollte sie dennoch ernst nehmen. In erster Linie gilt es, Ruhe zu bewahren und sich fachkundigen Rat einzuholen, denn: Die SSL-Verschlüsselung ist nicht ohne Grund mittlerweile Standard. Laut Telemediengesetz (§ 13 Absatz 7 TMG) sind Diensteanbieter verpflichtet, technisch und wirtschaftlich zumutbare Vorkehrungen zu treffen, um personenbezogene Daten zu schützen. Diesen Schutz sichert eine Verschlüsselung von Daten. Ohne Verschlüsselung können empfindliche, personenbezogene Daten, wie Adressen und Kontoverbindungen, abgefangen werden.