Abmahnbriefe wegen DSGVO (NL 27/18)

Praktische Auswirkungen der DSGVO auf IT
Praxis-Tipps zum Vermeiden von Problemen.

Die DSGVO-Umsetzung ist mit dem Stichtag 25.5.18 natürlich nicht „vorbei“.
In vielen Bereichen war unklar, wie die DSGVO korrekt umzusetzen ist. Daher warten nun alle auf Konkretisierungen durch die Datenschutzbehörde DSB bzw. Entscheidungen von Gerichtsseite, die die Auslegung der DSGVO und des österreichischen Datenschutzgesetzes präzisieren werden.

Die Redaktion wird daher in den nächsten Monaten sehr aufmerksam die DSB bzw. Gerichtsurteile verfolgen und Ihnen werte Leserin, werter Leser in regelmäßigen Abständen über die Neuheiten berichten. Damit Sie am Letztstand sind und Ihre praktische Handhabung der DSGVO in Ihrem Unternehmen rechtskonform ist und bleibt. Heute berichten wir über Abmahnbriefe, die eine Verletzung der DSGVO behaupten.

Dieser Fall ist über den konkreten Anlassfall hinaus wichtig und sollte zum Überprüfen der eigenen Homepage motivieren. Beachten Sie auch unsere Praxistipps am Ende des Beitrags. Und nutzen Sie auch unsere Spezialseite „Datenschutz leicht gemacht“ (hier klicken…), wo wir häufig auftretende Fragen für Sie beantwortet, Formulare gesammelt haben und regelmäßig nützliche Tipps geben.

Dass die Datenschutzgrundverordnung auch auf die verwendete Hard- und Software sowie IT-Technologie Auswirkungen hat, ist angesichts der ständigen zunehmenden Gefahren aus dem Internet nur logisch. Immerhin können Hackerangriffe die Sicherheit der Daten Ihrer Kunden, Mitarbeiter, Projektpartner, usw. gefährden.

Da Sie aber für die Sicherheit der personenbezogenen Daten verantwortlich sind, ist also eine EDV- und IT-Ausrüstung auf aktuellstem Stande dringend anzuraten. Konkret schreibt Ihnen die DSGVO „geeignete technische und organisatorische Maßnahmen“ vor, um ein „angemessenes Schutzniveau“ zu gewährleisten. Es wird bei der Beurteilung sicherlich berücksichtigt werden, ob es sich um einen Großkonzern (wird wohl mehr und umfassendere Vorkehrungen zu treffen haben) oder kleines EPU gehandelt hat. Aber keinesfalls darf man dieses Thema außer Acht lassen.

Heute möchten wir zu diesem Themenkreis auf einen aktuellen Anlassfall verweisen, der unserer Ansicht nach wiederum über den Anlassfall hinaus für Jedermann Auswirkungen hat. Es geht um das Thema:

Sichere Homepage, sicheres Formular. SSL-Verschlüsselung?

Der konkrete Anlassfall der in EDV-Fachmedien (u.a. Heise) heftig diskutiert wird, klingt wie eine „Räubersgeschicht“ und ist wahrscheinlich auch „reine Geschäftemacherei“. Dennoch zeigt der Fall berechtigte Probleme auf, auf die man vorbereitet sein sollte. Daher haben wir am Ende des Beitrags Praxis-Tipps für Sie zusammengefasst.

Was ist der Anlass?
In Deutschland versendet ein (für so ein Vorgehen bereits bekannter) Rechtsanwalt Abmahnbriefe und fordert Tausende Euro von Firmen. Es gibt Schreiben mit Schadenersatzforderungen von 8.500 und sogar 12.500 Euro für eine nicht vorhandene SSL-Verschlüsselung.
Der Anwalt argumentierte, dass sein Kunde bei einem Händler ein Online-Formular ausgefüllt habe. Erst im Nachhinein hätte sein Kunde gemerkt, dass die „Homepage ohne https als Transportverschlüsselung“ die Formular-Daten versandt hätte. Und damit „lägen ganz erhebliche Verletzungen bei der Verarbeitung der Daten seines Mandaten“ vor.

Und der Anwalt verweist im Schreiben auf Artikel 82 der DSGVO, worin tatsächlich davon die Rede ist, „dass jede Person, der wegen eines Verstoßes gegen die Vorschriften des Datenschutzes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zusteht“. Im „Erwägungsgrund 75“ werden dazu Beispiele wie etwa „finanzieller Verlust, Rufschädigung, Identitätsdiebstahl oder -betrug oder „andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ erwähnt.

Juristen bezweifeln aber, dass durch das bloße Behaupten eines Schadens Schadenersatz zugesprochen werde, noch dazu in dieser Höhe. Auch die Fachgruppe Information und Consulting in der WKO kam in ihrem Newsletter zu dieser Ansicht, denn „es muss ein konkreter Schaden entstanden (sein) und dargelegt werden“.

Aber: Was können wir daraus lernen?

Kehren wir nun vom Anlassfall auf die übergeordnete Ebene zurück. Wie kann man solche Schwierigkeiten vermeiden?

