Verkaufen über Angst
Einige Unternehmen wollen derzeit Neukunden im Webentwicklungsbereich generieren, indem sie potentiellen Kunden mit zweifelhaften Argumenten aus dem Bereich Datenschutz Angst machen. Es geht dabei um Schadenersatz wegen fehlender Verschlüsselung einer Webseite.
Einer meiner Kunden hatte mit einer dieser Firmen erst kürzlich einen Termin, dort wurde dem Kunden mitgeteilt, dass er kein SSL Zertifikat nutzt. Das fehlende SSL-Zertifikat könnte dazu führen, dass er ab dem 01.10.18 deswegen abgemahnt werden könnte.
Für diesen Kunden haben wir längst alles in die Wege geleitet, damit seine Seite möglichst bald verschlüsselt sein wird. Die Vorgehensweise mit solchen Aussagen Kunden zu gewinnen finde ich sehr fraglich.
Der mögliche Hintergrund
Aufgrund dieses Vorfalls wurde ich neugierig und fand auf der Seite von Heise Online einen Beitrag zu einem ersten Fall in diesem Bereich.
Dort geht es um einen Anwaltsbrief des dafür einschlägig bekannten Anwalt Gereon Sandhage aus Berlin. Lt. Heise handelt es dabei allerdings formal um eine Zahlungsanforderung und nicht um eine Abmahnung.
Der Anwalt vertritt einen Optiker aus Berlin. Dieser Optiker hat auf der Seite eines Händlers ein Kontaktformular ausgefüllt, diese Seite war allerdings nicht mit einem SSL-Zertifkat verschlüsselt. Der Anwalt fordert nun für seinen Mandaten Schadenersatz wegen fehlender Verschlüsselung seiner Webseite bzw. seines Kontaktformulars.
Heise schreibt hierzu im Detail:
Der Optiker habe auf der Webseite des abgemahnten Händlers eine Anfrage über ein Kontaktformular übersandt, das dieser auch beantwortete. Im Nachhinein habe der „Geschädigte“ feststellen müssen, dass der Website-Betreiber „die personenbezogenen Daten über das Kontaktformular ohne https als Transportverschlüsselung“ einsetze. Die Website verfüge nicht über ein SSL-Zertifikat. Damit lägen „ganz erhebliche Verletzungen bei der Verarbeitung der Daten“ seines Mandanten vor. Die fehlende SSL-Schlüsselung müsse „schon als drastische Missachtung der Vorschriften der DSGVO“ angesehen werden.
Quelle: Heise Online
Für diesen Sachverhalt verlangt der Anwalt vom Webseitenbetreiber Schadenersatz in Höhe von € 8.500. Es wird dabei auf den Artikel 82 der DSGVO verwiesen. Das Ganze wird mit einem sogenannten „personal distress“ begründet, gekoppelt mit dem Hinweis auf eine Abschreckwirkung im Hinblick auf die besondere Bedeutung der DSGVO.
Dieser Fall demonstriert einen besonderen Einzelfall. Dieser Fall lässt sich nicht pauschal auf alle Webseiten übertragen. Der von mir erwähnte Kunde verwendet überhaupt kein Kontaktformular, insofern ist ein Hinweis auf mögliche zukünftige Abmahnungen sehr kritisch zu sehen.
Weitläufig ist man allerdings der Meinung, dass Kontaktformulare verschlüsselt sein sollten, unter anderem wird dies in diesem Artikel aufgeschlüsselt und erläutert.
Fazit zum Thema Schadenersatz wegen fehlender Verschlüsselung
Der Händler aus diesem kuriosen Schadenersatzfalles hätte also tatsächlich und vor allem auch im Sinne seiner Kunden, eine Verschlüsselung seines Kontaktformulars einsetzen sollen. Generell daraus Kapital zu schlagen und dadurch durch „Angstmache“ Kunden zu gewinnen, halte ich allerdings für sehr fragwürdig.
Ich empfehle grundsätzlich allen Webseitenbetreibern (insbesondere bei gewerblich genutzten Seiten) ein SSL Zertifikat und damit eine Verschlüsselung einzusetzen. Zum einen ist dies wichtig im Umgang mit entsprechenden Nutzerdaten (hierbei muss man natürlich auf die richtige Auswahl des Zertifikates achten) und zum anderen auch aufgrund des Umgangs der aktuellen Browser mit unverschlüsselten Seiten (siehe auch der folgenden Beitrag zu SSL Zertifikaten).