Wenn Sie eine Webseite haben, dann speichert diese „ganz automatisch“ viele Daten der Besucher. Zumeist in Form von Cookies. Das sind kleine Textdateien, die Name, IP-Adresse, besuchte Webseiten, etc. speichern und damit helfen, den Besucher wieder zu erkennen und ihm/ihr z.B. individuelle Werbung anzubieten. Damit gelingt es großen Konzernen wie Amazon, Google, Facebook & Co, über die Jahre ein umfangreiches Bild einer Person und deren Vorlieben zu erstellen. Besonders bedenklich aus der Sicht der DSGVO ist es, diese personenbezogenen Daten, die sich in den Cookies verstecken, auf amerikanische Server zu übertragen, weil in den USA die Datenschutzbestimmungen für Europäer nicht die Anforderungen der DSGVO erfüllen. Wenn sich also Google nicht der europäischen DSGVO unterwirft, dann sollten Sie Web-Analyse-Tools wie etwa Google Analytics nicht verwenden.

Formulare mit SSL-Verschlüsselung absichern

Von den Cookies abgesehen, speichert der Server, auf dem Ihre Homepage „liegt“, Daten der Besucher ab. Besonders dann, wenn Sie ein Feedback-Formular, Bestell-Formular, etc. nutzen, dann werden dort eingegebene Daten am Server gespeichert und Ihnen z.B. per E-Mail zugesandt. Und genau auf diesem Punkt zielt das Abmahnschreiben ab!

Für viele EDV-Leute gilt die SSL/TLS-Verschlüsselung der Webseiten – besonders dann, wenn dort Formulare verwendet werden – mittlerweile als Stand der Technik. Zwar gibt es dazu noch keine Vorgabe der DSB und kein Urteil eines Gerichts, das dies vorschreibt / bestätigt. Aber Vorsichtige sollten sich dazu dieser Verschlüsselung entschließen, insbesonders dann, wenn personenbezogene Daten aus Formularen übermittelt werden.

Zur Technik selbst (Quelle: Datenschutzbeauftragter-info.de):
SSL steht für Secure Socket Layer und TLS steht für Transport Layer Security, das ist jeweils ein Protokoll mit dem Daten über eine verschlüsselte Verbindung im Internet übertragen werden. Als Nutzer erkennen Sie eine verschlüsselte Verbindung daran, dass im Browser ein kleines Schloss-Symbol auftaucht und daran, dass die Webadresse ein zusätzliches „s“ hat. Also statt http steht „https“. Bei beiden Protokollen handelt es sich um eine End-to-End-Verschlüsselung, d.h. dass die Informationen bereits vor dem Versenden verschlüsselt und erst bei dem Empfänger entschlüsselt werden.

Was sollten Sie also tun?

Das hängt natürlich von Ihrem Unternehmen selbst ab, wie auch die WKO Fachgruppe Information & Consulting zusammenfasste:

„Demnach sind

  • unter Berücksichtigung des Stands der Technik (was ist am Markt üblich?),
  • der Implementierungskosten (was kann das Unternehmen finanziell leisten?) und
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (wie riskant ist die Datenverarbeitung?) sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit (wie wahrscheinlich ist der Fall eines Data Breaches?) und
  • Schwere des Risikos (wie schlimm könnte ein Data Breach ausfallen?) für natürlicher Personen

geeignete technische und organisatorische Maßnahmen zu setzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die konkret geeigneten Maßnahmen sind also je nach Unternehmen unterschiedlich und richten sich nach dem, was das Unternehmen tut, wie groß das Unternehmen ist, welche finanziellen Möglichkeiten es hat und so weiter. SSL Verschlüsselung ist mittlerweile wohl als Stand der Technik anzusehen und deren überschaubaren Kosten vertretbar, weshalb deren Verwendung auch mit Blick das gegenständliche Abmahnverfahren unbedingt empfehlenswert ist.“ So die WKO in ihrem entsprechenden Newsletter.

Praxistipp:
Überlegen Sie, wozu Sie Ihre Homepage einsetzen.
Nutzen Sie sie „nur“ dazu, um Informationen über Ihre Produkte und Dienstleistungen zu veröffentlichen? Dann bringt eine SSL-/TLS-Verschlüsselung keine Verbesserung für die Nutzer.

Oder bieten Sie dort auch Kontakt- oder sogar Bestellmöglichkeiten (Feedback-Formular, Anmeldungs-Formular, Bestellung, etc.) an? Gibt es die Möglichkeit unter (Blog-)Beiträgen eigene Kommentare zu hinterlassen? Etc.?
In diesen Fällen, gibt es nach EDV-Experten nur 2 Möglichkeiten:

  • Deaktivieren Sie solche Formulare und stellen Sie auf e-mail um:
    „Senden Sie uns Ihre Information, Bestellung per E-Mail an Firma@e-mail.at“.
    Sendet der Benutzer ein E-Mail an Sie, dann liegt das Risiko der unsicheren Übertragung beim Sender und nicht mehr bei Ihnen.
  • In allen anderen Fällen ist wohl die Umstellung auf eine SSL-/TLS-Verschlüsselung der Homepage zu empfehlen.

Recherche-Quellen: Mag. Günter Wagner, B2B-Projekte und RA Mag. Stephan Novotny (Spezialgebiet Versicherungen & Datenschutz-Grundverordnung), Praxishandbuch „Das österreichische Versicherungsvermittlerrecht“ (erhielt kürzlich ein großes Sonderkapitel „praktische Umsetzung DSGVO, Details dazu hier…), Homepage Heise.de, Newsletter WKO Information & Consulting, Homepage Datenschutzbeauftragter-info.de